Il SOC di Yarix, attivo dal 2015, è uno dei presidi italiani specializzati nel monitoraggio 24 ore su 24 delle infrastrutture digitali: una funzione che negli ultimi anni è passata da scelta avanzata a vera necessità per la maggior parte delle aziende esposte alle minacce cyber. Infatti, l’evoluzione degli attacchi cyber ha reso evidente che la semplice gestione in orario d’ufficio non è più sufficiente: spesso i cybercriminali sfruttano la mancanza di copertura nelle fasce serali, nei festivi e nei weekend. Il quadro è particolarmente critico per le PMI, spesso penalizzate dalla carenza di risorse interne dedicate alla security e dalla difficoltà a garantire una sorveglianza H24. È in questa cornice che la security in outsourcing assume una centralità strategica, con i SOC – come quello di Yarix – chiamati a colmare una lacuna strutturale e a offrire copertura, sorveglianza e intervento continuo anche per le realtà meno strutturate.

A partire da queste premesse, la fotografia operativa che ci ha scattato Marco Iavernaro, Global SOC Manager di Yarix, offre uno spaccato concreto di ciò che significa garantire un servizio di sicurezza gestita nell’attuale scenario, sul territorio italiano, ed è utile per chi sta valutando la sottoscrizione di un servizio di questo tipo. La struttura organizzativa del SOC Yarix, geograficamente collocato a Treviso, si articola su tre livelli operativi ben distinti. Il primo livello, spiega Iavernaro, “si occupa della fase di threat monitoring e threat triage: gli analisti raccolgono e monitorano gli allarmi che vengono generati dalle piattaforme in uso per il monitoraggio dei clienti. Sulla base di questi allarmi gli analisti fanno una prima valutazione per stabilire se un evento è un falso positivo oppure è effettivamente meritevole di un approfondimento”. Nel secondo caso la severità degli eventi è scandita su più livelli: “abbiamo sempre usato tre livelli - basso, medio, alto - adesso si sta aggiungendo anche quello critico che corrisponde alla soglia in cui la richiesta di una risposta è ancora più immediata”.

Marco Iavernaro, Global SOC Manager di Yarix

Sicurezza su tre livelli

Iavernaro puntualizza che non è solo una questione di alert: “il primo livello può essere anche autonomo nella gestione di un evento, nel caso in cui questo evento sia noto, conosciuto, proceduralizzato”. Tuttavia, le soluzioni automatizzate non possono sostituirsi alla conoscenza strutturale specifica dei clienti, perché “talvolta ci serve anche avere un feedback che confermi, per esempio, se questa attività è riconosciuta, oppure se non lo è, quindi non si sa che cosa stia succedendo ed è meglio approfondire”.

Nel concreto, il lavoro del SOC si divide tra contenimento e risposta. Più che la risoluzione definitiva, il risultato richiesto consiste nella riduzione dell’esposizione al rischio: “Quello che fa il SOC è il contenimento – sottolinea Iavernaro - quindi cerchiamo di ridurre il più possibile l’esposizione al rischio che il cliente sta correndo in un dato momento o di evitare che la minaccia si propaghi e diventi più critica”.

Il secondo livello subentra se la criticità supera la gestione standardizzata: “si verifica quando c’è la necessità di fare una o più attività su un evento che nel primo livello viene valutato come critico ed è richiesto l’ingaggio di un secondo livello per approfondire ulteriormente, coinvolgendo anche il cliente e portando avanti un lavoro a quattro mani” descrive Iavernaro. In questo caso il valore aggiunto risiede nell’esperienza umana, perché si sta verificando qualcosa che esce dagli schemi: “un SOC cerca di prevedere il più possibile quello che può accadere, ma può sempre succedere qualcosa che esce dagli schemi e che richiede un’analisi di qualcuno con un livello di conoscenza e di esperienza più elevato”.

