A OneCon 2024 SentinelOne ha presentato innovazioni in fatto di AI, automazione e cybersecurity lanciando una suite per attuare la rivoluzione dei SOC autonomous.
Realizzate sulla piattaforma di cybersecurity Singularity di SentinelOne, queste innovazioni consentono ai responsabili della sicurezza di ripensare e trasformare il modo in cui rispondono alle minacce emergenti. Questo vuol per ridurre significativamente il rischio, accelerare il processo decisionale e permettere ai team di concentrarsi su iniziative ad alto impatto.
Il futuro della cybersecurity
Presentate in occasione della conferenza OneCon 2024 dedicata ai clienti di SentinelOne e ai temi della cybersecurity (dal 15 al 17 ottobre a Las Vegas), queste innovazioni definiscono nuovi standard per l’AI, l’automazione e i dati. Rendendo così una realtà la prospettiva del SOC che opera in modalità automatizzata:
- Singularity Hyperautomation. Automazione senza bisogno di codice per i workflow di sicurezza.
- Singularity AI SIEM. Acquisizione e sintesi di tutti i dati provenienti dall’ecosistema della sicurezza.
- Purple AI. Automazione del triage degli avvisi, della ricerca e delle indagini.
- Famiglia di modelli di sicurezza Ultraviolet di SentinelOne. Modelli linguistici di grandi dimensioni (LLM) e modelli multi-modali progettati per i casi d’uso dell’AI nella sicurezza informatica.
Sfruttare la potenza di dati e AI
Ric Smith, President, Product, Technology, and Operations di SentinelOne
Il futuro del rilevamento e della risposta alle minacce non può prescindere da velocità, sofisticazione degli hacker e difficoltà che devono affrontare i SOC di oggi, già sovraccarichi di lavoro. Fin dalla nascita, SentinelOne è stata pioniera nell’uso dell’AI per automatizzare la risposta e la risoluzione delle minacce. Oggi stiamo rendendo la sfida del SOC autonomous una realtà, sfruttando la potenza dell’AI e dei dati. Questo per fornire ai clienti la velocità, l’intelligenza e la scalabilità necessarie a contrastare le minacce di domani.
Hyperautomation. Automazione no-code dei workflow di sicurezza
È una nuova soluzione di automazione intelligente sviluppata per risolvere i problemi di sicurezza dei clienti. Offre oltre 100 integrazioni e decine di workflow già pronti per affrontare le minacce IT più comuni. Come, ad esempio, la mitigazione dei ransomware, il monitoraggio della conformità degli asset e la risposta alle attività sospette degli utenti e alle minacce interne. Singularity Hyperautomation offre un framework drag-and-drop senza codice per la creazione di processi personalizzati e l’automazione di attività, oltre all’accesso senza codice a qualsiasi API per sfruttare i dati da qualsiasi sorgente IT o di sicurezza.
I suoi punti di forza
Integrata direttamente nella SentinelOne platform, Singularity Hyperautomation si collega ai processi di analisi, dove le automazioni vengono suggerite in modo intelligente durante le indagini. Beneficia della piattaforma e della Purple AI per generare automaticamente playbook basati sulle intuizioni dei colleghi, consentendo ai team di rispondere in modo più rapido ed efficiente. L’integrazione nativa con le funzionalità SIEM di Singularity relative a endpoint, cloud, identità e AI significa che i team di sicurezza possono automatizzare la remediation delle minacce su più superfici di attacco. E inoltre significa che tutti i dati di prima istanza e provenienti da terze parti presenti in Singularity vengono sfruttati per rispondere agli incidenti con maggiore contesto e minore complessità.
AI SIEM. Acquisizione e sintesi dei dati del security ecosystem
È un SIEM cloud-native e no-index che utilizza l’AI e le capacità di automazione per ridefinire il modo in cui operano gli analisti SOC. Alimentato dal Singularity Data Lake, altamente scalabile e dotato di uno storage sempre attivo, AI SIEM consente di rilevare in tempo reale i dati in streaming, accelerando notevolmente le indagini e la risposta. È stato realizzato sulla base di un ecosistema aperto, in grado di acquisire dati strutturati e grezzi non solo dalle soluzioni di sicurezza endpoint, cloud e identità di SentinelOne, ma anche da strumenti di sicurezza e IT di terze parti.
