Ora che le strategie di cybersecurity per il 2024 sono fissate è tempo di agire: come dev’essere orchestrata la difesa oggi e qual è il ruolo reale della GenAI per valorizzarla, senza creare falese illusioni.
Autore: Redazione SecurityOpenLab
L’evoluzione della cybersecurity è un argomento all’ordine del giorno per tutti i protagonisti della sicurezza informatica, quotidianamente alle prese con attacchi cyber sempre più sfidanti. Parliamo di un settore che per sua natura non è mai stato statico, ma che con l’avvento della GenAI presenta alcune criticità peculiari che stravolgono i modi e tempi di attacco e, di conseguenza, quelli di reazione. Per prendere il polso della situazione abbiamo fatto una chiacchierata con Marco Rottigni, Technical Director per l'Italia di SentinelOne, appena rientrato da un evento aziendale globale in cui sono emersi spunti di riflessione stimolanti, considerato anche che SentinelOne è stata fra le prime aziende a basare il proprio impianto difensivo sull’AI, nell’ambito di una piattaforma unica e aperta.
Sono in particolare due le parole chiave dell’evento di SentinelOne su cui abbiamo chiesto a Rottigni di concentrarsi: Accelerate e Secure Tomorrow. Qual è il loro apporto tecnico al paradigma della cybersecurity?
Accelerate ha tantissime interpretazioni, in primis quella relativa all'accelerazione del tempo di difesa, perché il tempo di attacco è sempre più breve e il numero dei vettori dell'attacco è talmente vasto che, se non si attua un incremento della velocità di detection e di contrasto, l'attacco va a buon fine. Il fatto è che un attacco ormai si manifesta su più superfici diverse, fra cui possiamo mettere in evidenza gli endpoint, il mobile, l'identità e il cloud. Si tratta di superfici interconnesse, in continuo divenire (basti pensare all’evoluzione del cloud nell’ultimo lustro), che devono essere messe in sicurezza senza soluzione di continuità e in maniera organica. Purtroppo, spesso la sicurezza è ancora un afterthought dei processi di trasformazione digitale e sovente questo approccio errato offre agli attaccanti un canale in più tramite il quale agire, magari simultaneo a un altro o ad altri due.
Accelerate connota pertanto la combinazione di soluzioni, o la piattaforma unica a cui si agganciano più soluzioni, che permette di avere quella visibilità olistica necessaria per rilevare anche solo parte di questi attacchi. Al contempo identifica l’obbligo di una velocità di gestione in near real time degli eventi, perché di fatto gli attaccanti agiscono in modalità Accelerate, quindi se il difensore non ha una capacità di contrasto a velocità macchina, se non ha una capacità di analisi a velocità macchina, se non ha degli analisti supportati da una tecnologia che ne potenzi l’efficienza, non sarà possibile tenere il passo con l'innovazione dell'attaccante.
L’altro elemento, Secure Tomorrow, identifica la connotazione di un attaccante che sta evolvendo a una velocità con cui è difficile tenere il passo, in un mondo (tomorrow) molto pervaso da forme di intelligenza artificiale generativa. Quindi io interpreto Secure Tomorrow come la capacità che è indispensabile avere per tenere il passo con l'intelligenza artificiale, grazie all'intelligenza artificiale stessa. Il concetto è in realtà piuttosto logico: è semplice mettere a terra applicazioni di GenAI. Quello che è difficile è rendere la GenAI “operazionalizzabile” con tutti i crismi di sicurezza, di rispetto della privacy e di compliance con le normative regionali che la legislazione impone.
È in questa direzione che si muove PurpleAI di Sentinel One annunciato alla RSA conference dello scorso anno e che a breve sarà ampiamente disponibile. Non parliamo di un chatbot, ma di un autentico co-analista capace di affiancare un esperto di SOC o di Security Operations in carne e ossa. Ma al tempo stesso consiste anche in una serie di algoritmi e di capacità che gli permettono di validare le proprie risposte senza incorrere in errori grossolani come quelli noti con i nomi di confabulations o hallucinations.
Nello specifico, PurpleAI sfrutta un modello che si chiama Retrieval Augmented Generation (RAG), alimentato da Large Language Models (LLM), documentazioni di knowledge base specifiche, un data lake sviluppato da SentinelOne che sono parte di un’unica architettura e che garantiscono la riservatezza dei dati conversazionali non solo verso terzi, ma anche verso SentinelOne stessa. In altre parole, se un cliente dialoga con PurpleAI per fare delle ricerche in linguaggio naturale, la storia di queste conversazioni non viene utilizzata nemmeno in minima parte per il training dell'intelligenza artificiale di SentinelOne. Quindi Secure Tomorrow significa tenere il passo con l’evoluzione dell'attaccante grazie all'intelligenza artificiale, con il supporto dell'intelligenza artificiale, ma anche con la coscienza e l'esperienza di chi questo lavoro lo fa da dieci anni.
