In uno scenario in rapido cambiamento, SentinelOne si fa interprete delle esigenze di sicurezza informatica delle imprese e osservatore attento dei trend di mercato.
Incontriamo Paolo Cecchi, Regional Sales Directory Mediterranean Region di SentinelOne, e Marco Rottigni, Technical Director per l’Italia di SentinelOne, che ci raccontano le novità del marchio e analizzano gli scenari della cybersecurity, ponendo l’accento sulle strategie evolutive aziendali.
Con la crescita delle infrastrutture tecnologiche, l’incremento esponenziale del numero e della gravità degli attacchi ha messo seriamente in pericolo le organizzazioni di qualsiasi settore.
Gli ambienti di lavoro ibridi e l’aumento del numero di endpoint sono diventati obiettivi primari dei cyber criminali. Utilizzati per accedere a informazioni sensibili e interrompere le operazioni aziendali, i rischi legati agli endpoint incidono direttamente sulle finanze di un’organizzazione.
Come sottolinea Cecchi, le aziende hanno intrapreso con maggiore forza e convinzione la viaggio verso il cloud, progettando infrastrutture di rete capaci sfruttarne in vantaggi, e non semplicemente migrate dall’on-prem.
In questo delicato momento, anche gli attaccanti stanno prendendo di mira con rinnovato interesse, le infrastrutture cloud, provocando danni economici e di reputazione non indifferenti alle imprese. La perdita finanziaria causata da un attacco informatico riuscito va oltre i costi immediati – pagamento del riscatto, spese di estorsione, danni all’infrastruttura IT – con ripercussioni a lungo termine. Le ricadute anche di una sola violazione possono costare a un’impresa mesi di spese legali, sanzioni per chi opera in settori altamente regolamentati, tempi di inattività e un danno permanente al brand e alla reputazione.
Occorre dunque una adeguata formazione e la disponibilità di piattaforme di sicurezza centralizzate, capaci di collaborare e di facilitare il lavoro dei SecOps. Serve una dashboard unificata e la presenza di un collettore capace di acquisire log, notifiche, alert e ogni altra metrica operativa e di sottoporle ai team di security in modo chiaro e intellegibile.
In questo senso, SentinelOne è già proiettata in avanti e offre strumenti di cyber resiliency e da tempo addestra la propria IA per supportare al meglio le esigenze odierne delle aziende. L’integrazione dell’intelligenza artificiale all’interno delle logiche di comprensione e sviluppo della piattaforma consente un drastico cambio di passo nei processi di riconoscimento e nell’attuazione di attività di mitigazione del rischio e del danno.
SentinelOne Singularity
SentinelOne Singularityè tutto quanto abbiamo sin qui descritto e ancora di più.
Marco Rottigni
La singolarità interrompe lo status quo per generare un nuovo stato delle cose. SentinelOne vuole essere disruptive nel modo in cui offre sicurezza, andando incontro alle aziende, che hanno sempre più bisogno di “consumare dati” e che, al tempo stesso si trovano a indirizzare problematiche di security su superfici sempre più ampie (endpoint, cloud, mobile, virtualizzazione, identità, accessi).
Da qui, gli accordi con l’israeliana Wiz, per propagare controlli efficaci dalla produzione verso il cloud (shield right, shift left), realizzando una protezione realmente integrata e potente, dalla genesi del cloud, fino ai servizi erogati.
L’integrazione di Wiz rende possibile l’accesso anticipato a Singularity Skylight, una soluzione sofisticata che consente di acquisire i dati di terze parti nel Singularity Security DataLake di SentinelOne.
Questa architettura è progettata per semplificare la normalizzazione e la raccolta dei dati. Quando SentinelOne rileva una minaccia a livello di runtime a un server o a un container cloud, arricchisce automaticamente i dettagli della minaccia con i dati di contesto forniti da Wiz sulla risorsa cloud in oggetto, comprese eventuali vulnerabilità, configurazioni errate o codici esposti, e li trasmette nella console di gestione di SentinelOne.
Sicurezza informatica cloud native
Le aziende possono dunque avvalersi di un data lake cloud native, non importato dall’on-prem, come avviene su alcune soluzioni concorrenti. Ciò permette di moltiplicare le performance del sistema che, senza barriere dovute a una programmazione legacy, può “macinare” Petabyte e query impegnative.
Essere nativi in cloud significa essere scalabili e performanti!
Non solo, conferma Rottigni, per poter operare al meglio, il Security Data Lake deve entrare in contatto con piattaforme di sicurezza e deve avere una necessariamente una connotazione XDR; deve poi potersi interfacciare verso i team security in modo semplice, senza dover scrivere codice o effettuare configurazioni complesse.
Questa architettura funziona al meglio se è effettivamente in grado di arricchire il contesto di un incidente, se può estendere e migliorare le capacità di risposta e, non ultimo, consentire una aggregazione efficace di tutte le piattaforme di security in uso presso l’azienda.
In questo senso, uno standard sta emergendo. OCSF– Open Cybersecurity Schema Framework, vuole infatti favorire la normalizzazione, l’integrazione e la centralizzazione di ogni evento di rete riguardante la sicurezza.
SentinelOne è già fortemente impegnata sul fronte dell’integrazione e, in collaborazione con molti vendor del settore, ha già sviluppato circa 80 applicazioni/connettori per agevolare il dialogo tra sistemi diversi.
Purple AI
Culmine di uno sforzo continuativo e di una attenta R&D è SentinelOne Purple AI, evoluzione allo stato dell’arte dei modelli di intelligenza artificiale applicati alla security.
Parliamo di una intelligenza artificiale generativa dedicata al threat hunting, all’analisi e alla risposta alle minacce. Si basa su algoritmi LLM (large language models) affini a quelli in uso sulla nota piattaforma ChatGPT, ma opportunamente calibrati e codificati per interpretare eventi di security. Purple AI rappresenta un efficace esempio di AI “pretrained”, pre-addestrata, a partire da una immensa base dati costantemente aggiornate e, pertanto, immediatamente pronta per operare.
Si tratta di una soluzione agnostica rispetto alla rete e può funzionare, diversamente da molte altre suite oggi disponibili, anche in totale assenza di connessione. È infatti una AI autonoma, pronta per funzionare direttamente sull’endpoint e messa a punto per supportare, non rimpiazzare, gli analisti durante lo studio e la risoluzione degli incident.
