Qumulo NeuralProtect: AI anti-ransomware al punto di scrittura
Qumulo lancia NeuralProtect, sistema AI che intercetta ransomware nel layer storage prima della cifratura, con integrazione Cisco Hypershield e Splunk.
Contenuto
Qumulo ha presentato NeuralProtect il 28 maggio 2026: una soluzione di rilevamento anti-ransomware basata su intelligenza artificiale che opera al punto di scrittura nello storage layer, intercettando minacce prima che i file vengano cifrati. Il lancio, annunciato contemporaneamente su Help Net Security e nel comunicato stampa ufficiale, segna un riposizionamento architetturale: l'AI difensiva abbandona il perimetro tradizionale per insediarsi dove i dati risiedono fisicamente. Per le enterprise ibride, la posta in gioco è il Recovery Time Objective: se il rilevamento avviene in secondi anziché in ore, il danno operativo si misura in minuti, non in giorni di ripristino da backup.
- NeuralProtect esegue Deep File Inspection su ogni file al momento della scrittura, combinando tre modelli AI specializzati più il motore BitDefender
- Il modello deterministico dichiara 100% accuracy su minacce note; il modello statistico supera il 95% su zero-day e attacchi novel; il modello temporale intercetta cifrature parziali e stealth
- L'integrazione con Cisco Hypershield attiva quarantena network automatizzata, mentre Splunk riceve telemetria via OpenTelemetry per la security operations
- Il tasso di falsi positivi dichiarato è inferiore allo 0,01%, dato cruciale per l'automazione di risposta senza intervento umano
Come funziona il rilevamento al punto di scrittura
Il nucleo tecnico di NeuralProtect è il Deep File Inspection applicato a ogni operazione di scrittura nel filesystem distribuito Qumulo. Secondo il comunicato ufficiale e la ricostruzione giornalistica, il sistema analizza i file attraverso una pipeline di quattro motori: un modello AI deterministico per le minacce note, un modello AI statistico per l'anomaly detection su pattern zero-day, un modello AI temporale progettato per catturare attacchi lenti e cifratura parziale, e il motore antivirus BitDefender per il rilevamento signature-based.
La differenza architetturale rispetto alle soluzioni tradizionali è la collocazione: invece di monitorare il traffico di rete o i processi endpoint, NeuralProtect si inserisce nel percorso dati. Questo approccio, secondo le fonti citate, riduce il detection-to-mitigation time a "secondi" quando accoppiato con Cisco Hypershield per la risposta network.
Le azioni autonome documentate includono terminazione della sessione, blocco di utente e IP, snapshot difensivi e quarantena dei dati infetti. Il prodotto è integrato nativamente in Qumulo Core, Azure Native Qumulo (ANQ) e Cloud Native Qumulo (CNQ), coprendo deployment on-premises e cloud ibrido.
Le metriche dichiarate e i loro limiti
Le performance annunciate da Qumulo sono specifiche e, al contempo, non verificate da terze parti. Il modello deterministico dichiara 100% accuracy sulle minacce note; il modello statistico supera il 95% su zero-day e attacchi novel; il tasso complessivo di falsi positivi è inferiore allo 0,01%. Quest'ultimo dato è particolarmente rilevante: in ambienti enterprise con milioni di operazioni di scrittura quotidiane, anche un falso positivo dello 0,1% genererebbe migliaia di interventi manuali, rendendo l'automazione insostenibile. Se la metrica <0,01% fosse confermata indipendentemente, aprirebbe la strada alla risposta autonoma senza supervisione umana.
Tuttavia, il brief non specifica il training dataset, la metodologia di validazione né le condizioni di test. Non è chiaro, inoltre, se "zero-day" si riferisca a tecniche comportamentali genuine o a un pipeline di aggiornamento automatico delle signature. Costi, licensing e prestazioni in ambienti ad altissima latenza o throughput non sono documentati.
