Cybersecurity e Caravaggio: il vero problema non è il buio, ma dove punti la luce

La cybersecurity detection soffre sempre più di un problema: l'eccesso di dati e alert che rende difficile individuare le vere minacce. L'articolo usa il chiaroscuro di Caravaggio come metafora per spiegare perché non serve illuminare tutto, ma evidenziare anomalie e contesti significativi. Negli ambienti IT e OT gli attacchi più pericolosi spesso si nascondono dentro attività apparentemente legittime, rendendo prioritario un approccio capace di correlare eventi e ridurre il rumore informativo.

Michelangelo Merisi, detto Caravaggio, non dipingeva la luce: dipingeva ciò che emergeva dalla luce. Nato alla fine del XVI secolo, rivoluzionò la pittura, abbandonando le figure idealizzate del Rinascimento, a favore del realismo della vita quotidiana. I suoi soggetti sono persone vere, con mani sporche e volti reali e segnati, pieni di emozioni. Scelse il contrasto tra ombra e luce – il celebre chiaroscuro – per rendere uniche le sue composizioni, donando loro una forza drammatica che –  ancora oggi – ci affascina.

Una riflessione su questo stile la dobbiamo fare: la luce di Caravaggio non illumina, indica.

Attraverso la luce decise cosa far emergere e cosa lasciare sullo sfondo – nell’ombra – con un intento preciso: dirci dove guardare. Ed allora una mano, uno sguardo, la piega di un drappo diventano il centro della scena, e lo sguardo di chi osserva si concentra su di essi, anche quando non vorrebbe.

Pensiamo a “La Vocazione di San Matteo”. In questa opera, la mano di Cristo, colpita dalla luce, domina la scena, mentre tutto il resto rimane, appunto, nell’ombra. Ma quella stessa ombra è strategica perché dà alla scena contesto, profondità e anima. Ed ancora, davanti al “Davide con la testa di Golia” la luce concentra l’attenzione sul volto del giovane e sulla testa mozzata, lasciando il resto quasi inghiottito dal nero.

Cosa c’entra con la cybersecurity? C’entra eccome. Perché troppo spesso, facciamo l’opposto, confondendo visione totale con controllo.
Le aziende hanno a disposizione sempre più dashboard, più log, più alert, più telemetria, scambiando la quantità di dati con qualità contestualizzata. Troppi dati, spesso disaggregati su dashboard diverse sono solo “rumore”: migliaia di eventi raccolti, a volte raccontati con splendidi grafici colorati, sono, troppo speso, inutili nel momento in cui serve capire cosa sta davvero succedendo.

Ed allora prendiamo esempio dal maestro. Caravaggio aveva capito qualcosa che le aziende spesso dimenticano: illuminare tutto non significa vedere meglio. Il chiaroscuro a lui non serviva per nascondere, ma era essenziale per creare gerarchia e direzione nello sguardo di chi osservava la tela… La luce aveva un compito preciso: rendere impossibile non vedere ciò che contava davvero.

Ecco: la detection dovrebbe fare lo stesso.

Negli ambienti IT e OT il “buio” esiste eccome, ed è rappresentato da quelle zone d’ombra create dalla presenza di asset non monitorati (spesso nemmeno mappati), segmentazioni che esistono solo sulla carta, sistemi legacy, traffico che sembra normale ma che non lo è, ed è impossibile – almeno oggi, in questa fase di transizione tecnologia – pensare di eliminare completamente le zone grigie. Sarebbe bello, ma ancora non è realistico.

Basti pensare che gli attacchi più pericolosi a cui stiamo assistendo raramente fanno “rumore”: in realtà si confondono perfettamente con ciò che appare legittimo. Come nel caso di un accesso a un device nell’orario corretto, ma con una provenienza da un punto sbagliato; O una credenziale usata tecnicamente “bene”, ma in un contesto strano; O, ancora, un movimento laterale che, preso isolatamente, non sembra violare nulla, ma è anomalo.

Ed è qui che l’insegnamento che possiamo traslare da Caravaggio diventa chiaro: se tutto è illuminato allo stesso modo, niente si vede davvero; la luce appiattisce le priorità e cancella il significato; invece, un fascio di luce puntato su una anomalia costruisce contesto e guida l’attenzione dove serve davvero.

Se nei dipinti di Caravaggio basta un dettaglio illuminato per cambiare completamente la percezione che abbiamo dell’opera, in cybersecurity serve lo stresso approccio: illuminare l’anomalia, contestualizzarla. Se facciamo questo, riusciamo a dargli peso ed attenzione, arrivando a vedere che un accesso, un IP, una risorsa, un orario, vanno attenzionati perché è cambiata una sequenza, o non è il momento giusto, insomma un’azione lecita che in quel preciso contesto non ha senso.

Quella và illuminata; Tutto il resto non sparisce, ma diventa sfondo.

È esattamente da questa idea che nasce Agger di Gyala: non abbiamo la pretesa di eliminare completamente il buio ma la volontà di darvi una tecnologia in grado di dirigere la luce. Negli ambienti IT/OT, la quantità di eventi, asset, segnali e anomalie cresce molto più rapidamente della capacità  di interpretarli. Troppo rumore, nessun allarme. La nostra soluzione di automated cyber resilience riordina il caos, per permettere di vedere ciò che serve in quel momento: contestualizza, correla, dà priorità e reagisce autonomamente.
Legge continuamente ciò che succede nell’infrastruttura, lo interpreta in funzione dello “stato” e del “contesto” e evidenzia solo quando serve e solo ciò che serve. Fa lo stesso anche per le reazioni, che invia in automatico solo quando occorre.

Caravaggio non usava la luce per mostrare tutto: la usava per costruire un significato. La detection deve fare lo stesso. Forse il problema della cybersecurity moderna non è il buio, ma la quantità di luce messa nel posto sbagliato.

Simona Piacenti

Head of Marketing & Communications Gyala, da oltre 20 anni accompagna le aziende nella costruzione di una presenza credibile e competitiva sul mercato tecnologico gestendo strategia di marketing integrata, automazione, dati e storytelling per creare valore tangibile e crescita sostenibile.