Continuous Threat Exposure Management e Cyber Risk Operation Center: Architettura Avanzata per la Cybersecurity - Francesco Faenzi (Direttore Cyber Security & Resiliency di Itway) e Alessio Fasano (Country Manager di Skybox Security) al Forum ICt Security

Continuous Threat Exposure Management e Cyber Risk Operation Center: Architettura Avanzata per la Cybersecurity

A cura di:Francesco Faenzi e Alessio Fasano Ore

La gestione continua dell’esposizione alle minacce (Continuous Threat Exposure Management – CTEM) emerge come paradigma fondamentale, superando i limiti delle metodologie convenzionali per consentire una risposta più sofisticata e proattiva: al riguardo è stato introdotto il concetto di Cyber Risk Operation Center (CROC), mostrandone l’utilità nell’ambito della gestione del rischio informatico aziendale.

L’intervento a due voci “Gestione Continua dell’Esposizione alle Minacce, un approccio strategico alla Cybersecurity”, tenuto durante il 22° Forum ICT Security da Francesco Faenzi (Direttore Cyber Security & Resiliency di Itway) e Alessio Fasano (Country Manager di Skybox Security), ha messo in luce come la continua evoluzione delle minacce informatiche richieda un ripensamento radicale dei tradizionali approcci alla sicurezza.

Guarda il video completo dell’intervento:

Il Cyber Risk Operations Center (CROC)

Faenzi ha aperto l’intervento evidenziando come al centro di questo nuovo modello di sicurezza si collochi proprio il Cyber Risk Operations Center (CROC), che rappresenta un’evoluzione cruciale rispetto al tradizionale Security Operation Center (SOC).

Se infatti quest’ultimo si concentra prevalentemente sul monitoraggio delle minacce informatiche, il CROC opera a un livello strategico superiore, trasformando le informazioni tecniche in indicatori di rischio a supporto delle scelte manageriali: l’integrazione delle informazioni fornite dal SOC permette al CROC di tradurre i dati operativi in insight strategici, contribuendo a una sicurezza che sia non solo tecnicamente robusta ma anche funzionalmente allineata alle esigenze di business.

Continuous Threat Exposure Management (CTEM) e Cyber Risk Operation Center (CROC) - What CROC means for a Ciso

Il Cyber Risk Operations Center non si limita quindi alla rilevazione degli attacchi ma mira a creare una visione olistica e complessiva del rischio informatico, abilitandone una gestione proattiva e coerente con gli obiettivi aziendali.

Framework di Sicurezza e Resilienza

Il framework di sicurezza e resilienza del CROC si articola lungo i principali domini temporali della cybersecurity: pre-intrusione, durante l’intrusione e post-intrusione.

Continuous Threat Exposure Management (CTEM) e Cyber Risk Operation Center (CROC): Cyber Risk Management lifecycle

La governance del rischio informatico prevede l’implementazione di processi e capacità specifici per ciascuna di queste fasi:

  • prevenzione,
  • rilevamento e risposta,
  • recupero.

Il Cyber Risk Management si concentra principalmente sulla fase preventiva, ponendo le fondamenta necessarie per anticipare e mitigare le potenziali minacce.
Questo approccio si basa su tre pilastri essenziali:

  1. conoscenza approfondita degli asset e del contesto operativo;
  2. capacità di misurare quantitativamente rischi e minacce;
  3. implementazione di una governance efficace basata su metriche oggettive.

La capacità di comprendere appieno gli asset e il loro valore per il business rappresenta la base di una difesa proattiva e resiliente. Sulla base di tale visibilità l’integrazione di questi tre pilastri consente una gestione del rischio non solo reattiva ma “anticipatoria”, in grado di adattarsi rapidamente ai cambiamenti del panorama tecnologico e alle minacce emergenti.

Operatività del CROC

L’operatività del CROC si realizza attraverso l’integrazione di una vasta gamma di fonti informative, che spaziano dall’analisi delle intrusioni in corso alla valutazione delle vulnerabilità e dei potenziali impatti sull’organizzazione.

Un Cyber Risk Operations Center – inteso come insieme di processi, prodotti e competenze – si concentra quindi sulla governance del rischio, fornendo una prospettiva più ampia per la definizione delle strategie organizzative.

