L’intelligenza artificiale sta introducendo nelle organizzazioni una nuova categoria di soggetti digitali: gli agenti AI autonomi. A differenza degli utenti umani, questi sistemi possono operare in modo indipendente, attivare processi, accedere a dati, utilizzare applicazioni e collaborare con altri agenti senza un intervento diretto delle persone.
Per i responsabili della sicurezza questo fenomeno rappresenta una sfida destinata a modificare profondamente i modelli di governance degli accessi. Le directory aziendali, i gruppi utenti e le autorizzazioni statiche che hanno costituito per anni la base dell’Identity and Access Management sono stati progettati per amministrare persone e applicazioni relativamente stabili. Gli agenti AI, invece, possono utilizzare identità effimere, ereditare privilegi da altri sistemi e moltiplicarsi rapidamente all’interno dell’infrastruttura aziendale.
È in questo contesto che si colloca l’annuncio dell’acquisizione di Symmetry Systems da parte di Zscaler, operazione che punta a rafforzare la piattaforma Zero Trust Exchange con strumenti pensati per governare il comportamento delle identità non umane e dei sistemi di AI agentica.
Access Graph costruisce la mappa delle relazioni aziendali
Il principale asset tecnologico che entrerà a far parte dell’offerta Zscaler è Access Graph, una piattaforma progettata per costruire una rappresentazione dinamica delle relazioni esistenti tra utenti, agenti software, applicazioni e dati aziendali.
La tecnologia acquisisce e analizza i log provenienti da applicazioni SaaS, servizi cloud pubblici, archivi dati e sistemi AI, utilizzando algoritmi di correlazione per trasformare queste informazioni in un grafo degli accessi che mostra chi utilizza cosa, in quale contesto e attraverso quali percorsi operativi.
L’aspetto rilevante non consiste soltanto nella raccolta degli eventi di accesso, ma nella capacità di ricostruire l’intero contesto operativo. In un ambiente caratterizzato da migliaia o milioni di identità, conoscere i privilegi assegnati non è più sufficiente: occorre comprendere quali autorizzazioni vengano realmente utilizzate e quali relazioni si instaurino tra sistemi diversi.
Per i responsabili della sicurezza questo significa poter disporre di una visione contestuale dell’intero ecosistema digitale, individuando rapidamente quali risorse siano coinvolte in uno specifico processo e quali dipendenze esistano tra identità e informazioni aziendali. In ambienti sempre più distribuiti tra cloud, SaaS e piattaforme AI, tale visibilità rappresenta un prerequisito per qualsiasi strategia di governance.
Questa visibilità costituisce il fondamento sul quale Zscaler intende costruire il prossimo livello della propria strategia Zero Trust.
Dal controllo degli accessi alla governance delle comunicazioni AI
Secondo Zscaler, il problema principale non riguarda semplicemente la protezione dell’intelligenza artificiale, ma la capacità di governarne le comunicazioni.
Gli agenti AI possono infatti dialogare con applicazioni aziendali, consultare basi dati, accedere a sistemi cloud e interagire con altri agenti. Questo genera una rete di relazioni molto più complessa rispetto a quella che caratterizza gli ambienti IT tradizionali.
Jay Chaudhry, Chairman e CEO di Zscaler, evidenzia proprio questo cambiamento di paradigma: “Con la rapida adozione dell’IA da parte delle aziende, il vecchio approccio alla governance degli accessi – pensato per utenti e directory – non può essere applicato a milioni di agenti IA. Con Symmetry Systems, aggiungiamo la tecnologia Access Graph che mappa le connessioni tra ogni identità, applicazione e fonte di dati in tutta l’azienda. Questa visibilità fondamentale sarà utilizzata da Zscaler Zero Trust Exchange per governare le comunicazioni agente-applicazione e agente-agente su larga scala, offrendo ai clienti il controllo operativo di cui hanno bisogno per adottare l’IA in sicurezza”.
In questo modello, Access Graph ha il compito di identificare e rappresentare le relazioni esistenti tra identità, applicazioni e dati, mentre Zero Trust Exchange utilizza tali relazioni come fondamento per l’applicazione delle policy. In altre parole, la piattaforma non si limita a verificare se un’identità sia autorizzata ad accedere a una risorsa, ma stabilisce in modo dinamico chi può comunicare con cosa, in quali circostanze e a quali condizioni operative, estendendo i principi Zero Trust alle interazioni tra agenti AI, applicazioni e sistemi aziendali.
L’idea alla base dell’integrazione è che la comprensione delle relazioni tra identità e risorse diventi il punto di partenza per definire e applicare le policy di sicurezza.
Quando un agente AI entra nei dati aziendali
Uno degli esempi illustrati da Zscaler aiuta a comprendere l’obiettivo dell’operazione: quando un agente AI accede alla scheda di un cliente, il sistema dovrebbe essere in grado di determinare immediatamente quale processo abbia attivato l’agente, quale identità sia stata utilizzata, quali applicazioni siano state coinvolte e quali dati siano stati consultati.
Se il comportamento rilevato risulta coerente con le policy aziendali, l’operazione può proseguire normalmente. Se invece emergono anomalie o condizioni di rischio, Zero Trust Exchange può intervenire applicando automaticamente misure correttive e limitando l’accesso alle risorse coinvolte.
L’obiettivo è passare da un modello di controllo basato esclusivamente sui privilegi assegnati a un approccio fondato sulla comprensione del comportamento effettivo delle identità.
