Fondata nel 2013 e quotata in Borsa dal 2021, SentinelOne si è rapidamente affermata come una delle aziende leader nel settore della cybersecurity. Partendo come startup, l’azienda ha visto una crescita esponenziale per diventare oggi una realtà con oltre 2.500 dipendenti e un fatturato per l’anno fiscale 2024 di oltre 621 milioni di dollari conseguendo un incremento rispetto all’anno precedente del 47% di ricavi e del 39% del reddito annuale ricorrente. Il successo di SentinelOne è, in gran parte, dovuto al proprio approccio strategico alla sicurezza, che si basa su un modello di protezione multilivello che affronta le minacce informatiche in maniera comprensiva, dalla prevenzione al rilevamento e alla risposta. L’azienda ha investito in modo significativo nella propria piattaforma Singularity sviluppata in cloud e potenziata dalla tecnologia di intelligenza artificiale Purple AI, che rappresenta una pietra miliare della sua offerta. Purple AI migliora l’efficacia degli analisti di sicurezza, permettendo loro di elaborare indagini complesse in linguaggio naturale e di ricevere risposte rapide e pertinenti, ottimizzando così il tempo di risposta agli incidenti. L’Italia fa parte della Region Southern EMEA guidata dal manager Paolo Ardemagni, che ricopre la carica di Vice President.
Una crescita costante guidata dall’innovazione
La storia di SentinelOne parte poco più di un decennio fa quando il fondatore e attuale CEO, Tomer Weingarten, comprese l’importanza di integrare la protezione degli endpoint (EPP) con le capacità di risposta immediata e a velocità macchina (EDR). Tale intuizione si è rivelata cruciale per affrontare le emergenti sfide della sicurezza informatica. “Sin dai primi anni, SentinelOne si è distinta per funzionalità avanzate indirizzate non solo al rilevamento delle minacce ma anche a fornire complete opzioni di risposta – sottolinea Paolo Ardemagni, Vice President Southern EMEA di SentinelOne – come la funzionalità di Rollback che consente di ripristinare rapidamente un sistema allo stato precedente a un attacco; questa caratteristica ha contribuito al crescente apprezzamento verso l’azienda ed è oggi un baluardo per la protezione da attacchi come il Ransomware. Un ulteriore elemento distintivo delle soluzioni SentinelOne è l’uso dell’intelligenza artificiale, presente fin dall’inizio e via via potenziata attraverso tecnologie per l’analisi delle anomalie di comportamento”.
Una piattaforma per l’analisi integrata
Oggi lo sviluppo dell’AI nelle soluzioni di SentinelOne raggiunge un nuovo traguardo con il recente rilascio di Purple AI una piattaforma di intelligenza artificiale che abilita l’integrazione tra molteplici tecnologie di sicurezza, incluse quelle di terze parti, pensata per fornire una capacità di riconoscimento delle minacce più rapida e proattiva e funzionalità di risposta che si estendono a tutti gli ambienti, dispositivi, dati e identità che, insieme, costituiscono l’infrastruttura digitale di un’azienda. In più Purple AI prevede un’intuitiva interfaccia utente interrogabile attraverso il linguaggio naturale che permette anche agli utenti meno esperti di comprendere le dinamiche delle minacce e di acquisire consapevolezza in tempo reale sullo stato della sicurezza.
“In un mondo in cui l’intelligenza artificiale è a disposizione sia dei ‘buoni’ sia del cybercrimine, per vincere la sfida è indispensabile adottare una metodologia di protezione multilivello che non faccia affidamento su un’unica tecnica – sottolinea il Vice President Southern EMEA di SentinelOne -. Purple AI rappresenta un punto di svolta nella gestione della sicurezza, offrendo semplicità, automazione e velocità di dection and response senza precedenti. Queste caratteristiche confermano la nostra leadership emersa anche nei benchmark più recenti, incluso il ‘MITRE Engenuity ATT&CK 2023: Enterprise’ dove nelle valutazioni su attacchi simulati SentinelOne ha ottenuto il 100% del livello di rilevamento e protezione, bloccando tutte le minacce senza ritardi nel rilevamento e senza richiedere modifiche della configurazione.”