Il terzo livello entra in gioco solo in caso di incidente conclamato, quando c’è “la certezza di una compromissione di un livello più o meno approfondito”. In queste fasi, la reazione diventa organica: il team di Incident Response agisce “per evitare che la minaccia diventi più critica per il cliente che stiamo monitorando” sottolinea Iavernaro. Di norma il lavoro è svolto da remoto, ma, “qualora ci sia una situazione estremamente critica ed eventualmente un livello di complessità che richiede la presenza di una persona fisica presso l’infrastruttura del cliente, per gestire l’incidente a 360 gradi, sia dal punto di vista tecnico che anche dal punto di vista comunicativo e di gestione della crisi, ci si reca sul posto”.

Servizio ai clienti e tutela degli analisti

Le milestone organizzative sono il cuore dell’efficacia moderna: “uno dei progetti su cui stiamo lavorando è l’implementazione di un modello follow-the-sun” spiega Iavernaro. Il classico modello H24 in presenza, con analisti attivi H24/365 presso la sede centrale, sta subendo un ripensamento profondo per evitare turni notturni e favorire la qualità della vita lavorativa degli analisti. Per ottenere questo risultato, Yarix sta implementando “un modello con un SOC in Messico a Guadalajara e uno in Thailandia a Bangkok, costituitosi a giugno 2025 come Yarix APAC”, attivi negli orari lavorativi delle rispettive timezone, in modo da coprire quello che sarebbe il turno di notte nell’area europea.

Così facendo si garantisce la qualità della vita e del lavoro degli analisti che lavorano all’interno del SOC, si mantiene il supporto H24 ai clienti e si gestisce il problema dello skill shortage che stiamo vedendo, perché sta diventando sempre più complicato trovare risorse qualificate per lavorare al primo livello di un SOC”. A questo proposito Iavernaro spiega che è sempre più difficile trovare risorse con competenze abbastanza elevate. Chi le ha, beneficia di un’ampia scelta di opzioni d’impiego, fra cui realtà che non si occupano specificatamente di cyber security e che non svolgo attività di SOC: “una persona che deve scegliere se lavorare in orario d’ufficio oppure la notte, le festività e i fine settimana, di solito sceglie la prima opzione”.

Nel modello follow-the-sun non viene sottovalutato l’aspetto linguistico e culturale dei clienti: “la lingua con la quale comunichiamo sempre più spesso all’interno dell’azienda sta diventando l’inglese, considerate anche le acquisizioni che abbiamo fatto in Spagna e in Germania due anni fa” specifica Iavernaro. Tuttavia, “stiamo implementando il modello follow-the-sun solo sul primo livello; qualora si dovesse verificare una situazione per cui è richiesto l’ingaggio diretto con il cliente, viene gestito da un analista in Italia” che avrà accordato la reperibilità.

Il ruolo del SOC

Dal punto di vista di Iavernaro, la missione del SOC non è fornire un “outsourcing totale”, bensì è quello di abilitare le aziende clienti a predisporsi e rispondere meglio agli attacchi cyber: “il SOC non è un’esternalizzazione completa del problema della cyber security delle aziende. Per quanto bravo, un SOC non potrà mai entrare nei processi aziendali, conoscere le persone, il loro ruolo, i loro incarichi, le loro abitudini. Per questo il SOC è un abilitatore alla cyber security in azienda: bisogna averlo, ma non basta questo per essere esenti da problemi di security”. La realtà è che il SOC aumenta anche il carico decisionale: come precisa Iavernaro, “il SOC segnala anomalie e problemi che prima il cliente ignorava e sui quali poi bisogna intervenire” perché “prima so che c’è un problema, più probabilità ho di limitare le possibilità degli attaccanti”.

Detto questo, il tipo di servizio offerto si adatta sia alle aziende mature che a quelle piccole e medie: “ci sono realtà molto strutturate che necessitano di esternalizzare determinate attività, ma intendono mantenere il controllo diretto su tutta una serie di processi interni riservati. E ci sono aziende medie o piccole su cui è richiesto di intervenire attivamente anche in modo invasivo pur di contenere un possibile attacco”, che è un’evenienza che si verificherà, perché “con tempo, risorse e determinazione un attaccante trova sempre un modo per attuare un attacco, è banalmente una questione di tempo” ricorda Iavernario.

