Una piattaforma, un data lake di qualità, un’AI avanzata e predittiva: la ricetta di SentinelOne per la security di oggi e la sua visione per la difesa di domani.
Autore: Redazione SecurityOpenLab
"Il mercato oggi richiede soluzioni che affrontino i crescenti problemi legati alla trasformazione digitale", che sono l’aumento della superficie d’attacco e un'esplosione esponenziale dei dati prodotti dalle aziende. Due fattori che richiedono “un approccio basato su piattaforma che consenta una gestione unificata degli alert e degli incidenti, correlando le informazioni per aiutare i team di sicurezza a essere più efficaci e proattivi". È così che ha esordito Paolo Cecchi, Regional Sales Director Mediterranean Region di SentinelOne, al recente incontro con la stampa per approfondire le strategie e le soluzioni di SentinelOne per rispondere alle sfide moderne della cybersecurity.
Il filo logico tracciato dai manager è piuttosto semplice: in un contesto come quello odierno limitarsi a proteggere gli endpoint non è più sufficiente. Da qui l’evoluzione della cybersecurity in chiave SentinelOne: "nasciamo come azienda dedicata alla protezione degli endpoint, ma oggi questo non è più sufficiente. L'aumento delle superfici di attacco e delle sorgenti richiede un approccio basato su piattaforma, che copra in maniera unificata e gestisca allarmi e incidenti in modo integrato", ha sottolineato Cecchi.
Anche questo però non basta, perché la piattaforma non è una questione semantica né quantitativa: è come lavora a fare la differenza. Paolo Ardemagni, Area VP Southern Europe Middle East & Africa, ha evidenziato che SentinelOne offre quella "la combinazione tra intelligenza artificiale, SIEM e data lake che crea un ecosistema capace di supportare attivamente le persone che si occupano di sicurezza, fornendo segnali chiari e azioni da intraprendere".
La piattaforma Singularity di SentinelOne colleziona tutti i dati provenienti in maniera nativa dalle soluzioni SentinelOne così come da altre soluzioni di sicurezza presenti all'interno dell'organizzazione, alimentando un unico data lake su cui viene applicata l’AI Purple AI. Questo permette, sottolinea Cecchi, “di essere molto più efficaci ed estremamente più veloci nell'analisi e nel mettere a fattore comune tutte le informazioni”. In altre parole, non ci sono più approcci a silos e differenti sistemi (anche di AI) che devono lavorare di concerto.
Giocando sul fattore tempo, Paolo Ardemagni ha aggiunto che la piattaforma Singularity “è nata nel cloud e per questo ha una velocità di ingestion dei dati elevatissima”. Un ulteriore tassello è posizionato da Luca Besana, Senior Channel Business Manager della Mediterranean Region di SentinelOne, che ha sottolineato il concetto di hyper-automation e l'importanza del no-code: "la parte predittiva della nostra intelligenza artificiale è in grado di lanciare script di automazione. Stiamo lanciando un progetto di hyper-automation che vedrà la luce tra la fine di quest'anno e l'inizio del prossimo, che permetterà automazioni no-code". Si tratta di un approccio, quest’ultimo, che è capace di superare i limiti delle tecnologie precedenti: "oggi, i SOAR richiedono competenze di coding per essere implementati e mantenuti. Con il no-code sarà il sistema stesso, coadiuvato dall'intelligenza artificiale, a gestire queste interazioni automaticamente" sottolinea Besana.
Buttando uno sguardo sul futuro della cybersecurity, Besana spiega che l’approccio di SentinelOne è estendere la risposta attiva dalla protezione degli endpoint a tutto l'ecosistema aziendale: "Oggi la nostra soluzione si occupa di prevenzione, controllo, detection e remediation autonoma. Stiamo estendendo queste capacità anche alle terze parti, raccogliendo informazioni da diverse fonti per migliorare la visibilità e l'efficacia della risposta".
Il tema si presenta come uno dei più rilevanti nel medio periodo. Anche Cecchi lo tratta diffusamente, aggiungendo che quello a cui sta lavorando SentinelOne e di cui oggi si vede già l’embrione è “una artificial intelligence di tipo predittivo, che una volta raccolto il dato e proposto in linguaggio naturale indica anche quali sono i passi successivi da compiere: che tipo di sicurezza si dovrebbe fare per andare avanti nella seconda fase dell'investigazione, quali analisi di ulteriori dati occorrono”, e via discorrendo.
Questa novità già oggi permette di aiutare i team di sicurezza nell'analisi contestuale dell'incidente o dell'alert che si sta in questo momento analizzando, ma anche di aiutare gli analisti a capire quali sono i passi successivi da compiere. “L'obiettivo che noi ci poniamo – conclude Cecchi - è arrivare ad avere una artificial intelligence che sia quanto più possibile automatizzata, togliendo dalle spalle degli analisti tutta una serie di analisi che possono essere completamente automatizzate, per illustrare agli analisti le informazioni che non sono direttamente legate a quell'investigazione, ma che riguardano, partendo dall'investigazione stessa, un ambiente o un ambito estremamente più ampio, in modo da dare a loro quanto più possibile contesto per poter lavorare meglio”.
Ardemagni ha evidenziato che questo impianto difensivo funziona, a patto che la qualità del dato sia elevata: "Con più la base di dati è di qualità, con più la risposta sarà veloce ed efficace. La nostra sfida è migliorare continuamente la qualità dei nostri dati per garantire una protezione sempre più efficiente". La partita della security, pertanto, secondo Ardemagni si giocherà sempre di più sulla qualità dell'EDR, che rimarrà comunque il luogo in cui avviene la maggioranza delle attività degli attaccanti.
Un altro elemento cruciale sarà il fattore tempo: “già si parla di Mean Time to Detect, negli ultimi anni, il tempo di permanenza di un attaccante all'interno di una rete si è ridotto drasticamente", ha osservato Ardemagni. "Gli attaccanti oggi non sfruttano più solo le vulnerabilità, ma acquistano accessi da infostealer e access broker, utilizzando credenziali valide per muoversi lateralmente all'interno delle reti". Questo cambiamento richiede nuove strategie di difesa: "la nostra intelligenza artificiale dev’essere in grado di rilevare e rispondere a questi nuovi metodi di attacco, migliorando continuamente le nostre capacità di detection e response".
Quanto emerso dall’evento è pertanto una continua evoluzione della difesa, in cui le solite sigle della cyber sono solo un breve passaggio in una visione ben più ampia. Per questo, Paolo Cecchi invita a mettere da parte EDR, XDR e affini e a vedere Sentinel One come “un vendor di sicurezza e di dati che aiuta le aziende a migliorare e a essere più efficienti e all'avanguardia nell'ambito della security”.