Arena Digitale intervista Marco Catino, Sales Engineer Manager Zscaler
Zscaler è stata una delle aziende pioniere del modello Zero Trust.
Domanda: Come l’intelligenza artificiale sta trasformando il paradigma Zero Trust? In che modo l’AI può potenziare la capacità di rilevare comportamenti anomali, gestire l’identità e automatizzare le decisioni di accesso in tempo reale?
Zscaler è stata tra i pionieri del modello Zero Trust e oggi l’intelligenza artificiale ne accelera l’evoluzione: si passa da regole rigide a un sistema adattivo che comprende i comportamenti, misura il rischio identitario e automatizza le decisioni di accesso quasi in tempo reale. L’obiettivo rimane quello di ridurre drasticamente la superficie d’attacco e il movimento laterale, ma cambia il modo in cui si prende la decisione: non più una tantum, ma continuamente.
Il primo grosso aiuto che porta l’Intelligenza Artificiale riguarda la capacità di rilevare comportamenti anomali prima che sia troppo tardi. La piattaforma Zscaler Zero Trust Exchange, che processa traffico su larga scala, può addestrare modelli di machine learning per individuare deviazioni rispetto alla baseline. In parallelo, la Deception introduce asset esca come utenti, servizi o credenziali credibili, che attirano l’attaccante e generano segnali ad alto valore, migliorando la qualità del rilevamento e bloccando più in fretta i tentativi di movimento laterale. Allo stesso modo, l’evoluzione degli algoritmi di AI e ML portano a una maggiore efficacia per tutti gli strumenti utili alla rilevazione di attacchi non noti, gli zero-day.
Il secondo fronte è l’identità. Con l’ITDR (Identity Threat Detection & Response) l’identità diventa superficie da monitorare: posture e permessi vengono valutati in profondità, si individuano credenziali e token esposti, si rilevano abusi e configurazioni rischiose, si guida la risposta. Questo si inserisce bene nel modello NIST 800‑207A, che distingue tra motore di policy, decisione ed enforcement e richiede una valutazione continua del contesto; l’AI arricchisce esattamente questi punti decisionali con segnali granulari e tempestivi, allineati ai riferimenti NIST e ISO: analisi comportamentale UEBA, valutazione continua dell’identità, attestazione della postura del dispositivo e indicatori ITDR sul rischio identitario.
Il terzo fronte è l’automazione dell’accesso. Il punteggio di rischio utente diventa dinamico, combinando lo storico con la telemetria corrente per modulare le policy in modo automatico. Con l’accesso Zero Trust Network Access alle applicazioni private, le policy si aggiornano in real time in base a utente, postura del device, posizione e sensibilità dell’applicazione, mantenendo le app non esposte a Internet e creando soltanto connessioni utente-applicazione, senza dare accesso alla rete. L’AI aiuta anche a scoprire applicazioni e dipendenze e a proporre segmentazioni efficaci, riducendo l’effort per definire le policy di micro-segmentazione e il rischio di errori umani.
Questa trasformazione richiede guardrail chiari. Le migliori pratiche convergono su monitoraggio continuo, criteri basati su anomalie e riduzione dei privilegi; nel contesto europeo, le raccomandazioni di ENISA e gli obblighi NIS2 spingono verso auditability, metriche ed explainability dei modelli. In pratica, serve una pipeline di governance che misuri l’efficacia (MTTD, MTTR, falsi positivi) e permetta correzioni rapide.
Gli impatti sono tangibili già oggi. La protezione dell’uso di strumenti GenAI beneficia di controllo a livello di prompt, Data Protection e visibilità sui chatbot in azienda, così da prevenire esfiltrazioni “creative”. L’osservabilità potenziata dall’AI accelera la root cause analysis su performance ed esperienza utente, riducendo i tempi di risoluzione. Piattaforme di risk quantification come Risk360 condensano centinaia di segnali in un punteggio unico e azionabile lungo la kill‑chain.
In sintesi, Zero Trust guidato dall’AI sposta il baricentro in tre modi: dalla fiducia binaria alla fiducia graduata, governata da un trust score che si aggiorna di continuo; dalla rete alle identità, con l’ITDR a fare da sensore principale; dal controllo esclusivamente umano a un controllo assistito, in cui la macchina propone e applica policy sicure mentre l’umano supervisiona e governa. È un’evoluzione pragmatica: meno attrito per l’utente legittimo, più frizione per l’attaccante, e decisioni migliori perché basate su segnali vivi e contestuali.
Zero Trust implica visibilità completa sui flussi di dati, ma l’AI solleva questioni di governance, privacy e compliance.
Domanda: Come Zscaler concilia l’uso dell’AI per la sicurezza con la necessità di proteggere i dati sensibili, rispettare i regolamenti europei (come GDPR e NIS2) e garantire trasparenza negli algoritmi decisionali?
Zero Trust richiede visibilità profonda sui flussi, ma nel farlo è necessario tenere a mente le regole di Privacy che tutti dobbiamo rispettare. L’AI può dare una spinta enorme alla sicurezza, ma apre fronti delicati: governance, privacy, compliance. L’approccio di Zscaler concilia questi aspetti con un’architettura “privacy-by-design”, controlli di sovranità del dato e trasparenza sulle decisioni automatiche, così che l’intelligenza artificiale resti un alleato e non una scatola nera.
