Secondo il Rapporto Clusit del primo semestre 2025, gli incidenti segnano un aumento significativo (+36% a livello globale, in Italia +13% pur non rappresentando un decimo del Pil globale). Stiamo toccando quota 3mila incidenti, dopo aver superato la soglia dei duemila proprio nella prima metà dell’anno scorso.
In questo scenario, occorre dotarsi di un piano di risposta a un incidente di sicurezza per assicurare la cyber resilienza della propria organizzazione.
Le esercitazioni tabletop permettono di simulare la risposta di un’organizzazione a diversi scenari di minaccia rilevanti, preparando diverse funzioni aziendali alla gestione di crisi cyber.
Per rendere più efficiente lo svolgimento delle esercitazioni tabletop, rafforzando l’awareness delle risorse e la resilienza operativa in risposta a scenari di minaccia rilevanti, ma senza impattare negativamente sull’operatività aziendale, i cyber digital twin rivoluzionano la sicurezza informatica.
“Il cyber digital twin, come il vero digital twin, è la replica digitale sempre aggiornata delle infrastrutture IoT/OT, sistemi, identità, applicazioni, dipendenze, superfici d’attacco e processi di sicurezza”, commenta Riccardo Michetti, Cyber Defence Center Manager per Maticmind.
Ecco il ruolo dei cyber digital twin nella sicurezza informatica e come funzionano nei dettagli, quali vantaggi offrono e quali criticità presentano.
Indice degli argomenti
I cyber digital twin: le simulazioni per difendersi
I digital twin o gemelli digitali sono una copia virtuale di un prodotto o di un processo usato per mettere in prova versioni o funzionalità diverse senza avere effetti sull’originale.
Nell’ambito della sicurezza informatica, il cyber digital twin è una rappresentazione virtuale di un oggetto fisico, un processo o un sistema che, catturando in tempo reale le peculiarità, i comportamenti e la capacità di interagire del gemello fisico, permettono di monitorare continuamente, analizzare e simulare.
“Lo scopo è quello di ricreare un gemello digitale lontano dall’ambiente di produzione, evitando eventuali disservizi a seguito di test”, spiega Riccardo Michetti: “È così possibile simulare in maniera costante scenari, cambiamenti e via dicendo. Vengono raccolti in modo continuo dati, per esempio da configurazioni, asset inventory, da identity cloud, log, vulnerabilità, tutto ciò che può inviare quindi una telemetria, normalizzandoli e ricreando effettivamente una riproduzione dinamica di quella che è l’infrastruttura. Questa riproduzione permette quindi di eseguire, per esempio, scenari di attacco. Il vantaggio principale consiste nel lavorare in un ambiente isolato, senza toccare l’ambiente di produzione, quindi evitando eventuali criticità che possono avvenire nei test reali, come per esempio, un penetration test su un server in produzione”.
Dunque, una simulazione di attacco informatico a un cyber digital twin che controlla un impianto di produzione smart evita di provocare danni fisici, o di interrompere la produzione o causare pericoli per l’incolumità fisica dei lavoratori nell’impianto.
“Il vantaggio – continua il Cyber Defence Center Manager per Maticmind – è quello di poter cambiare l’approccio da una sicurezza statica e reattiva a una sicurezza evidence-based e predittiva, perché consente di testare posture, verificare posizioni e misurare l’effettivo cyber risk di un’azienda, allertando i team prima che un potenziale incidente avvenga realmente. E questo si può applicare anche in uno scenario tabletop”.
Le esercitazioni tabletop, che un tempo erano confinate all’ambito militare, oggi trovano una crescente applicazione di questo tipo di simulazioni anche nel mondo business.
Le tabletop possono coprire vari scenari. Il filo rosso delle tabletop rispetto agli ambiti di applicazione, cyber e no, consiste nel rafforzare la readiness dei partecipanti coinvolti nella gestione delle crisi.
Lo sviluppo delle tabletop avviene, di solito, in una simulazione in cui gli stakeholder si riuniscono in un ambiente controllato per garantire una risposta collaborativa a un possibile scenario di incidente cyber, ideato per emulare come influisce sull’organizzazione.
Secondo Riccardo Michetti, “si possono fare simulazioni su scenari reali e contestualizzate all’azienda, quindi ci si sposta da uno scenario teorico a uno scenario reale dell’azienda”.
Colmando il divario tra il mondo fisico e quello virtuale, i cyber digital twin si dedicano ad analizzare ingenti quantità di dati, garantendone l’integrità e l’affidabilità.
“L’unica criticità è quella della qualità del dato. Quindi quanto più il dato è completo, tanto più sarà reale sia il cyber digital twin sia lo scenario che si che si va a simulare. Per esempio, come in casi reali di simulazione di attacco ransomware, che parte da una credenziale compromessa su ambienti cloud, una simulazione può avvenire osservando in anticipo tramite le configurazioni cloud, dal modo in cui è configurato l’ambiente, dai permessi che ha una determinata utenza, come un attaccante potrebbe effettuare movimenti laterali e eventualmente fare il deploy di un ransomware”, avverte ancora Riccardo Michetti.
