Autore: Redazione SecurityOpenLab
La piattaforma Singularity XDR di SentinelOne è il punto di unione ideale delle risultanze dell'analisi di più superfici, grazie alla capacità di SentinelOne di convertire l'intero backend dei clienti in un data lake, quindi in un patrimonio di dati inestimabile per quantità, prestazioni e apertura verso il mondo esterno. Il data lake di SentinelOne è enormemente più efficiente di qualsiasi database o sistema di memorizzazione di dati tradizionale e ci pone nella posizione unica di poter raccogliere informazioni relative alle diverse superfici che ci impegniamo a difendere con una tecnologia puntuale: identità, cloud, mobile ed endpoint.
Al tempo stesso abbiamo lavorato per normalizzare tutti i dati con un vero standard: tutto il processing dei log, anche di fonti terze integrate con SentinelOne, è allineato allo standard OCSF (Open Cyber Security Schema Framework) che ci permette di avere una visione normalizzata delle fonti che inviano dati alla piattaforma SentinelOne. Parlo potenzialmente di firewall, dei single-sign-on, dei sistemi di gestione delle autenticazioni, di altri SIEM, di tutta una serie di fonti eterogene e di Threat Intelligence, che permettono alla piattaforma di scegliere quali e quante contribuzioni usare per definire un incidente. Il concetto di XDR fonda proprio le sue origini su questo tipo di integrazione trasparente, e noi lo sviluppiamo in maniera completa e pervasiva.
Un esempio chiarisce meglio il potenziale enorme del nostro approccio. Poniamo il caso di un incidente rilevato dall’endpoint detection della piattaforma SentinelOne. La scheda dell’incidente si arricchisce delle contribuzioni del single-sign-on che indica chi è l'utente e cos'ha fatto negli ultimi due mesi, dei dati della VPN che indicano quante volte l'utente ha sbagliato la password nell'accesso remoto e da quale Paese si è collegato, dei log del firewall che notificano un port scan su una superficie esterna (che per un endpoint non è normale). Tutte queste informazioni, in contesti normalizzati all'interno dello stesso incidente, permettono all'analista un'immediata comprensione della situazione e un triage veloce: è un vantaggio peculiare della piattaforma SentinelOne.
Dato che la security è un ambito in continua evoluzione, anche le soluzioni di difesa devono evolversi. A questo proposito vedo SentinelOne crescere e affermarsi come una piattaforma di security capace di esporre il possibile percorso di attacco al cliente da un punto di vista grafico. La direzione è quella della semplificazione e dell’immediatezza, quindi è verosimile aspettarsi che diventerà superfluo fornire una serie di informazioni descrittive che gli analisti debbono interpretare. È molto più efficace esporre il possibile percorso di attacco, ossia analizzare l’infrastruttura nel suo complesso e mostrare graficamente al cliente dov’è attaccabile e come, i verosimili punto d'ingresso in rete dell’attaccante, i suoi punti di passaggio e quelli di arrivo.
Il vantaggio in termini di business di questa prospettiva è enorme, perché nessuna azienda ha la reale capacità di rendere invulnerabile tutta la superficie di attacco nella sua interezza. Ma, a prescindere da quante siano le vulnerabilità, in base alla propria infrastruttura è possibile capire quali asset mettere in sicurezza per stroncare sul nascere l’effetto domino di un attacco. Così facendo risolvo due problemi: dal punto di vista della prevenzione capisco che cosa mettere davvero in priorità, ossia quali sono le poche attività che possono garantire la massima efficacia, ottimizzando i costi e le risorse. Da un punto di vista delle security operations, questo approccio consente di capire prima che cosa è successo, e quindi di reagire immediatamente per il contenimento. Come ben noto, nell'ambito della cyber security i tempi di reazione a un incidente giocano un ruolo fondamentale perché sono direttamente proporzionali ai danni che tale incidente può causare.