Insieme per la sicurezza: l'esperienza di due atenei

Due università collaborano per sviluppare strumenti condivisi e sostenibili nel monitoraggio degli incidenti di sicurezza.

Nel mondo della sicurezza informatica, le sfide si fanno ogni giorno più complesse. Gli attacchi evolvono rapidamente, i servizi digitali si moltiplicano e gli atenei devono riuscire a conciliare apertura e protezione, innovazione e sicurezza. In questo scenario, la collaborazione può fare davvero la differenza: condividere esperienze e competenze permette di affrontare problemi comuni con soluzioni più solide e sostenibili.

Da questa consapevolezza è nata la collaborazione tra il Politecnico di Torino e l’Università “Gabriele D’Annunzio” di Chieti-Pescara, che hanno avviato insieme un progetto dedicato al rilevamento e alla gestione degli incidenti di sicurezza in contesti federati. Un’iniziativa che unisce competenza tecnica e visione strategica, presentata nel corso dell’ultimo Workshop GARR 2025.

Ne abbiamo parlato con Enrico Venuto, Coordinatore della Sicurezza Informatica del Politecnico di Torino, e Damiano Verzulli, Responsabile della Divisione Informatica dell’Università di Chieti-Pescara.

Un’esigenza concreta e una visione comune

Tutto è partito da un importante cambiamento al Politecnico di Torino. "Abbiamo deciso di spostare l’autenticazione di tutti i nostri servizi, anche quelli cloud, come Microsoft365, su un Identity Provider (IdP) gestito on-premise" spiega Venuto. "In questo modo abbiamo ottenuto un maggiore controllo sugli accessi e una gestione più sicura degli account. D’altro canto, però, abbiamo perso alcune funzionalità di sicurezza avanzata offerte da Microsoft".

Da qui è nata l’idea di sviluppare uno strumento in grado di raccogliere e analizzare gli eventi di autenticazione a tutti i servizi erogati dal Politecnico, inclusi quelli relativi alla piattaforma Microsoft365.

Nella situazione di partenza, i log di autenticazione confluivano già su un syslog server centralizzato, gestito secondo il principio della segregation of duties, ovvero, chi lo amministrava non aveva accesso ai sistemi di autenticazione e viceversa, ma le analisi si basavano ancora su strumenti come script in AWK, bash o Python.

L’opportunità di collaborazione tra gli atenei è nata da un incontro con l’Università di Chieti-Pescara in modo naturale, durante un evento tecnico. "È bastata una conversazione per capire che avevamo la stessa visione" racconta Verzulli. "Volevamo costruire qualcosa che fosse utile non solo ai nostri atenei, ma a tutta la comunità universitaria. Così abbiamo deciso di lavorare insieme".

Un modello di lavoro collaborativo

Il cuore del progetto è un sistema distribuito e basato su microservizi, che raccoglie e analizza in tempo reale i log di autenticazione ai servizi d’ateneo. Realizzato interamente con tecnologie open source, permette di individuare anomalie negli accessi federati, multifactor e single sign-on, e di produrre dati di qualità per alimentare un SIEM/SOAR dedicato all’Identity Management.

Questo tipo di approccio risponde anche ai requisiti introdotti dalla direttiva NIS2, che richiede agli enti come università e istituti di ricerca di garantire un monitoraggio continuo degli accessi e una gestione strutturata dei log. La capacità di raccogliere, correlare e analizzare i dati di autenticazione in tempo reale diventa quindi non solo una necessità tecnica, ma anche un elemento fondamentale di conformità normativa.

I log, provenienti dagli IdP, vengono automaticamente filtrati e arricchiti con informazioni aggiuntive — come la geolocalizzazione degli accessi esterni, la classificazione degli accessi interni, la reputazione IP, alcuni indicatori di rischio e diversi altri dati recuperati attraverso API esposte dal sistema informativo interno — per poi essere archiviati su OpenSearch, la piattaforma utilizzata per le successive fasi di analisi e visualizzazione dei dati. Le dashboard interattive consentono di monitorare in tempo reale ciò che accade e di individuare tempestivamente eventuali attività sospette.

La collaborazione si è sviluppata in modo completamente aperto e trasparente: il setup di un’istanza dedicata di Mattermost ha consentito al team di mantenere un flusso di comunicazioni efficiente e ordinato. Parallelamente, un’istanza dedicata di GitLab ha supportato tutta l’attività di sviluppo software. L’infrastruttura è stata interamente gestita con Ansible. Tale approccio ha reso il progetto facilmente replicabile.

Nel giro di pochi giorni sono arrivati i primi risultati concreti, frutto di un’infrastruttura leggera ma molto efficiente.

In tutto questo, la rete GARR ha giocato un ruolo importante: non solo come infrastruttura tecnica, ma come vero e proprio ambiente di collaborazione tra università, enti di ricerca e comunità digitali.

"Sapere di poter contare su una rete affidabile e su servizi condivisi – sottolineano Venuto e Verzulli – ci ha permesso di concentrarci sull’innovazione, senza reinventare ciò che già funziona".

Il progetto ha portato a un cambiamento significativo nel modo di gestire l’autenticazione e la sicurezza. Da un lato, gli atenei hanno rinunciato a un sistema proprietario potente ma poco flessibile, con funzionalità difficili da personalizzare e limiti nelle ricerche e nei tempi di conservazione dei log. Dall’altro, hanno guadagnato un punto unico di autenticazione – multifactor, federato e basato su tecnologie aperte – completamente adattabile alle esigenze dell’ateneo. Un sistema sostenibile, modulare e configurabile, capace di crescere nel tempo insieme ai servizi e alle necessità delle università.

Prospettive future

Il progetto è in costante evoluzione. I due gruppi stanno lavorando per integrare nuove fonti di log – come quelli provenienti da reti Wi-Fi, Active Directory e servizi cloud – e per agevolare l’introduzione di SIEM/SOAR in grado di interfacciarsi ad OpenSearch. Tra le prossime tappe, anche la sperimentazione di strumenti di intelligenza artificiale per migliorare l’interrogazione dei dati e il rilevamento automatico delle anomalie.

Alla base di questa esperienza c’è un elemento semplice ma fondamentale: la fiducia. "Quando due università decidono di collaborare – sottolinea Verzulli – non condividono solo il codice, ma anche un modo di lavorare, una cultura fatta di apertura e curiosità reciproca". Venuto aggiunge: "Il valore più grande è costruire insieme una cultura della sicurezza, sostenibile e condivisa, che parta dalle persone e cresca grazie alla rete".

In sintesi, l’esperienza del Politecnico di Torino e dell’Università di Chieti-Pescara dimostra che la collaborazione tra atenei può portare a risultati tangibili e innovativi.