Autonomous SOC non è un Security Operation Center che funziona senza bisogno di analisti. È un SOC dove gli analisti in carne e ossa diventano più efficaci, più veloci e meno stressati. L’ha sottolineato Marco Rottigni, Technical Director di SentinelOne, al ritorno dall’evento aziendale OneCon 2024 in cui hanno tenuto banco, oltre al sopraccitato SOC autonomo, anche i temi di hyper automation, PurpleAI e AI SIEM.

Gli argomenti orbitano tutti attorno alla tecnologia innovativa dell’Intelligenza Artificiale e al suo impiego con l’obiettivo di potenziare le skill delle security operation. “Velocizzare quanto più possibile la loro efficienza per minimizzare la permanenza dell'attaccante, diminuire i danni per l'azienda, in definitiva impedire che la missione dell'attaccante arrivi a buon fine” sottolinea Rottigni. In altre parole, l'Autonomous SOC è uno strumento innovativo per potenziare le risorse esistenti, di modo che l'azienda sia più efficiente e veloce nella difesa dagli attacchi e nell'interpretazione degli eventi di sicurezza rispetto a prima, senza investire in nuove risorse. E, in caso decidesse di portare a bordo nuove risorse, “la tecnologia di Autonomous SOC permetterebbe di capitalizzare più velocemente l’investimento perché accorcerebbe la curva di apprendimento per i nuovi analisti”.

Autonomous SOC

“Ci sono sempre due clienti per una soluzione di cybersecurity. Uno è l'utente che ha l’esigenza di tornare velocemente operativo quando subisce un attacco. L’altro è il team di security operations, che ha il compito di comprendere nel più breve tempo possibile cos’è successo quando si verifica un attacco – a prescindere dalla sua complessità - e di attuare azioni di contenimento/ripristino” sottolinea Rottigni. Autonomous SOC e hyper automation agiscono in questo secondo ambito, vediamo come.

Marco Rottigni, Technical Director di SentinelOne

Partiamo dalla struttura essenziale di un SOC, in cui convivono tre elementi basilari: dati, tecnologie e persone. In questo scenario, secondo Rottigni tutti e tre “devono interoperare perché non possono vivere l'uno predominando sull'altro. La tecnologia automatizzata non ha la capacità di discernimento necessaria per fare tutto da sola senza errori (anche clamorosi). L’analista senza dati è cieco e senza automatizzazione è esageratamente più lento degli attaccanti, quindi il predominio delle persone si convertirebbe in lentezza e inefficienza, oltre che in un livello di stress insostenibile”.

Nella visione di SentinelOne, l’equilibrio fra gli elementi in gioco è rappresentato dall’Autonomous SOC, che fa in modo di massimizzare le competenze delle risorse specializzate (gli analisti, che risultano essere inferiori alle richieste e costosi), permettendo loro di fare più cose in meno tempo. Concretamente, l'Autonomous SOC è sviluppato su caratteristiche e soluzioni quali hyper automation, Intelligenza Artificiale generativa (che nella declinazione di SentinelOne è Purple AI) e AI SIEM, cioè il Data Lake su cui fonda la piattaforma Singularity e che Rottigni presenta come “la soluzione più potente per normalizzare una grandissima quantità di dati, in modo che siano immediatamente disponibili e facilmente reperibili a prescindere dalla sorgente da cui provengono”.

Purple AI

Purple AI ha compiuto passi da gigante da quando è stato presentato e oggi non è più un chatbot come ChatGPT, ma è “un elemento di Intelligenza Artificiale generativa altamente specializzato in cybersecurity e altamente rispettoso della privacy, che lavora vivendo solo dei dati del cliente, all’interno della subscription del cliente, senza spostare informazioni da e verso l’esterno”. La sua rapida evoluzione ha già permesso di spiegare contenuti complessi agli analisti in maniera semplice.

Portando un caso di esempio, Rottigni racconta che guardando un singolo log difficilmente si riesce a comprendere in quale contesto si trova e inquadrarlo come eventuale attività pericolosa. “Purple AI fornisce un trafiletto di 15 righe in cui spiega non solo in che cosa consiste il log, ma anche di che cosa fa parte, per esempio di altre 20 modifiche del registro di Windows nell’ambito di un'operazione di cifratura di 400 file”. La stessa attività viene fatta con gli alert, abbassando notevolmente il tempo di indagine degli analisti.

Hyper automation

Rottigni puntualizza che “hyper automation è un servizio di piattaforma che permette di creare un flusso di operazioni progettabili dagli esseri umani o clonabili rispetto a un template, per fare quello che serve nel momento in cui serve. In pratica consiste in una innovazione più efficiente, più funzionale e più utile del tradizionale SOAR”. Parliamo quindi di orchestrazione, cambiandone il paradigma di base secondo cui “funzionava se, e solo se, l'utente aveva un'idea precisa del processo e del flusso di processi che voleva automatizzare”, che secondo Rottigni è un presupposto spesso inesistente.

Usando il data lake di SentinelOne e Hyper Automation è invece possibile partire da un alert della piattaforma Singularity, estrarne determinati dati, farseli spedire via email, contestualmente aprire un ticket su una piattaforma terza come per esempio ServiceNow e - se l’alert riguarda la segnalazione di un malware - controllarlo su VirusTotal, Malwarebytes e Alien Labs. Il tutto in modo automatizzato e replicabile in tutti i casi simili,

senza scrivere una riga di codice, salvando il flow con un nome parlante che permetta di riconoscerlo, e andando a comporre una libreria di modelli che l'hyper automation avrà già pronti all’uso. Il tutto con la stessa logica dell’Autonomous SOC: accelerare l'efficacia e l'efficienza delle Security Operations.Un’automatizzazione utile e non minacciosa per gli analisti, perché – sottolinea Rottigni - “la governance, le policy, i flussi di lavoro e l’esperienza continueranno ad essere solidamente nelle mani dagli esseri umani”.

Una piattaforma in via di espansione

I servizi descritti sono integrati nella piattaforma Singularity già in dotazione ai clienti, della quale costituiscono opzioni di espansione. In questo senso la dinamica di gestione di Singularity - e per conseguenza di acquisto dei clienti - è la stessa alla base della cybersecurity: un processo in continua evoluzione che si adatta alle dinamiche del mercato, degli attacchi, delle singole esigenze verticali.

Rottigni spiega che “un'azienda che ha scelto Singularity ha scelto un percorso a supporto delle proprie strategie e vision di cyber security, nell’ambito di un arco temporale che mediamente copre da uno a cinque anni”. Nell’ultimo quinquennio, per esempio, l’esigenza di difesa si è ampliata dal solo endpoint (con cui è partita Singularity) alle identità, al cloud e multi-cloud, alla threat intelligence al vulnerability management. “Ogni volta che creiamo nuovi servizi progettiamo delle evoluzioni tecniche della piattaforma prestando attenzione alla loro integrazione ottimale sia sotto l’aspetto tecnico che commerciale, così che i clienti possano consolidare continuamente le funzioni che per loro sono prioritarie.