SentinelOne ha sempre usato il machine learning e l’artificial intelligence all’interno della propria piattaforma. Nel tempo queste tecniche si sono evolute per avere un agent più efficace e autonomo, capace di individuare non solo le minacce già note, ma anche quelle nuove. Tuttavia, di recente ci sono state alcune importanti novità, così abbiamo voluto fare il punto della situazione con Paolo Cecchi, sales director Mediterranean Region di SentinelOne.
Ci può illustrare le ultime evoluzioni della vostra strategia legata all’AI?
Il cuore della nostra piattaforma è sempre stato il Security Data Lake. Qualche mese fa lo abbiamo rinominato AI SIEM, intendendo un SIEM (Security Information and Event Management) rafforzato dalla piattaforma di intelligenza artificiale Purple AI. Una decisione dovuta al fatto che stiamo entrando nella seconda fase dell’intelligenza artificiale di SentinelOne, cioè stiamo espandendo le capacità di Purple AI oltre l’analisi delle minacce. Stiamo andando verso il supporto anche della configurazione della piattaforma per soddisfare una necessità che tutte le organizzazioni hanno: capire se stanno operando al meglio per mettere in sicurezza le informazioni aziendali.
In pratica, la nostra AI sta iniziando ad avvertire gli utenti su eventuali problemi. Per esempio, oggi si può chiedere a Purple AI se effettivamente i dati su cui si sta lavorando sono stati importati nella quantità, nel numero e nel formato adeguato. Se necessario, l’AI può aiutare a correggere le informazioni o può indicare come correggerle. In questo modo si sgravano le persone da un’attività banale e onerosa in termini di tempo. Questa funzionalità, che stiamo già utilizzando internamente, viene coniugata con l’auto-triage e l’auto-investigazione. Vogliamo utilizzare l’AI per supportare in maniera proattiva e non solo reattiva le attività quotidiane.
L’AI sta acquisendo la capacità di capire autonomamente, per esempio, se ci sono delle deviazioni rispetto al comportamento standard o se ci sono eventi che presi singolarmente non hanno particolare rilevanza, ma che invece analizzati con la capacità di elaborazione dell’intelligenza artificiale forniscono precise indicazioni in merito ad anomalie. Nel momento in cui l’AI rileva tali anomalie, avvia anche un’auto-investigazione, cioè raccoglie le informazioni sugli eventi, le analizza e rende disponibile un report. L’obiettivo è avere una Purple AI che limiti il più possibile l’intervento umano nelle attività di investigazione e di threat hunting all’interno dell’infrastruttura e che permetta di ottenere i risultati molto più velocemente.
Un percorso che dovrebbe portare a quella che avete definito hyper automation.
È lo step conclusivo. Sempre potenziata dall’AI, l’hyper automation ci permetterà non solo di soddisfare necessità di cybersecurity dei clienti, ma anche le esigenze di business. Infatti, l’hyper automation è no code, quindi, non necessita di creare API per far dialogare il SIEM con oggetti esterni. Questo consente al SIEM stesso di avviare anche azioni automatizzate legate all’ambiente business. In tal senso, è chiaramente necessario fornire i dati adeguati perché l’AI dovrà lavorare su tali dati. Tuttavia, proprio grazie al nostro Purple AI si potrà evitare alle persone di eseguire una serie di attività automatizzandole, indipendentemente dall’ambito operativo.
Di recente avete introdotto una nuova proposta, il Singularity Operation Center.
È fondamentalmente la nuova interfaccia che proponiamo ai clienti. Il Singularity Operation Center propone un modo diverso di analizzare gli eventi di cybersecurity all’interno dell’organizzazione, in modo più centralizzato e unificato.
Questo strumento si sposa molto bene con l’AI SIEM, ma anche con le nostre soluzioni di protezione delle diverse superfici di attacco perché permette di aggregarle e, quindi, di rendere estremamente più semplice la ricostruzione di quanto sta accadendo. Questo è un tassello molto importante dal punto di vista della roadmap e della vision di SentinelOne in relazione al concetto di automazione e dell’uso dell’AI per semplificare l’attività dei SOC.
Quando saranno disponibili commercialmente le soluzioni su cui state lavorando?
Non posso dare date precise. Quello che posso anticipare è che la maggior parte delle funzionalità di cui ho parlato vedranno la luce entro il primo semestre del prossimo anno. Alcune, in forma un po’ più embrionale, arriveranno già entro la fine del 2024. Tuttavia, stiamo lavorando in maniera molto serrata per renderle disponibili quanto prima ai nostri clienti. Ad esempio “Alert Summaries”, ovvero la possibilità di riepilogare gli alert, compresi quelli provenienti dalle terze parti, in un’unica pagina in modo da aiutare gli analisti a comprendere il contesto degli avvisi per risolverli in modo più rapido ed efficiente, è disponibile già da oggi.