Paolo Melchiori di SonicWall spiega perché NIS2 impone un approccio di processo e non di prodotto in cui l'AI aiuta davvero, e consiglia come gestire le patch in assenza di un team dedicato.
Autore: Redazione SecurityOpenLab
La sicurezza di rete non si ottiene comprando la soluzione migliore in una categoria e trascurando le altre. E l'AI, che migliora la capacità di rilevamento delle minacce, rende anche gli attaccanti più veloci ed efficaci. Un approccio corretto richiede il lavoro simultaneo di processo, gestione centralizzata e partner, che sappiano affiancare le aziende senza lasciare buchi nella copertura. È la visione per una network security efficiente che Paolo Melchiori, Senior Solution Engineer di SonicWall, ha presentato durante l’intervista con SecurityOpenLab.
Melchiori lavora quotidianamente con partner, MSP e MSSP, che gli permettono di avere una visione trasversale su infrastrutture di settori e dimensioni diverse. L'intervista ha toccato tre temi che stanno ridisegnando le priorità delle organizzazioni: il ruolo dei servizi gestiti nell'era NIS2, l'uso concreto dell'AI in ambito network security e la gestione del ciclo di patch per chi non dispone di un team di sicurezza interno.
Partiamo proprio dalla NIS2, che è al centro degli investimenti in security nel Belpaese. Il primo elemento che emerge con chiarezza è lo shift culturale che NIS2 impone ma che molte organizzazioni faticano ancora ad assimilare. La direttiva, spiega Melchiori, “focalizza l'elemento non tanto sul singolo prodotto o sulla singola feature che dev’essere abilitata, ma sulla comprensione d’insieme di un elemento omnicomprensivo”, ossia sul fatto che la conformità non si ottiene comprando una soluzione, ma costruendo un processo.
Questo ha conseguenze dirette sul modo in cui un MSP o un MSSP deve strutturarsi per essere un partner efficace. Il presupposto tecnico della conformità è che "la raccolta di informazioni che devono essere tracciate dalla parte dei firewall, degli endpoint, delle mail dev’essere raggruppata e correlata", chiarisce Melchiori. Il secondo requisito è concentrare tutto in un unico portale con funzionalità standard, per non impazzire nella gestione di un numero elevato di interfacce separate. Farlo è "un elemento non solo importante, ma vitale per riuscire a governare le policy".
All’atto pratico, Melchiori individua tre criticità ricorrenti. La prima è la supply chain: “per le aziende che hanno tanti fornitori, oppure che si propongono come fornitori per altre realtà, certificare il livello di sicurezza è un tema che per tanti anni è stato trascurato”, ma NIS2 impedisce di continuare a farlo. La seconda criticità è la gestione dei log: “in tante occasioni abbiamo visto gli strumenti legati alla parte di log o all'analisi, non presenti o non efficaci nell’identificazione delle attività dannose o nel tracciare quando un'attività era stata perpetrata”, oggi questo non è più ammissibile. La terza, forse la più difficile da risolvere per motivi culturali, è l'approccio frammentato, che Melchiori esemplifica per efficacia comunicativa: “se faccio un ottimo lavoro sui firewall, sulla gestione, sulle policy, sul reporting, ma mi dimentico completamente gli endpoint; oppure se faccio attività sugli endpoint ma poi mi dimentico della parte di mail o del network access, questo mi si rivolta contro”.
La risposta di SonicWall a questi temi è un’offerta strutturata attorno al Network Security Manager , la piattaforma proprietaria di gestione centralizzata che permette di amministrare policy, configurazioni, aggiornamenti firmware e reportistica da un'unica console. A questo si affiancano SonicWall Analytics per la correlazione e la visibilità del traffico di rete, e Cloud Secure Edge (CSE) per l'accesso Zero Trust, utile sia per i lavoratori remoti sia per la gestione dei fornitori con accesso alle risorse aziendali. La piattaforma è aperta: “abbiamo la possibilità di interfacciarci con sistemi esterni, mandare i dati in syslog o altre tipologie di protocolli all'esterno, oppure offrire API in modo che possano essere gestibili sia a livello di device che tramite integrazioni con sistemi terzi”, precisa Melchiori.
AI nella network security
In merito all'intelligenza artificiale, Melchiori ironizza ricordando che ormai “è difficile andare in qualsiasi stand, in un qualsiasi evento, e non sentirsi dire che la soluzione è AI-based, che ormai è una indicazione in cui rientra di tutto”. Questo per dire che è importante saper distinguere con precisione tra ciò che è reale e ciò che è etichetta.
