L’intelligenza artificiale, combinata all’approccio Xdr, sta trasformando le attività di rilevamento e di risposta agli attacchi. Ce ne parla Marco Rottigni, technical director Italia di SentinelOne.
Come è cambiato lo scenario della cybersicurezza negli ultimi anni?
La pandemia, la dissoluzione dei perimetri e la trasformazione digitale hanno amplificato i rischi di uno scenario degli attacchi informatici già preoccupante. Attacchi che oggi crescono secondo “tre V”: in volume, in velocità e in varianza. Al pari di chi li contrasta, anche gli attaccanti hanno a disposizione tecnologie di intelligenza artificiale che stanno consentendo un incremento esponenziale del volume e della velocità delle minacce, oltre a una varianza che le rende difficili da rilevare. Intanto, nelle aziende le risorse destinate a occuparsi della cybersicurezza non crescono nella stessa misura.
La priorità delle aziende dovrebbe essere oggi quella di investire in una “macchina del tempo”, cioè in una macchina tecnologica che permetta di risparmiare e di liberare tempo per le risorse interne, in modo che possano smettere di occuparsi di attività ripetitive e a basso valore aggiunto, per dedicarsi solo agli attacchi sofisticati.
E come è possibile ottenere tutto questo?
La cybersicurezza deve diventare autonoma e veloce, ovvero non deve più aver bisogno dell’essere umano per essere messa in moto ma deve saper identificare le minacce in autonomia e a velocità macchina (la stessa con cui agiscono i cyberattacchi). In SentinelOne abbiamo investito per sviluppare una tecnologia capace di aumentare la velocità di reazione e di amplificare il potere d’azione dei professionisti della sicurezza. Grazie all’intelligenza artificiale, la tecnologia alla base della nostra piattaforma Singularity riesce a rilevare gli attacchi e a contrastare l’infezione.
Marco Rottigni, technical director Italia di SentinelOne
Minacce come i ransomware oggi preoccupano molto ma seguono schemi d’azione tutto sommato semplici, che possono essere facilmente identificati dall’intelligenza artificiale senza scomodare gli esseri umani. Le persone possono, così, concentrare l’attenzione solo sugli attacchi sofisticati e dedicarsi ad attività di investigazione. Inoltre è fondamentale l’aspetto della velocità: l’intelligenza artificiale ha tempi di reazione paragonabili a quelli degli attacchi e molto più rapidi di quelli delle persone. Parliamo di manciate di secondi, contro ore o addirittura giorni.
Singularity, inoltre, sfruttando funzionalità del sistema operativo può riparare i danni causati da un attacco, come la cancellazione o la crittografia dei dati. Non si tratta di riportare la macchina allo stato di un certo momento, precedente all'infezione bensì di operare un ripristino "chirurgico", intervenendo solo sugli elementi danneggiati.
L’Endpoint Detection and Response (Edr) è stato per molto tempo un pilastro delle strategie di sicurezza aziendali. Lo è ancora?
La capacità di rilevare la presenza di un attacco su un endpoint e di contrastarlo è ancora cruciale. Ma le aziende sono anche dotate di firewall, Vpn, sistemi di gestione delle identità e altre tecnologie che possono essere usate anche per arricchire l’attività di detection con ulteriori dati, preziosi per rilevare gli attacchi.
La capacità di mettere tutte queste tecnologie insieme per farle dialogare con l’Edr si chiama Extended Detection and Response, cioè Xdr, e SentinelOne è oggi uno dei principali interpreti di questo approccio alla sicurezza informatica. Siamo anche in grado di far colloquiare la nostra piattaforma con altre tecnologie, in modo da estendere sia la capacità di detection sia quella di risposta. L’Xdr consente alle aziende di massimizzare sia la resilienza sia gli investimenti tecnologici fatti in passato.