Il ruolo che PurpleAI giocherà nelle Security Operations non può essere sostitutivo di un analista, pur nell'estrema evoluzione che è prevista nella roadmap attuale. Anche quella che oggi chiamiamo Automated Investigation sfrutta l'intelligenza artificiale per correlare una serie di dati che vede nella piattaforma e fare una pre-investigazione con l’obiettivo di fornire all’analista una informazione sempre più raffinata, di modo che l’esperto, con le sue competenze e la sua esperienza riesca, in una manciata di secondi, a fare il triage e a capire quello che prima avrebbe impiegato ore o giorni a capire.
Questo grazie all’evoluzione della piattaforma di SentinelOne, che fa perno su un data lake enormemente più capace di un database o di un sistema di memorizzazione di dati tradizionale, che ci pone nella posizione di poter difendere con una tecnologia puntuale identità, cloud, mobile ed endpoint. Dati che sono notevoli non solo per quantità e prestazioni: tutto il processing dei log, anche di altre fonti integrate con SentinelOne, è allineato allo standard OCSF, Open Cyber Security Schema Framework, che ci permette di avere una visione normalizzata delle fonti che inviano dati alla piattaforma SentinelOne. Parlo potenzialmente di firewall, dei single-sign-on, dei sistemi di gestione delle autenticazioni, di SIEM, di tutta una serie di fonti eterogenee e di Threat Intelligence, che permettono alla piattaforma di scegliere quali e quante contribuzioni usare per definire un incidente. Questo consente un triage veloce e un intervento pressoché immediato.
Ritengo che SentinelOne può diventare a breve una piattaforma ancora più completa di security che espone il possibile percorso di attacco al cliente mettendo in evidenza quella che viene definita “la combinazione tossica”, ossia la serie di elementi fallaci che nel loro complesso rendono una infrastruttura vulnerabile. Questo permetterà di evidenziare come un cliente è attaccabile e di disegnare un grafico che mostri chiaramente il punto d'ingresso, il punto di passaggio e il punto di arrivo di un attacco, prima che questo abbia luogo.
In termini di business, il vantaggio di questo sviluppo è enorme perché nessuna azienda ha la capacità di rimediare a tutta la superficie vulnerabile. Quindi, a prescindere da quante siano le vulnerabilità, una visualizzazione grafica di un percorso d'attacco permette di apporre nel posto giusto il “cerotto” che chiude la falla che a sua volta conduce alle altre falle. Poi, idealmente, ci sarà più tempo per risolvere i bug secondari e terziari uno per uno.
Non solo: grazie alla rappresentazione grafica risolvo anche un secondo problema, che è quello della prevenzione, perché mi permette di capire con un colpo d’occhio a che cosa assegnare la massima priorità per ottenere la massima efficacia preventiva e difensiva. Non ultimo, da un punto di vista delle Security Operations, nella investigazione di un incidente questa visione mi permetterà anche di capire prima che cosa è successo e quindi di reagire più velocemente per il contenimento dell’attacco.
Il nostro MDR esiste da cinque anni. SentinelOne è fortemente un'azienda di canale, quindi privilegiamo da sempre il fatto che i nostri partner siano il miglior mezzo per conquistare un mercato, per soddisfare i clienti, per avere una presenza di prossimità sul territorio grazie alla mediazione dei nostri partner. A questi ultimi riconosciamo sia un buon margine, sia la capacità di aumentare tale margine mediante servizi erogati direttamente da loro. Questo non significa che SentinelOne non abbia servizi gestiti direttamente (i servizi Vigilance di SentinelOne sono attivi 24/7), ma che spesso preferiamo canalizzarli tramite i partner che possono dare valore aggiunto mediante la prossimità territoriale, l'interfaccia italiana e molto altro. A meno che il cliente non richieda l’accesso diretto ai nostri servizi (come il caso della divisione large enterprise), a cui peraltro lavorano anche diversi ricercatori italiani di threat intelligence, e che includono l’analisi delle attività degli attaccanti in rete, il continuous compromise assessment e molto altro.
In sostanza, SentinelOne crede fortemente nei servizi e ritiene che il canale sia la strada per valorizzare al meglio sia tali servizi, sia le competenze dei partner che si fidano dei nostri servizi come oggetto di vendita e come presidi di staff augmentation. Partner che non vengono mai lasciati da soli, perché hanno sempre a disposizione un team di professionisti di Incident Response (IR team), che li supporta nelle fasi di gestione degli incidenti informatici per massimizzare l’efficacia del lavoro di ognuno.