Le nuove modalità di lavoro e sistemi sempre più complessi e interdipendenti lasciano varchi nella sicurezza delle aziende. L’automazione e la IA permettono anche criminali con poche competenze di portare attacchi sofisticati a un ritmo che non è umanamente sostenibile per i SOC. E i deepfake rischiano di aumentare la verosimiglianza del phishing, che già oggi rappresenta il vettore di tre quarti di tutti gli attacchi che portano a un data breach.

Nicolas Day, Global VP Go-to market di SentinelOne

Sono queste le principali preoccupazioni dei CISO al giorno d’oggi secondo Nicolas Day, Global VP Go-to market di SentinelOne, che abbiamo incontrato insieme al Sales Director della regione Mediterraneo Paolo Cecchi nei giorni in cui a Las Vegas si teneva l’annuale convention dell’azienda, OneCon.

La nuova generazione di iper automazione alimentata dalla IA e automazione è secondo SentinelOne anche la risposta alle nuove minacce, specialmente per le piccole e medie imprese che non possono permettersi di impiegare una quindicina di persone per allestire un SOC che funzioni 24 ore su 7 giorni e tenere testa a tutte le possibili vulnerabilità, dagli errori di configurazione agli attacchi alla supply-chain.

La soluzione migliore resta quella di farsi assistere da un Managed Security Service Provider, soggetti a cui sono destinate offerte specifiche che, secondo Day, “permettono di offrire la sicurezza endpoint a più clienti con un minore costo del personale”. Secondo Cecchi, l’offerta MSSP è molto apprezzata perché “la nostra è una soluzione multi-tenant, mentre altri vendor hanno questa caratteristica”.

Vediamo quindi le diverse novità annunciate, con i commenti raccolti dai manager.

Singularity Hyperautomation: risposte automatiche con processi no-code

Secondo Cecchi, “l’automazione nella risposta agli incidenti è uno dei fallimenti della cybersecurity. Le soluzioni di Security Orchestration, Automation and Response che il mercato ha presentato sono risultate estremamente complesse, richiedendo uno sforzo umano significativo e sostenuto. Quasi tutte le aziende li hanno usati per cinque-sei use case molto banali, che potevano anche essere fatti più semplicemente con altri strumenti”.

La risposta di SentinelOne è quindi la Singularity Hyperautomation, una soluzione di automazione intelligente no-code che offre più di 100 integrazioni e decine di workflow già pronti per affrontare le minacce IT più comuni (ransomware, il monitoraggio della conformità, risposta ad attività sospette degli utenti…).

Regole, processi e automazione vengono definiti da un’interfaccia drag-and-drop, senza sviluppo di codice, e sempre in modalità no-code è possibile collegare fonti dati esterne per aumentare il contesto e i segnali utilizzabili.

Le automazioni vengono addirittura suggerite automaticamente durante la fase di indagine, e può sfruttare la IA generativa di Purple AI per generare automaticamente playbook basati su indicazioni testuali, velocizzando la risposta.

Singularity AI SIEM: tutti i dati, in tempo reale

Gli attacchi dei criminali più evoluti ed entità sponsorizzi dai governi spesso impiegano mesi per penetrare una rete e prenderne il controllo, con piccoli interventi distribuiti nel tempo. “Se vogliamo vedere questi trend di attacco non possiamo fermarci a 30-60 giorni: dobbiamo analizzare periodi lunghi molto lunghi ma – avvisa Cecchi – con gli odierni SIEM (Security Information and Event Management), pochissimi possono permettersi una lunga retention dei dati, vista la mole enorme raccolta quotidianamente. Anche le soluzioni tradizionali nate on-prem e poi migrati sul cloud hanno costi di storage elevati”.

Il Singularity AI SIEM presentato a OneCon è quindi un sistema cloud-native e no-index che, poggiato sul Singularity Data Lake e grazie ad AI e automazione, consente di rilevare in tempo reale i dati in streaming, accelerando indagini e response. Può ingerire dati strutturati e raw dalle soluzioni di sicurezza endpoint, cloud e identità di SentinelOne, ma anche da strumenti terze parti attraverso l’Open Cybersecurity Schema Framework (OCSF).

SentinelOne Purple AI: l’analista cyber sempre disponibile

Purple AI è il chatbot a cui i security manager possono fare domande in linguaggio naturale per ottenere un aiuto nella valutazione dei segnali di sicurezza o nelle indagini a seguito di un incidente.

“Questo gruppo criminale noto (APT) è attivo nel mio ambiente? Quali sono le mie vulnerabilità? Quante autenticazioni fallite ci sono stati negli ultimi 10 giorni, e in quali sedi? Come è avvenuto questo attacco?”. Sono alcune delle posibili domande che un tecnico può porre a Purple AI, che consulterà log e sistemi per ottenere le informazioni necessarie a rispondere al quesito.

Tra le nuove funzionalità introdotte c’è l’Auto-Alert Triage, che analizza gli avvisi provenienti dai sistemi di sicurezza, ne stabilisce la priorità segnalando quali necessitano di ulteriori indagini, che potranno essere svolte da Purple AI Auto-Investigations. In base al tipo di avviso, Auto-Investigations compilerà un elenco di approfondimenti da compiere, li eseguirà autonomamente e produrrà un report con i consigli, archiviando tutte le prove raccolte in modo che possano essere velocemente analizzate da uno specialista.

Purple AI poggia su SentinelOne Ultraviolet, una nuova famiglia di LLM multi-modali specializzati su compiti di cybersecurity e ottimizzati per gestire finestre di contesto in tempo reale pur mantenendo un numero di token ridotto, garantendo risposte più veloci ed efficienza computazionale.