Cybersecurity tra AI e cloud: servono nuove piattaforme
Grazie alle sue capacità, che comprendono data lake, hyperautomation e intelligenza artificiale, la SIngularity Platform protegge le infrastrutture e trasforma i segnali in insight azionabili.
Il panorama della cybersecurity si muove lungo una doppia direttrice: da un lato l’evoluzione di minacce ormai consolidate, come il ransomware; dall’altro, la crescente esposizione dovuta alla diffusione del cloud e all’adozione accelerata dell’intelligenza artificiale.
Il ransomware è ancora una delle minacce più usate
Come sottolinea Paolo Cecchi, Sales Director Mediterranean Region di SentinelOne, “il ransomware, che potrebbe apparire come una minaccia ormai superata, si conferma ancora oggi come uno dei vettori di attacco più pervasivi ed efficaci. Nonostante la sua diffusione storica, continua a essere in cima alla lista delle minacce affrontate dalle imprese, grazie anche all’introduzione di nuove modalità di estorsione”. A questo si aggiungono fenomeni altrettanto pervasivi: attacchi alla supply chain e compromissioni delle identità digitali, che si fanno sempre più sofisticati.
La situazione è aggravata dall’uso malevolo dell’intelligenza artificiale. “Le stesse tecniche e tattiche utilizzate in passato sono oggi potenziate dal ricorso all’AI, che consente di aumentare l’efficacia e la precisione degli attacchi”, evidenzia Cecchi. L’AI non è solo uno strumento per sferrare attacchi più avanzati: le stesse infrastrutture che alimentano i sistemi di intelligenza artificiale stanno diventando obiettivi privilegiati dei cybercriminali.
Il contesto cloud, intanto, resta terreno fertile per vulnerabilità strutturali, come evidenzia il Cloud Security Report 2024, basato su un’indagine condotta su circa 500 aziende globali. Cecchi osserva che “le organizzazioni stanno spostando gradualmente i propri carichi di lavoro sul cloud, ma non sempre con una piena consapevolezza delle implicazioni di sicurezza”.
Le criticità principali? Mancanza di competenze, frammentazione dei sistemimulticloud e data silos che limitano la governance. “Oggi nel cloud c’è una sorta di anarchia applicativa – spiega Cecchi –. Le varie linee di business, DevOps e team sicurezza operano in modo scollegato, lasciando ampi margini di esposizione, dai dati sensibili accessibili pubblicamente a errori di configurazione o autorizzazioni eccessive”.
A complicare il quadro, anche il divario tra le ambizioni strategiche – come la costruzione di un cloud nazionale o europeo – e la realtà tecnologica. “L’idea di un cloud nazionale o europeo è senza dubbio strategica, ma oggi risulta ancora un po’ ambiziosa. Manca un provider in grado di offrire le stesse capability tecnologiche dei grandi attori internazionali, e soprattutto manca una cultura operativa uniforme sulla sicurezza cloud”, afferma Cecchi.
Alle aziende serve unapproccio integrato alla cybersecurity
In uno scenario così complesso, emerge l’urgenza di un approccio integrato alla cybersecurity. Le soluzioni verticali, seppur valide, non garantiscono la visibilità e la coerenza necessarie. “L’approccio a piattaformanon è più una semplice opzione, ma una necessità– chiarisce Cecchi –. Le aziende cercano soluzioni in grado di consolidare stack di sicurezza disparati all’interno di framework unificati che garantiscano copertura ampia e ottimizzazione operativa”.
È in questo contesto che si inserisce SentinelOne con la sua Singularity Platform, una soluzione progettata per offrire visibilità e risposte unificate su endpoint, cloud, identità e carichi di lavoro. “Ormai da diverso tempo SentinelOne ha sposato e potenziato il modello a piattaforma. Oggi, i clienti ci riconoscono un valore aggiunto concreto, anche grazie all’integrazione dell’intelligenza artificiale nativa, come dimostra un recente studio IDC sui benefici tangibili per gli utenti della nostra piattaforma”, precisa Cecchi.
“L’obiettivo della nostra Singularity Platform è duplice – sostiene Marco Rottigni, Technical Director per l’Italia di SentinelOne –: proteggere infrastrutture e trasformare i segnali rilevati in insight azionabili. Quando si parla di anomalie o incidenti, il tempo è sempre la variabile più rilevante”.
Singularity poggia su tre pilastri
Tre sono le capacità fondamentali della piattaforma: data lake, hyperautomation e Purple AI. Il data lake, in modalità as-a-service, raccoglie e normalizza dati eterogenei secondo lo standard OCSF (Open Cybersecurity Schema Framework). “È un’innovazione epocale nella storia della cybersecurity: oggi il dato può essere interpretato secondo una logica condivisa, riducendo drasticamente lo sforzo necessario per renderlo utilizzabile a valle – afferma Rottigni –. Proteggere gli endpoint è sempre importante, ma oggi i nostri clienti si aspettano che la piattaforma possa essere il connettore intelligente tra le tecnologie, in una logica di ecosistema aperto, senza alcun lock-in”.
L’hyperautomation consente invece di costruire automazioni personalizzabili secondo una logica no-code. “Immaginate una scatola di mattoncini Lego dove ogni elemento ha una funzione specializzata. L’utente può costruire strutture operative complesse seguendo le proprie esigenze, anche senza essere uno sviluppatore”, aggiunge Rottigni.
Infine, Purple AI rappresenta la componente di AI agentica, capace di comprendere richieste in linguaggio naturale e consultare modelli di machine learning. “Due anni fa, durante l’annuncio di Purple AI, dissi che la cosa più affascinante era il nome in codice del suo agente: Asimov. Questo agente era in grado di interpretare il bisogno espresso dall’utente, consultare modelli statistici e LLM e fornire una risposta coerente, anche su dataset non SentinelOne”, racconta Rottigni.
Athena, evoluzione dell’AI agentica
Oggi, grazie al progettoAthena, Purple AI ha esteso le sue funzionalità. “Athena non è un concept di roadmap, ma una realtà già tangibile: è l’evoluzione della nostra AI agentica, che estenderà le sue capacità nei prossimi mesi con funzionalità sempre più avanzate e specialistiche”. Due di queste sono già operative: community verdict e similarity. “Se ricevete un alert suspicious, community verdict vi dice quanti degli utenti globali hanno classificato quell’evento come falso positivo. È tutto anonimizzato e modellato in tempo reale da AI generativa”, spiega Rottigni.
Allo stesso modo, similarity permette di sapere “quanti esemplari di quella stessa specie sono stati visti nello zoo SentinelOne, che è uno zoo planetario. A cui forniscono contributi molteplici fonti, dai partner commerciali ai ricercatori di threat intelligence sino ai sistemisti che fanno detection comportamentale. Non arriviamo a rappresentare il 100% del malware, ma abbiamo un’ampia collezione. E sapere quante specie dello stesso esemplare sono state viste nello scibile Sentinel One è un elemento che, unito al community verdict, permette all’analista di avere molta più confidenza nelle azioni da intraprendere”.
