L’AI ridisegna la difesa, si va verso i SOC autonomi

L’aumento degli attacchi basati su AI ha portato alla necessità di un cambiamento strutturale nei modelli di difesa, con il superamento dell’approccio puramente reattivo. Infatti, la crescita delle minacce automatizzate ha messo in crisi i metodi di analisi, detection e response da parte del personale umano. La risposta è sempre più spesso il modello dell’Autonomous SOC, un’evoluzione dei centri operativi di sicurezza che combina intervento umano e sistemi intelligenti capaci di gestire in modo automatico gran parte del ciclo di vita degli incidenti.

Il passaggio verso un SOC autonomo è favorito anche dal contesto normativo, che con direttive come NIS2 e DORA impone requisiti sempre più stringenti di tracciabilità e misurabilità dei processi di detection e risposta. L’automazione basata sull’AI diventa quindi un supporto per garantire la conformità in modo continuo.

In quest’ambito, ClearSkies propone l’uso di due tecnologie complementari: l’intelligenza artificiale generativa e quella agentica. La prima interpreta grandi volumi di dati e fornisce analisi sintetiche e pertinenti, riducendo il rumore informativo e consentendo agli analisti di concentrarsi sulle decisioni operative. La seconda si occupa dell’esecuzione autonoma delle azioni di risposta entro limiti e regole definite. In pratica, può validare alert, eseguire playbook, isolare asset compromessi o revocare credenziali senza intervento manuale. Questo approccio promette una riduzione sensibile dei tempi di gestione di un incidente, che possono passare da ore a pochi secondi, con un conseguente miglioramento della capacità di contenimento.

Secondo ClearSkies, l’impatto più evidente riguarda la ridefinizione del ruolo umano nella sicurezza informatica. L’introduzione di un SOC autonomo consente di concentrare le competenze sui compiti a più alto valore strategico e di ridurre la dipendenza da azioni ripetitive. Il risultato è una maggiore scalabilità, con costi che non crescono in proporzione diretta al numero di minacce rilevate.

L’azienda sottolinea come tale modello possa rappresentare una risposta concreta alla carenza di specialisti nel settore, un tema particolarmente rilevante in Italia, dove la difficoltà nel reperire competenze cyber è ormai strutturale. L’automazione delle attività di base e l’introduzione di processi di risposta autonomi possono contribuire a colmare il divario operativo e a rendere più sostenibile la gestione della sicurezza nei settori più esposti, come l’industria, la sanità e i servizi finanziari.

ClearSkies colloca questa transizione all’interno di una piattaforma denominata Centric AI TDIR, che integra strumenti di rilevamento e risposta basati su AI in un ambiente operativo unificato. L’obiettivo è fornire ai team SOC un supporto adattivo capace di ridurre i falsi positivi e di migliorare la prontezza di intervento, mantenendo al contempo il controllo umano strategico. La piattaforma mira a conciliare automazione e trasparenza, mantenendo criteri di governance chiari per evitare che i processi decisionali completamente automatizzati compromettano la supervisione o la tracciabilità.