SAP, gigante del software enterprise e grande cliente dei principali hyperscaler, affronta una complessità crescente nella protezione dei dati sensibili delle sue migliaia di clienti. Alla guida della strategia di difesa c’è Roland Costea, ex campione di scacchi e oggi CISO per i servizi cloud aziendali di SAP, che deve bilanciare visibilità, rapidità di risposta e requisiti di conformità e sovranità dei dati.
Per gestire i rischi SAP analizza quantità massicce di telemetria — oltre 150TB al mese — ma il costo e la latenza di strumenti tradizionali come Splunk rendevano impossibile osservare tutto. Da qui la scelta di sperimentare nuovi approcci di analisi dei dati e collaborazione con Uptycs per implementare la piattaforma Juno.
La sfida: visibilità e dati su scala enorme
Il nodo centrale per SAP è avere una vista completa e in tempo reale su identità, attività e configurazioni attraverso più livelli tecnologici. In pratica serve un motore che colleghi informazioni di identity, eventi di rete e telemetria applicativa per sostenere funzioni di detect, protect, respond e recover. Senza questa correlazione, molte segnalazioni rimangono sterili e le priorità difensive vengono distorte.
Perché gli strumenti tradizionali non bastano
Le piattaforme consolidate spesso non permettono di collegare in modo granulare i precondizioni di un exploit in ambienti complessi come quelli SAP. La vulnerability management tradizionale verifica la presenza di una falla, ma non sempre fornisce il contesto necessario per sapere se le precondizioni per sfruttarla esistono in quell’istanza specifica. Allo stesso tempo, soluzioni come XDR possono generare allarmi sensibili ma poco spiegabili e incapaci di produrre prove verificabili.
La soluzione: Juno e l’integrazione con Databricks
Per ridurre costi e latenza SAP ha optato per un modello che sfrutta un big data lake basato su Databricks e un layer di analisi fornito da Uptycs con la piattaforma Juno. L’obiettivo non è solo rilevare anomalie, ma poter eseguire ricerche in tempo reale su dataset ampi e fornire risposte con elementi di prova collegati alle fonti originali.
Come funziona l’analista AI umano+agente
Juno combina agenti autonomi di AI con analisti umani: l’AI svolge il lavoro ripetitivo di correlazione e raccolta, mentre gli specialisti possono concentrare il loro tempo su threat hunting avanzato e analisi dei percorsi d’attacco. Fondamentale è che le conclusioni prodotte dall’intelligenza artificiale siano verificabili: la piattaforma cita fonti, fornisce tracce e permette alla squadra di ricostruire e confermare i risultati.
Impatto operativo e scenari pratici
Nell’uso quotidiano questa combinazione consente a SAP di individuare attività “low and slow” — sequenze di operazioni apparentemente normali che, messe insieme, possono indicare un abuso di privilegi o un’esfiltrazione. Ad esempio, una sessione di identità legittima che assume un ruolo di deployment e poi compie piccole azioni su più bucket può essere ricostruita analizzando provenance della sessione, modifiche di permessi e comandi eseguiti.
Grazie all’integrazione con il data lake, Juno permette ricerche che sarebbero proibitive su piattaforme più costose, accelerando indagini che prima richiedevano ore o giorni. Questo cambio di passo non solo consente di prevenire escalation — compresi scenari di ransomware — ma aiuta il team a simulare e mitigare percorsi d’attacco reali.
Oltre la tecnologia: cultura e valore strategico
L’adozione di Juno ha anche un impatto culturale: gli analisti di SAP hanno mostrato entusiasmo nel poter esplorare dati prima non accessibili, scoprendo comportamenti e configurazioni che non apparivano nei sistemi tradizionali. Per Roland Costea questo significa trasformare la sicurezza da funzione reattiva a leva strategica che informa decisioni operative e di governance.
Dal lato Uptycs, il fondatore e CEO Ganesh Pai descrive Juno come una piattaforma che fornisce security observability e un insieme di controlli che spaziano dalla conformità alla risposta agli incidenti. Il risultato è una difesa più intelligente, capace di produrre report strategici e analisi attendibili in tempi notevolmente ridotti.
In sintesi, l’approccio di SAP con Uptycs mette al centro la correlazione verificabile, l’uso efficiente dei big data e la collaborazione tra AI e operatori umani, consentendo di affrontare una superficie di attacco sempre più vasta senza moltiplicare i costi operativi.
