Di fronte agli attacchi cyber potenziati dall’AI (ma anche per tutti gli altri), agire a velocità macchina per i Security Operations Center è importante non soltanto nel rilevamento della minaccia. Anche la risposta dev’essere il più rapida possibile. L’intelligenza artificiale può aiutare anche nelle investigazioni dei Soc, come mostra l’ultima novità di SentinelOne: Purple AI Agentic Investigation è una tecnologia che agisce in modo autonomo, dal rilevamento, all’analisi, al blocco della minaccia.
Si tratta dell’evoluzione di Purple AI Auto-Investigate, soluzione per le indagini forensi introdotta un paio di anni fa. Ora in disponibilità generale (con possibilità di prova gratuita per i clienti di Singularity), Purple AI Agentic Investigation avvia le indagini in autonomia, senza necessità di configurazione, e le esegue all’interno degli esistenti processi della piattaforma Singularity in uso al cliente. La soluzione segue un approccio “multimodello”, combinando Claude di Anthropic, Gpt di OpenAI e Ultraviolet, il modello di proprietà di SentinelOne.
L’azienda sottolinea il valore di una soluzione di questo tipo, in un momento in cui i Soc sono vicini al limite critico soprattutto sul fronte dell’indagine, più che nel rilevamento. “Oggi, i responsabili della sicurezza devono gestire un numero di alert critici superiore a quanto qualsiasi team potrebbe esaminare, e le minacce basate sull'AI peggiorano la situazione”, ha spiegato Chris Corde, chief product pfficer di SentinelOne. “La portata delle indagini è diventata il limite restrittivo del moderno Soc: i rilevamenti aumentano, gli alert si accumulano e le decisioni dipendono dalla disponibilità degli analisti. La funzionalità Agentic Investigation di Purple AI è progettata per eliminare tale limite, rendendo le indagini automatiche, continue e immediate”.
Purple AI Agentic Investigation non richiede configurazioni e non trasmette alcun dato al di fuori della piattaforma Singularity, con cui si integra. L’investigazione parte dai dati di telemetria già presenti nella piattaforma e raccolti da endpoint, identità, cloud e dati di sicurezza di terze parti. I dati vengono correlati tra loro in modo da ricostruire la cronologia dell’attacco: in questo modo gli analisti Soc ricevono già una prima valutazione sulla minaccia e non un semplice alert. Il personale può poi procedere con le proprie analisi di profondità e con azioni di mitigazione.
Ogni valuzione e azione dell’AI, tra l’altro, è accompagnata da una documentazione completa, che permette un controllo a posteriori e il famoso approccio human-in-the-loop. L’attivazione di Purple AI Agentic Investigation è controllata dall’amministratore, è basata sui ruoli e reversibile in qualsiasi momento. Per quanto riguarda i costi, SentinelOne per questo strumento introduce i Singularity Credits, una sorta di token “flessibile”. Durante il periodo di prova, le indagini utilizzano i Singularity Credits, ma ai clienti non viene addebitato alcun costo.