La visibilità fornita dal SOC e dalle sue piattaforme è un componente essenziale per il CROC, che traduce le informazioni provenienti dal monitoraggio continuo delle minacce in indicatori di rischio: queste informazioni vengono aggregate a quelle sulla postura di sicurezza degli asset e, quindi, trasformate in dati utilizzabili per decisioni strategiche e operative.

Faenzi ha evidenziato come il CROC possa rappresentare un fattore abilitante per una governance più efficace, in cui le informazioni tecniche vengono contestualizzate come rischi e opportunità per l’organizzazione.

Mappatura dei Percorsi di Attacco

Attraverso la mappatura degli asset, la misurazione dei rischi e l’applicazione di metriche oggettive, il CROC permette di identificare e prioritizzare le vulnerabilità che rappresentano un rischio significativo per l’organizzazione.

Uno degli aspetti più innovativi del modello CROC, infatti, è la capacità di mappare i potenziali percorsi di attacco e contestualizzarli rispetto al valore degli asset coinvolti: questa mappatura è fondamentale per assicurare che le decisioni di sicurezza siano sempre allineate con le priorità del business e per valutare le azioni di mitigazione in funzione degli obiettivi aziendali.

L’analisi dei percorsi di attacco consente al CROC non solo di identificare le vulnerabilità più critiche ma anche di valutare quali strategie di mitigazione abbiano il maggiore impatto nel ridurre il rischio complessivo, integrando considerazioni tecniche e strategiche in un quadro unico: ciò contribuisce a rafforzare la resilienza complessiva, aiutando le aziende a gestire un panorama di minacce in continua evoluzione.

La Piattaforma di Continuous Threat Exposure Management

L’evoluzione tecnologica di questo approccio è stata esposta da Alessio Fasano, il quale ha presentato la piattaforma di Continuous Threat Exposure Management di Skybox, basata su tre pilastri fondamentali:

  1. Governance, Risk e Compliance (GRC)
    • Garantisce la conformità con le normative in vigore, sia di natura cogente (come NIST, PCI DSS e DORA) sia ad adesione volontaria (come ISO 27001).
    • Facilita il rispetto delle normative e consente di implementare una governance del rischio basata su principi strutturati e metriche oggettive.
  2. Attack Surface Management
    • Consente una visione completa e dinamica della superficie di attacco, monitorando continuamente i cambiamenti nella configurazione degli asset e identificando nuove esposizioni al rischio.
    • Garantisce una riduzione continua della superficie di attacco, prevenendo così nuove possibili vie di ingresso per gli attaccanti.
  3. Threat Detection and Response
    • Integra le capacità di threat intelligence con informazioni provenienti da oltre 150 piattaforme di sicurezza, offrendo una panoramica completa della postura di rischio.
    • Utilizza tecniche avanzate di machine learning per identificare comportamenti anomali e pattern sospetti, migliorando la capacità di rilevare minacce sconosciute.

La capacità di correlare informazioni provenienti da diverse fonti consente una comprensione più accurata del contesto delle minacce, permettendo una risposta rapida ed efficace; mentre l’integrazione delle capacità di GRC, gestione della superficie di attacco e rilevamento delle minacce rappresenta la base per una difesa informatica multilivello.

Digital Twin nella Cybersecurity

Un elemento distintivo dell’approccio CTEM è l’adozione del concetto di digital twin per la cybersecurity.

Il digital twin consente di creare una mappa relazionale completa e aggiornata degli asset aziendali: ciò permette di superare i tradizionali confini tra silos organizzativi e tecnologici, offrendo una panoramica dettagliata delle interconnessioni tra i vari elementi dell’infrastruttura IT.

Avere una rappresentazione virtuale e dinamica della propria superficie consente di comprendere meglio le interazioni tra asset critici e possibili punti di vulnerabilità, simulare scenari di attacco e valutare l’impatto delle misure di sicurezza in modo realistico e proattivo, aiutando a prioritizzare le azioni di mitigazione .

Il ricorso ai digital twin può quindi offrire un ulteriore supporto ai processi decisionali, migliorando significativamente l’efficacia delle strategie di difesa e ottimizzando la gestione del rischio complessivo.