Che cos’è reale? Per esempio, il brevetto RTDMI (Real-Time Deep Memory Inspection), sviluppato da SonicWall nel 2018, che fin da tempi non sospetti “serve per vedere come i processi interagiscono uno con l'altro all'interno della CPU e come lavorano con i dati in memoria, di modo da poter identificare alcuni pattern che in automatico vengono riconosciuti dal sistema come malevoli”. Si tratta di machine learning ante litteram, perché parliamo di un riconoscimento di pattern basato su comportamenti che SonicWall aveva già integrato nei propri tool di identificazione delle minacce anni prima che il termine, e che oggi continua ad essere integrato nei nuovi sistemi” sottolinea Melchiori.
Questo è un esempio virtuoso. Però non bisogna dare per scontato che l’AI sia utile e funzionale ovunque. Per esempio, sottolinea Melchiori, l'AI non funziona bene nell'analisi inline dei pacchetti direttamente sul dispositivo, perché “se dovessi inserire il classico sistema LLM all'interno di un firewall per identificare le minacce in passaggio, dovrei considerare un aumento di risorse importante, perché tutti i pacchetti a quel punto dovrebbero essere analizzati in quel modo”, chiarisce Melchiori. I modelli LLM richiedono una quantità di token e di capacità computazionale incompatibile con i requisiti di latenza di un apparato di rete, quindi in casi come questo “l'identificazione delle minacce non viene fatta direttamente sul device, ma con sistemi molto più grandi, con capacità di token molto più alta, quindi con sistemi cloud-based”. Il risultato distillato viene poi inserito negli apparati perché svolgano il loro lavoro “nel minor tempo possibile e con il miglior risultato possibile”.
Certamente l’IA oggi pervade diversi ambiti dell’evoluzione tecnologia che tocchiamo con mano e non solamente i grandi modelli LLM che tanto stupiscono e compliscono per capacità di creazione e gestione dei contenuti. Contemporaneamente stiamo assistendo ad un’integrazione importante delle diverse IA in altri campi dalla scrittura del codice alla correlazione dei dati sino alla semplificazione e velocizzazione delle operazioni di gestione. È proprio in questi ambiti che SonicWall sta investendo di più con un utilizzo delle AI in campi come l’interazione con l’operatore, l’identificazione delle minacce e la capacità di correlare i dati come dimostrato anche dell’ultimo report Sette errori fatali nella cybersecurity delle PMI nel 2026.
Patch management senza team dedicato
Il terzo tema dell’intervista tocca da vicino le PMI, e in particolare riguarda come gestire il ciclo di patching quando non si ha un team di security interno. Melchiori parte da un dato di realtà: “se ho da gestire mille elementi, riesco ad attuare una gestione di scala con una persona che crei degli script capaci di gestire tutto in autonomia. Se il numero di device è inferiore e l'eterogeneità dei servizi è tale per cui non è possibile attuare economie di scala, tutto diventa molto più complicato”.
In questi casi, la risposta è usare strumenti che riducano il tempo operativo. NSM offre “la capacità di patching unificata in maniera molto veloce, la capacità di creazione delle regole a pioggia per tutti gli apparati, la capacità di gestione dei template di configurazione unificata per utenze e servizi”. Il risultato è che le aziende possono “ridurre il tempo impegnato e le risorse da applicare per questo tipo di attività, e delegare le azioni successive al personale”.
Il problema però riguarda anche la qualità della configurazione nel tempo. “Abbiamo visto, anche dai dati del rapporto Clusit, tanti apparati che vengono configurati e poi restano attivi nella configurazione iniziale, senza una verifica continuativa delle policy o delle best practice applicate” e questo crea un problema di sicurezza. Per questo SonicWall ha strutturato il servizio MPSS (Managed Platform Security Service), che consiste in un NOC affiancato al partner nella gestione dei firewall del cliente, con verifica periodica delle configurazioni, creazione di report e gestione sia delle attività standard sia di quelle su richiesta. A questo si aggiunge Cysurance, la copertura assicurativa cyber integrata nella configurazione degli apparati senza costi aggiuntivi, che offre fino a 100.000-200.000 dollari di copertura in caso di incidente. Per le organizzazioni che hanno bisogno di una risposta operativa 24 ore su 24, i servizi MSS (Managed Security Services) completano il quadro con monitoraggio continuo, threat hunting e risposta agli incidenti.
L'ultimo elemento che Melchiori segnala, e su cui SonicWall sta investendo in modo significativo, è il mondo SASE e Zero Trust Network Access. “Con la nostra base installata di firewall possiamo accedere a un sistema di identificazione dell'utente e del device che debba accedere alle risorse già protette dai nostri sistemi”, spiega. CSE si fonde con la parte firewall per coprire sia il lavoro da remoto sia la protezione del device, in un'architettura che, sottolinea, “fa parte un'integrazione forte che stiamo spingendo per diventare un player importante da questo punto di vista”.