A cura di Marco Rottigni, Technical Director di SentinelOne Italia
Quando si parla di sicurezza informatica, assistiamo a un fenomeno peculiare: ogni vendor punta a evidenziare i vantaggi della propria piattaforma. Il che è bizzarro, perché spesso il concetto di piattaforma è uno dei temi meno percepiti dall’utilizzatore delle diverse soluzioni.
Sebbene il concetto di piattaforma rivesta un’importanza strategica fondamentale per definire evoluzione e confini di una soluzione di cybersecurity, tali valori sono spesso difficilmente percepibili dagli utilizzatori primari della soluzione. Quando parliamo di utilizzatore dobbiamo sempre tenere a mente che praticamente ogni soluzione di cybersecurity serve principalmente due distinti profili di utenza.
Parlando per esempio di un anti-malware o di una soluzione di mail protection, il primo cliente a cui facciamo riferimento è l’utilizzatore di una workstation o di una casella di mail. Per questa tipologia di cliente la cybersecurity si traduce in “se c’è un attacco io voglio riprendere a lavorare nel più breve tempo possibile, leggere le mail e non avere alcuna interruzione della mia produttività”.
L’altro utilizzatore importante che troviamo nelle organizzazioni è il team di Security Operations. A volte questa importante funzione aziendale è gestita internamente; altre in modo ibrido, cioè con una parte interna e un’altra esternalizzata che collaborano; altre ancora è definita ‘as a service’, con un provider specializzato di servizi chiamato Managed Security Service Provider (MSSP) o Managed Detection e Response (MDR) Provider. Questa seconda tipologia di utilizzatore è interessata a valori decisamente diversi: incremento della velocità operativa ed efficacia nelle operazioni di triage, threat hunting (letteralmente, investigazione della minaccia con i dati), data forensics e risposta agli incidenti.
Due esigenze molto diverse ma non inconciliabili, qualora nella piattaforma si verifichino tre importanti condizioni:
- La piattaforma faccia uso di una tecnologia avanzata che acceleri, potenziandola, l’efficacia nel rispondere ai diversi bisogni operativi e di efficienza dei due clienti di riferimento.
- La piattaforma racchiuda funzioni simili per affinità, cioè non sia dispersiva nell’erogare protezione in ambienti troppo dissimili o scarsamente sinergici. Un esempio di tale sinergia può essere l’endpoint e l’identità di chi usa l’endpoint, molto diversi rispetto alla rete.
- La piattaforma sia sufficientemente aperta da trarre vantaggio bidirezionale dalle capacità di altre piattaforme circostanti. È grazie a questa integrazione trasparente che più piattaforme nate per implementare cybersecurity in aree differenti riescono a mettere a fattore comune alcune capacità, garantendo un valore olistico superiore ad ognuna presa singolarmente.
SentinelOne – azienda leader a livello globale nella cybersecurity basata sull’AI, nel corso di oltre un decennio – ha avuto l’intuizione di progettare dall’inizio la propria Singularity Platform secondo questi principi, effettuando ricerche avanzate su come l’intelligenza artificiale potesse rappresentare un fattore di amplificazione delle attività gestite dall’essere umano. Perché l’intelligenza artificiale rappresenta un acceleratore, un amplificatore e un semplificatore nella risposta a queste esigenze.
L’approccio che abbiamo adottato è stato di capire in quanti modi l’AI – specialmente con le recenti innovazioni dell’AI Generativa – potesse soddisfare le esigenze di queste due tipologie di clienti.
L’AI non può infatti essere una funzionalità specifica da abilitare o meno come se fosse un’opzione di configurazione, bensì deve rappresentare un tratto pervasivo dell’intera architettura di piattaforma, in modo da intervenire amplificandone velocità, efficienza ed efficacia in molteplici aree della soluzione.
Gli esempi di come l’AI possa rendere più efficace la soluzione di cybersecurity sono molteplici: rileva comportamenti complessi che possono sfociare in una compromissione; interviene con una risposta attiva di neutralizzazione e contenimento in base al perimetro di riferimento; oppure, fornisce una sintesi di un allarme o un incidente, per accelerarne il triage senza togliere contesti più approfonditi agli analisti che ne avessero bisogno; o anche, fornisce un’interfaccia conversazionale semplice e incredibilmente efficace per le azioni di threat hunting – perfettamente integrata nella piattaforma.
La Singularity Platform di SentinelOne punta a difendere con soluzioni specializzate superfici affini tra loro. Affini perché la loro combinazione copre le diverse prospettive che permettono all’utente di operare in modalità protetta: endpoint (workstation, server, mobile, storage); identity, cioè il mondo di Active Directory – entità in costante cambiamento e uno dei target principali degli attacchi malwareless; cloud, che forse rappresenta oggi la più multi-sfaccettata delle superfici sia per i modi in cui è utilizzabile (DevOps, Microservizi, Platform-asa-Service, Infrastructure-as-a-Service, …) sia per le sfide che pone (compliance, misconfiguration, attacchi, vulnerabilità, …).
Infine, la Singularity Platform è stata disegnata con logica API-first. Questo significa che è sviluppata per connettersi in modo semplice e trasparente a piattaforme complementari, in modo totalmente bidirezionale. È quindi strutturata per favorire la comprensione del contesto in modo automatico grazie a informazioni precise sull’alert o sull’incidente causato, dati che SentinelOne da sola non potrebbe conoscere da tutti i punti di vista. Ad esempio, l’utente utilizza anche dispositivi mobili? Oppure ha fallito una serie di login sul portale VPN negli scorsi tre giorni, tentativi che provenivano da geografie incompatibili con quella in cui l’utente opera normalmente? Dal momento che spesso questi contesti danno poi inizio a sessioni di threat hunting da parte degli analisti, la piattaforma mette a disposizione una raccolta trasparente e normalizzata di telemetria proveniente da terze parti.
Concludendo, nel tempo le aspettative delle due tipologie di clienti sulle soluzioni di cybersecurity sono evolute in base alle reciproche esigenze e, nel complesso, sono state rese più sfidanti da un’elevata mobilità e dalla complessità delle superfici da difendere. Oggi non si può più prescindere dall’utilizzo di AI nella cybersecurity, dal momento che bisogna incrementare velocità di analisi e risposta amplificando le capacità delle risorse esperte. Ecco perché SentinelOne fonda la propria evoluzione tecnologica su tre pilastri molto importanti: intelligenza artificiale, data driven security e interoperabilità tra piattaforme.