Ottimizzazione della Gestione delle Vulnerabilità

Un aspetto di particolare rilevanza della piattaforma CTEM è l’ottimizzazione della gestione delle vulnerabilità.Continuous Threat Exposure Management (CTEM) e Cyber Risk Operation Center (CROC): Risk Scoring

In un caso citato dal relatore l’analisi avanzata ha permesso, partendo da un milione e mezzo di vulnerabilità identificate su 30.000 asset, di identificare 1.500 vulnerabilità critiche da gestire con priorità. Questo risultato è ottenuto grazie ad algoritmi avanzati che non considerano solo le criticità tradizionali secondo il punteggio CVSS ma anche fattori quali i percorsi di raggiungimento, l’esposizione effettiva, la sfruttabilità pratica, la presenza di campagne attive di minacce e l’impatto potenziale sul business.

Questo consente di ottimizzare l’allocazione delle risorse, concentrandosi sulle vulnerabilità che rappresentano la minaccia più significativa per l’organizzazione e migliorando drasticamente l’efficacia delle attività di remediation.

Virtual Patching

Un altro elemento innovativo è la capacità di implementare soluzioni di virtual patching.

Anziché attendere che siano disponibili patch ufficiali – che tipicamente richiedono tempi prolungati – la piattaforma può suggerire regole firewall o firme IPS per mitigare temporaneamente le vulnerabilità rilevate: questo approccio riduce significativamente la finestra di esposizione alle minacce, migliorando in tempi brevissimi la postura di sicurezza dell’organizzazione.

Il virtual patching si rivela particolarmente utile in contesti in cui l’applicazione di patch tradizionali è complessa o richiede tempi lunghi, come nei sistemi legacy o nelle infrastrutture critiche. La capacità di mitigare le vulnerabilità in maniera tempestiva garantisce una riduzione del rischio immediata, limitando l’opportunità per i potenziali attaccanti di sfruttare le debolezze del sistema.

Conclusioni

La capacità di aggregare e correlare in un’unica piattaforma informazioni provenienti da diverse fonti – dalla rete agli scanner, fino alle piattaforme cloud e OT – rappresenta un notevole progresso rispetto alle soluzioni tradizionali, che tipicamente affrontano solo aspetti specifici della sicurezza.

Oltre a consentire analisi del rischio molto più accurate, questo permette di ottenere una visione olistica della propria postura di sicurezza, facilitando l’identificazione delle interdipendenze tra diverse aree dell’infrastruttura IT e migliorando la capacità di risposta a minacce complesse e coordinate.

Tale approccio integra un’evoluzione necessaria, permettendo alle organizzazioni di affrontare le moderne sfide della sicurezza: la combinazione di visibilità completa degli asset, analisi contestuale dei rischi e capacità di risposta rapida fornisce alle organizzazioni gli strumenti necessari per mantenere una postura resiliente in un panorama di minacce in costante evoluzione.

Questo modello consente di trasformare la sicurezza informatica in una funzione strategica e proattiva, integrata con gli obiettivi di business e in grado di supportare la crescita e l’innovazione.

La capacità di anticipare le minacce, adattarsi rapidamente e migliorare continuamente la propria resilienza rappresenta il cuore della cybersecurity contemporanea: il Continuous Threat Exposure Management fornisce il quadro operativo – nonché gli strumenti tecnologici – per raggiungere questi obiettivi in modo strategico ed efficace.

Profilo Autore

Oltre venti anni di esperienza in consulenza e management.

Già Responsabile di Practice in Atos Origin e poi Lutech, Partner in Kyndryl, è oggi Responsabile di business, offerta, alliance e operation della BU "Cyber Security & Resiliency" di Itway.

È stato inoltre Founder di centri di Ricerca & Sviluppo e di Business Unit, nonché CISO.

Subject Matter Expert riconosciuto in Cyber Security IT e OT, Information Security, Business Continuity e Resiliency, Intelligence e Compliance, con esperienza in molteplici settori nel privato, pubblico e difesa, in Italia, Europa e Middle-East.

Speaker, docente da oltre 15 anni e autore di un libro di Information Security.

Profilo Autore

Alessio è un professionista versatile con un ricco background in management, consulenza e imprenditorialità. Prima di entrare in Skybox Security, Alessio ha lavorato presso Retelit come Chief Security Officer, dove ha svolto un ruolo cruciale nel migliorare la strategia di sicurezza dell'organizzazione. Le sue responsabilità includevano lo sviluppo di piani di gestione delle crisi e la valutazione di soluzioni specializzate nel campo della sicurezza informatica.

Ha inoltre ricoperto la carica di copresidente di un'associazione industriale globale focalizzata sui temi di rete, cloud ed automazione tecnologica.

Nella sua carriera Alessio ha ricoperto altri ruoli come Direttore della Corporate IT, dell’Ingegneria di Prevendita e delle Offerte e della Strategia IT Aziendale.

