L’intelligenza artificiale (AI) e la cybersecurity sono diventati ormai temi mainstream ma per le aziende il rischio è quello di farsi trascinare dalla smania di assecondare la corrente senza portare in casa quelle soluzioni che rispondono alle effettive esigenze e alla prova del tempo. Per questo quando si approccia il mercato della sicurezza informatica occorre prestare una grande attenzione nella ricerca approfondita di player e soluzioni che rispondano effettivamente alle proprie esigenze. Pioniere in cybersecurity e anche nell’intelligenza artificiale, SentinelOne, vanta oggi una piattaforma di sicurezza (Singularity Platform) che copre non più solo l’area tradizionale dell’endpoint protection ma che abbraccia anche le tematiche del cloud e della protezione delle identità, all’insegna di una automatizzazione che risponde ai bisogni di velocità e skill shortage delle aziende. Con Paolo Cecchi, Regional Sales Director Mediterranean Region di SentinelOne, abbiamo parlato in esclusiva a margine del CyberTech 2023 che si è svolto a Roma il 3 e 4 ottobre, per capire a che punto sono le aziende e la pubblica amministrazione italiana (dove stanno investendo e dove sono ancora indietro) per focalizzarci poi sull’offerta del vendor e su ciò che fa la differenza dagli altri vendor in ambito sicurezza, a partire da una costante e incessante ricerca dell’innovatività.
Partiamo da un’analisi del mercato italiano in materia di cybersecurity: a che punto sono le aziende?
“La buona notizia – esordisce Cecchi – è che l’attenzione verso il tema sicurezza continua a crescere ed è diventato trasversale arrivando anche al board aziendale. Sicuramente però bisogna lavorare ancora tanto per l’adozione di un approccio più olistico e strategico”.
In che direzione si sta investendo?
“A livello macro le imprese stanno investendo su tre aree. Innanzitutto, operano per garantire uno svecchiamento delle soluzioni di sicurezza in uso con la progressiva sostituzione delle tecnologie più obsolete con quelle più innovative. Ad esempio, in Italia si parla ancora tanto di antivirus e di EDR (Endpoint Detection and Response), il che significa che molte organizzazioni che tre o quattro anni fa si sono dotate di soluzioni in quest’area lo hanno fatto in maniera frettolosa investendo in offerte che non sono state capaci di evolvere di pari passo con le esigenze. Facendo un confronto con gli altri paesi in Europa, la componente EDR in Italia è ancora al centro delle strategie delle aziende mentre all’estero sta diminuendo, quindi, nel nostro Paese c’è ancora molto da fare su questa area della sicurezza.
In secondo luogo, si sta investendo sulla razionalizzazione degli investimenti in cybersecurity con un’attenzione sempre più forte verso le soluzioni XDR (Extended Detection and Response): c’è il bisogno di avere un punto di visione e gestione centralizzata della sicurezza andando ad integrare dati, telemetria e alert provenienti da diversi ambiti aziendali. Questo ruolo dovrebbe essere ricoperto dal SIEM ma ci si sta rendendo conto che un sistema di SIEM tradizionale difficilmente è capace di fare questo in maniera efficace, motivo per cui si parla sempre più spesso di XDR, insieme ai concetti di intelligenza artificiale e machine learning.
Il terzo ambito, legato allo skill shortage che in Italia è piuttosto sentito, è quello dei servizi gestiti o managed services: tante organizzazioni hanno iniziato a rivolgersi a provider MSP e SoC-as-a-service per poter soddisfare le mancanze in termini di risorse e competenze che hanno all’interno dell’organizzazione”.
Che aspetti della cybersecurity stanno invece ancora trascurando le imprese?