L’esplosione delle identità non umane
Dietro l’operazione c’è una trasformazione che sta ridisegnando le priorità della cybersecurity. Se in passato il problema era gestire gli accessi degli utenti, oggi le organizzazioni devono fare i conti con un numero crescente di identità non umane: service account, workload cloud, container, API e processi automatizzati già superano in molti casi gli utenti tradizionali. L’arrivo degli agenti AI spinge questa evoluzione a un livello superiore, introducendo entità software capaci di operare autonomamente, accedere ai dati, attivare applicazioni e collaborare con altri agenti. In uno scenario di questo tipo, il vero nodo non è più soltanto verificare chi accede a una risorsa, ma comprendere come identità, applicazioni e dati si relazionino tra loro. La capacità di osservare e governare queste connessioni diventa così uno degli elementi centrali delle future architetture di sicurezza.
Cinque nuove capacità per la sicurezza dell’AI agentica
L’integrazione tra Symmetry Systems e Zscaler dovrebbe consentire di introdurre una serie di funzionalità specificamente pensate per gli ambienti AI.
Una delle più rilevanti riguarda la possibilità di distribuire agenti autonomi mantenendo una visibilità completa sulle risorse utilizzate. I team di sicurezza potranno verificare quali dati siano accessibili a ciascun agente, quali informazioni siano state effettivamente consultate e quali processi abbiano motivato tali accessi.
La piattaforma promette inoltre di supportare la definizione di policy basate sul principio del least privilege, mettendo a confronto i permessi formalmente assegnati con quelli realmente utilizzati da ogni identità, umana o non umana. Questa distinzione è particolarmente rilevante negli ambienti AI, dove autorizzazioni ereditate o eccessivamente ampie possono generare superfici di rischio difficili da individuare. La possibilità di misurare l’effettivo utilizzo dei privilegi consente di costruire modelli di accesso più aderenti alle esigenze operative degli agenti e di eliminare progressivamente autorizzazioni non necessarie.
Un altro elemento centrale è la possibilità di ottenere una tracciabilità completa dei dati. Le informazioni utilizzate da un agente AI potranno essere seguite lungo l’intera catena operativa, anche quando transitano attraverso sotto-agenti, strumenti esterni e servizi differenti. Questa capacità può semplificare audit, verifiche di conformità e attività investigative.
La tecnologia offre inoltre strumenti per il rilevamento delle anomalie in tempo reale. Comportamenti insoliti o deviazioni rispetto ai modelli operativi attesi possono essere individuati immediatamente e utilizzati per attivare risposte automatizzate.
Infine, la piattaforma introduce funzionalità di blast radius analysis, permettendo di determinare rapidamente quali dati e sistemi risultino esposti nel caso in cui un’identità o un agente AI venga compromesso.
Perché identità e dati stanno sostituendo il perimetro
L’acquisizione offre anche una lettura interessante dell’evoluzione del mercato della sicurezza.
Per anni le strategie di difesa si sono concentrate sulla protezione di endpoint, applicazioni e perimetri di rete. Con la diffusione dell’intelligenza artificiale agentica, questi elementi continuano a essere importanti, ma non rappresentano più il punto di osservazione privilegiato per comprendere il rischio.
Mohit Tiwari, CEO di Symmetry Systems, ritiene che il nuovo livello di controllo della sicurezza sarà costituito dalle relazioni tra identità e informazioni: “La missione di Symmetry Systems è fare ricerca avanzata sulla sicurezza, capace di conquistare la fiducia dei clienti. Zscaler è un’ispirazione su entrambi i fronti. Siamo convinti che le piattaforme di sicurezza dominanti nell’era dell’AI saranno quelle in grado di governare il flusso delle informazioni tra identità nelle reti Zero Trust. Mentre l’AI rende meno centrali applicazioni, endpoint e tradizionali perimetri di rete, identità e dati diventano il nuovo livello di controllo per la sicurezza aziendale. In questo scenario, i modelli di sicurezza legacy, incentrati su endpoint, applicazioni o reti perimetrali, operano sempre più a un livello di astrazione sbagliato. Insieme, Symmetry Systems e Zscaler creano la rete dei flussi informativi per l’era dell’IA”.
La rete dei flussi informativi come nuovo paradigma
La visione espressa da Symmetry Systems ruota attorno al concetto di “rete dei flussi informativi”, ovvero una rappresentazione continua delle interazioni che collegano identità, dati, applicazioni e sistemi AI.
In un contesto in cui gli agenti autonomi possono attivare catene di operazioni sempre più articolate, la sicurezza tende a spostarsi dal controllo dei singoli asset alla comprensione dei percorsi attraverso cui le informazioni vengono create, utilizzate e trasferite.
È su questa capacità di osservare e governare i flussi informativi che molte aziende della cybersecurity stanno iniziando a costruire la prossima evoluzione delle architetture Zero Trust.
Una mossa che guarda alla cybersecurity dell’era agentica
Più che l’acquisizione di una tecnologia specifica, l’operazione segnala la direzione verso cui sta evolvendo il mercato della cybersecurity. Se negli ultimi anni il modello Zero Trust si è concentrato soprattutto sul controllo degli accessi tra utenti, dispositivi e applicazioni, la diffusione dell’AI agentica impone di estendere questi principi a un ecosistema composto da identità software autonome e da flussi informativi sempre più complessi. In questo quadro, l’integrazione di Symmetry Systems consente a Zscaler di aggiungere alla propria piattaforma un livello di osservabilità e correlazione che potrebbe diventare fondamentale per governare ambienti nei quali una quota crescente delle attività operative sarà svolta da agenti AI anziché da utenti umani.
Il perfezionamento dell’operazione, subordinato alle consuete condizioni di chiusura, è atteso nei prossimi giorni.
