Un pilastro della cybersecurity: l’osservabilità dei dati
L’osservabilità dei dati guida XDR, AI e automazione, integra sicurezza e operations, abbatte i silos e supporta la conformità normativa contro le minacce.
In un panorama digitale dove gli attacchi informatici crescono in sofisticazione e frequenza, l’osservabilità dei dati emerge come un pilastro fondamentale per una cybersecurity efficace. Non si tratta più soltanto di monitorare sistemi isolati, ma di costruire una visione unificata e contestualizzata dell’intero sistema tecnologico aziendale, trasformando montagne di dati grezzi in intelligence operativa capace di anticipare le minacce.
Dal monitoraggio all’osservabilità: un cambio di paradigma
L’osservabilità dei dati rappresenta un cambio di paradigma rispetto al monitoraggio tradizionale. Dove il monitoraggio si limita a segnalare eventi basandosi su soglie predefinite, l’osservabilità fornisce una comprensione profonda dello stato interno dei sistemi attraverso l’analisi di log, metriche e tracce. Per Secoda, il mercato globale dell’osservabilità dei dati ha raggiunto i 2,14 miliardi di dollari nel 2024, con una crescita prevista del 12,2% annuo fino al 2030.
La convergenza tra osservabilità e sicurezza sta ridefinendo le strategie difensive. Statista prevede che il mercato combinato di observability e security analytics raggiungerà i 28,26 miliardi di dollari entro il 2024, con un aumento del 50% per il segmento dell’osservabilità. Questa fusione permette ai team di sicurezza di correlare dati provenienti da fonti eterogenee, identificando pattern d’attacco che resterebbero invisibili analizzando singoli sistemi in isolamento.
Cybersecurity e XDR: l’evoluzione dell’osservabilità con l’AI
L’evoluzione tecnologica più significativa è rappresentata dalle piattaforme XDR (Extended Detection and Response), che estendono il concetto di osservabilità oltre i tradizionali endpoint. Mentre le soluzioni EDR si concentrano sul monitoraggio dei dispositivi finali, le piattaforme XDR raccolgono telemetria da endpoint, firewall, email, server, carichi di lavoro cloud e rete, normalizzando e correlando questi dati per fornire una visione unificata delle minacce. Secondo Trend Micro, l’XDR crea un data lake completo contenente rilevamenti, telemetria, metadati e NetFlow, applicando analisi sofisticate e threat intelligence per fornire il contesto necessario a comprendere l’intera catena di eventi di un attacco attraverso livelli multipli di sicurezza.
Le piattaforme leader nel settore, come CrowdStrike Falcon, Microsoft 365 Defender e Palo Alto Networks Cortex XDR, sono state riconosciute come leader nella Forrester Wave for Extended Detection and Response Platforms del 2024. Queste soluzioni integrano capacità di intelligenza artificiale, automazione della risposta e analisi forense avanzata, raccogliendo dati di telemetria dettagliati che consentono di ricostruire con precisione l’anatomia degli attacchi.
Telemetria e riduzione dei tempi di risposta
La telemetria è fondamentale per l’osservabilità moderna. Le organizzazioni raccolgono dati quantitativi sulla salute e le prestazioni dei sistemi, dal traffico di rete all’utilizzo della CPU, dalla creazione di processi alle modifiche dei file e del registro. Questa telemetria cross-vettoriale fornisce segnali precoci di potenziali problematiche di sicurezza, permettendo ai team di rilevare deviazioni dalle operazioni normali prima che degenerino in incidenti maggiori.
L’osservabilità impatta direttamente sui tempi di risposta agli incidenti. SentinelOne riporta che l’82% delle organizzazioni ha dichiarato che il tempo medio di risoluzione (MTTR) dei problemi di produzione supera un’ora, in crescita dal 74% dell’anno precedente. Questo dato evidenzia una necessità crescente di velocità ed efficienza nella gestione degli incidenti. Le organizzazioni che hanno implementato estensivamente AI e automazione nella sicurezza possono rilevare e contenere gli incidenti con una media di 98 giorni più velocemente rispetto a quelle che non utilizzano queste tecnologie, secondo il report IBM 2024.
Cybersecurity: abbattere i silos tra team e funzioni
Un aspetto fondamentale dell’osservabilità è l’abbattimento dei silos tra team di sicurezza e operazioni. Elastic evidenzia come la separazione dei dati in strumenti isolati crei confini artificiali che rallentano il rilevamento e la risoluzione dei problemi sia dal punto di vista delle prestazioni sia del rilevamento delle minacce. Una piattaforma unificata che si basa su uno schema comune di dati acquisiti e archiviati rende più semplice cercare e correlare informazioni rilevanti. La società Informatica ha riscontrato un risparmio sui costi del 50% consolidando osservabilità e SIEM in un unico vendor, con query di ricerca che restituiscono risultati accurati in poco più di 10 secondi nonostante l’archiviazione di trilioni di documenti.