Il rilascio di Purple AI costituisce un nuovo tassello che si inserisce in una strategia di crescita alimentata anche da acquisizioni. A inizio 2024 è stata la volta di PingSafe, azienda indiana che ha portato in dote la sua piattaforma per la protezione delle applicazioni in modalità cloud-native, che ha fatto seguito a quella avvenuta nel 2021 di Scalyr, piattaforma, anch’essa cloud-native, per l’analisi dei dati su scala cloud che permette di raccogliere, correlare, ricercare e agire sui dati provenienti da qualsiasi sorgente.
“Queste acquisizioni sono state cruciali per sviluppare una gestione integrata delle minacce – afferma Ardemagni -. Tutto ciò ci ha permesso di realizzare la piattaforma integrata di rilevamento e risposta alle minacce (XDR) più avanzata del settore capace di estendersi attraverso l’intera reta aziendale inclusi gli ambienti cloud e mobile. In questo contesto la piattaforma Purple AI svolge un ruolo chiave nell’integrazione con le soluzioni di sicurezza di altri fornitori attraverso connettori software o integrazioni di tipo nativo per abilitare l’analisi e la ‘pulizia’ dei dati provenienti da ogni sorgente.”
La direzione strategica per il futuro è di continuare a integrare le nuove tecnologie emergenti puntando non solo a reagire, ma focalizzandosi sempre più su un’idea di prevenzione.
Si tratta di un obiettivo perseguito attraverso il costante potenziamento delle proprie soluzioni di intrusion prevention, vulnerability assessment, quelle per ridurre la superficie di attacco nelle Active Directory (come Singularity Ranger AD) e per l’IoT (Singularity Ranger Insight) e, non da ultima, un’offerta di servizi gestiti (Vigilance Respond MDR) che mette a disposizione competenze e analisi SOC in modalità 24/7.
“Il valore della nostra proposta trova conferma nei numeri – conclude Ardemagni -. In dieci anni SentinelOne è diventata un’azienda da oltre 621 milioni di dollari di fatturato, con 2.500 dipendenti in tutto il mondo di cui oltre 500 in Europa e una presenza molto forte nella regione Southern EMEA che raggruppa, oltre all’Italia, anche Paesi come Spagna, Portogallo e soprattutto Francia, dove le nostre soluzioni di sicurezza sono oggi presenti in buona parte delle aziende del CAC 40, il principale indice di Borsa francese”.
Protezione multilivello per ransomware e altre minacce
Il ransomware continua a essere una delle tipologie di attacco più utilizzate dal cyber crimine e l’Italia è saldamente al primo posto in Europa per numero di attacchi di questo tipo.
Secondo Paolo Cecchi, Sales Director Mediterranean Region di SentinelOne, questo avviene per due ragioni principali. La prima è che è sempre più facilmente accessibile anche ai non esperti, venendo offerto come servizio dal cyber crimine e con l’AI Generativa che ne consente una facile creazione. La seconda è che continua a essere una delle minacce alle quali è più difficile rispondere perché gli attaccanti trovano sempre un modo per ingannare l’essere umano.
“Il ransomware si è evoluto come tipologia di attacco verso una modaltà “silente” – precisa Cecchi -. Mentre, in passato, interveniva immediatamente a cifrare i dati non appena entrato nella rete di un’azienda, oggi è guidato da una strategia che prevede preventive azioni di ricognizione all’interno dell’organizzazione per cercare di capire quali sono gli asset e le risorse fondamentali disponibili, puntando a carpire un’identità o crearne una fasulla con privilegi legittimi per ottenere un successivo accesso completo a tutta l’infrastruttura aziendale evitando di venire identificato come un utente non autorizzato”.
