In uno scenario che vede attacchi sempre più mirati, veloci e numerosi che mettono in difficoltà le aziende, SentinelOne spinge a fondo l’acceleratore sull’utilizzo dell’intelligenza artificiale che se è uno strumento per gli attaccanti può esserlo anche per i difensori.

Lo sottolinea Marco Rottigni, Technical Director per l’Italia di SentinelOne, che vede l’intelligenza artificiale come l’elemento che può determinare un cambio di passo. “I tool di IA sono utilizzati per attacchi sempre più veloci ed efficaci. Anche i difensori quindi devono organizzarsi con l’IA per aumentare il livello di protezione”.

Poi c’è il cloud con aziende che si stanno spostando con decisione verso la nuvola con la reingegnerizzazione dei processi e delle architetture che ora sono cloud ready. Un importante ambito di sviluppo per SentinelOne che ha chiuso anche un interessante contratto in Italia con un importante realtà del turismo.

Wiz e Security Data Lake

Questi temi, spiega Paolo Cecchi, Regional Sales Directory Mediterranean Region di SentinelOne, si innestano in Singularity Skylight, la piattaforma storica dell’azienda “che vuole essere disruptive nel modo in cui si offre sicurezza”. Per raggiungere questo obiettivo si passa dalla intesa con Wiz che ha permesso di “unire una cosa che facevamo bene, lo shild right, lo scudo verso l’ambiente di produzione con lo shift left che indica la propagazione della protezione verso il ciclo di vita di una risorsa cloud. Combinando le due coseprosegue Cecchiabbiamo trovato questa collaborazione con Wiz che permette un’unicità assoluta: rivelare le combinazioni tossiche. Gli ambienti cloud sono molto complessi con risorse frammentate, disperse su uno o più cloud account. Complessità aggravate da nebbia digitale e frammentazione elevata dell’architettura. Di qui la bontà di esporre le combinazioni tossiche perché se io ho una vulnerabilità sull’immagine di un container non vuole dire che questa vulnerabilità sia raggiungibile e sfruttabile. La difficoltà è trovare dove sono e quanto sono gravi le superfici esposte e l‘esposizione di questo tipo di combinazione aiuta molto l’individuazione di una vulnerabilità e la definizione di un piano di rimedio”.

Singularity Skylight permette quindi di semplificare l’analisi e la risposta agli incidenti grazie alle funzionalità avanzate sul rilevamento delle minacce in tempo reale del Cloud Workload Protection Program di SentinelOne ottenute grazie ai Wiz Issues sull’infrastruttura cloud sottostante. La piattaforma semplifica la ricerca delle minacce in modo proattiva e rafforza le ricerche con strumenti per i team di ricerca per filtrare, calcolare ed estrarre facilmente nuovi campi, nonché per gestire, indagare e rispondere ad attività sospette in tempo reale.

La visione di SentinelOne, aggiunge, vuole essere olistica e non puntuale perché solo quella è, precisa, il Manager, la strada da percorrere.

Il secondo punto che è il cuore della architettura Sentinel One è un security data lake.Un’architettura che deve essere cloud native eredita le logiche di ricerca che ci ha insegnato Google che si sono evolute restando ancorate al cloud e questo un security data lake deve mettere in campo. Diversamente non sarà mai all’altezza delle prestazioni necessarie. Il security data lake però deve tenere conto delle diverse piattaforme di sicurezza che esistono in azienda e avere una connotazione XDR, essere in grado di interfacciarsi nella maniera più semplice e veloce possibile con le piattaforme già esistenti per arricchire il contesto di un incidente, estendere le capacitò di risposta e poi permettere a queste piattaforme di accentrare i log in una unica gestione centralizzata. In questo contesto si qualifica un framework che sta diventando sempre più noto e che ha una sigla OCSF, Open Cyber Security Framework. Vuole dire che tutte le piattaforme che generano log danno lo stesso senso ai concetti di username, IP sorgente, IP destinazione così se devo fare ricerche lo chiedo a cento piattaforme simultaneamente”.

Ecco perché security data lake deve avere semplicità di integrazione con le piattaforme a lato, prestazioni degne di una Ferrari nella manipolazione e gestione di quantità di dati elevati e capacità di normalizzare informazioni che arrivano da fonti diverse. SentinelOne ha poi prodotto un importante sforzo per sviluppare collaborazioni con altri vendor con oltre 80 integrazioni native che diventeranno oltre cento nei prossimi mesi.

Large Language Models

Il terzo aspetto della strategia riguarda Purple IA. “Abbiamo preso algoritmi LLM large language models gli stessi alla base di ChatGpt, codificati per macinare dati e rispondere a domande di security, e li abbiamo uniti con l’esperienza di SentinelOne nel campo dell’IA”.

Il risultato è una sorta di cocktail con IA autonoma in grado di lavorare su device unita ad algoritmi LLM e immersa in datalake enorme che fa parte della piattaforma. “Questo cocktail è una IA assistiva e mai sostitutiva degli skill degli analisti. Un SOC oggi ha problemi di personale con risorse non facili da trovare, costose e che devono essere aggiornate. Qui arriva IA è assistiva perché anche a un analista junior posso dare una console con linguaggio naturale che lo aiuti nel lavoro”. Sapendo che non c’è IA che possa sostituire l’intervento umano perché manca di creatività, pensiero laterale, capacità di mettere assieme dati apparentemente disgiunti.

“L’IA rimane un magnifico assistente che può dare capacità di analizzare grandi quantità di dati con estrazione informazioni aggregate”.  L’IA di Purple è dedicata al threat hunting, all’analisi e alla risposta alle minacce. La soluzione utilizza una varietà di modelli open source e proprietari e si propone di aumentare l’efficienza dell’organizzazione fornendo agli analisti della security un motore IA che aiuta a identificare, analizzare e mitigare le minacce utilizzando prompt e dialoghi interattivi. “L’attività di Threat Hunting si semplifica grazie all’intelligenza artificiale conversazionale – conclude Rottigni – Quando si tratta di threat hunting, identificare la query giusta per ottenere i migliori risultati non è mai facile. È necessario che l’analista capisca quali siano gli schemi da ricercare e abbia una certa conoscenza delle sintassi della query per tradurre domande apparentemente semplici in qualcosa di comprensibile per il sistema”.