Approccio unificato e AI dedicata con PurpleAI, la prima progettata per la cybersecurity
Innovare, differenziarsi e continuare ad espandersi sul mercato. Sono questi i tre capisaldi della strategia di SentinelOne, per consolidare la leadership raggiunta in poco più di un decennio nel campo della protezione avanzata. «Sentinel One nasce come azienda dedicata alla protezione degli endpoint, ambito nel quale siamo da sempre leader riconosciuti» conferma Paolo Cecchi, Sales Director della Mediterranean Region di SentinelOne. «Tuttavia anche se la centralità dell’endpoint rimane invariata, con il dilatarsi della superficie di attacco una protezione circoscritta solo a quell’area non è più sufficiente. Così come non lo è più adottare soluzioni poco o affatto integrate tra loro che trasferisce alle aziende una complessità operativa non più gestibile».
Una piattaforma unica
Molti vendor di sicurezza propongono piattaforme di sicurezza “unificate” per superare il cristalizzarsi di compartimenti stagni tra team, reparti o sistemi di sicurezza all’interno di un’organizzazione. «L’approccio SentinelOne offre rispetto alle soluzioni tradizionali una serie di vantaggi» afferma Cecchi. «In primo luogo la gestione centralizzata di tutte le soluzioni di sicurezza in campo e una visibilità estesa sulle superfici di attacco. Avere una piattaforma che raccoglie sia i dati provenienti dalle soluzioni SentinelOne che quelli di altre soluzioni permette di essere molto più efficaci ed estremamente più veloci nell’analisi».
«A volte diamo per scontata la qualità della telemetria» osserva Luca Besana, Senior Channel Business Manager per la Mediterranean Region di SentinelOne. «Ma gli EDR non sono tutti uguali. Dalla qualità delle informazioni raccolte dall’endpoint dipendono le azioni correttive e la possibilità di valutarle correttamente. Il rischio è di generare rumore. E il rumore costa».
Hyperautomation
L’AI è da sempre un elemento chiave della strategia di SentinelOne. La piattaforma Singularity One integra PurpleAI che sfruttando la potenza dei LLM (Large Language Model) consente agli specialisti di sicurezza di fare domande in linguaggio naturale, di tradurle in query complesse e ricevere i risultati ancora in linguaggio naturale. «Siamo stati i primi a integrare un IA dedicata alla security» afferma Cecchi. PurpleAI è in grado di identificare le minacce con un accuratezza vicina all’80% nella parte di threat hunting e gestione dell’incidente, riducendo il numero di falsi positivi. Inoltre può prevedere future minacce e attacchi, aiutando i team di sicurezza a prevenire le violazioni» spiega Cecchi.
Predictive AI
L’obiettivo, ambizioso è quello di approdare in tempi brevi ad un AI di tipo predittivo, capace cioè di indicare ai team di sicurezza i passi successivi più adatti per proseguire nelle fasi che seguono l’investigazione. «SentinelOne sta investendo molto nell’hyperautomation, un approccio che consentirà all’azienda di ridurre ulteriormente il carico di lavoro dei team di sicurezza, migliorare l’efficacia della risposta alle minacce e personalizzare le soluzioni di sicurezza sulle esigenze di ogni cliente». Una sorta di SIEM evoluto? «Non proprio» afferma Cecchi. «Il Siem non nasce per fare sicurezza, ma per esigenze di compliance. Quindi non per scalare, né per automatizzare. Chiaro che disponendo di tutti questi dati raccolti all’interno di un repository centralizzato il passo successivo è quello di utilizzare il SIEM per fare sicurezza».
XDR in aiuto del SIEM
Qui la tecnologia XDR può però essere di aiuto al SIEM. «Il nostro security data lake permette di fare Data Ingestion – ovvero importare dati sulle minacce – threat intelligence – da più fonti per ulteriori elaborazioni e analisi – in maniera semplificata sfruttando il framework open-source OCSF (Open Cybersecurity Schema Framework) che permette di standardizzare i formati dei dati di sicurezza per facilitare la condivisione e l’analisi tra diversi strumenti e soluzioni». I clienti – sottolinea Cecchi – possono inoltre accedere al marketplace SentinelOne dove sono presenti oltre cinquanta connettori sviluppati per integrarsi con gli strumenti dei principali vendor di mercato. «Perciò quando è necessario integrare come sorgente di dati la soluzione di uno di questi vendor e il connettore è disponibile, l’integrazione è automatizzata. Quando invece non lo è– conclude Cecchi – OCSF permette di semplificare il passaggio dal formato del log nativo a quello interpretabile dal nostro security datalake, semplificando e velocizzando la fase di ingestion».
