Vectra AI sposta il focus della cybersecurity dai soli utenti e workload agli agenti AI, che nella nuova piattaforma vengono trattati come identità di prima classe, con funzionalità dedicate di discovery, hunting e indagine assistita, con lo scopo di ridurre la defender latency in ambienti che operano a velocità macchina. In questo modo, il vendor si discosta dalla consueta retorica su visibilità completa e piattaforma unificata, introducendo un salto di qualità concreto nella dinamica della difesa cyber.

Nel 2022, Attack Signal Intelligence  di Vectra aveva impostato la strategia difensiva sull’automatizzazione di correlazione, priorità e mappatura MITRE ATT&CK per sgravare gli analisti dal lavoro manuale e sottoporre loro la catena di attacco già contestualizzata. In quel modello, l’AI serviva soprattutto a eliminare il rumore di fondo e a ricostruire il comportamento dell’attaccante su rete, cloud, SaaS e identità umane.

La piattaforma annunciata ieri spinge questa logica un passo oltre: il soggetto del segnale può essere, oltre all’utente o al device, anche l’AI agent stesso, che viene scoperto, tracciato e monitorato come un’identità autonoma che può essere usata sia dai difensori sia dagli attaccanti per muoversi più in fretta. Per comprendere questo cambio di prospettiva bisogna tenere in considerazione la crescita esplosiva delle identità macchina: account di servizio, workload, API token, certificati, chiavi applicative e ora agent AI che dialogano in autonomia con sistemi e dati critici. Come hanno evidenziato anche altri player dell’identity security, la gestione di queste identità non umane è diventata una sfida strutturale, perché spesso hanno privilegi elevati, cicli di vita opachi e catene di delega difficili da tracciare, con il risultato che finiscono per rappresentare una superficie di attacco molto più ampia di quella visibile attraverso le sole credenziali utente.

Hitesh Sheth, Presidente e CEO di Vectra AI

Vectra ha preso atto di questa criticità, tanto che il CEO e Presidente Hitesh Sheth nell’annunciare la nuova piattaforma ha insistito sul fatto che in molte AI enterprise gli agent non umani hanno superato numericamente le persone, e che gli attacchi sfruttano proprio questi percorsi automatizzati. Proprio per questo motivo, il cuore dell’annuncio è il riconoscimento degli AI agent come identità aziendali di prima classe, con skill dedicate per scoprirli, tracciarli nel tempo e capire quando vengono usati o abusati. La nuova piattaforma individua automaticamente gli AI agent che operano in rete, rileva quando vengono sfruttati per attività di reconnaissance, movimento laterale o accesso ai dati e mette a disposizione hunt predefinite (cioè procedure di threat hunting basate sul comportamento e già pronte all’uso) basate sul comportamento e progettate per restituire risultati in pochi secondi.

La novità si inserisce nella continuità evolutiva della Vectra AI Platform di cui abbiamo già scritto in passato: dall’Attack Signal usato per tracciare la catena di attacco e alleggerire il lavoro degli analisti, fino al passo attuale in cui gli AI agent entrano nello stesso perimetro logico di utenti, service account e workload, con una semantica di rischio specifica. Concettualmente, si può leggere questa evoluzione come la risposta di Vectra alla traiettoria del SOC agentico che altri vendor stanno spingendo.

Sul piano architetturale, Vectra formalizza un punto già emerso in occasione dell’acquisizione di Netography: la rete non è più solo un dominio da monitorare, ma il tessuto connettivo che unisce data center, multi‑cloud, identità, SaaS, IoT/OT, edge e infrastrutture AI in un’unica superficie di attacco. È qui che il concetto di unified observability esce dalla dimensione del banale claim e assume una declinazione concreta: da un lato la capacità di lavorare su larga scala con i flussi ereditata da Netography, dall’altro il contesto di dettaglio tipico dell’NDR tradizionale basato sui pacchetti. La combinazione di questi due livelli consente di avere, sulla stessa AI enterprise, sia l’ampiezza di copertura necessaria per non lasciare zone d’ombra, sia la profondità di analisi indispensabile per leggere nel dettaglio il comportamento degli attacchi.

Questo approccio ibrido resta fedele alla strategia che Vectra porta avanti da tempo: chiudere i buchi di visibilità negli ambienti distribuiti e nelle reti cloud‑native, dove il traffico è altamente dinamico e spesso non passa per perimetri controllabili con le appliance tradizionali. Vectra sottolinea che è proprio in questo tipo di traffico che gli attacchi alimentati dall’AI trovano terreno fertile, perché possono muoversi rapidamente senza essere intercettati da molte soluzioni incentrate solo sugli endpoint.

Se da una parte l’architettura definisce dove e come si vede il traffico, con l’annuncio delle novità il CEO chiarisce anche che come usare questa visibilità, sottolineando la distinzione fra preemptive security e proactive defense. La prima è identificata come la capacità di usare l’osservabilità unificata della piattaforma Vectra per individuare in anticipo il punto in cui identità, relazioni di trust e percorsi di automazione creano esposizione. La proactive defense è la parte che entra in gioco quando l’attacco è in movimento, con l’obiettivo di bloccarlo nel momento in cui parte, prima che il movimento laterale raggiunga sistemi e dati critici. È in questo frangente che Vectra inserisce il tassello del Vectra AI Assistant, l’altra novità oggetto di annuncio. Analogamente a quanto visto con altri vendor, si tratta semplicemente di un’interfaccia in linguaggio naturale che permette agli analisti di porre domande sul comportamento degli AI agent e sullo stato dell’attacco senza dover costruire query complesse o script su più tool.