Marco Rottigni, Technical Director per l’Italia di SentinelOne, ci racconta lo stato della cyber sicurezza e come abilitare una protezione pervasiva del dato e degli asset.
– Gli ultimi anni hanno fatto segnare una rincorsa delle imprese alle soluzioni di lavoro remoto. Si tratta certamente di una opportunità importante per svecchiare pratiche di lavoro obsolete, migliorando processi, procedure e l’agilità delle aziende.
Gli ultimi anni sono stati un “avanti veloce” nella vita quotidiana di persone e lavoratori. Già prima della pandemia alcune aziende avevano avviato alcuni processi di trasformazione digitale, con l’adozione del cloud o l’implementazione dell’enterprise mobility basata su una combinazione di dispositivi (laptop, tablet, smartphone…). Ciò che è successo a partire dal 2020 ha accelerato notevolmente il cambiamento. Oggi si parla di borderless workplace, un concetto che va molto oltre la remotizzazione fisica del posto di lavoro.
Vengono infatti considerate anche le applicazioni, da utilizzarsi su canali sicuri e virtualmente da ogni luogo, la sicurezza dell’utente e delle sue credenziali (oggetto questo di crescente interesse per gli attaccanti), la necessità di avere continuità operativa anche in caso di infezioni digitali importanti quali ad esempio wiper o ransomware. Questa situazione richiede che gli strumenti di difesa e di analisi sugli eventi legati alla security evolvano su tre direttrici:
- L’autonomia, diventando sempre più orientata all’utilizzo di tecnologie comportamentali per garantire all’utente continuità operativa in pochi secondi nell’eventualità di un attacco;
- Interoperabilità tra le piattaforme secondo un concetto di estensione di rilevamento e capacità di risposta (XDR), per espandere la difesa a un raggio più ampio e completo usando le specializzazioni di più tecnologie che lavorano insieme in modo trasparente e completamente integrato;
- Aumento della capacità di analisi e contestualizzazione di dati da fonti eterogenee, per supportare le risorse di Security Operations nella comprensione rapida di cosa è successo e come adattare le difese più rapidamente.
– La pandemia ha cambiato il nostro modo di vivere e lavorare. Quali considerazioni, anche personali, si sente di fare in merito?
Da inguaribile ottimista credo che questo macro fenomeno ci abbia insegnato molto su come contare sulla tecnologia e come sviluppare uno spirito di adattamento per fare di necessità virtù. La pandemia si è innestata su una situazione che era già interessata da macro fenomeni di trasformazione digitale e dalla scomparsa di molti perimetri aziendali, oltre che da sperimentazioni avanzate in cybersecurity nei campi dell’intelligenza artificiale e dei data analytics. L’emergenza sanitaria ha messo in luce enormi carenze nelle aziende, spesso in contesti in cui urgenza e medicina devono combinarsi per garantire la massima efficacia.
Queste situazioni ci hanno insegnato – non necessariamente nel modo più morbido possibile – l’importante correlazione tra la tecnologia che è disponibile, la comprensione dei casi di utilizzo e l’urgenza di ammodernare il modo in cui le aziende proteggono dati e utenti.
A mio giudizio ha anche determinato un’accelerazione positiva e significativa nella collaborazione tra aziende sia produttrici che utilizzatrici.
– Carichi di lavoro e archivi dati si sono concentrati sui server aziendali e nel cloud, come è possibile garantire un lavoro fluido e sicuro per tutti?
I nuovi paradigmi operativi generati dalla combinazione di cloud computing, digital transformation e altri macrofenomeni hanno determinato l’esigenza di avere dati e fruibilità degli stessi ovunque, in sicurezza, proteggendo autenticazione e identità di chi deve consultare questi dati. Per rispondere a queste esigenze abbiamo annunciato molteplici partnership con AWS per aiutare i clienti a ottimizzare le prestazioni e i costi dei propri workload in cloud.
In particolare, la piattaforma SentinelOne XDR supporta i server virtuali in cloud Amazon EC2 alimentati dai processori AWS Graviton2 e Graviton3, per consentire agli utenti di sfruttare appieno l’intero portfolio di opzioni infrastrutturali di AWS senza temere che i loro progetti di migrazione al cloud vengano bloccati da problemi di sicurezza. Invece, con l’integrazione di SentinelOne Singularity Cloud con Security Lake (il servizio che centralizza automaticamente i dati di sicurezza di un’azienda provenienti da fonti cloud, on-premise e personalizzati in un data lake ) di Amazon Web Services (AWS), per agevolare la ricerca, il monitoraggio delle minacce e la diagnostica sui log in cloud di SentinelOne Singularity XDR.
– Con i workload che si stanno rapidamente spostando verso “la nuvola”, come è possibile ottenere la visibilità dei dati e il controllo degli accessi? Come abilitare una efficace cloud security?