E l’attaccante ha un vantaggio: gli basta trovare un solo punto d’ingresso per procedere con l’attacco, al contrario del difensore, che deve chiudere tutti i possibili punti di ingresso. In questo scenario difendere è sempre più difficile perché uno degli elementi distintivi degli attacchi moderni è l’uso di strumenti aziendali legittimi. È qui che entra in gioco l’adozione di sistemi di AI e machine learning. Iavernaro spiega che nel SOC Yarix “sviluppiamo internamente algoritmi di machine learning e di behavioral analysis che permettano di rilevare anomalie rispetto ai comportamenti standard che utenti e dispositivi hanno all’interno di una rete”. Iavernaro aggiunge che “il metodo più frequente, se non nella quasi totalità dei casi, che viene utilizzato dagli attaccanti per fare il primo accesso alle infrastrutture è tramite credenziali compromesse. Se l’analista riesce a rilevare che un accesso è anomalo, può bloccare il percorso dell’attaccante già nella fase di accesso iniziale”.

Sfruttando le tecniche più recenti di machine learning si riesce a identificare l’intrusione in fase iniziale “perché magari proviene da un indirizzo IP di anonimizzazione, come per esempio NordVPN o ExpressVPN che sono i più utilizzati dagli attaccanti per nascondere il proprio IP. O perché il comportamento dell’utente stesso è anomalo rispetto alle sue abitudini”, come per esempio nel caso in cui “un utente fa un login adesso dall’Italia e fra due minuti dagli Stati Uniti. Oppure se un utente che ha sempre fatto login solo dall’Italia di punto in bianco si connette dagli Stati Uniti: è un caso da indagare”.

Il modello di machine learning impiegato da Yarix fa parte del progetto Egyda: “è il nostro progetto di automation, machine learning e intelligenza artificiale al servizio del SOC, che ha l’obiettivo di ridurre il volume di allarmi pur garantendo una capacità di detection vicina al 100%” spiega Iavernaro. Egyda si focalizza specificamente su tre ambiti decisionali: “il lavoro dell’analista di primo livello rimane fondamentale, ma viene potenziato con tutte le informazioni che gli permettono di prendere una decisione informata”.

È una scelta che nasce dal bisogno concreto di mettere l’analista nelle condizioni di rispondere rapidamente, tralasciando il lavoro ripetitivo e noioso a favore di “prendere decisioni su più casi rispetto a quelli che potrebbe gestire se dovesse occuparsi anche del resto”. Il team di sviluppo interno di Yarix (che conta al momento 10 persone) sta anche iniziando a lavorare sugli agenti LLM e su altri strumenti completamente in house, “per non dover ricorrere alle API di servizi esterni, così da accertarsi che l’AI utilizzata per la security sia anche protetta e sicura”.

Le minacce moderne

La guerra in Ucraina e la crisi in Medio Oriente hanno mutato drasticamente il panorama delle minacce cybedr: “il tema di DoS è aumentato in modo esponenziale ma con le giuste contromisure e la giusta prevenzione si può gestire in modo abbastanza semplice” rassicura Iavernaro. I problemi sono altri, in primis l’impiego dell’AI da parte degli attaccanti, che agevola per esempio gli attacchi di phishing difficili da distinguere anche per un esperto. La barriera all’ingresso si è abbassata anche grazie ai phishing kit e ai servizi di phishing as a service. Molto diffusi sono poi gli attacchi BEC, che si confermano continuamente semplici e redditizi. Chiaramente è necessario un cambio culturale: Iavernaro sottolinea che “la sicurezza dev’essere vista come un investimento per evitare fermi di produzione piuttosto che fermi aziendali”.