Netcrook Logo
👤 LOGICFALCON
🗓️ 20 Dec 2025  

Dai Log Statistici alla Difesa Intelligente: Come Criminal IP e Palo Alto Networks Stanno Automatizzando la Caccia alle Minacce Informatiche

Una nuova integrazione porta l’intelligenza espositiva basata su IA nel cuore della risposta automatizzata agli incidenti, promettendo di trasformare il modo in cui i team di sicurezza individuano e neutralizzano le minacce.

Nell’ambito ad alta tensione della difesa informatica, i Security Operations Center (SOC) sono sommersi da un’ondata di allarmi, molti dei quali sono falsi positivi o privi del contesto necessario per un’azione rapida e sicura. Ora, una nuova alleanza tra Cortex XSOAR di Palo Alto Networks e la piattaforma Criminal IP di AI SPERA punta a riequilibrare le probabilità a favore dei difensori - automatizzando quel tipo di analisi delle minacce che un tempo richiedeva ore di lavoro manuale, potenziandola con l’intelligenza artificiale in tempo reale.

In breve

  • Criminal IP, una piattaforma di threat intelligence basata su IA, è ora integrata in Palo Alto Networks Cortex XSOAR.
  • L’integrazione consente la scansione automatizzata e multi-fase e l’arricchimento in tempo reale degli allarmi all’interno dell’hub principale di orchestrazione del SOC.
  • Gli analisti di sicurezza possono ora valutare IP e domini sospetti utilizzando segnali comportamentali, cronologia di esposizione e punteggi di minaccia generati dall’IA, senza uscire da Cortex XSOAR.
  • Questa partnership riflette una più ampia tendenza del settore verso operazioni di sicurezza autonome e guidate dall’intelligence.
  • Criminal IP collabora già con oltre 40 importanti fornitori di sicurezza e sta espandendo la propria presenza su piattaforme cloud e XDR.

Dentro l’Integrazione: L’IA incontra l’Automazione

La risposta agli incidenti tradizionale si basa spesso su indicatori statici - liste di reputazione IP, dati di log basilari e ricerche occasionali degli analisti. Ma questo approccio viene superato dalle minacce odierne, in rapida evoluzione, che saltano tra porte esposte, riutilizzano certificati e si nascondono dietro proxy o servizi di anonimizzazione. Criminal IP, sviluppato da AI SPERA, è progettato per colmare queste lacune scansionando continuamente Internet globale, analizzando il comportamento degli asset e correlando dati come informazioni SSL/TLS, vulnerabilità CVE e segnali di abuso o mascheramento.

Con la nuova integrazione, Cortex XSOAR può attivare un workflow di scansione in tre fasi - partendo da una ricerca rapida, passando a una scansione leggera e, se necessario, eseguendo un’analisi completa della superficie d’attacco. Questo significa che, quando emerge un allarme relativo a un IP o dominio, il sistema può automaticamente acquisire intelligence approfondita e contestuale - trasformando un avviso vago in una valutazione della minaccia ben circoscritta, tutto in pochi secondi e senza intervento manuale.

Fondamentalmente, non si tratta solo di reagire più velocemente. Collegando la telemetria interna con l’intelligence esterna e pubblica, i team SOC possono scoprire relazioni nascoste, come infrastrutture di comando e controllo (C2), riutilizzo di certificati tra domini malevoli o precedenti storici di abuso. Il risultato: classificazione degli incidenti più accurata, meno stress per gli analisti e contenimento più rapido delle minacce reali.

Man mano che i criminali informatici sfruttano sempre più automazione e IA, i difensori devono rispondere con le stesse armi. L’integrazione tra Criminal IP e Cortex XSOAR segna un punto di svolta, rendendo la sicurezza autonoma e guidata dall’intelligence non solo una visione, ma una realtà per le organizzazioni di tutto il mondo.

Uno Sguardo al Futuro

Con l’aumento sia del volume degli allarmi che della sofisticazione degli attacchi, i giorni della risposta manuale agli incidenti basata solo sui log sono contati. Come afferma Byungtak Kang, CEO di Criminal IP, “L’intelligence sulle minacce guidata dall’IA e l’analisi dell’esposizione stanno diventando centrali per la sicurezza aziendale.” Per i team di sicurezza sotto pressione crescente, il futuro potrebbe appartenere a chi saprà automatizzare - e superare in astuzia - gli avversari alla velocità delle macchine.

WIKICROOK

  • SOAR (Security Orchestration, Automation, and Response): Gli strumenti SOAR automatizzano le attività di sicurezza di routine, aiutando i team a rispondere agli incidenti informatici in modo più rapido ed efficiente grazie alla semplificazione dei workflow e delle risposte.
  • Threat Intelligence: La threat intelligence è l’insieme di informazioni sulle minacce informatiche che aiuta le organizzazioni ad anticipare, identificare e difendersi da potenziali attacchi.
  • CVE (Common Vulnerabilities and Exposures): Un CVE è un identificatore pubblico univoco per una specifica vulnerabilità di sicurezza, che consente un tracciamento e una discussione coerenti in tutto il settore della cybersecurity.
  • Attack Surface Management (ASM): L’Attack Surface Management è il processo continuo di individuazione, monitoraggio e riduzione di tutte le possibili modalità con cui gli hacker potrebbero violare i sistemi digitali di un’organizzazione.
  • Command: Un comando è un’istruzione inviata a un dispositivo o software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
Cybersecurity Threat Intelligence Automation
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news