Cyber security, SentinelOne va verso la totale automazione

SentinelOne sta estendendo le capacità della sua piattaforma di cyber security, affiancando all’analisi in tempo reale di enormi moli di dati per individuare segnali di possibili attacchi anche la possibilità di effettuare in automatico interventi di mitigazione

Con l’adozione di soluzioni cloud native, le reti aziendali non sono più limitate da confini definiti come accade con l’on premise, ma si espandono incrementando la superficie di attacco. Se a ciò si combina poi la produzione massiva di dati che sta portando la digital transformation si crea una situazione particolarmente critica per la cyber security perché è sempre più difficile mantenere una chiara visibilità su infrastruttura e dati stessi.

Non tante soluzioni, ma una piattaforma

Cyber security SentinelOne va verso la totale automazione, Cyber security, SentinelOne va verso la totale automazione
Paolo Cecchi, regional sales directory Mediterranean Region di SentinelOne

Per affrontare questa sfida non basta disporre delle migliori soluzioni di sicurezza, ma è necessario che tali soluzioni operino in modo armonico e integrato “come una piattaforma – precisa Paolo Cecchi, sales directory della Mediterranean Region di SentinelOne –. L’endpoint era e rimane un punto critico di ogni rete aziendale: è da lì che transita la maggior parte degli attacchi. Però oggi per proteggere la rete non basta più proteggere l’endpoint, è necessario adottare una piattaforma che integri diverse soluzioni verticali e fornisca una gestione unificata e semplificata di alert e incidenti, migliorando l’efficacia e la proattività dei team di cyber security”.

Non solo. Velocità e proattività sono parole d’ordine per chi si occupa di sicurezza IT. E la mole di dati che bisogna correlare e analizzare per identificare i segnali di un possibile attacco è tale che se ne può fare carico solo un sistema automatico basato sull’intelligenza artificiale. “Questo approccio permette di affrontare le complessità operative e di gestione che soluzioni verticali non correlate non possono risolvere, rendendo la protezione più efficiente e scalabile”.

Paolo Cecchi sottolinea come il sistema di intelligenza artificiale di SentinelOne Purple AI abbia dimostrato sul campo un miglioramento dell’efficienza di circa l’80% nella gestione degli incidenti di sicurezza. Tale sistema gestisce direttamente gli incidenti, dalla fase iniziale alla risoluzione. Inoltre, SentinelOne fornisce parametri concreti per valutare l’efficacia dell’intelligenza artificiale, specificando esattamente come e quando può supportare i team di cyber security per migliorare la loro operatività e efficacia.

Gli script li genera il sistema di protezione

La nostra soluzione combina intelligenza artificiale, SIEM e data lake, costituendo la base per un ambiente integrato che fornisce segnali sempre più precisi agli esperti di sicurezza”. Il prossimo passo verso tale ambiente sarà un progetto di hyper-automation che vedrà la luce previsto all’inizio del prossimo. Questo progetto presenta una differenza fondamentale rispetto alle soluzioni di automazione tradizionali come i SOAR (Security Orchestration, Automation and Response), che sono stati concepiti per ambienti on-premises e basati su script o codice personalizzato per facilitare le interazioni.

Cyber security SentinelOne va verso la totale automazione, Cyber security, SentinelOne va verso la totale automazione
Luca Besana, senior channel business manager, Mediterranean Region di SentinelOne

Il nostro approccio mira a una hyper-automation nativamente integrata e semplificata che elimina la necessità di complessi script e codifiche e consente una gestione più fluida ed efficiente delle operazioni di sicurezza – sostiene Luca Besana, senior channel business manager per la Mediterranean Region di SentinelOne. Il concetto di hyper-automation no-code che sta alla base non richiederà più l’intervento umano per riscrivere, aggiornare o mantenere il codice. Sarà il sistema stesso, guidato dall’intelligenza artificiale, a generare automaticamente le interazioni necessarie senza richiedere la scrittura di codice”.

Dal rilevamento alla mitigazione

Concettualmente si potrebbe assimilare a un sistema basato su intelligenza artificiale generativa che analizza e assimila la documentazione delle tecnologie, creando automaticamente connettori e integrando il know-how acquisito. “Avremo un sistema che non solo gestisce la prevenzione e il controllo, ma rileva anche minacce e si occupa autonomamente della mitigazione – afferma Besana –. In pratica, il nostro agente, se configurato correttamente, non si limiterà a segnalare un problema al SOC, ma potrà bloccare la minaccia e isolare il sistema compromesso in tempo reale”.

Questo approccio permette di supportare i team di sicurezza sia nell’analisi contestuale degli incidenti o degli alert, sia anche nel determinare i passaggi successivi. L’obiettivo è arrivare a un’AI predittiva che automatizzi il più possibile le analisi, sollevando gli analisti da compiti ripetitivi e fornendo loro un contesto più ampio per lavorare. E ciò non solo con le soluzioni SentinelOne ma anche con i software di altre aziende.

Integrazione automatizzata con soluzioni di altri vendor

Cyber security SentinelOne va verso la totale automazione, Cyber security, SentinelOne va verso la totale automazione
Paolo Ardemagni, vice president Southern Europe Middle East & Africa di SentinelOne

Sul marketplace di SentinelOne è presente già una cinquantina di connettori sviluppati con i principali vendor. “Se un connettore è disponibile, l’integrazione è automatizzata – evidenzia Paolo Ardemagni, vice president Southern Europe Middle East & Africa di SentinelOne –. In caso contrario, il nostro schema consente di trasformare rapidamente il formato operativo in quello compatibile con il nostro SIEM, permettendo un’ingestione dati molto più veloce rispetto ai SIEM on-premise tradizionali, riducendo il tempo necessario da giorni a ore. La nostra soluzione combina intelligenza artificiale, SIEM e data lake, costituendo la base per un ambiente integrato che fornisce segnali sempre più precisi agli esperti di sicurezza”.

Azioni correttive più precise e tempestive

Attualmente, SentinelOne sta ampliando tale capacità di risposta anche alle terze parti, raccogliendo informazioni che vanno oltre l’endpoint. Questo arricchimento informativo è volto a migliorare le capacità di azione correttiva. La risposta attiva oggi è sugli endpoint, ma in futuro sarà su scala enterprise, personalizzabile in base alle capacità e alla maturità cyber del cliente. “La qualità della telemetria è fondamentale: avere migliori dati dall’endpoint consente azioni correttive più precise e tempestive – aggiunge Besana –. Un metodo di valutazione chiave è il false positive rate: meno falsi positivi, più accurata è la valutazione e minore è il rumore che può ritardare le risposte. Con una base di dati di alta qualità, la risposta sarà più veloce ed efficace, riducendo il costo del rumore e migliorando l’efficacia complessiva della sicurezza”.

C’è però da affrontare un problema importante: l’intelligenza artificiale non è disponibile solo per chi si difende, ma anche per i cyber criminali. “La usano per sferrare attacchi sempre più efficaci, rendendo la sfida continua e crescente – conclude Ardemagni –. Noi, in risposta, stiamo potenziando le nostre risorse: abbiamo appena aggiunto 100 persone in Israele nell’ambito della ricerca e sviluppo, aggiungendole alle 300 già presenti, e altri 400 professionisti sono stati assunti nella Repubblica Ceca. L’obiettivo è di fornire un adeguato supporto nel percorso di potenziamento della sicurezza”.

LEGGI ANCHE

SentinelOne: protezione multilivello, integrata e guidata dall’AI

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

LEGGI ANCHE

Gli ultimi articoli