L'integrazione con Cisco e Splunk: verso una security mesh
L'accoppiata con Cisco Hypershield e Splunk segnala una tendenza industry: lo storage non è più solo bersaglio, ma sensore attivo in una cybersecurity mesh. Cisco Hypershield riceve il segnale di allarme da NeuralProtect e attiva la quarantena network a livello infrastrutturale; Splunk, tramite OpenTelemetry, acquisisce la telemetria per l'analisi della security operations.
Questa orchestrazione è coerente con la lettura del CTO Kiran Bhageshpur, riportata con testo identico in entrambe le fonti primarie: "Combined with Cisco Hypershield and Splunk, we've built what the industry has long needed: a coordinated cybersecurity architecture that spans storage, infrastructure, and security operations". La coerenza verbale tra comunicato stampa e articolo giornalistico conferma l'origine ufficiale della citazione.
"Ransomware doesn't target your backups first; it targets your live data. NeuralProtect is the first solution built to stop attacks at exactly that point, at the data layer, before a single file is compromised" — Kiran Bhageshpur, CTO Qumulo
Cosa fare adesso
Per le organizzazioni che valutano NeuralProtect, le azioni prioritarie derivano direttamente dai fatti documentati:
- Verificare la compatibilità con l'ambiente storage esistente: NeuralProtect è nativo Qumulo Core, ANQ e CNQ; deployment su storage di terze parti non è documentato
- Richiedere dati di performance in condizioni operative reali: throughput massimo sostenuto, latenza aggiuntiva per operazione di scrittura, impatto su workload I/O intensivi
- Chiarire il modello commerciale delle integrazioni: Cisco Hypershield e Splunk sono citate come partner tecnologici, ma non è specificato se richiedano licenze aggiuntive o configurazioni particolari
- Valutare il ciclo di aggiornamento dei modelli AI: frequenza di retraining, provenienza dei dati di threat intelligence per il modello deterministico, e procedura di escalation per i falsi positivi residui
Il vero test: dai demo Cisco Live al campo
NeuralProtect sarà dimostrato al Cisco Live 2026 di Las Vegas, dal 31 maggio al 4 giugno, booth 4018. Questa esposizione pubblica sarà l'occasione per osservare il sistema in azione su workload sintetici o, possibilmente, in scenario realistico. Per il mercato enterprise, tuttavia, il criterio di valutazione resta il deployment operativo: nessuna testimonianza cliente indipendente è citata nel dossier, e le metriche di performance provengono esclusivamente dal vendor.
L'angolo tecnico di interesse è l'inversione paradigmatica. Fino a oggi, la difesa ransomware privilegiava backup immutabili e recovery veloce; NeuralProtect propone di bloccare l'attacco prima che il dato vivo sia toccato. Se l'approccio si dimostrerà solido, sposta l'investimento strategico dalla resilienza post-incidente alla prevenzione in tempo reale — con tutte le complessità che questo comporta in termini di overhead di storage, governance dei falsi positivi e integrazione con stack security esistenti.
Per il settore, il dato da monitorare non è la promessa del 100% sulle minacce note, ma il comportamento del 5% residuo: quello che il modello statistico etichetta come sospetto e che, in produzione, determina se un amministratore viene svegliato alle 3 del mattino o se l'automazione gestisce senza rumore.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.helpnetsecurity.com/2026/05/28/qumulo-neuralprotect-uses-ai-to-detect-and-stop-ransomware-before-encryption/
- https://www.securityweek.com/new-edamame-platform-aims-to-catch-ai-coding-agents-going-off-the-rails/
- https://www.schneier.com/blog/archives/2026/05/zero-day-exploit-against-windows-bitlocker.html
- https://thehackernews.com/2026/05/ghostwriter-targets-ukraine-government.html
- https://www.businesswire.com/news/home/20260528903457/en/Qumulo-Launches-NeuralProtect-to-Deliver-Real-Time-AI-Driven-Ransomware-Detection-and-Prevention
- https://www.helpnetsecurity.com/2026/02/27/sophos-identity-driven-breaches-report/
- https://www.schneier.com/essays/archives/2024/05/llms-data-control-path-insecurity.html
- https://cert.gov.ua/article/6315762
- https://thehackernews.com/2025/07/cert-ua-discovers-lamehug-malware.html