L’importanza di proteggere le identità
La piattaforma di SentinelOne consente di aiutare le aziende a fronteggiare la piaga del Ransomware proteggendo, innanzitutto, le identità. Una protezione che interviene, per esempio, in relazione agli attacchi rivolti all’Active Directory o agli endpoint, attraverso tecnologie di rilevamento e risposta in grado di riconoscere processi in cui credenziali legittime provano a effettuare attività di ‘escalation” di privilegi e capaci di bloccarli. Un secondo modo in cui le soluzioni di SentinelOne intervengono per proteggere dagli attacchi ransomware è la possibilità, in caso di cifratura dei file effettata da un ransomware, di ripristinare con tempi estremamente rapidi l’ultimo stato “pulito” attraverso la funzionalità denominata Rollback, disponibile per i sistemi in ambiente Windows.
“Oggi le superfici di attacco, si stanno ampliando – osserva Cecchi – e chi pensa ancora di poter gestire la sicurezza informatica attraverso soluzioni a silos che intervengono su specifici ambiti e superfici di attacco sta combattendo una battaglia nella quale risulterà perdente. SentinelOne propone un modello basato sull’uso di una piattaforma unificata all’interno della quale è possibile implementare differenti funzionalità in grado di estendere la protezione a tutte le superfici di attacco. Solo in questo modo diventa possibile aumentare la capacità di rilevamento e, di conseguenza, di protezione”.
Data Lake: un unico luogo per l’analisi dei dati
La catena di un attacco oggi è costituita da una serie di passaggi successivi che sfruttano vulnerabilità differenti. Se un attaccante riesce a sfruttare una vulnerabilità per ottenere l’accesso a un sistema, passerà al livello successivo, probabilmente cercando di sfruttare credenziali locali per muoversi lateralmente all’interno dell’azienda e arrivare magari all’Active Directory. Dopo la fase iniziale, il sistema di vulnerability management non avrà più alcun ruolo e non sarà in grado di fornire alcun contributo in relazione al modo con cui sta evolvendo l’attacco.
“Per questo motivo – spiega Cecchi – serve una piattaforma in grado di fare due cose: proteggere tutte le superfici di attacco (endpoint, vulnerabilità, cloud, identità) e correlare gli eventi di sicurezza associati a ogni aspetto per comporre il puzzle finale in modo da individuare un attacco e scoprire come l’attaccante si sta muovendo all’interno dell’organizzazione. In mancanza di questa capacità di correlare tra loro le diverse tracce all’interno di un’organizzazione, continueremo purtroppo a essere vittime degli attacchi Ransomware”. La soluzione che realizza questo modello si chiama Singularity Data Lake pensata proprio per mettere a disposizione un luogo centralizzato dove tutte le informazioni provenienti da molteplici fonti e soluzioni di sicurezza vanno a convergere per essere oggetto di un’analisi centralizzata, in cui il motore di intelligenza artificiale Purple AI analizza, correla e interpreta i dati per aiutare gli analisti a identificare possibili minacce. Si tratta di una soluzione cloud native che, quindi, non ha alcun limite di scalabilità e che, proprio per questo, secondo SentinelOne fornisce prestazioni di analisi dei dati superiori rispetto alle soluzioni on-premise. “Ciò che noi cerchiamo di fare – osserva Cecchi – è guidare i nostri clienti verso un approccio che sia più funzionale per loro dal punto di vista non solo dei costi e del consolidamento delle soluzioni, ma anche da quello delle Security Operations. Questo è possibile predisponendo un punto unico di aggregazione delle informazioni provenienti non solo dalle nostre soluzioni ma anche da quelli di terze parti, perché non vogliamo creare condizioni di lock-in.”
Un mercato italiano maturo ma poco reattivo
Lo scenario italiano presenta sempre differenze rispetto ad altri Paesi ma, sul tema della sicurezza, secondo Cecchi siamo invece avanti a molti altri.
“Oggi in Italia abbiamo più di 300 clienti che ci permettono di coprire in modo trasversale tutti i mercati – spiega Cecchi -. Rispetto ad altri Paesi del Mediterraneo come Spagna, Portogallo e Israele dal punto di vista della maturità nell’adozione di soluzioni per la cyber security l’Italia si posiziona a un livello più elevato. Un limite tuttavia resta quello della reticenza a cambiare velocemente le direzioni intraprese ovvero di una certa staticità dal punto di vista dell’innovazione. Per scuotere questa staticità ci avvaliamo anche dei partner che sono una risorsa molto importante per noi”.