Il primo tassello è la minimizzazione. L’analisi del traffico avviene esclusivamente in memoria: il contenuto non viene mai scritto su disco (nemmeno in caso di crash dei sistemi o dump della memoria) e i dati operativi restano sotto il controllo del cliente. I log sono indicizzati e tokenizzati e possono essere inviati in tempo reale al SIEM aziendali, lasciando quindi il pieno controllo all’azienda. L’ispezione TLS è selettiva: per categorie sensibili come salute o finanza è best practice effettuare il bypass e applicare l’ispezione SSL solo per quelle destinazioni permesse dalla legge. Anche il DLP adotta un approccio “privacy-first”: con l’Exact Data Match vengono caricati esclusivamente gli hash dei dati da proteggere, e non gli originali, riducendo sia i falsi positivi sia l’esposizione. Questo consente di fare sicurezza senza accumulare dati inutili, secondo il principio di minimizzazione e limitazione delle finalità del GDPR.
Il secondo tassello è la sovranità. Zscaler permette di circoscrivere elaborazione e logging nell’Unione Europea, scegliendo data center esclusivamente UE. Qualora sia necessario mantenere l’ispezione in ambienti con vincoli di localizzazione, è possibile adottare Private Service Edge e opzioni di cloud sovrano.
Con Risk360 il punteggio di rischio può essere compreso grazie alla possibilità di avere ben chiari i fattori che lo determinano (attività dell’utente, postura identitaria, segnali di rete, sensibilità applicativa), mappati ai framework di riferimento.
Il raccordo con il quadro regolatorio europeo è concreto. La direttiva NIS2 spinge su gestione del rischio, logging, auditing e reporting tempestivo: l’architettura Zero Trust di Zscaler aiuta a dimostrare misure tecniche e organizzative adeguate.
Per concludere, l’impiego dell’AI da parte di Zscaler potenzia il modello Zero Trust senza derogare a privacy e compliance: analisi in memoria e selettiva, dati e log mantenuti nell’UE, decisioni di accesso spiegabili e auditable, contratti e misure tecniche allineate a GDPR e NIS2. Il risultato è maggiore sicurezza, con meno dati superflui e più controllo su dove risiedono, come vengono utilizzati e perché un accesso è stato concesso o negato.
Con l’avvento dell’AI generativa, la superficie d’attacco si amplia ma crescono anche le opportunità di automazione.
Domanda: Qual è la visione di Zscaler sul futuro della sicurezza predittiva? Possiamo immaginare un modello Zero Trust sempre più autonomo, in grado di anticipare e neutralizzare le minacce prima che colpiscano?
L’introduzione dell’AI generativa amplia la superficie d’attacco, ma offre anche nuovi strumenti per anticipare e contenere i rischi. La visione di Zscaler va nella direzione di rendere lo Zero Trust sempre più adattivo e, per alcune decisioni, autonomo, mantenendo al contempo trasparenza e controllo da parte dei team di sicurezza. L’obiettivo non è sostituire l’analista, ma portarlo a operare su eventi già filtrati e spiegati, con priorità basate sul rischio.
La piattaforma Zscaler Zero Trust Exchange elabora quotidianamente un’enorme quantità di traffico e telemetria proveniente da utenti (oltre 50 Milioni), dispositivi, applicazioni e destinazioni. Questi segnali alimentano modelli che valutano il rischio in modo continuo, così che le decisioni di accesso non siano più statiche, ma contestuali alla sessione. In pratica, a seconda del profilo di rischio aggiornato, l’accesso può essere concesso, richiesto con una verifica aggiuntiva, isolato nel browser o negato.
Il controllo degli accessi sfrutta meccanismi di adattamento. Il motore di accesso dinamico aggiorna il livello di fiducia in base ai segnali correnti e a quelli di terze parti, regolando di conseguenza le policy su ZIA e ZPA. Il passaggio dalla concessione binaria al principio di «least privilege» dinamico riduce l’esposizione e accelera le risposte, con possibilità di step‑up MFA o di isolamento applicativo quando la situazione lo richiede.
Per anticipare minacce non ancora identificate, la prevenzione in‑line gioca un ruolo decisivo. La cloud sandbox con verdetti supportati da modelli AI consente di bloccare file sconosciuti prima della detonazione completa, limitando l’effetto “patient zero”. In parallelo, le tecniche di deception forniscono segnali precoci di intrusione: quando un attore interagisce con un’esca, la piattaforma può aggiornare le policy e contenere il movimento laterale senza ritardi.
L’automazione tocca anche l’operatività quotidiana. Zscaler Digital Experience applica analisi assistite da AI per individuare rapidamente la causa dei degradi di prestazione su reti, dispositivi e applicazioni; questo libera risorse di SecOps e IT e riduce i tempi di ripristino. L’aiuto di un Chatbot basato su LLM rende il troubleshooting estremamente rapido e semplice.
In prospettiva, uno Zero Trust più autonomo è credibile se costruito per gradi. Una traiettoria concreta parte dall’attivazione del rischio utente dinamico e della sandbox in‑line, prosegue con l’accesso adattivo per gli asset critici e l’integrazione di deception e playbook di contenimento, e matura con l’adozione di un modello di risk quantification che orienti le remediation prima degli incidenti.
In sintesi, la visione di Zscaler è quella di una realtà in cui sia possibile usare l’AI per prevedere dove il rischio sta aumentando, applicare controlli proporzionati in tempo reale e documentare ogni passaggio.
