Nel mondo frenetico della sicurezza informatica, dove ogni giorno si combatte una battaglia invisibile, c’è un nemico subdolo quanto le minacce stesse: il caos. Un caos fatto di allarmi incessanti, di sovrapposizione di minacce e di analisti di primo livello che, in pochi minuti, devono decidere se un segnale è un falso allarme o l’inizio di una crisi. In questo contesto, i manuali operativi (i cosiddetti runbook) vengono spesso redatti per essere lasciati a sé stessi o applicati in modo disomogeneo. Il nodo centrale che le aziende di cybersecurity contemporanee devono affrontare, dunque, non riguarda soltanto l’innovazione tecnologica in sé ma ha a che fare con la capacità di creare e mantenere ordine in un panorama oltremodo complesso.
Tra le società che si distinguono nella creazione di nuovi ecosistemi di riferimento, c’è l’italiana DEAS Cyber+, fondata nel 2018 da Stefania Ranzato. L’azienda, già eccellenza della cybersicurezza, ha presentato da poco uno strumento di nome ThreatPilot. Che non è l’ennesimo tool costruito sulla promessa di rivoluzionare genericamente i processi e sostituirsi all’ingegno umano.
ThreatPilot è, invece, uno strumento molto più concreto, orientato a “riordinare gli strumenti” della sicurezza per renderli fruibili. Si tratta di un agente che acquisisce i runbook esistenti, li analizza, li organizza e li converte in una guida operativa chiara e priva di ambiguità per chi opera in prima linea, davanti al monitor.
I temi trattati all’interno dell’articolo
L’AI che non fa la star, ma lavora sodo
Quando un allarme scatta, ThreatPilot non si limita a mostrare dati, bensì segue le procedure, passo dopo passo, chiede le verifiche necessarie, indica i controlli previsti e, soprattutto, riduce drasticamente la finestra di opportunità per la risposta e reazione agli eventi. L’innovazione sviluppata in casa DEAS accompagna l’analista nella risposta alla domanda cruciale: “Ѐ un falso positivo da archiviare o una minaccia reale da scalare ai livelli superiori?”. Non decide al posto dell’uomo, ovviamente, ma evita che l’operatore proceda per tentativi, garantendo coerenza e tracciabilità secondo il paradigma “keep man-in-the-loop”.
La vera innovazione di questo nuovo strumento non risiede nell’AI in sé, ma nel modo in cui questa viene incardinata in un metodo rigoroso. La sua forza non è l’algoritmo autonomo, ma il fatto che questo algoritmo è vincolato alle procedure. Dunque il sistema non ha margine per inventare o interpretare liberamente, piuttosto applica. In un Security Operations Center dove la variabilità decisionale può essere un tallone d’Achille, il tool garantisce che il turno di notte e quello del mattino operino secondo la stessa logica, mettendo il nuovo analista nelle condizioni di lavorare con l’efficacia di un veterano. E, soprattutto, assicurando che la memoria operativa non sia più legata alla singola persona, ma diventi parte del patrimonio di conoscenze e pratiche standardizzate di un’organizzazione.
Integrazione, non sovrapposizione: il cuore del sistema
Il team di DEAS sottolinea come ThreatPilot non sia un’isola tecnologica, ma è progettato per integrarsi progressivamente con l’ecosistema del cliente, dialogando con SIEM (Security Information and Event Management), sistemi di monitoraggio e strumenti di sicurezza infrastrutturale già in uso. Non aggiunge “rumore”, ma organizza e rende più efficiente ciò che già esiste. Il presidio operativo DEAS garantisce la continuità, ma ThreatPilot assicura la coerenza nelle decisioni, trasformando la rilevazione, l’analisi e la risposta in un circuito virtuoso e proceduralizzato. Diventa un nodo cognitivo centrale che connette flussi informativi, framework metodologici e capacità decisionali.
Il Workbook: quando l’AI risponde davvero alle domande
Oltre ai runbook procedurali, ThreatPilot include un elemento meno appariscente ma decisivo: il workbook. Si tratta di una base di conoscenza strutturata, consultabile dall’AI e dagli analisti stessi. Un’offense poco chiara? Un pattern ricorrente? Un dubbio durante il monitoraggio? L’AI risponde attingendo alla documentazione interna, contestualizzando le informazioni e rendendole immediatamente operative. Non è un motore di ricerca generico, ma un assistente che conosce a fondo l’ambiente in cui opera. Un aspetto operativo fondamentale per ridurre i tempi morti, le escalation inutili e l’insicurezza, migliorando il ritmo e l’efficacia del lavoro quotidiano.
Un moltiplicatore di capacità operativa per la Cyber Defense
ThreatPilot non sostituisce l’intelligenza umana: la incanala, la struttura e la rende coerente e replicabile. Proceduralizza l’azione, consolida la memoria organizzativa e mantiene il processo stabile anche quando cambiano le persone. Nel panorama in cui il dominio cyber è parte integrante della sicurezza nazionale e aziendale, servono strumenti che uniscano metodo, controllo e innovazione. Soluzioni come ThreatPilot rappresentano questo: passi concreti per portare ordine nel caos della cyber defense, dove l’organizzazione delle capacità di orchestrazione e risposta agli eventi fa davvero la differenza.
