L’intelligenza artificiale è presente sul tavolo di gioco della cybersecurity ormai da molti anni. Dai primi algoritmi euristici per la rilevazione del malware alle analisi di comportamenti e segnali che riescono oggi a individuare correlazioni in milioni di segnali presenti su una rete per identificare un possibile attacco in atto.

Tutti strumenti a disposizione dei difensori. Da un anno a questa parte, l’ingresso della IA generativa ha però sparigliato le carte. Ha sì dato nuovi strumenti ai difensori, permettendo di far lavorare nuovi modelli su basi dati molto grandi e interagire con gli operatori usando il linguaggio naturale, ma alcuni di questi strumenti sono oggi accessibili anche agli attaccanti, che possono sfruttarli per perfezionare gli attacchi o eseguirli su una scala molto più vasta di quanto era finora possibile.

Abbiamo parlato di questi argomenti, oltre che delle principali tendenze nel campo della sicurezza informatica, con Marco Rottigni, Technical Director di SentinelOne per l’Italia, che ha subito evidenziato la natura democratica della IA generativa, che “è un amplificatore di forze, sia per l’attaccante che per l’attaccato. Consente alle aziende di gestire quantità di informazioni che i SoC non riuscivano a gestire in modo efficace, e fornisce agli attaccanti nuovi strumenti per scrivere codice o contenuti ingannevoli in modo più veloce”.

Per Rottigni le aziende stanno guardando a queste evoluzioni con un’attenzione “sana”, per capirne caratteristiche, potenzialità, limiti e rischi nell’utilizzo per rafforzare le difese, senza cadere in una “frenesia da adozione”.

DigitalWorld: In che modo SentinelOne sta adottando queste tecnologie?

Marco Rottigni, Technical Director di SentinelOne per l’Italia

Marco Rottigni, Technical Director di SentinelOne per l’Italia

Marco Rottigni: SentinelOne sta investendo nel machine learning da più di 10 anni, con due ambiti di applicazione:

  • La difesa statica, che determina se un file è malevolo senza doverlo eseguire o aprire, effettuando una valutazione basata anche su due milioni di parametri prima di classificarlo;
  • La difesa comportamentale, che nasce dall’intuizione avuta due anni fa di cablare gli algoritmi comportamentali sui i parametri con cui il MITRE classifica gli attacchi, cercando non un singolo valore specifico, ma una combinazione di comportamenti che possono nascondere un attacco in atto.

La parte più esaltante, che abbiamo introdotto di recente, è quella che chiamiamo Purple IA e che sfrutta la IA generativa usata per aumentare l’efficacia, la potenza di fuoco e le capacità delle Security Operations. Qui, invece di creare un clone di ChatGPT con tutte le inefficienze e le possibili allucinazioni di una IA general purpose, Purple AI sfrutta il principio della Retrievable Augmented Generation (RAG) per validare le proprie risposte attraverso la consultazione di un database curato, sanificato e verificato.

Il database è ovviamente costituito dal Security Data Lake che già alimenta le soluzioni “classiche” di SentinelOne basate su machine learning, e che è ha prestazioni elevate e scalabilità pressoché infinita perché cloud native.

DW: Quali sono le funzioni abilitate dalla Purple AI?

MR: Si tratta di un’area di sviluppo visionario, perché permette agli analisti di fare domande in linguaggio naturale, e ottenere risposte con lo stesso metodo. Al momento la soluzione è verificata e validata solo per la lingua inglese, ma alcuni risultati sono raggiungibili anche scrivendo direttamente in italiano.

Per esempio, questo risolve un limite degli analisti meno esperti, che è l’interpretazione dei log. Cliccando su una riga di log, la piattaforma riesce a raccontarmi la storia di quell’evento, mettendolo in contesto e arricchirla con l’utilizzo di altre fonti.

DW: Siamo alla solita domanda: la IA sostituirà le competenze di personale esperto?

MR: La tecnologia serve a potenziare l’essere umano e non il contrario. Questo vale per le risorse meno qualificate, ma anche e soprattutto per potenziare quelle qualificate. Se le stesse risorse riescono ad avere più velocità ed efficacia perché sono potenziate da un algoritmo di IA generativa, ci sono due risultati importanti:

  • Si fanno più cose di prima e si fanno meglio;
  • Si aumentano le competenze degli analisti cyber, perché l’analisi non viene delegata alla tecnologia, ma questa spiega all’operatore cosa sta succedendo.

