«Oggi la sicurezza non è più soltanto un costo, è un abilitatore del business. Fornisce un aiuto essenziale alle organizzazioni a essere produttive, a non subire momenti di stop operando in maniera protetta e sicura». Così si è espresso Paolo Cecchi, sales director per la Mediterranean Region di SentinelOne, aprendo i lavori dell’annuale incontro con partner, clienti e prospect italiani. Siccome, però, le minacce sono sempre più sofisticate ed efficaci bisogna sapersi difendere in modo adeguato. Una sfida che, secondo Cecchi, ha portato i responsabili della sicurezza a concentrarsi su tre principali obiettivi.
Il primo è di cercare di mitigare il rischio, sia per ridurre la possibilità di essere vittima di attacchi sia per limitare le eventuali conseguenze qualora un attacco raggiungesse i suoi scopi.
Il secondo obiettivo è semplificare le Operation. «In molti Paesi europei – spiega Cecchi – ci sono aziende che, in virtù delle loro dimensioni, si possono permettere investimenti importanti in sicurezza, se non addirittura di avere un SOC interno con persone dedicate. In Italia, invece, la prevalente presenza di PMI porta a investimenti più contenuti. Perciò, diventa cruciale per le imprese poter semplificare le Operation attraverso una piattaforma unificata, basata su strumenti di intelligenza artificiale e automazione».
Il terzo obiettivo è il contenimento dei costi. ”Do more with less” è la richiesta che tutti ricevono quotidianamente. Di nuovo, «un approccio basato su una piattaforma unificata permette di offrire un’efficace risposta a tale richiesta, consentendo sia di non disperdere risorse in termini di persone e tecnologie sia di ottimizzare i processi».
Un’evoluzione che complica la sicurezza
D’altro canto, la trasformazione digitale ha creato un inevitabile problema legato alla gestione dei dati. Quotidianamente se ne produce un’enorme quantità e ogni dato può diventare un valido appiglio per un attaccante potendo, quindi, essere sottratto e utilizzato per remunerativi scopi illeciti. Non dimentichiamo, infatti, che oltre l’83% degli attacchi globali ha come obiettivo l’estorsione di denaro, secondo quanto riportato dal Rapporto Clusit 2024.
Diventa perciò strategico avere una visibilità “real time” sui dati ma, considerata la loro numerosità, se non si usa l’automazione non si riesce ad avere un efficace controllo su tali dati. A complicare le cose contribuisce poi il sempre più diffuso ricorso al cloud. Con l’adozione di soluzioni cloud native, le reti aziendali non sono più limitate da confini definiti come accade con l’on-premise, ma si espandono incrementando la superficie di attacco. E questo rende sempre più difficile mantenere una chiara visibilità sull’infrastruttura aziendale. «Quando si parla di allestire un sistema di protezione, oggi non ci si può più limitare a proteggere un singolo endpoint, un server o un asset all’interno di un’organizzazione – osserva Paolo Ardemagni, vice president Southern EMEA di SentinelOne -. Si deve disporre di una soluzione che consenta una protezione globale sia sui dati sia sull’infrastruttura, che operi in tempo reale e che sia facile da gestire».
SentinelOne risponde a tali esigenze attraverso la sua Singularity Platform. «Nasciamo come società per la protezione dell’endpoint, ma non basta più per avere un elevato grado di sicurezza in azienda – prosegue Ardemagni -. Oggi forniamo una piattaforma, perché è l’unico modo per proteggere adeguatamente un’azienda. In tal senso, Singularity Platform permette l’ingestion di dati provenienti anche da soluzioni di sicurezza esterne. Abbiamo un marketplace dove poter selezionare le sorgenti e integrarle in maniera estremamente semplice. E se il connettore non è presente è possibile crearne uno ad hoc attraverso le interfacce API». La piattaforma è potenziata dall’intelligenza artificiale, che in casa SentinelOne prende il nome di Purple AI, e sopra tale piattaforma si possono innestare molteplici soluzioni, capaci di spaziare dalla protezione dell’endpoint a quella di dati e applicazioni in cloud, dalla protezione dell’entità all’exposure management. Nel caso ve ne fosse la necessità, sono anche disponibili servizi gestiti di detection e response. «Anzi di managed extended detection e response (MXDR) perché arriverà a breve un servizio che non solo permetterà di gestire la telemetria dei nostri sistemi di protezione degli endpoint ma anche quella delle soluzioni esterne».
Un aiuto agli analisti
Purple AI è disponibile sul mercato dall’inizio di aprile 2024 ed è l’ultima evoluzione della ricerca in tema di intelligenza artificiale che ha caratterizzato SentinelOne negli ultimi 10 anni.
«Purple AI non è pensata per aiutare gli utenti, perché sono già difesi dall’agent SentinelOne, quanto invece per potenziare la figura dell’analista – precisa Marco Rottigni, technical director di SentinelOne –. È uno strumento dedicato alle Security Operations e ha l’obiettivo di fornire una notevole accelerazione delle investigazioni, del threat hunting e della trasformazione di telemetria grezza in informazioni».
Rottigni ha inoltre evidenziato che i dati processati da Purple AI restano di esclusiva pertinenza dell’azienda che utilizza quella determinata istanza dell’intelligenza artificiale. «Si tratta di un modello GPT (Generative Pre-trained Transformer) che, quindi, interagisce con gli analisti, ma l’interazione rimane all’interno della “subscription” che è mantenuta nell’area geografica scelta dal cliente. L’architettura di Purple AI è basata su un agente, un orchestratore che SentinelOne ha chiamato Asimov e su un’architettura RAG con modelli LLM».
La roadmap di Purple AI
Purple AI è la più recente evoluzione della ricerca di SentinelOne in ambito intelligenza artificiale, ma non è l’ultima. Infatti, all’orizzonte si profilano già importanti novità. Tra quelle più di rilievo, citiamo Purple AI for Alert Summaries che dovrebbe arrivare entro l’estate: permetterà all’intelligenza artificiale di fare un resoconto di quanto successo in un incidente e di eseguire le opportune verifiche.
Più avanti vedremo altre evoluzioni importanti quali Purple AI for Auto Triage, che permetterà a Purple AI di fornire un primo triage delle informazioni di un incidente informatico, facilitando ed accelerando l’efficienza operativa degli analisti.
Altra novità evolutiva importante è sicuramente Purple AI for Investigation: si userà l’intelligenza artificiale non solo per identificare anomalie ma anche per proporre in automatico procedure di risposta. Il tutto in modalità no code, quindi alla portata di tutti.
LEGGI ANCHE
SentinelOne: protezione multilivello, integrata e guidata dall’AI