Quale sarà il futuro della cybersecurity
E lo fa sfruttando l’Open Cybersecurity Schema Framework (OCSF) e le integrazioni predefinite. Di conseguenza, i clienti possono ottenere una visibilità immediata e ampliata sull’intero ambiente aziendale e automatizzare i flussi di lavoro tra più strumenti. Inoltre, grazie ad AI SIEM e Purple AI, gli analisti della sicurezza possono sfruttare le capacità autonome di SentinelOne basate sull’AI per eseguire rilevamenti in tempo reale, ricerche e indagini assistite dall’AI generativa. Oltre a una protezione a velocità di macchina contro le minacce emergenti.
Purple AI di SentinelOne. Automatizzare il triage avvisi, ricerca e indagini
L’analista di sicurezza Purple AI di SentinelOne ha stabilito lo standard per l’AI generativa nella cybersecurity fin dalla sua nascita. Integrato con tutti gli aspetti della Singularity Platform, Purple AI traduce le domande di sicurezza in linguaggio naturale e in query strutturate, sintetizza i log degli eventi e gli indicatori, guida gli analisti di tutti i livelli in indagini complesse e ottimizza la collaborazione con i notebook di indagine condivisi. Alla OneCon 2024, SentinelOne alza ulteriormente l’asticella dell’IA generativa con l’introduzione di nuove funzionalità di Purple AI progettate per automatizzare rapidamente le indagini, ridurre l’affaticamento da allerta e anticipare gli attacchi.
SentinelOne guarda al futuro della cybersecurity
l nuovo Purple AI Auto-Alert Triage stabilisce la priorità degli avvisi più importanti e aiuta a stabilire rapidamente quali avvisi necessitano di ulteriori indagini. L’Auto-Alert Triage sfrutta la nuova Global Alert Analysis per valutare migliaia di avvisi simili anonimizzati per determinare meglio i veri positivi, e fa emergere gli “Avvisi da investigare” prioritari per ridurre l’affaticamento degli avvisi e restituire ai team di sicurezza il tempo per concentrarsi sulle attività più critiche che riducono il rischio.
Ridurre i tempi di indagine e reporting
Purple AI può ora essere utilizzato anche per avviare ed eseguire ricerche in autonomia per accelerare le indagini e la risposta. Con la nuova funzionalità di Purple AI Auto-Investigations, Purple AI prenderà gli avvisi prioritari, compilerà automaticamente un elenco di fasi di indagine in base all’avviso in questione. Inoltre eseguirà autonomamente le fasi e genererà un verdetto consigliato. Le prove raccolte durante l’indagine vengono salvate in un quaderno di indagine Purple AI verificabile e collaborativo per ridurre in modo significativo i tempi di indagine e di reporting. Offrendo in questo ai team SOC e di risposta agli incidenti il vantaggio della velocità e della scala nell’affrontare le minacce critiche.
La famiglia di modelli di sicurezza Ultraviolet di SentinelOne
Negli ultimi 3 anni, i costi dei grandi modelli multi-modali di uso generale sono diminuiti in modo sostanziale, mentre la capacità di questi modelli è aumentata significativamente. Per le applicazioni di AI generativa legate alla security, questi modelli, abbinati a un’ampia conoscenza del dominio, si sono rivelati l’approccio migliore per creare esperienze di assistenza realmente utili nel settore della sicurezza. Tuttavia, ci sono ancora aree dell’AI legate alla cybersicurezza in cui i modelli proprietari avranno vantaggi decisivi. A OneCon 2024, SentinelOne ha presentato Ultraviolet, famiglia di LLM e modelli multi-modali per la security di SentinelOne che risolvono casi d’uso per la sicurezza e supportano meglio i flussi di lavoro necessari per ridurre significativamente il carico operativo.
Il futuro della cybersecurity
Ultraviolet integrerà i migliori modelli generici. E lo farà concentrandosi su aree uniche come il miglioramento dell’efficacia del rilevamento, utili a considerare un maggior numero di contesti in tempo reale, e il miglioramento dell’efficienza sui problemi di sicurezza. Questo per consentire una maggiore autonomia in cui i modelli meglio sintonizzati rimangono attivi e richiedono un numero sostanzialmente inferiore di token per giungere a conclusioni utili.