SentinelOne fa molto affidamento sui partner e, soprattutto, sui cosiddetti fornitori di servizi gestiti (Managed Service Provider o MSP) che sono l’avanguardia sul territorio in grado di ritagliare al meglio le soluzioni di sicurezza dell’azienda sulle specifiche esigenze del cliente. Tramite i partner SentinelOne veicola servizi di sicurezza gestiti di rilevamento (Managed Detection and Response) e a breve anche inclusivi della componente di risposta (Managed eXtended Detection and Response). “Il nostro motore di Artificial Intelligence Purple AI viene già utilizzato per i servizi di sicurezza gestiti MDR – conclude Cecchi – e quindi abbiamo verificato sul campo come l’AI permetta di velocizzare le attività di Threat Hunting dell’80% e di ridurre del 60% l’mpegno di risorse richieste. Sono numeri che evidenziano come l’AI possa migliorare moltissimo tutti i processi legati alle Security Operation.”
Purple AI: sicurezza per endpoint, identità e cloud
La rapidità nell’identificare una minaccia è un requisito essenziale. Spesso le aziende impiegano anche centinaia di giorni prima di accorgersi di essere stati violati e, nel caso del Ransomware, anche un breve lasso di tempo richiesto prima di individuarlo e bloccarlo, potrebbe essere sufficiente per rendere inutilizzabili centinaia di file e arrecare un danno all’azienda.
“È cruciale riconoscere che l’efficacia della sicurezza informatica si misura attraverso la sua capacità di servire due principali destinatari – spiega Marco Rottigni, Technical Director per l’Italia di SentinelOne -. Da un lato, troviamo gli utenti finali, coloro che subiscono direttamente gli attacchi informatici, le infezioni e le violazioni di sicurezza. Dall’altro, abbiamo il team addetto di Security Operations che ha il compito critico di identificare rapidamente la natura di un incidente di sicurezza per attuare strategie volte a ridurre i danni, confinare gli attaccanti e prevenire la perdita di dati significativi, oltre a mitigare le potenziali conseguenze sulla reputazione dell’azienda. Entrambi questi gruppi condividono un fattore critico: la necessità di agire con estrema velocità per stare al passo con il livello di automazione che caratterizza oggi sia gli attacchi sia le tecniche di raccolta dati da parte degli aggressori”.
Proteggere più superfici di attacco
Lo sforzo fatto da SentinelOne è stato di predisporre una soluzione in grado di rispondere autonomamente e in modo estremamente rapido, per neutralizzare ogni possibile infezione ai primi segni di minaccia e attivare da subito operazioni di ripristino. Per farlo il vendor ha sviluppato un modello di risposta in grado di abbracciare più superfici di attacco. “Possiamo identificare almeno tre superfici di attacco differenti – spiega Rottigni – endpoint, identità e cloud a cui si potrebbe aggiungere l’ambiente mobile, che qualcuno considera una quarta superficie di attacco mentre altri una “sotto branca” degli endpoint. Le strategie di difesa per ognuna di queste sono differenti. Gli attaccanti oggi tendono a prediligere i furti di identità anziché l’uso di malware avanzato e la strategia di difesa in questo caso è di individuare e reagire. La strategia richiesta per proteggere il cloud parte dal presupposto che sia difficile che un’entità collocata in un cloud AWS, Azure o Google Cloud presenti un bug in modo analogo a quanto avviene per un’applicazione, ma sia più facile che possano insorgere problemi di configurazione inesatta o lacunosa a causa di dimenticanze o inosservanze”. Per poter affrontare i diversi livelli di protezione SentinelOne ha predisposto una piattaforma in grado di fornire funzionalità di protezione per le superfici d’attacco diverse, aperta facilmente all’integrazione con altre soluzioni di difesa e pensata per aumentare la velocità di analisi e riposta attraverso l’uso dell’intelligenza artificiale. Questa piattaforma è Purple AI e rappresenta il substrato del modello di sicurezza proposto dall’azienda.
