Un futuro di automazione spinta in cui AI e Machine Learning avranno un ruolo sempre più cruciale per la difesa proattiva delle aziende. SentinelOne apre una finestra sul panorama di domani.
Autore: Redazione SecurityOpenLab
La cybersecurity è destinata a diventare un processo automatizzato e proattivo, strettamente legato all’AI e in grado di rispondere alle minacce in tempo reale per mantenere sempre operative le aziende. È una prospettiva positiva ma non scontata, perché “non è solo una questione di prodotto, di ingegneria, di marketing o di messa a terra dei progetti. È un insieme di tutto questo e della capacità di concentrarsi su ciò che ha valore per un cliente” ha sottolineato Nicolas Day, VP Global Go-To-Market Strategy di SentinelOne nel corso di un incontro con la stampa. In questo contesto il vendor statunitense si candida come punto di riferimento in virtù dell’integrazione nativa di AI e Machine Learning nella sua piattaforma Singularity, della tecnica peculiare di protezione delle identità e degli investimenti in hyper automation.
Day ha messo a fuoco le tre principali tendenze che stanno modellando a livello globale il comparto della cybersecurity. Il primo è l’uso dell’AI da parte degli attaccanti, che è un elemento nuovo se pensiamo che “cinque anni fa attacco e difesa erano una sfida fra uomini, oggi è una competizione fra macchina e macchina" ha sottolineato Day. Gli attacchi alimentati dalle AI non solo aumentano in volume, ma diventano sempre più sofisticati, tanto che secondo il manager “gli esseri umani non possono più competere con la velocità e la capacità di adattamento" della macchine, ha spiegato Day.
L’altro problema evidenziato da Day è legato alla diffusione del cloud e alle tristemente note misconfigurazioni nei sistemi cloud, che costituiscono un importante punto debole per le infrastrutture. Anche una breve finestra di esposizione può essere sufficiente per consentire a un attaccante di entrare in un sistema. Terza e ultima tendenza riguarda i deepfake, i video e audio falsificati con l’AI che sono diventati sempre più realistici e credibili, tanto da aprire le porte a nuovi tipi di attacchi di social engineering. "È difficile distinguere il vero dal falso senza verificare la fonte", ha sottolineato Day, citando esempi di deepfake utilizzati per compromettere figure chiave nelle aziende con lo scopo di indurre i dipendenti a compiere azioni dannose.
Day ha ribadito la peculiarità di SentinelOne: fin dagli esordi l'Intelligenza Artificiale e il Machine Learning sono stati al centro della piattaforma aziendale: “Il nostro agent sfrutta l’AI fin dall’inizio" e questa integrazione permette alla soluzione di SentinelOne di rilevare comportamenti sospetti e agire autonomamente per neutralizzare le minacce, senza bisogno di aggiornamenti costanti. Una capacità proattiva che si sta rivelando particolarmente importante nel contesto attuale. E che è la risposta di SentinelOne agli attacchi portati avanti con le AI.
Chi può trarre vantaggio dall’uso dell’AI? Nicolas Day evidenzia che fra i beneficiari ci sono sia le grandi aziende sia le PMI, che hanno meno risorse per gestire la sicurezza in autonomia. Cecchi ha confermato questa tendenza nel mercato italiano, dove SentinelOne si era inizialmente focalizzata sul segmento SMB, per espandere poi il proprio raggio d'azione al mercato enterprise. "Le grandi aziende non acquistano solo la tecnologia di oggi, ma investono nella vision di SentinelOne, che prevede un'evoluzione parallela con l'evolversi degli attacchi" ha puntualizzato Cecchi.
Consapevole che l’integrazione di AI da sola non basta, SentinelOne ha anche introdotto un anno fa PurpleAI per interagire con la piattaforma tramite comandi vocali o testuali. “Anche chi non è tecnico può porre domande al sistema, come per esempio quanti tentativi di login sono stati effettuati nelle ultime 24 ore, e ottenere una risposta dettagliata in pochi secondi”, ha argomentato Day. Questo approccio migliora la produttività e al contempo permette di automatizzare il triage degli alert, riducendo il carico di lavoro per gli analisti di sicurezza.
Sul fronte delle misconfigurazioni, Day evidenzia la soluzione CNAPP (Cloud-Native Application Protection Platforms) che è sempre attiva e in una manciata di minuti stila l'inventario dettagliato di ogni workload in cloud evidenziandone le vulnerabilità verificate, grazie a un motore offensivo che agisce alla stregua di un pentest evidenziando i problemi prima che vengano sfruttati dagli attaccanti.
Day chiama poi in causa la protezione delle identità, in un contesto che vede gli attaccanti sempre più interessati al furto di identità per perpetrare attacchi avanzati. A tale proposito, l’agent unificato di SentinelOne ha introdotto un meccanismo di protezione dell’identità che consente di prevenire attacchi basati sul furto di credenziali e di cui ci aveva parlato dettagliatamente in passato il Technical Director Marco Rottigni.
Non sono queste le uniche attività svolte dalla piattaforma Singularity di SentinelOne, ma sono quelle scelte da Day per far comprendere la filosofia aziendale, ossia “la capacità di anticipare e risolvere le nuove sfide della cybersecurity”, grazie alle quali il vendor vanta risultati di mercato invidiabili: “nel secondo trimestre dell'anno fiscale 2025, SentinelOne ha registrato un ARR (Annual Recurring Revenue, ricavi ricorrenti annuali) di 806 milioni di dollari, con una crescita del 33% su base annua” ha rimarcato Day.
