Sicurezza, le novità di SentinelOne per velocizzare detect & response

Nel 2020, SentinelOne in Italia era una startup composta da due figure commerciali che vendevano soluzioni di sicurezza. A due anni di distanza, la startup è cresciuta e non è più una presenza che si occupa solo di vendita, ma può contare su un team strutturato, composto da 13 persone. “E siccome SentinelOne crede molto nella ricerca, anche in Italia ci sono ora figure specializzate in dark web, deep web, cyber threat intelligence – afferma Marco Rottigni, Technical Director di SentinelOne –. Questo ci aiuta a integrare la tecnologia con informazioni di attribution, di qualificazione strategica dell’attaccante. Sono infatti sempre di più le aziende che, con una crescente maturità nei confronti della sicurezza, desiderano capire oltre al come anche perché e da chi vengono attaccate”.

Il ruolo focale dell’automazione

C’è poi un altro aspetto su cui Marco Rottigni mette l’accento: la velocità di intervento. La pandemia ha velocizzato tre processi fondamentali per l’IT aziendale: trasformazione digitale, ricorso allo smart working e migrazione al cloud. L’effetto che si è avuto è che l’endpoint, che in passato era l’elemento cardine per la sicurezza, non ha più senso se considerato fine a sé stesso. Oggi il perimetro aziendale cambia in continuazione e per i processi di security assume sempre più importanza il concetto di superficie di attacco, a partire dalla supply chain per arrivare a ogni possibile punto di ingresso alla rete aziendale.

Va da sé che gli elementi da tenere sotto controllo per poter assicurare un’adeguata protezione all’impresa sono innumerevoli e una persona non può monitorarli tutti. È necessario automatizzare le attività. Un discorso analogo vale per gli interventi di remediation nel caso di attacchi: anche un secondo di ritardo può essere fatale. Non può essere un uomo ad agire, ma un dispositivo configurato in modo adeguato.

“SentinelOne – precisa Rottigni – è stata una delle prime aziende a investire sull’intelligenza artificiale dieci anni fa. E ha fatto dell’autonomia nel contrasto alla minaccia il proprio vantaggio competitivo. Questo ha predisposto la tecnologia a fornire un’elevata automazione e a innestarsi bene in flussi di lavoro automatizzati con l’incremento della velocità operativa dei team di security”.

Ed è proprio per incrementare ulteriormente l’automatizzazione favorendo sia la velocità operativa sia la capacità di analisi che SentinelOne ha lanciato tre nuove soluzioni Singularity Cloud Workload Protection (per AWS), Singularity Vulnerability Mapping e Skylight.

L’integrazione con AWS Security Hub

SentinelOne riserva grande attenzione ai workflow. Ritiene infatti fondamentale mettere in comunicazione tutte le piattaforme adottate dalle aziende per fornite il livello di protezione che meglio si adatta ai singoli workflow, in modo che riescano a interconnettersi. A tal fine ha reso disponibile una nuova integrazione con AWS Security Hub, che permette di filtrare informazioni estremamente precise sulle minacce fornite dagli agent SentinelOne in esecuzione su Amazon Web Services.

L’obiettivo è consentire alle aziende di difendere in modo efficace i workload in cloud con informazioni centralizzate provenienti da SentinelOne, dai servizi AWS e dagli altri dispositivi di sicurezza. Le informazioni ottenute sono inviate all’AWS Security Hub, consentendo l’incident investigation direttamente dallo stesso AWS Security Hub. Gli incident di SentinelOne sono standardizzati in AWS Security Finding Format (ASFF), eliminando la necessità di convertire o analizzare i dati.

Automatizzare l’installazione delle patch

Come dimostrato dalle vulnerabilità Log4j e Proxylogon, gli aggressori sono velocissimi nell’utilizzare le debolezze già note per compromettere le reti. Questo obbliga i team di sicurezza a un impegno sempre maggiore nell’installare patch al fine di ridurre al minimo il rischio aziendale. Con Singularity Vulnerability Mapping, SentinelOne intende fornire la tecnologia giusta per mettere i team di sicurezza al riparo dalla proliferazione delle vulnerabilità. Infatti, Singularity Vulnerability Mapping abbina la rilevazione dei dispositivi IoT di Ranger in rete con la scansione, il rilevamento e la risposta automatizzata alle minacce di Storyline Active Response (STAR), per consentire la definizione delle priorità delle patch.

Sfruttando l’intelligenza artificiale comportamentale di SentinelOne, la nuova soluzione sostituisce i precedenti strumenti di valutazione delle vulnerabilità con un singolo agent, integrato direttamente nella piattaforma Singularity XDR. In questo modo si assicura il monitoring delle patch con la possibilità di eseguire il rollback, consentendo ai team di sicurezza di annullare senza problemi le modifiche non autorizzate.

Dai dati un aiuto a individuare le minacce

I dati sono un grande patrimonio per un’azienda e quindi non solo devono essere protetti ma anche adeguatamente gestiti affinché possano offrire del valore. Skylight di SentinalOne è una soluzione che unifica i dati di sicurezza e aziendali per offrire una visibilità completa dei dati stessi, integrandoli all’interno di SentinelOne Storylines.

Con i dati e il contesto in un unico ambiente, oltre l’endpoint, i team di sicurezza possono prendere decisioni migliori, automatizzare i workflow e trarre maggior valore dalla tecnologia e dagli strumenti di sicurezza esistenti. Skylight è un’evoluzione della piattaforma Singularity XDR che, basandosi sulla capacità di acquisire, correlare, cercare e agire sui dati provenienti da qualsiasi fonte, consente ai team di sicurezza di osservare e ricercare tutte le eventuali minacce per una maggiore efficienza.

A differenza dei SIEM tradizionali, che richiedono script manuali e continue regolazioni degli strumenti, Skylight semplifica la classificazione e la gestione dei dati. Singularity XDR registra i dati provenienti da qualsiasi fonte, compresi endpoint di terze parti, cloud, container, dispositivi IoT e altro ancora. Gli esperti di sicurezza non devono più capire come sono strutturati i dati o come vengono interpretati per poter agire e rispondere in tempo reale a ogni evento.