Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
A cura di Matteo Biagini di Tinexta Cyber
Quando l’AI incontra il Data Lake: evoluzione reale o convergenza forzata delle tecnologie di sicurezza?
 Cybersecurity Awareness efficace? Scopri BETTI RHC! Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Red hot cyber ha sviluppato da diversi anni una Graphic Novel (giunta al sesto episodio), l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Contattaci tramite WhatsApp al numero 375 593 1011 per saperne di più e richiedere informazioni oppure alla casella di posta graphicnovel@redhotcyber.com
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Negli ultimi anni, i perimetri di sicurezza sono stati costruiti attorno a una separazione netta dei ruoli tecnologici. I SIEM nascono come piattaforme di raccolta e correlazione dei log, pensati per centralizzare eventi provenienti da reti, sistemi e applicazioni da analizzare attraverso regole di correlazione statiche. Un modello che ha sicuramente garantito visibilità e compliance, ma che nel tempo ha mostrato limiti evidenti in termini di rigidità architetturale, costi di ingestion e difficoltà nel gestire volumi e varietà di dati sempre maggiori, non sempre supportati e soggetti ad evoluzioni imprevedibili. Basti pensare alla rigidità di un parser custom nei confronti di un’applicazione proprietaria, la qualità del dato, in assenza di un processo atto a parallelizzare lo sviluppo dell’applicazione con lo sviluppo del parser, è quasi sempre insufficiente e difficilmente va a costituire un punto focale nell’analisi e nell’alerting.
Gli EDR hanno invece spostato il baricentro sulla profondità di analisi dell’endpoint, introducendo telemetria dettagliata su processi, memoria, file system e comportamenti, non si tratta di dati “nascosti”, è infatti possibile raggiungere questo grado di granularità anche con un SIEM attraverso l’utilizzo di tools dedicati come Sysmon, il prezzo da pagare diventa tuttavia legato direttamente al fattore ingestion, andando ad appesantire un sistema non propriamente agile. Questa evoluzione ha migliorato significativamente la detection locale, ma ha anche evidenziato un limite strutturale: la difficoltà di correlare in modo efficace eventi che escono dal perimetro dell’endpoint. È in questo contesto che si afferma il paradigma XDR, promosso da vendor come SentinelOne, Bitdefender e Trend Micro, con l’obiettivo di estendere la visibilità a identity, email, rete e workload cloud.
Nel tempo, però, l’XDR ha mostrato una seconda traiettoria evolutiva. Piattaforme nate come EDR hanno iniziato a integrare una capacità di ingestion massiva, storage esteso e analisi storica dei dati, avvicinandosi sempre più a un modello di SIEM data-centric. L’introduzione di Data Lake proprietari, motori di analytics basati su AI e funzionalità di correlazione cross-domain segna un passaggio chiave: da strumenti focalizzati sulla detection endpoint a piattaforme che aspirano a diventare il punto di convergenza della visibilità di sicurezza. In un contesto infrastrutturale sempre più ibrido e cloud-oriented, la distinzione tra SIEM, EDR e XDR diventa così sempre meno netta e sempre più architetturale.
La spinta verso questa convergenza non nasce da una semplice evoluzione di prodotto, bensì da un cambiamento strutturale che coinvolge direttamente le infrastrutture IT riscrivendone i principali paradigmi alla radice. Ambienti cloud-native, identità distribuite e API hanno moltiplicato le superfici di attacco e, soprattutto, le fonti di telemetria. In questi contesti, la correlazione in tempo reale tipica dei SIEM classici non è sufficiente: molte tecniche di attacco emergono solo osservando il dato nel tempo.
Diversi vendors hanno iniziato a rispondere a questa esigenza estendendo la raccolta ben oltre l’endpoint, includendo workload cloud, container, control plane ed integrazioni di terze parti sempre più granulari. Allo stesso modo, SentinelOne ha progressivamente ampliato il proprio perimetro di osservazione integrando identity e cloud telemetry. In tutti questi casi, l’obiettivo non è solo “vedere di più”, ma conservare il dato abbastanza a lungo da poterlo rianalizzare, correlare e contestualizzare, in altre parole, aggiungere un layer di qualità a quello che fino a poco tempo fa è stato un “semplice” contenitore di dati.
Molti attacchi moderni si sviluppano lentamente, sfruttano movimenti laterali, identity abuse e tecniche “low and slow” che emergono solo osservando il dato nel tempo. Diventa quindi fondamentale poter storicizzare grandi quantità di informazioni, rianalizzarle a posteriori e costruire detection che non siano necessariamente immediate. È qui che il confine tra SIEM, XDR ed EDR inizia a dissolversi, spingendo verso piattaforme più data-centriche.
In questa transizione, il Data Lake diventa l’elemento centrale dell’architettura. Gli EDR moderni raccolgono già enormi quantità di informazioni ad alta granularità: eventi di processo, accessi a file, connessioni di rete, contesto utente e metadati comportamentali. Storicamente, questo patrimonio informativo veniva utilizzato quasi esclusivamente per alimentare motori di detection locali.
