“L’intelligenza artificiale sta diventando una tecnologia disruptive non solo nell’ambito general purpose ma anche nella cybersicurezza”. Riassume così Paolo Cecchi, regional sales director Mediterranean region di SentinelOne, una delle principali tendenze osservate nel mercato della sicurezza informatica negli ultimi anni. Un fenomeno a due facce, tuttavia, perché l’AI è diventata uno strumento per entrambi i fronti, la difesa e l’attacco.
“Gli attaccanti la stanno sfruttando per diventare più veloci ed efficaci”, ha proseguito Cecchi. “Oggi esiste un mercato dove è possibile acquisire tool più o meno automatizzati e basati su AI, che permettono di creare velocemente attacchi efficaci. Questo comporta che anche i difensori debbano organizzarsi per utilizzare la stessa tecnologia per sveltire i tempi di risposta. Siamo stati tra le prime aziende a usare algoritmi di machine learning e di AI all’interno delle nostre piattaforme, fatto che oggi ci permette di essere tra i pionieri”.
Al machine learning integrato nella propria piattaforma Singularity, SentinelOne ha affiancato nell’ultimo anno nuove soluzioni di AI. Presentata lo scorso aprile, Purple AI è una tecnologia capace di aiutare nelle attività di threat hunting, cioè di ricerca e analisi delle minacce. Si rivolge, dunque, agli specialisti in quest’ambito ma anche, più in generale, al personale dei Security Operations Center (Soc). Purple AI mette insieme diverse tecnologie di intelligenza artificiale, ovvero reti neurali e un Llm (large language model) che permette di interagire con lo strumento tramite chat, formulando domande o impartendo comandi nell’interfaccia conversazionale.
Paolo Cecchi, regional sales director Mediterranean region di SentinelOne
“Abbiamo preso algoritmi di large language model e li abbiamo codificati in modo che fossero più adatti a macinare dati di security e a rispondere a domande di security”, ha raccontato Marco Rottigni, technical director per l’Italia di SentinelOne. “Inoltre li abbiamo uniti all’esperienza più che decennale di SentinelOne nell’intelligenza artificiale”. Rottigni ha sottolineato che SentinelOne si è focalizzata fin dalla prima ora sull’idea di una AI autonoma, in grado di lavorare sui disposivi e di funzionare anche offline.
In questo scenario, le competenze degli analisti di cybersicurezza restano importanti ma possono essere integrate dall’intelligenza artificiale, laddove serve, ovvero dove manchino risorse (perché l’azienda è sprovvista di personale esperto) o competenze (come nel caso di un analista junior che può utilizzare uno strumento come Purple AI come supporto). “Pensiamo a una A che sia davvero assistiva e mai sostitutiva rispetto alle capacità degli analisti”, ha precisato Rottigni. “L’analisi resta sempre guidata dall’analista, che ha creatività, pensiero laterale, capacità di mettere insieme dati apparentemente disgiunti. Capacità che l’AI non potrebbe avere. L’intelligenza artificiale può però darci la possibilità di analizzare e aggregare enormi quantità di dati, per trovare delle risposte”.
Lo spostamento sul cloud
Le potenti capacità dell’AI si sovrappongono a un cambiamento già in corso da anni, anche nelle aziende italiane, ovvero l’adozione del cloud. “Finalmente vediamo le aziende spostarsi davvero verso il cloud”, ha testimoniato Cecchi, “non solo muovendovi ciò che prima era on-premise ma reingegnerizzando i processi e le applicazioni, per esempio con Kubernetes. Ora per la prima volta vediamo crescere l’adozione dell’approccio cloud-nativo”.
Un cliente illustre è Canva, che usa la tecnologia di SentinelOne per proteggere il proprio ambiente in cloud, sia per la parte di servizi offerti sia per le attività interne. Altro esempio è il principale ospedale indiano che protegge l’intera propria infrastruttura con SentinelOne. “In Italia abbiamo chiuso recentemente qualche contratto interessante anche nel mondo dell’intrattenimento vacanziero, che ci ha scelto per proteggere la propria infrastruttura fatta di centinaia di nodi Kubernetes”, ha svelato Cecchi.
Visibilità estesa con l'Xdr
A proposito della crescente adozione del cloud da parte delle aziende, è noto che ai molti vantaggi di flessibilità, costi e scalabilità si affianca il problema della frammentazione degli ambienti IT, diventati in molti casi “ibridi” (composti da risorse on-premise e in nuvola) e multicloud (con infrastrutture e servizi di differenti fornitori). La risposta di alcuni vendor di sicurezza, inclusa SentinelOne, è l’Xdr, l’Extended Detection and Response, che si sostituisce al più tradizionale – e ristretto – Edr, Endpoint Detection and Response.
“Endpoint, cloud, ambienti mobili, identità: sono tutte potenziali superfici di attacco”, ha sottolineato Rottigni. “Superfici che non solo sono strettamente interconnesse, ma devono beneficiare di un unico punto di integrazione, senza il quale c’è una dispersione pazzesca degli sforzi degli analisti”.
Per completare la propria piattaforma Xdr, lo scorso anno SentinelOne ha acquisito Attivo Networks, azienda specializzata in tecnologie per la protezione delle identità e per il rilevamento dei “movimenti laterali”, cioè delle attività di spostamento delle minacce all’interno di una rete, dal punto di ingresso verso obiettivi sensibili. Quest’anno si è anche profilata un’altra operazione societaria con l’israeliana Wiz, specializzata in ricerca di vulnerabilità e mappatura dei rischi, ma l’ipotesi di acquisizione è poi sfumata.
Marco Rottigni, technical director per l’Italia di SentinelOne
Un data lake nativamente cloud
SentinelOne continua comunque a portare avanti la propria visione di una cybersicurezza fondata sulla visibilità estesa, su un approccio cloud-nativo e sull’intelligenza artificiale. Un tassello importante è stato, lo scorso aprile, il lancio di Singularity Security DataLake, una piattaforma di data lake per l’interrogazione dei dati: permette, in parole semplici, di interrogare le soluzioni di cybersicurezza in uso per ottenere informazioni utili. L’architettura cloud-nativa permette a questa piattaforma di poter reggere il “peso” di certe interrogazioni query eseguite su grandi quantità di dati. Inoltre l’uso combinato di Security DataLake con PurpleAI permette all’intelligenza artificiale di apprendere dai dati e migliorare progressivamente.
“Il Securty DataLake part da un principio importante”, ha rimarcato Rottigni, “e cioè che in azienda non esiste una sola piattaforma di sicurezza bensì molte, e tutte contribuiscono alla difesa. Quindi un security data lake deve avere una connotazione Xdr e deve potersi interfacciare facilmente, senza scrittura di codice o integrazioni complesse, con le piattaforme di sicurezza in uso. Questo permette di arricchire le informazioni di contesto, di accentrare i log con una gestione centralizzata, e di interrogare contemporaneamente tutte le fonti con una sola query”.