“La lotta tra attaccante e difensore è caratterizzata da un’elevata asimmetria in cui l’attaccante ha più tempo, più dedizione e spesso anche più risorse – spiega Rottigni -. Se inseriamo in questo scenario anche l’intelligenza artificiale questa asimmetria viene ulteriormente accentuata. Ecco perché, se può essere una scelta per l’attaccante trarre beneficio dell’intelligenza artificiale non può essere una scelta per le aziende non dotarsi di strumenti in grado di processare grandi quantità di dati in maniera affidabile.”
La piattaforma Purple AI
La piattaforma Purple AI rappresenta la base per il modello di protezione offerto da SentinelOne, essenziale sia per la sicurezza di endpoint, identità, cloud e mobile, così come per la loro integrazione. Purple AI fornisce elementi cruciali quali un data lake, l’uniformazione delle informazioni e la capacità di integrarsi con altre piattaforme per potenziare l’analisi degli eventi. Questi servizi, comuni a livello di piattaforma, incrementano l’agilità e la velocità delle operazioni di sicurezza. Inoltre, la piattaforma non trascura l’utente finale, garantendo un livello di protezione superiore e ampliando l’area di sicurezza coperta rispetto al passato.
Purple AI aggrega dati da varie fonti, tra cui e-mail, log di sicurezza, sistemi di sicurezza, Web e sistemi di gestione delle identità. Questi dati vengono poi inseriti all’interno di un collettore chiamato Singularity Data Lake dove, utilizzando l’intelligenza artificiale, subiscono un processo di normalizzazione e contestualizzazione. Le operazioni di monitoraggio, analisi e risposta sono rese semplici dall’intelligenza artificiale di SentinelOne, che accetta e restituisce istruzioni in linguaggio naturale.
“Partendo dal presupposto che è improbabile che un vendor da solo riesca a fornire tutti i componenti necessari a qualsiasi azienda per garantire una protezione completa – continua Rottigni – e che le aziende devono comunque garantire il ritorno degli investimenti sulle scelte già fatte, Purple AI fornisce tutta la protezione estesa di SentinelOne ma è aperta anche all’integrazione e interazione con le soluzioni di sicurezza sviluppate da altri vendor affinché ciascuna di queste possa contribuire a qualificare meglio il contesto di un incidente”.
L’unico requisito richiesto è che le soluzioni delle terze parti rendano disponibile l’interfaccia software necessaria per abilitare questo livello di comunicazione ovvero le cosiddette API (acronimo di Application Programming Interface) cosa, peraltro, oggi molto diffusa.
il ruolo dell’AI nella sicurezza
L’inconveniente principale che ha penalizzato le soluzioni SIEM deputate a gestire gli eventi di sicurezza è stato quello di generare una mole eccessiva di allarmi di sicurezza che, a causa del loro numero elevato, non potevano essere analizzati tempestivamente.
“In assenza delle attività di normalizzazione e automazione tramite AI i dati di sicurezza non sono più interpretabili – precisa Rottigni -. L’intelligenza artificiale ha sempre caratterizzato le nostre soluzioni. Oggi però l’AI deve evolvere verso forme di tipo generativo perché il suo ruolo è cambiato: non più semplice difensore che deve individuare un malware ma, invece, un vero e proprio collega degli analisti di sicurezza in grado di partecipare a una riunione esponendo le proprie osservazioni in linguaggio naturale, fornendo suggerimenti su come proseguire nel processo di analisi e apprendendo dalle domande che vengono fatte. Un ultimo aspetto distintivo di Purple AI è la sua capacità non solo di svolgere analisi, ma anche di fornire spiegazioni per esempio sui log di sicurezza contribuendo a sviluppare le competenze degli analisti meno esperti e valorizzando al contempo l’esperienza degli analisti più qualificati rendendosi un vero e proprio alleato nelle security operations”.
Nel processo di interazione tra il cliente e l’intelligenza artificiale i dati degli utenti non vengono usati per addestrare l’intelligenza artificiale né condivisi con terzi.