Paolo Cecchi, Regional Sales Director Mediterranean Region di SentinelOne, ha aggiunto dettagli relativi alla situazione italiana. Uno degli aspetti principali trattati da Cecchi riguarda l'ingestion e la retention dei dati. Si tratta di un tema spesso sottovalutato ma fondamentale per garantire una protezione efficace e di lungo termine: "le soluzioni tradizionali di SIEM, soprattutto quelle nate on-premises e successivamente migrate nel cloud, hanno costi di storage e retention dei dati estremamente elevati. Ciò mette molte aziende in difficoltà, specialmente quando si tratta di mantenere i dati per periodi prolungati", ha spiegato Cecchi.
La conseguenza è che le aziende spesso si limitano a una retention breve, inclusa fra 15 e al massimo 90 giorni, che è una finestra di tempo insufficiente per tracciare tendenze a lungo termine o rilevare minacce persistenti come quelle APT. È in questo contesto che, sottolinea Cecchi, “la soluzione cloud-native di SentinelOne permette una retention estesa a costi ridotti, consentendo ai SOC di monitorare piccoli cambiamenti nel tempo e di individuare eventuali attacchi nascosti”.
Un altro tema particolarmente critico per il contesto italiano è quello degli attacchi alla supply chain, un fenomeno in crescita che è difficile da arginare perché "anche se un'azienda investe in cybersecurity e adotta le migliori tecnologie, diventa estremamente difficile proteggere l'intero ecosistema con cui si interfaccia quotidianamente" rimarca Cecchi. La chiave per colmare il gap di competenze fra tutte le realtà che fanno parte della medesima supply chain è l’automazione: "non possiamo pensare che le piccole aziende abbiano lo stesso livello di risorse e budget delle grandi organizzazioni", ha spiegato. "L'unico modo per affrontare questa disparità è attraverso l'automazione, che grazie all'intelligenza artificiale consente di ottimizzare i processi e migliorare l'efficacia delle operazioni di sicurezza".
Cecchi riaggancia poi il tema della cloud security trattato sopra da Day, evidenziando che nel caso dell’Italia è ancora poco sentito: nonostante "il cloud sia una superficie d'attacco sempre più critica, molte organizzazioni hanno adottato soluzioni di cloud security solo per spuntare una check-box, senza realmente implementare misure avanzate" sottolinea Cecchi. Un approccio, questo, che non funziona a fronte del volume e del tipo di attacchi cloud a cui stiamo assistendo. Per questo il manager si aspetta una rapida crescita della componente di cloud-native security della piattaforma SentinelOne, “che offre una soluzione altamente differenziante”.
Altro fronte caldo nel Belpaese riguarda il consolidamento delle soluzioni di sicurezza. Cecchi ha spiegato come la gestione di soluzioni separate e non integrate sia ormai diventata insostenibile. Da qui la crescente importanza della piattaforma Purple AI, che permette di consolidare le informazioni provenienti da diverse superfici d'attacco, ottimizzando la gestione degli incidenti di sicurezza. È un concetto quest’ultimo che chiama direttamente in causa il tema dell’hyper automation, che per Cecchi è senza mezzi termini il futuro: "stiamo creando una piattaforma che automatizzi la risposta agli incidenti in modo semplice ed efficace, senza la necessità di un continuo aggiornamento del codice, come invece richiedono i SOAR tradizionali".
Proprio rispetto alle soluzioni di Security Orchestration, Automation and Response, il giudizio di Cecchi è particolarmente severo: il manager reputa che l’eccessiva complessità dei SOAR abbia portato molte aziende a investire in queste soluzioni per poi usarle poco e con scarso successo. La fiducia verso la response automatizzata però non deve risentire di queste esperienze deludenti, perché – sottolinea Cecchi, "l'approccio di SentinelOne all'Hyper Automation semplifica il processo e permette di automatizzare la risposta agli incidenti in modo rapido ed efficiente" mediante un approccio no-code che “riduce la complessità e i costi di gestione”.
Vale la pena riportare una nota di Cecchi e Day relativa all'offerta di SentinelOne per gli MSP, che sono una componente cruciale per la sicurezza delle piccole e medie imprese. Cecchi ha sottolineato che "la piattaforma multitenant di SentinelOne è molto apprezzata dagli MSP perché permette loro di gestire più clienti da un'unica interfaccia, offrendo al contempo un servizio di alta qualità. Questo rende più semplice per gli MSP fornire protezione senza dover aumentare significativamente le risorse interne".
Un ultimo tema di stringente attualità è quello relativo all’imminente entrata in vigore della normativa NIS2. Paolo Cecchi ha evidenziato come le tecnologie di SentinelOne possano colmare i gap tecnologici legati alla conformità, ma ha anche sottolineato che le normative stesse presentano lacune operative che ne rendono difficile la messa a terra: "Il vero gap è nella mancanza di integrazione tra i processi aziendali e la cultura interna, che coinvolge diversi dipartimenti oltre alla sicurezza IT". Si rende quindi necessario, oltre a una soluzione di security, la comprensione della filosofia stessa della security: una responsabilità condivisa in tutta l'organizzazione e a tutti i livelli, non solo il dipartimento IT.