Nella sua carriera, iniziata ormai 25 anni fa, Alessio Fasano è noto anche per aver fondato e guidato Novustech come CEO per otto anni, fondato e guidato PA Maghreb in Marocco e per aver collaborato con Symantec.

Altri Articoli
Condividi sui Social Network:

Ultimi Articoli

Digital sovereignty e Cybersecurity - Sovranità digitale e sicurezza digitale

Digital sovereignty e Cybersecurity: Sfide e Strategie nell’Era Digitale

A cura di:Redazione Ore Pubblicato il

La digital sovereignty rappresenta oggi un concetto controverso che richiede un’analisi critica e bilanciata. Da un lato, emerge come risposta alla crescente dipendenza tecnologica dell’UE da fornitori esterni, in particolare USA e Cina. Dall’altro, diversi esperti sostengono che una vera sovranità digitale sia impossibile senza la collaborazione con i grandi player tecnologici. Il Dibattito sulla…

tecnologie quantistiche e sicurezza informatica - Alessandro Luongo, Inveriant al Forum ICT Security

La tecnologie quantistiche sfidano la sicurezza informatica: tra minacce concrete e opportunità future

A cura di:Alessandro Luongo Ore Pubblicato il

Nel panorama contemporaneo della sicurezza informatica, la progressiva evoluzione delle tecnologie quantistiche rappresenta una sfida dirompente ai paradigmi tradizionali della crittografia e della difesa cibernetica. L’intervento al Forum ICT Security 2024 “Quando i computer quantistici romperanno la nostra crittografia?” di Alessandro Luongo, consulente e fondatore di Inveriant e ricercatore in quantum algorithms al CQT di…

cybersecurity vito volpini opentext cybersecurity

La Nuova Era della Cybersecurity: Resilienza, Intelligenza Artificiale e Protezione dei Dati

A cura di:Pierpaolo Ali Ore Pubblicato il

La sicurezza informatica rappresenta un asse portante per la sostenibilità e l’innovazione delle imprese nell’economia contemporanea: è quanto emerso dall’intervento “Cyber Resiliency and Artificial Intelligence for a Secure Future” tenuto da Pierpaolo Ali (Director Southern Europe, OpenText Cybersecurity) e Vito Volpini (Security Solution Architect, OpenText Cybersecurity) durante il Forum ICT Security 2024. L’intervento ha evidenziato…

Cyber Resilience Act - CRA, sicurezza digitale

Cyber Resilience Act: Un Nuovo Strumento per la Sicurezza Digitale nell’UE

A cura di:Efrem Zugnaz Ore Pubblicato il

Cos’è il Cyber Resilience Act (EU CRA)? E perché me ne dovrei occupare? Il Cyber Resilience Act, presentato dalla Commissione Europea nel settembre 2022, ma esecutivo dal 10 Dicembre 2024 è un regolamento che intende stabilire norme comuni per la sicurezza dei prodotti e dei servizi connessi alle tecnologie informatiche. Sembra tutto corretto, ma sarà…

Living-off-the-Land Binaries (LOLBins) negli attacchi fileless:

Living-off-the-Land Binaries (LOLBins) negli attacchi fileless: Analisi Tecnica e Implicazioni per la Sicurezza

A cura di:Redazione Ore Pubblicato il

L’utilizzo dei Living-off-the-Land Binaries (LOLBins) emerge come una metodologia particolarmente insidiosa, che sfrutta binari legittimi del sistema operativo per condurre attività malevole eludendo i tradizionali sistemi di rilevamento. Il panorama delle minacce informatiche sta evolvendo rapidamente verso tecniche sempre più sofisticate di evasione e persistenza, con gli attacchi fileless che rappresentano una delle sfide più…

La Remediation nella Sicurezza Informatica: sfide e prospettive

La Remediation nella Sicurezza Informatica: sfide e prospettive

A cura di:Veronica Leonardi Ore Pubblicato il

Veronica Leonardi (Chief Marketing Officer e Investor Relator di Cyberoo) ha preso parte al 22° Forum ICT Security con l’intervento “Oggi tutti parlano di identificazione delle minacce, ma della remediation chi se ne occupa?”, affrontando un aspetto spesso trascurato nel panorama della sicurezza informatica: la “remediation”. Mentre l’attenzione generale tende a focalizzarsi sulla rilevazione delle…