Nelle aziende per l’IT sono in corso revisioni di budget, ritardi e cancellazioni di progetti, ma la cybersecurity è uno dei pochi ambiti in cui gli investimenti sono stabili. Questo però vale per gli investimenti nelle tecnologie, mentre quelli nelle persone sono forzatamente rallentati dalla cronica mancanza di specialisti, cosa che allunga i tempi di completamento dei progetti.

Altro fattore di rallentamento è che tutti i progetti tecnologici oggi sono sottoposti alla valutazione del CFO. Ma questo è anche un elemento di qualificazione, perché la valutazione del rischio è un elemento importante per migliorare la maturità di cybersecurity dell’organizzazione.

Così Paolo Cecchi, Sales Director Mediterranean Region di SentinelOne, ha raccontato il suo punto di vista sul momento attuale degli investimenti in cybersecurity appunto nella regione mediterranea, e in particolare in Italia, in un recente incontro con la stampa.

“Per quanto riguarda i trend che ci aspettiamo in questo 2024, inutile dire che gli attacchi continueranno, attacchi sempre più efficaci, mirati e distruttivi sia per la continuità operativa, sia per la reputazione e l’immagine di aziende e organizzazioni colpite. Notiamo una ripresa degli attacchi “state sponsored” a causa dei conflitti in atto, dopo un periodo di forte prevalenza di attacchi di interesse economico (ransomware) che comunque restano uno dei temi più importanti, in particolare in Italia, dove abbiamo visto attacchi anche contro realtà che erogano servizi al cittadino, come ospedali e ASL, con gravissimi impatti sulla loro attività quotidiana”.

AI, tanti nuovi rischi ma anche un’opportunità

E poi, sottolinea Cecchi, inizia a profilarsi l’enorme impatto dell’AI sulla cybersecurity, con varie sfaccettature.

“Una è la possibilità con l’AI di rendere l’attacco meno visibile, farlo passare come attività legittima, cosa che rende questi attacchi estremamente pericolosi. Un’altra è usare l’AI per creare contenuti personalizzati e convincenti, puntando, invece che su sistemi vulnerabili, sulle persone vulnerabili. Un’altra ancora è attaccare direttamente l’AI aziendale, tipicamente nella fase di addestramento, per esempio alimentandola con dati sbagliati, e compromettendo così qualsiasi output”.

Come vediamo, i governi e la Comunità Europea stanno facendo un gran lavoro per regolamentare l’AI in modo da arginare questi rischi. “Queste norme però richiedono grandi cambiamenti nelle aziende, mentre gli hacker non si preoccupano ovviamente di rispettarle, e questo nel breve termine rischia di generare ulteriori vulnerabilità”.

Se però gli attaccanti sfruttano l’AI, anche i difensori, in primis i fornitori di cybersecurity, hanno l’opportunità di farlo. “L’AI può servire per analizzare i dati, la cui quantità ormai è talmente alta che umanamente è impossibile farlo. Può servire a semplificare il lavoro, velocizzare la ricerca di informazioni, correlare i dati e accelerare i tempi di risposta con azioni automatiche”.

Dagli endpoint alla piattaforma

SentinelOne, sottolinea Cecchi, è nata come specialista nella protezione degli endpoint, grazie ad agent installati sugli endpoint per rilevare minacce evolute, basati su ML e AI e non sulle signature, quindi modelli dinamici in grado di rilevare comportamenti anomali. Anche nel 2023 per il terzo anno consecutivo è stata riconosciuta come Leader nel Magic Quadrant di Gartner dedicato a queste piattaforme.

Oggi però questo approccio si è esteso: “SentinelOne ha scelto un modello platform centric, una piattaforma basata su un “security data lake” in cui confluiscono dati dagli endpoint ma anche da fonti di terze parti, di security e non”.

Si sa che il settore cybersecurity è molto frammentato, mediamente un’organizzazione usa 40 soluzioni diverse in questo campo. Il concetto di piattaforma serve a ridurre questa complessità correlando le informazioni da fonti diverse, e consolidando la visibilità della situazione in un singolo pannello.

“La nostra piattaforma si basa su diversi pilastri, i principali sono protezione degli endpoint, del cloud, e dell’identità. La parte di protezione endpoint rimane prioritaria, l’EDR l’hanno fatto tutti, oggi aumentano le funzioni all’interno dello stesso agent, il tema dell’identità è sempre più importante perché trascurato per anni, e più in generale è così anche per l’active directory, che invece è proprio dove l’attaccante vuole arrivare”.

“Uno dei pochi vendor che ha team locali, anche in Italia”

Quanto alla protezione cloud, non esistono sul mercato soluzioni complete. “C’è una pletora di soluzioni focalizzate su singoli ambiti – CDS, CIAM, Cwpp, Cnapp -, e l’azienda utente non sa da dove partire, e come gestire tutte queste soluzioni. Anche qui per SentinelOne il consolidamento è l’arma vincente, e questo spiega la recente acquisizione di PingSafe, una specialista di soluzioni Cnapp (Cloud Native Application Protection Platform), con l’obiettivo di proteggere l’intera azienda a livello di endpoint, identità e cloud con una sola piattaforma”.

Sulla protezione Cloud in Europa e in Italia, osserva Cecchi, è cambiato poco rispetto a un anno fa. “Gli USA hanno un vantaggio anche più ampio dei classici due anni che hanno in quasi tutte le aree tecnologiche. Anche in alcuni settori pubblici, come healthcare ed education, si sente la differenza, perché in USA fanno investimenti con mentalità aziendale, in Europa prevale ancora la mentalità burocratica”.

“In generale però SentinelOne sta crescendo a livello global ed EMEA: questo significa che gli investimenti continuano e l’attenzione è alta. Siamo uno dei pochi vendor che ha team locali, anche in Italia, dove siamo ben posizionati soprattutto nei settori finance ed energy, ma anche nel manifatturiero e nel retail”.