La sicurezza informatica da reattiva a predittiva
L’approccio di Offensive security trasforma la sicurezza informatica da reattiva a predittiva. Tuttavia, serve un cambio di paradigma, calcolando l’indice di rischio cyber e migliorando in modo continuo la postura di difesa grazie a servizi gestiti e strategie proattive, portando la proattività anche alle Pmi. Ecco il ruolo della simulazione continua come nuova arma contro le minacce cyber.
“La simulazione continua permette appunto di passare da una difesa reattiva a una difesa proattiva e predittiva. Quindi, quando si svolgono continuamente test, dove, a differenza di un penetration test, in cui alla fine del test è redatto un report con le evidenze, in questi scenari abbiamo proprio la possibilità di provare attacchi in maniera continuativa. Dunque, si raccolgono i dati, si svolgono le simulazioni, si identificano le eventuali lacune con le relative remediation puntuali, a quel punto, una volta risolte le vulnerabilità, si effettua una nuova verifica”.
“Questo ciclo”, aggiunge ancora Michetti, “consente di tagliare i tempi e soprattutto anche l’effort richiesto per eventuali remediation. Ciò lo rende applicabile nei contesti Pmi dove non sempre c’è la possibilità di fruire di personale che può costantemente seguire dei penetration test e dei vulnerability assessment che magari evidenziano delle liste importanti di vulnerabilità. In questi casi, è possibile prioritizzare le attività di test e remediation, in maniera continuativa, in modo tale da poter interrompere eventuali attacchi”.
“Per esempio, è possibile testare anche l’effettivo sfruttamento di una potenziale CVE appena appena emersa, oppure effettuare test di social engineering per verificare se le policy applicate a livello di identity, quindi multi-factor authentication per esempio, siano effettivamente efficaci e non bypassabili”, mette in guardia Michetti.
In questo scenario, l’Offensive Security non è solo una pratica tecnica, ma una mentalità aziendale, in cui si sposta il focus dal ti8more dell’attacco alla comprensione delle vulnerabilità. Simulare per proteggere, riconoscendo che la sicurezza non è mai definitiva, ma si può sempre migliorare con la conoscenza e la formazione continua.
Automazione intelligente e agenti digitali
La cyber resilience non dipende solo dagli strumenti di difesa, ma dalla capacità organizzativa di reagire a volumi crescenti di allarmi.
L’automazione intelligente e gli agenti digitali ridisegnano però il modo in cui le imprese riescono a gestire la sicurezza, sfruttando il ruolo dei cyber digital twin e della simulazione continua.
“Come responsabile di un SOC”, evidenzia Riccardo Michetti, “ad oggi il numero di allarmi è in costante crescita, gli attaccanti si evolvono, sfruttano l’intelligenza artificiale per velocizzare gli attacchi e automatizzare gli attacchi allo stesso tempo, quindi, un Security Operation Center deve fare affidamento su automazioni e sull’utilizzo a sua volta di intelligenza artificiale. Ciò consente di analizzare una grande mole di dati e correlare questi dati in modo tale da fornire una first opinion agli analisti, cosa che non sostituisce il loro lavoro ma taglia di netto il tempo necessario per fare un’analisi”.
“Quindi, questo è il vantaggio principale, questi ambienti ed agenti digitali permettono di verificare in anticipo se, per esempio, dei playbook e delle automazioni funzionano davvero, passando da un SOAR (Security Orchestration, Automation and Response) statico ad agenti autonomi che creano playbook e li testano effettivamente sull’infrastruttura reale digitale”, sottolinea Riccardo Michetti.
Prospettive future
Superare l’alert fatigue, dove gli allarmi finiscono per essere ignorati o classificati come “rumore di fondo”, permette di abbracciare la vera cyber resilience. Significa abbandonare la percezione della sicurezza come compartimento separato, un insieme di procedure che invece di convivere dentro il business, si limitano ad affiancarlo, per adottare un approccio olistico alla cyber security.
“In conclusione, come si evolvono gli attaccanti, dobbiamo evolverci anche noi”, mette in evidenza Riccardo Michetti: “L’approccio di utilizzare un cyber digital twin è molto importante, perché oltre alla possibilità di applicarlo a tutti i contesti, dalle Pmi alle grandi corporate, offre numerosi benefit: il taglio dei tempi, ma soprattutto la possibilità di effettuare test in maniera continuativa”.
Quando la tecnologia lavora in background, grazie all’automazione, e i team possono focalizzarsi sulla strategia, la sicurezza si trasforma da costo o obbligo normativo ad attributo naturale dell’organizzazione, rendendo la sicurezza misurabile nella rapidità di risposta, nella continuità dei servizi e nella capacità di apprendere dagli errori.
“Altro aspetto molto importante è la possibilità di prioritizzare sia vulnerabilità sia misconfiguration. La prioritizzazione in un periodo storico dove la mole di dati è in costante crescita diventa fondamentale”, conclude Riccardo Michetti.