“Manca ancora una chiarezza in relazione al ruolo del SIEM e in relazione al fatto che l’XDR potrà essere o meno un’alternativa. Una visione olistica che integra tecnologia, processi e persone può aiutare le imprese a capire, in base alle persone e ai processi che vogliono implementare, quali sono le tecnologie che servono per abilitarli e farli lavorare meglio. A questo proposito sappiamo che l’XDR gioca sicuramente un ruolo fondamentale grazie al concetto di automazione che porta con sé”.
Il cloud invece come è visto?
“Anche in ambito cloud regna un po’ di confusione: l’Italia è ancora indietro nell’adozione di strategie cloud volte alla creazione e implementazione di architetture cloud native, mondo Kubernetes e così via, con una cybersecurity già integrata nativamente.
Molte aziende già qualche anno fa si sono mosse verso il cloud spinte da esigenze di business ma hanno trascurato la componente della sicurezza, che invece è fondamentale e va implementata by-design, giocando un ruolo ancora più fondamentale nel caso del multi-cloud o cloud ibrido.
Solo ora, quindi, si sta iniziando a parlare di protezione “run time” delle risorse in cloud (CWPP) o soluzioni CSPM, ma si tratta di temi ancora da esplorare e approfondire”.
Terza nota dolente è il tema dell’Identity Security…
“Le identità, umane e non umane, sono senza dubbio la nuova frontiera d’attacco e non c’è attacco che non sfrutti la compromissione delle identità. Anche in questo caso regna ancora molta confusione perché manca una visione olistica sul tema, che va ulteriormente approfondita”.
La pubblica amministrazione (PA), invece, come è messa?
“Lato PA purtroppo la situazione è più difficile rispetto al comparto privato perché per capacità di investimento, di attrazione e mantenimento delle risorse skillate, ma anche per velocità di acquisto delle tecnologie innovative, si resta sempre indietro rispetto agli attaccanti.
Indubbiamente ci sono stati progressi importanti negli ultimi anni ma il public sector non è ancora nella condizione ideale per fronteggiare un attaccante sempre più veloce e aggressivo. Ricordiamo che la PA continua a essere uno dei comparti più interessanti per i cybercriminali sia per la sua postura di sicurezza meno adeguata sia per i tipi di informazioni di cui dispone.
Occorre ripartire dalle basi semplificando e velocizzando ad esempio il processo di acquisto di soluzioni di cybersecurity e lavorando molto sulla cultura, oltre che sulla formazione e sui processi”.
Che ruolo possono avere l’agenzia per la cybersicurezza nazionale ed il PNRR per dare un nuovo impulso e rilievo a queste tematiche?
“Il PNRR ha già dato un importante impulso perché grazie ai fondi messi a disposizione hanno preso il via molti progetti volti a investire in prodotti, servizi, tecnologia e processi in ambito cyber, portando già da ora molte organizzazioni ad aumentare la qualità della propria posture di sicurezza.
Per quanto riguarda l’agenzia per la cybersicurezza nazionale, indubbiamente sta facendo un importante lavoro di controllo, awareness ed emanazione di linee guida ma forse manca al momento un po’ di concretezza e pragmatismo perché non è chiaro come dovrebbero essere implementati in concreto i controlli di sicurezza e i requisiti mandatori prescritti”.
SentinelOne che tipo di approccio propone alla sicurezza sulla base delle premesse che ci siamo detti?
“SentinelOne sta attraversando una trasformazione epocale perché è andata oltre al proprio storico ruolo di fornitore di soluzioni di endpoint protection portando sul mercato una piattaforma di cybersecurity potenziata dall’intelligenza artificiale. La piattaforma Singularity di SentinelOne è basata su un security Data Lake che in ottica XDR permette di aggregare dati, informazioni, alert, telemetria che arrivano dalle nostre soluzioni, ma anche da sorgenti esterne, contestualizzarle mettendole a fattor comune e automatizzando il più possibile l’attività umana dietro queste tecnologie”.
