Oggi, gli attacchi dei cybercriminali hanno raggiunto una tale sofisticatezza che per assicurare un elevato livello di protezione bisogna ricorrere a piattaforme complete e integrate, che prevedono l’uso di diversi sistemi, ciascuno ottimizzato per identificare e bloccare un determinato tipo di minaccia o abilitare una specifica protezione. Nasce quindi la necessità di poter gestire le informazioni che arrivano da un parco eterogeneo, riuscendo a discriminare i reali attacchi da legittimi comportamenti degli utenti. Non solo. Tutto questo va fatto in tempi rapidissimi per non lasciare la possibilità agli attaccanti di andare a segno. Serve una velocità di detection che un uomo non può raggiungere, devono occuparsene i sistemi automatizzati. Ma come ottenere tali risultati? Abbiamo posto questa e altre domande a Marco Rottigni, technical director di SentinelOne.
Cosa vuol dire attuare la cybersecurity oggi?
Oggi per massimizzare l’efficacia con cui si erige la difesa dagli attacchi avanzati del cybercrime non si deve più parlare di singola soluzione ma di piattaforma. Sono ancora tante le persone che identificano SentinelOne con l’Endpoint detection & response (EDR): è stata e rimane una delle nostre eccellenze. Tuttavia, oltre all’EDR, una piattaforma di difesa oggi deve avere almeno altri tre componenti altrettanto validi: un SIEM (Security Information and Event Management) potenziato dall’intelligenza artificiale che deve capire da dove è arrivato l’attaccante e se l’attacco è ancora in corso o è stato debellato; un data lake di back-end che riceve le telemetrie da tutti gli agent presenti in rete (anche di vendor differenti, quindi che usano linguaggi diversi) e un sistema di intelligenza artificiale generativa che sappia analizzare rapidamente tali dati, effettuando anche interrogazioni complesse, così da avere più velocemente possibile un’indicazione di quanto sta succedendo. La nostra piattaforma di cybersecurity si chiama Singularity e la nostra proposta in tema di intelligenza artificiale generativa è Purple AI.
Quali vantaggi comporta l’impiego dell’AI generativa?
L’introduzione dell’intelligenza artificiale generativa nella nostra piattaforma consente di tradurre richieste effettuate anche di tipo complesso usando il linguaggio naturale in query avanzate, migliorando significativamente le capacità analitiche e accelerando le indagini dell’analista. La normalizzazione dei dati, resa possibile anche dall’adozione dello standard OCSF (Open cybersecurity schema framework), garantisce una maggiore coerenza e facilita l’analisi trasversale tra diverse fonti, come potrebbero essere i log creati da sistemi di diversi e molteplici vendor, quali per esempio Palo Alto, Check Point, Fortinet o CyberArk, per citare alcuni dei più noti. L’intelligenza artificiale generativa non si limita però alla creazione di query: è in grado di contestualizzare eventi specifici all’interno di una sequenza più ampia, fornendo agli analisti una comprensione approfondita e riducendo i loro tempi di reazione.
Una delle vostre novità più attese per il 2025 è l’hyper automation. In cosa consiste?
L’hyper automation arriverà a breve ed è un altro pilastro fondamentale della nostra piattaforma. In pratica è un’automazione avanzata che permette di orchestrare flussi di lavoro complessi tramite un approccio no-code, rendendo accessibile la configurazione anche a utenti con competenze tecniche limitate.
Con oltre 150 configurazioni preimpostate per l’integrazione trasparente di tecnologie di terze parti senza costi aggiuntivi, la piattaforma supporta una vasta gamma di sistemi, inclusi Office 365, Google Suite e firewall aziendali, garantendo una rapida implementazione e una risposta coordinata alle minacce. È un approccio che supera i limiti tradizionali dei SOAR (Security orchestration automation and response), eliminando la necessità di lunghi processi per la personalizzazione di flussi di lavoro codificati e riducendo i costi associati. In questo gioca un ruolo essenziale l’approccio no-code che permette letteralmente di avere a disposizione un insieme di mattoncini da assemblare per automatizzare determinati flussi di lavoro.
La semplicità, nell’implementazione e nell’utilizzo, assume un ruolo chiave…
Esatto. SentinelOne Singularity consente agli analisti di interrogare i dati in modo unificato e di ottenere una visione globale delle attività sospette, rendendo più efficaci le operazioni di rilevamento e risposta. La nostra piattaforma è compatibile con un’ampia varietà di sistemi operativi, inclusi Windows, Mac e Linux, e supporta anche versioni obsolete come Windows 7 e Windows Server 2003. L’installazione non richiede il riavvio della macchina, minimizzando l’impatto sulle operazioni aziendali e garantendo una transizione fluida. In questo, gioca un ruolo fondamentale anche la collaborazione con partner qualificati, che è un elemento centrale della nostra strategia. Attraverso i Managed security service provider (MSSP), possiamo offrire soluzioni chiavi in mano, permettendo alle organizzazioni di ogni dimensione di adottare la tecnologia in modo flessibile. Ciò consente anche a piccole realtà, come gli studi professionali, di accedere a una protezione avanzata senza dover gestire direttamente l’infrastruttura di sicurezza.