Il cybercrime accelera con AI e credenziali compromesse. L'Italia è avanti sulla compliance, ma le PMI restano indietro. La risposta di SentinelOne.
Autore: Redazione SecurityOpenLab
Nel 2025 il costo complessivo del cybercrime a livello mondiale potrebbe aggirarsi intorno ai 10 miliardi di euro e gli investimenti degli attaccanti nel cybercrime cresceranno a dismisura, tanto che in alcuni paesi - come per esempio la Cina - si stima che ci siano circa 500mila persone coinvolte in attività di cybercrime verso il mondo occidentale, che lavorano affiliate allo Stato cinese. Le cifre sono state snocciolate nel corso di un evento stampa da Paolo Cecchi, Sales Director della Mediterranean Region di SentinelOne e danno perfettamente la misura di quanto il crimine informatico sia strutturato e alimentato da risorse considerevoli.
Cecchi ha descritto un panorama in evoluzione, caratterizzato da alcune tendenze molto chiare. Prima di tutto l’intelligenza artificiale, che ha ormai un ruolo centrale anche attacchi informatici: “i recenti report dei maggiori analisti di mercato evidenziano il fatto che l'AI ormai è diventata uno strumento assolutamente utilizzato dagli attaccanti", che consente anche a cybercriminali con competenze di basso livello di condurre attacchi più rapidi, precisi e mirati.
Un’altra tendenza chiave è la predominanza degli attacchi basati sulla compromissione delle credenziali: "gli attacchi che sono conseguenze di una compromissione di credenziali – spiega Cecchi - sono in continuo aumento e secondo le stime sono circa l'80% degli attacchi che vengono eseguiti a livello globale", rendendo necessaria una protezione non solo dei singoli endpoint, ma anche dell’identità digitale degli utenti.
Cecchi ha poi ristretto il focus sullo scenario europeo, in cui i diversi paesi sono chiamati ad affrontare sfide comuni, sempre più sofisticate, ma con criticità peculiari. Gli aspetti comuni sono le sopraccitate frammentazione delle soluzioni di sicurezza e carenza di risorse specializzate. L’Italia non fa eccezione, perché dalla testimonianza di Cecchi risulta che nel nostro Paese si riscontra ancora “tantissima frammentazione, tantissima confusione, tantissimo legacy, con un approccio un po' lento al cambiamento”. La situazione è particolarmente evidente nelle PMI che spesso faticano a destinare risorse adeguate alla cybersecurity.
Uno degli aspetti in cui l’Italia si distingue positivamente nel contesto europeo è la compliance normativa. Negli ultimi anni, il Belpaese ha lavorato per recepire le direttive europee, come la NIS2 e il regolamento DORA, con un processo non certo privo di difficoltà, ma che è stato avviato in anticipo rispetto ad altri Stati membri e adesso ne porta i vantaggi, perché “l'Italia dal punto di vista della preparazione all'adozione di queste normative si è mossa in anticipo e anche abbastanza bene” sottolinea Cecchi.
Tuttavia non mancano gli ostacoli: come sottolinea Cecchi, infatti, “fatto salvo l'impasse iniziale in cui c'era tantissima confusione su chi doveva fare cosa, l'adozione o l'applicazione di queste normative è stata spesso demandata esclusivamente ai team di sicurezza”, con un approccio che secondo Cecchi è “sbagliato perché la cybersecurity dev’essere trasversale all'organizzazione”. Alla luce di questo, la conformità normativa non può essere un compito esclusivo dei team IT, ma deve coinvolgere anche altre funzioni aziendali.
Un altro problema evidenziato da Cecchi riguarda la disparità nell’adozione delle normative tra le grandi aziende e le PMI: “credo che le grandi organizzazioni siano molto più avanti in questo processo, mentre la PMI invece resta un po' indietro” evidenzia Cecchi, che imputa questo ritardo principalmente alla scarsità di risorse e competenze interne: “le risorse all'interno della PMI da dedicare alla cybersecurity sono veramente ridotte e questo significa che anche l'adozione di normative, in alcuni casi complicate come quelle di cui stiamo parlando, può essere rallentata e ritardata”.
Appurati lo scenario e le esigenze, SentinelOne risponde con la Singularity Platform di cui è entrato nel merito Marco Rottigni, Technical Director di SentinelOne. La piattaforma esiste da tempo, ma si evolve costantemente e oggi ha assunto un ruolo centrale, a fronte di una logica chiara: "non importa quanto frammentato sia lo stack tecnologico di un'azienda: è mandatorio che tutte le tecnologie attive debbano lavorare insieme, pena l'invisibilità, l'incapacità di capire che cosa ha rilevato una certa soluzione di sicurezza, l'impossibilità di rispondere e di reagire in tempi che devono essere brevi, oggi più che mai" spiega Rottigni.
Riguardo al concetto di Data-Driven Security - ben esplicato dall’immagine che riportano qui sopra - la piattaforma è progettata per raccogliere, normalizzare e rendere consumabili grandi quantità di dati, a prescindere dalla loro provenienza: "non importa la distinzione tra quello che produciamo noi grazie ai nostri agenti, alle nostre capacità di detection o che l'informazione sia prodotta da una fonte terza, magari una CyberArk per la gestione dei privilegi di identità, magari una Google per la gestione documentale", spiega Rottigni, “l'importante è che questi dati siano normalizzati e utilizzabili, grazie allo standard OCSF (Open Cyber Security Schema Framework).
I dati vanno poi orchestrati, ed è in questa fase che entra in gioco la Hyper Automation, di cui abbiamo già parlato in maniera esaustiva. Rottigni rimarca uno dei maggiori vantaggi di Hyper Automation, che è quello di connettere e automatizzare processi tra diverse piattaforme in modalità no-code, ossia senza necessità di scrivere codice.
Il terzo pilastro della Singularity Platform è l’intelligenza artificiale, e nella fattispecie l'AI generativa di Purple AI, un’architettura avanzata che consente di interrogare qualsiasi fonte di dati raccolta in formato OCSF. Il vantaggio di questo componente è che gli analisti possono interagire con i dati in linguaggio naturale, migliorando efficienza ed efficacia operativa.
Vale la pena soffermarsi un attimo sull’aspetto dell’integrazione. Fin dall’esordio la piattaforma SentinelOne è stata presentata come aperta e integrabile con altre soluzioni di cybersecurity e IT operations. Rottigni ha puntualizzato che tale integrazione è aperta anche a strumenti di vendor concorrenti: "Hyper Automation è una soluzione che abbraccia Palo Alto come Discord, Google come Microsoft” spiega Rottigni, mostrando un grafico esplicativo che riportiamo qui sotto.
Ecco che quindi a seconda delle esigenze, la Singularity Platform può funzionare come un centro di raccolta e analisi di allarmi e vulnerabilità, per poi propagare queste informazioni ad altre piattaforme, oppure come un motore di osservabilità e visualizzazione, che offre insight immediati sulle minacce.