L’ottimizzazione della raccolta dati sta diventando cruciale per la sostenibilità economica dell’osservabilità. Secondo Middleware.io, le organizzazioni hanno capito che quasi il 70% dei dati di osservabilità raccolti è superfluo, portando a costi gonfiati. Metodi di raccolta più intelligenti, come il campionamento selettivo delle tracce, l’archiviazione dei soli log importanti e lo spostamento di dati meno critici su storage a basso costo, possono ridurre i costi del 60-80% preservando la visibilità sulla salute dei sistemi.
Nuove minacce e attacchi invisibili
La complessità crescente delle minacce rende l’osservabilità indispensabile. Il CrowdStrike 2025 Global Threat Report rivela che il 79% degli attacchi segnalati nel 2024 non conteneva malware per l’accesso iniziale, in drammatico aumento dal 40% del 2019. Gli aggressori stanno semplicemente aggirando le difese tradizionali utilizzando credenziali legittime e strumenti nativi dei sistemi operativi, tecniche note come living-off-the-land. Solo un’osservabilità profonda e contestualizzata può rilevare questi attacchi invisibili ai sistemi basati su firme.
Le vulnerabilità zero-day rappresentano un’altra sfida critica. Google Threat Intelligence ha documentato 75 vulnerabilità zero-day sfruttate nel 2024, ma il dato più inquietante proviene da VulnCheck: il 32,1% delle vulnerabilità conosciute viene sfruttato il giorno stesso della pubblicazione o addirittura prima, in aumento dall’8,5% del 2023 al 23,6% del 2024. In questo scenario, la capacità di osservare anomalie comportamentali diventa più importante del semplice rilevamento basato su firme di minacce note.
Impatto economico e sfide normative
L’impatto economico della cybercriminalità sottolinea l’urgenza di soluzioni efficaci. Cybersecurity Ventures stima che i danni globali raggiungeranno i 10,5 trilioni di dollari nel 2025. In Italia, la pubblica amministrazione ha subito un aumento drammatico degli attacchi, passando da 560 nel 2023 a 1.430 nel 2024, mentre il settore Finance & Insurance, pur mostrando maggiore resilienza, ha comunque registrato un incremento del 36%.
Le sfide normative accelerano l’adozione di soluzioni avanzate di osservabilità. La Direttiva NIS2, entrata ufficialmente in vigore il 17 ottobre 2024, impone nuovi obblighi di gestione degli incidenti e conformità che richiedono capacità sofisticate di rilevamento, tracciamento e reporting. L’AI Act europeo, in vigore dal 2025, obbliga le organizzazioni a testare sia i sistemi di intelligenza artificiale utilizzati sia quelli auto-sviluppati, rendendo l’osservabilità dell’AI un requisito non negoziabile.
Il NIST ha rilasciato a febbraio 2024 la versione 2.0 del suo Cybersecurity Framework, introducendo “Govern” come sesta funzione fondamentale. Questa novità riconosce che la cybersecurity deve essere integrata nella strategia complessiva dell’organizzazione, con responsabilità chiare a livello di leadership aziendale. L’osservabilità dei dati diventa lo strumento attraverso cui il board e i dirigenti possono effettivamente monitorare e governare il rischio cyber a livello strategico.
Verso un futuro autonomo e proattivo
Il quantum computing rappresenta una minaccia all’orizzonte che richiede preparazione immediata. A marzo 2025, il NIST ha selezionato l’algoritmo HQC per la crittografia post-quantistica, segnalando l’urgenza di migrare verso soluzioni resistenti al quantum computing prima che questa tecnologia renda obsoleti gli attuali standard di crittografia. L’osservabilità sarà cruciale per gestire questa transizione, monitorando l’implementazione di nuovi algoritmi e identificando sistemi ancora vulnerabili.
L’automazione della risposta attraverso piattaforme SOAR (Security Orchestration, Automation and Response) amplifica l’efficacia dell’osservabilità. Queste piattaforme possono eseguire istantaneamente azioni di contenimento, come isolare gli endpoint compromessi, bloccare domini malevoli o revocare credenziali, riducendo drasticamente il tempo di permanenza degli aggressori nei sistemi.
Il futuro dell’osservabilità nella cybersecurity si orienta verso sistemi sempre più autonomi e proattivi. Amazon Q, piattaforma di osservabilità guidata da AI, monitora dataset di grandi dimensioni dai servizi AWS per rilevare pattern irregolari e prevedere guasti di sistema basandosi su trend storici, attivando automaticamente azioni come lo scaling delle risorse o la riconfigurazione delle impostazioni per risolvere problematiche prima che impattino sul sistema.