Ogni azienda deve comprendere che è necessario adottare una strategia di sicurezza solida ed efficace. In primis, occorre considerare che sebbene i server risiedano fisicamente oltre i confini aziendali, è responsabilità esclusiva del cliente poter garantire la sicurezza dell’host cloud, monitorando costantemente tutti i processi per identificare in modo autonomo eventi dannosi e contrastarli prima che questi si diffondano. I dati più recenti delle indagini sulle violazioni riflettono le attuali prassi di comportamento delle organizzazioni, le quali devono poter investire in soluzioni runtime XDR come quella offerta da SentinelOne, che garantisce la sicurezza dei propri workload in cloud, implementando una soluzione di protezione efficiente.
Cloud Workload Security di SentinelOne aiuta a prevenire tutte queste casistiche e a salvaguardare l’ecosistema aziendale, grazie a un sistema di automatizzazione completo che assicura agilità e massima sicurezza. Inoltre, la nostra partnership con Mandiant consente di arricchire l’XDR con caratteristiche di Threat Intelligence. Sfruttando le sinergie tra Singularity Storyline e la Threat Intelligence di Mandiant, ogni alert sulla piattaforma viene gestito in modo ancora più rapido con analisi delle cause principali e possibilità di azione. Con SentinelOne che individua le minacce e Mandiant che fornisce background e informazioni necessarie per un rapido triage e ripristino, le imprese riescono a difendersi dal nuovo scenario delle minacce.
– I deepfake hanno il potenziale per diventare (se già non lo sono) una pericolosa architettura per perpetrare attacchi alle aziende. Quali sono gli scenari attuali? Come difendersi?
I deepfake sono soltanto uno degli aspetti di come utilizzare l’intelligenza artificiale per simulare entità per scopi malevoli. E per fortuna la tecnologia in quanto tale non entra nel merito di quali sono le intenzioni di chi la utilizza, perché permette ai difensori di sviluppare metodi di contrasto altrettanto efficaci. La difesa dai deepfake implica e implicherà l’adozione di strumenti tecnologici come per esempio l’analisi comparativa di dati provenienti da fonti eterogenee, così come richiederà di elevare la consapevolezza degli utenti per aumentarne la resilienza nei confronti di questo tipo di minacce.
– La cybersecurity è una priorità, come convincere le aziende ancora scettiche? Quali feedback ricevete da clienti e partner?
La cybersecurity deve diventare priorità per tutte le aziende senza se né ma. I rischi circondano costantemente l’utente soprattutto perché i suoi strumenti di lavoro si moltiplicano (laptop, PC personali, smartphone, tablet) e la superficie di attacco si espande sempre di più: qualche anno fa esisteva un perimetro a circondare essenzialmente l’azienda, esteso a stessa nel caso di VPN. Ora l’adozione del cloud e di applicazioni critiche in forma SaaS, accessibili da ovunque, annullano questo perimetro in modo drammaticamente totale. Diventa quindi importante combinare più tecnologie di difesa, partendo dall’endpoint per arrivare all’identità e alle credenziali e via fino a circondare il dato che deve essere acceduto. Per garantire quel livello di resilienza che rende possibile l’esistenza dei nuovi paradigmi operativi che l’evoluzione della minaccia mette a rischio.
– Quali strumenti proponete per una difesa proattiva ed efficace?
Come già indicato, la nostra piattaforma Singularity XDR estende i confini della tecnologia autonoma per impedire le moderne minacce informatiche più sofisticate e riteniamo che oggi l’implementazione di soluzioni che mantengono le imprese un passo avanti rispetto agli aggressori e affrontano le minacce in tempo reale sia fondamentale per contrastare l’attuale panorama di minacce. SentinelOne domina anche i test del MITRE AT&CK il framework internazionale diventato il nuovo standard di ricerca delle minacce informatiche, ottenendo i risultati migliori rispetto agli altri vendor sul mercato nelle misure di prevenzione e detection degli attacchi.
Inoltre, lo scorso novembre abbiamo ottenuto i migliori risultati dal MITRE ATT&CK anche con la soluzione per i Managed Services. In particolare, la nostra piattaforma assicura l’identificazione accurata e approfondita dell’attaccante, offre capacità elevate di Digital Forensics and Incident Response (DFIR), e assicura il massimo contrasto alle minacce in tempo reale, senza limitarsi alla sola detection. Vorrei infine evidenziare che il nostro ampio ecosistema di partnership ci consente di connettere tecnologie di terze parti per interagire con le capacità di protezione sull’endpoint di SentinelOne in modo completamente automatizzato. Le tecnologie dei partner che si integrano con Singularity vengono utilizzate per arricchire (eXtended) il contesto del rilevamento (Detection) e per espandere (eXtended) le capacità di risposta (Response).