La progressiva espansione del perimetro coperto dalle soluzioni EDR/XDR ha dunque assunto un ruolo chiave nella costruzione di un vero e proprio “tesoro” nascosto. Un tesoro che, una volta valorizzato, va ad abbattere uno dei costi più critici della manutenzione di un SIEM: l’onboarding delle sorgenti. La possibilità di avere un singolo punto di controllo tra EDR e SIEM che insiste sullo stesso data lake incrociando dati, detection e regole va a tradursi in un esponenziale incremento della visibilità, capacità di analisi e contesto, legando a doppio filo AI e analista attraverso una sinergia che valorizza il dato raffinandosi nel tempo.
Con l’introduzione di Data Lake proprietari, come nel caso delle piattaforme XDR di Bitdefender o SentinelOne, il dato assume una nuova funzione. Non è più solo un input per generare alert, ma un asset persistente, consultabile nel tempo e utilizzabile per analisi retrospettive, threat hunting e correlazioni cross-domain. In questo modello, il SIEM non è più il punto di ingresso del dato, ma uno strato analitico che si appoggia a un bacino informativo molto più ampio e flessibile.
La disponibilità di grandi volumi di dati non equivale automaticamente a una migliore capacità di detection. Correlare eventi provenienti da endpoint, identity, cloud e rete è un problema complesso che molte piattaforme stanno ancora affrontando in modo parziale. Nella pratica, gran parte delle soluzioni XDR e AI SIEM attuali utilizza modelli di correlazione ancora acerbi, spesso limitati a pattern noti o a riduzione del rumore.
In un mondo dove il falso positivo è diventato qualcosa da esorcizzare il più possibile, spesso dimenticando quanto più pericoloso possa essere un falso negativo, i meccanismi di machine learning ed AI si frappongono in maniera anche molto aggressiva tra la fruizione dell’alert e l’analista, rischiando di creare dei punti ciechi difficili da gestire.
L’AI viene infatti frequentemente impiegata come classificatore o come supporto alla prioritizzazione, più che come vero motore di analisi contestuale. Questo è evidente osservando casi reali in cui eventi distribuiti su più domini vengono ancora trattati come incidenti separati. Il limite non è nel dato, ma nella capacità di trasformarlo in conoscenza operativa affidabile. È qui che si gioca la vera maturità delle piattaforme data-centric.
Nell’ultimo periodo sono emersi termini come AI SIEM o Agentic SIEM, spesso utilizzati per descrivere piattaforme in grado di prendere decisioni autonome basate sul contesto. Nella realtà operativa, ciò che vediamo oggi è una combinazione di automazione avanzata, orchestrazione e suggerimenti guidati dall’AI. L’autonomia decisionale resta limitata e, nella maggior parte dei casi, supervisionata dall’analista.
Questo approccio è visibile in molte implementazioni XDR di nuova generazione: la piattaforma suggerisce un percorso di indagine, aggrega eventi correlati e propone azioni di risposta, ma difficilmente agisce in modo completamente indipendente. Il rischio è quello di affidarsi a modelli opachi; l’opportunità, invece, è ridurre drasticamente il carico cognitivo del SOC e accelerare le fasi di analisi. Ancora una volta, la differenza non la fa la tecnologia in sé, ma il modo in cui viene integrata nei processi.
Questa convergenza ha un impatto diretto sui Security Operations Center. Il SOC moderno non può più limitarsi alla gestione di alert isolati, ma deve essere in grado di interpretare contesti complessi e distribuiti. Cresce il valore delle competenze architetturali, della comprensione dei flussi di identity e dei modelli cloud, mentre perde centralità il semplice triage reattivo.
Il focus dell’analisi si sposta dunque dal singolo alert, gestito in maniera sempre più precisa ed efficace dall’AI, per abbracciare un contesto più esteso, coadiuvato da un dataset valorizzato e contestualizzato in grado dunque di fornire informazioni più precise, eliminando il rumore e delineando dei pattern ben precisi.
Allo stesso tempo emergono nuovi rischi, come il lock-in sul dato e la dipendenza da piattaforme proprietarie che tendono a diventare sempre più pervasive. Tuttavia, i benefici sono concreti: visibilità unificata, capacità di threat hunting avanzato e possibilità di costruire detection che evolvono nel tempo, invece di inseguire singoli eventi.
La transizione degli EDR verso piattaforme data-centriche che incorporano caratteristiche tipiche dei SIEM non è una moda, ma una risposta a esigenze reali delle security operations moderne. I grandi vendor stanno cercando di colmare un vuoto architetturale, sfruttando il vero asset a loro disposizione: il dato. Tuttavia, siamo ancora in una fase di transizione.
Il dato è maturo, abbondante e ben strutturato; la correlazione e la detection cross-domain, invece, sono ancora in fase di consolidamento. Il rischio principale non è tecnologico, ma strategico: confondere la disponibilità del dato con la capacità di governarlo efficacemente. Non si tratta di scegliere tra SIEM, EDR o XDR, ma di progettare architetture, competenze e modelli operativi capaci di dare senso a un ecosistema di sicurezza sempre più complesso, gettando le basi per quella che sarà un nuovo concetto di SOC dove la figura dell’analista non è più un semplice distributore di criticità ma un vero e proprio professionista in grado di dare profondità e contesto a modelli di compromissione sempre più complessi e diluiti nel marasma di dati, l’AI gioca un ruolo importante ma non centrale, fungendo da scalpello attraverso il quale modellare un processo di analisi completamente rinnovato, più efficiente e dinamico.
Questo articolo è stato fornito dagli esperti di Tinexta Cyber
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