Sulla piattaforma Singularity XDR SentinelOne innesta i suoi tre pillar di offerta…
“Partiamo dall’endpoint protection, dove accanto alle tradizionali funzionalita’ EPP/EDR abbiamo aggiunto anche funzionalita’ di vulnerability management, il tutto integrato in un unico agent, permettendo cosi’ una maggiore efficacia e una riduzione dei costi con una contrazione del TCO sia dal punto di vista tecnologico che operativo.
Il secondo pillar è Singularity Cloud, ovvero le soluzioni per la protezione dei cloud workloads e dei cluster Kubernetes, ma dove proponiamo anche soluzioni per la protezione degli oggetti all’interno di storage in cloud (as esempio bucket S3); mentre la terza tematica è quella relativa all’Identity Protection, dove, partendo dalla protezione del Active Directory, scediamo fino alla protezione delle identita’ sugli endpoint e finiamo con il tema della deception a livello infrastrutturale.
Questi tre pilastri integrati all’interno di una piattaforma unificata permettono di semplificare le attività di security operations, velocizzarle, automatizzarle e quindi di richiedere meno effort umano e meno tempo, regalando una maggiore efficacia nel rispondere agli attacchi”.
Uno dei temi più dibattuti oggi è quello dell’intelligenza artificiale, che lato sicurezza può essere vista sotto un duplice profilo: da un lato come nuovo strumento nelle mani dei cybercriminali ma dall’altra come alleato delle aziende per proteggere i loro asset.
La piattaforma di SentinelOne è ‘powered by AI’: più in dettaglio, come incorporate l’intelligenza artificiale all’interno della vostra proposta?
“L’intelligenza artificiale ha già assunto un ruolo primario in ambito cyber, soprattutto lato attaccanti dove non ci sono i problemi relativi a budget, tempi e operations. I criminali informatici sono stati i primi a usare l’AI per velocizzare gli attacchi e renderli più efficaci e quindi dobbiamo aspettarci attacchi sempre più veloci, mirati e difficili da rilevare. Sulla base di questa premessa è ovvio che anche i difensori devono dotarsi dello stesso strumento: l’AI deve diventare una parte fondante delle strategie di sicurezza delle aziende, che devono attrezzarsi il più velocemente possibile per cercare di fronteggiare il cybercrime.
SentinelOne è sempre stata un’azienda che ha fortemente investito nell’innovazione e siamo stati i primi a integrare i concetti di EPP e di EDR e a farlo con il machine learning ed un primo embrione di AI. Abbiamo una storia su questi temi lunga e importante, abbiamo esperienza e le conoscenze giuste: SentinelOne già usava l’AI nelle sue soluzioni e oggi sta espandendo questo footprint, come dimostrato dall’annuncio di Purple AI”.
Che cos’è Purple AI?
“E’ un’intelligenza artificiale di tipo generativo che permetterà agli analisti dei SOC di non dover imparare i linguaggi di query, scrivere query molto lunghe, lanciarle, interpretare i dati e dopo ricercare quello che la query ha dato in risposta e così via. Questo processo sarà preso in carico dall’intelligenza artificiale: l’analista potrà scrivere in linguaggio naturale quello che vuole cercare dentro l’organizzazione per fare ad esempio attivita’ di Threat Hunting o di Incident Response e Purple AI si occuperà di tradurre la richiesta in una query, di interrogare il database all’interno del Security Data Lake, di restituire i risultati e tramite questi di puntare direttamente alle informazioni che servono.
Questo porta a velocità di esecuzione, velocità di analisi e di ricerca, scaricando i team di sicurezza da uno sforzo manuale enorme e dalla necessità di avere al proprio interno competenze molto estese per conoscere i diversi query language per le diverse piattaforme.
Purple AI è in questo momento l’evoluzione finale dell’AI che SentinelOne sta già usando da diversi anni nelle proprie piattaforme.
Abbiamo l’innovazione nel DNA e la nostra ricerca non si ferma qui, proseguiamo su questa strada a passo veloce”.
