21/03/2025 di Valentina Bernocco

AI, integrazione e iperautomazione: il punto di svolta della sicurezza

SentinelOne abbraccia il concetto di piattaforma, proponendo Singularity come antidoto alla frammentazione tecnologica che affligge i Security Operations Center.

L’espressione “piattaforma tecnologica” è una delle più abusate, negli ultimi anni, per descrivere le offerte dei vendor Ict. Ma parlare di piattaforma, anziché di software o di soluzione, non sempre è solo questione di marketing. Nel caso di SentinelOne, per esempio, indica un vero spostamento concettuale nel modo di intendere l’offerta, con concreti risvolti per i clienti.

“SentinelOne in passato era un’azienda focalizzata sulla protezione delle diverse superfici, come il mobile, il cloud e l’identità”, ha raccontato alla stampa il technical director dell'azienda, Marco Rottigni. “Era importante implementare la protezione di queste superfici in modi simili, perché sono ambiti diversi ma legati tra loro. Quindi ci siamo concentrati sul mantenere l’eccellenza, tenendo ben presente che serviva una piattaforma per collegare i segnali, per allertare, per consentire di investigare e connettere le informazioni delle nostre soluzioni con altre piattaforme”. 

Il risultato di questa nuova impostazione è la Singularity Platform, che aggrega funzionalità di rilevamento e risposta alle minacce sugli endpoint, di protezione del cloud e di Siem (Security Information and Event Management), in aggiunta a capacità di automazione basate su intelligenza artificiale (la tecnologia proprietaria Purple AI).

La frammentazione tecnologica è una spina nel fianco per i Security Operations Center, che si trovano spesso sommersi dagli alert e costretti a utilizzare interfacce e strumenti diversi per svolgere singole operazioni: se ne parla da anni, ma la presenza di tecnologie legacy e dei famigerati “silos” ostacola il superamento del problema. A questo si somma il problema della carenza di competenze, accentuato specie nelle Pmi, che non a caso si stanno rivolgendo sempre di più a fornitori di servizi di sicurezza gestiti. 

“In SentinelOne stiamo rispondendo a tutto ciò con un approccio sempre più platform-centric”, ha illustrato Paolo Cecchi, senior sales director mediterranean region dell’azienda. “L’approccio basato sulla piattaforma risponde alle attuali sfide di frammentazione delle soluzioni di sicurezza e di carenza di skill. La nostra è una piattaforma aumentata e rafforzata dall’AI, oltre che da strumenti che permettono di ottimizzare sempre di più la parte di prevenzione, rilevamento e risposta alle minacce”.

Paolo Cecchi, senior sales director mediterranean region di SentinelOne

Paolo Cecchi, senior sales director mediterranean region di SentinelOne

Integrazione, non sostituzione

Il cuore della Singularity Platform è un data lake aperto, basato su open framework, che permette di aggregare dati da diverse fonti (sistemi e ambienti IT, ma anche di Operational Technology) e normalizzarli per renderli intellegibili. La logica di fondo non è sostituire l’esistente, ma integrarlo, creando un unico punto di osservazione e di “regia”. “Quest’anno SentinelOne ha fatto un drastico cambio di passo”, ha rimarcato Rottigni. “Il valore della piattaforma è fondamentale: non importa quanto frammentate siano le tecnologie, è essenziale che lavorino insieme, pena la perdita di visibilità e di efficacia”.

“La nostra è una piattaforma agnostica”, ha proseguito Cecchi. “Il segreto dell’adozione di una piattaforma non risiede nel singolo vendor ma nella possibilità di raggruppare tutte le soluzioni di cybersecurity”. Alcuni clienti di SentinelOne, ha spiegato il manager, stanno usando Singularity non solo per le operazioni di sicurezza ma anche per raccogliere da varie applicazioni e sistemi tutta una serie di dati che permettono di avere visibilità sull’andamento del business.

sentinelone-singularity-platform.jpg

Dall’automazione all’iperautomazione

Integrazione significa, quindi, visibilità estesa e di conseguenza maggiore controllo su ciò che accade in azienda, nella cybersicurezza ma non solo. Il passo successivo, reso possibile dall’intelligenza artificiale, è l’automazione. Anzi, l’iperautomazione, come preferisce chiamarla SentinelOne. Lanciata lo scorso anno, Singularity Hyperautomation è una soluzione tesa a semplificare il lavoro dei Security Operations Center: permette di automatizzare i flussi di dati da una pluralità di soluzioni in uso, tra cui quelle di Palo Alto, Discord, Google, Microsoft e persino di vendor concorrenti di SentinelOne. Per la raccolta degli allarmi e la visualizzazione si può usare Singularity, ma questo non è un obbligo.