È quindi uno strumento che non solo fornisce un aiuto istantaneo, ma aumenta le competenze del personale migliorando le sue prestazioni nel futuro.

DW: Quest’anno abbiamo la diffusione di diversi strumenti di evasione/elusione degli strumenti di detection and response di tutti i principali marchi, anche al di fuori dei marketplace in cui vengono venduti tool e 0day. Come questo dovrebbe cambiare l’approccio delle aziende?  

MR: I tool di attacco per mobile, come Pegasus e Predator sono ancora rari e venduti a caro prezzo, ma vediamo aumentare tool di attacco che vengono spacciati per iniziative di ricerca, formazione o valutazione della superficie di attacco a scopo difensivo. È il classico problema del duplice utilizzo di alcune tecnologie.

Quando uno di questi strumenti raggiunge la luce della ribalta c’è sempre molta attenzione, anche se poi si scopre che alcuni di essi non fanno che sfruttare vecchie vulnerabilità che non dovrebbero preoccupare gli amministratori di sistema che fanno bene i propri compiti e aggiornano sistemi, driver e software.

Ci sono però anche tool molto avanzati, e qui dobbiamo ricordare che nessun software può essere perfetto, e installare una soluzione non basta a essere sicuri. È necessario raggiungere livelli eccellenza in termini funzionali, predisponendo tecnologie anti tampering e considerando cosa può accadere nel caso peggiore. Per esempio, contemplando la possibilità che un sistema di difesa venga distrutto, ma che per lo meno mandi un messaggio di allarme prima di morire. Quando poi compaiono questi strumenti, bisogna imparare costantemente nuove lezioni, e qui risiede l’importanza della ricerca e sviluppo..

Un altro principio per noi sacro è che una difesa è formata da una moltitudine di oggetti. È il motivo per cui SentinelOne ha abbracciato in pieno il paradigma dell’XDR aperto. La nostra piattaforma può agganciarsi a numerose piattaforme di terze parti, e fare anche da ponte per metterle in comunicazione tra loro.

Questo permette di aumentare il contesto e avere un triage più rapido in fase di detection, potendo sfruttare protezioni fornite da altre soluzioni specifiche per esempio per le email, Active Directory o altro. Anche se una difesa viene neutralizzata, la somma delle altre apporta ancora resilienza.

DW: Quali saranno le principali tendenze del 2024 nel campo della cybersecurity?

MR: Penso che ci sarà molta attenzione sui temi della protezione dell’identità, che finora è stata limitata all’attenzione alla robustezza delle password e al governo dei permessi, verso una vera Identity Threat Detection and Response. Sempre più attacchi puntano sull’escalation dei privilegi resa possibile da configurazioni errate. La compromissione di un’identità può essere molto più grave della compromissione di un server, che può essere ripristinato più facilmente.

Sta crescendo l’interesse verso la strategia di difesa chiamata deception, con la quale si tenta di ingannare un attaccante fornendo informazioni plausibili ma false durante la sua ricognizione. Manca però in molte aziende di una implementazione concreta, e anche il MITRE sta andando con cautela nel proporla.

Altro tema è il ritorno dei data analytics, con piattaforme di raccolta dati che si sono svincolate da SIEM e SOAR, che erano nati per altri scopi e quindi non erano adatti a soddisfare le esigenze degli odierni sistemi di analisi.

Ora si andranno a consolidare i dati su nuovi sistemi per capire se l’applicazione di IA su queste piattaforme permetterà di avere una maggiore efficacia anche nel rilevamento in tempo reale, grazie agli algoritmi di intelligenza artificiale e non più in base a regole di correlazione da scrivere a mano. Ovviamente la IA generativa continuerà a essere un tema caldo, sarà sempre più applicata nella detection and response.

Se queste innovazioni tecnologiche toccheranno terra nel modo giusto, ci saranno risvolti interessanti sui servizi di sicurezza gestita, in cui cliente e fornitore di servizi possono collaborare più attivamente alla gestione di un allarme, una notifica, un incidente, applicando il concetto di CoPiloting.

Nella parte medio alta del mercato, questo potrebbe portare a una concentrazione nel numero di vendor, e un aumento delle entità di canale che si specializzeranno in un servizio più avanzato.