L'evoluzione attuale delle piattaforme in stile SIEM è abbastanza chiara. Perlomeno, è abbastanza chiara l'idea che ne hanno i loro sviluppatori: raccogliere in data lake - o strutture analoghe - la quantità maggiore possibile di dati collegati agli eventi di cybersecurity e applicarvi funzioni sempre più evolute di analytics.

Oggi data analytics è praticamente sinonimo di machine learning e per estensione di Intelligenza Artificiale, quindi è logico che un po' tutti i vendor tecnologici della cybersecurity stiano implementando modelli analtici di AI nelle proprie piattaforme. Meglio funzionano questi modelli, più velocemente le aziende e i SOC rilevano comportamenti anomali che possono essere indizi, ad esempio, di attacchi in corso.

In questo c'è un problema però, o quantomeno un limite. Che non interessa solo la cybersecurtity ma tutto il mondo del machine learning. Non sempre, ma in alcuni casi i modelli di machine learning "standard" che i vendor integrano nelle loro piattaforme possono risultare limitati. Non è un problema che interessa la tipica azienda, a cui l'AI standard va probabilmente più che bene. Ma alcune realà, in particolare i SOC più evoluti o verticali, possono puntare a modelli più mirati e personalizzati.Fonte: Palo Alto Networks

Palo Alto Networks ha aperto le porte a questa possibilità con Cortex XSIAM 2.0, che include un nuovo framework definito di "bring your own machine learning" (BYOML). In sostanza, la nuova versione di Cortex XSIAM "apre" il suo data lake all'esterno, consentendo ai team di security di applicarvi i propri modelli di analisi. Una funzione utile, spiega Palo Alto, in casi d’uso particolari come il rilevamento delle frodi, la ricerca, la visualizzazione sofisticata dei dati di cybersecurity.

Da segnalare in Cortex XSIAM 2.0 - che, Palo Alto tiene a sottolineare, "fa convergere le funzionalità SOC, tra cui XDR, SOAR, SIEM e altro, in un’unica piattaforma", con ovvi vantaggi - non c'è solo questo. Ci sono anche un nuovo XSIAM Command Center, per il monitoraggio delle operazioni di sicurezza, e il nuovo MITRE ATT&CK Coverage Dashboard, con cui valutare la propria security posture con principali tattiche e tecniche dei threat actor.