Il tutto può essere realizzato in modalità no-code, e non è un dettaglio da poco. “Gli orchestratori hanno rappresentato l’inizio dell’attività di automazione, ma richiedevano inizialmente una conoscenza approfondita dei processi e spesso la scrittura di codice”, ha ricordato Cecchi. “Le aziende hanno investito molto nella creazione di playbook che non potevano essere modificati. Questo ha determinato quasi il fallimento del concetto di automazione. SentinelOne ha però innovato questo concetto di automazione e per questo l’abbiamo chiamata Hyperautomation. Vogliamo introdurre logiche no-code simili a quelle dei mattoncini Lego, permettendo alle aziende di guadagnare una quantità esorbitante di tempo, senza dover dedicare risorse a processi molto ripetitivi”.

“Il minimo comune denominatore in tutti proof-of-concept e proof-of-value che stiamo realizzando”, ha raccontato Rottigni, “è che l’iperautomazione crea dipendenza: le aziende partono dall’automatizzare la cybersicurezza per poi estendere questo approccio ad altre aree dell’IT”.

Marco Rottigni, technical director di SentinelOne

Marco Rottigni, technical director di SentinelOne

L’intelligenza artificiale e il futuro dei Soc

Accanto all’integrazione (resa possibile dal data lake al centro di Singularity) e all’iperautomazione, il terzo pilastro della strategia tecnologica di SentinelOne è l’intelligenza artificiale. “Stiamo investendo per ampliare le funzionalità della nostra piattaforma sia nell’iperautomazione sia in Purple AI”, ha illustrato Cecchi. “L’obiettivo è rendere i Soc sempre più automatizzati e farli passare da un approccio reattivo a uno più proattivo. Se l’intelligenza artificiale può aiutare gli analisti a scremare i falsi positivi, si ottimizzano tempo e risorse disponibili. Rendere Purple AI sempre più autonoma e proattiva è l’obiettivo a cui tendiamo”.

Purple AI può raccogliere non solo log da fonti eterogenee ma anche allarmi ed evidenze, per poi gestire questi dati attraverso flussi automatizzati. Lo scorso ottobre hanno debuttato nuove funzionalità che automatizzano il triage degli avvisi, la ricerca e le indagini sulle minacce di cybersicurezza. “Purple AI è un’architettura molto complessa e sofisticata, che permette di interrogare qualsiasi fonte raccolta in formato OCFS, l'Open Cybersecurity Schema Framework”, ha precisato Rottigni.

Nella visione di SentinelOne, quindi, le competenze e l’intervento umano resteranno importanti all’interno dei Soc, mentre l’iperautomazione e l’intelligenza artificiale aiuteranno a sgravare le persone dal lavoro a scarso valore aggiunto. “I falsi positivi e falsi negativi esistono ed esisteranno sempre”, ha ammesso Rottigni, “e dipendono dalle superfici su cui vengono raccolti. Chiaramente ci si aspetta che il vendor faccia uno sforzo per ridurli il più possibile, specie sugli endpoint, dove è più facile distinguere un falso allarme da uno reale. Sulle identità invece è più difficile, perché a volte l’attaccante agisce con gli stessi comandi e gli stessi argomenti che userebbe un amministratore di sistema. Ecco perché i falsi positivi, dal mio punto di vista, sono assolutamente tollerabili anche se in modo diverso a seconda della superficie. Ma diventa importante automatizzare il più possibile, perché avendo un dato già contestualizzato l’analista ci impiega poco a distinguere se si tratti di un evento degno di nota. Come SentinelOne stiamo lavorando molto per ridurre il più possibile i falsi positivi e negativi e inoltre l’AI può aiutare moltissimo, il machine learning per fare la prima scrematura e l’AI generativa per “ragionare” sul singolo caso in modo abbastanza simile a come farebbe un utente. La nostra missione non è di escludere gli esseri umani dai Soc, bensì di rendere le risorse specializzate sempre più efficaci”.

scopri altri contenuti su

ARTICOLI CORRELATI