Cybersecurity e imprese: a CyberTech Europe 2023 Roma abbiamo intervistato Paolo Cecchi, Regional Sales Director Mediterranean Region di SentinelOne.
Il manager ci ha raccontato il momento di mercato, lo sviluppo delle cyberminacce e ha messo a fuoco la formula per la protezione delle imprese.
Oggi, la situazione è molto più complessa di quanto fosse in passato, fondamentalmente a causa dell’aumento della complessità degli scenari e all’introduzione massiccia di architetture di Artificial Intelligence.
I cybercriminali adottano l’AI per aumentare velocità e capacità di attacco. Tutto questo può essere fatto con relativa facilità, gli attuali strumenti consentono infatti agli attaccanti di ottenere grandi risultati senza necessariamente richiedere competenze o skill superiori al passato.
Il “mercato del cybercrime” non è più composto da “hacker” che si accontentano di mostrare quanto sono bravi a superare anche le più sofisticate forme di protezione. Oggi è un business, una delle prime industrie al mondo. E cerca di ottenere profitti nel modo più semplice, ovvero attaccando le PMI e chi è meno protetto.
Complessità e lavoro ibrido
Con la crescita delle infrastrutture tecnologiche, l’incremento esponenziale del numero e della gravità degli attacchi ha messo seriamente in pericolo le organizzazioni di qualsiasi settore.
Gli ambienti di lavoro ibridi e gli endpoint sono diventati obiettivi primari dei cyber criminali. Sono spesso utilizzati per accedere a informazioni sensibili e interrompere le operazioni aziendali. I rischi legati agli endpoint incidono direttamente sulle finanze di un’organizzazione.
Non solo, in questo momento gli attaccanti stanno prendendo di mira con rinnovato interesse le infrastrutture cloud, provocando danni economici e di reputazione non indifferenti alle imprese. La perdita finanziaria causata da un attacco informatico riuscito va oltre i costi immediati – pagamento del riscatto, spese di estorsione, danni all’infrastruttura IT – con ripercussioni a lungo termine. Le ricadute anche di una sola violazione possono costare a un’impresa mesi di spese legali, sanzioni per chi opera in settori altamente regolamentati, tempi di inattività e un danno permanente al brand e alla reputazione.
Occorre dunque una adeguata formazione e la disponibilità di piattaforme di sicurezza centralizzate, capaci di collaborare e di facilitare il lavoro dei SecOps. Serve una dashboard unificata e la presenza di un collettore capace di acquisire log, notifiche, alert e ogni altra metrica operativa e di sottoporle ai team di security in modo chiaro e intellegibile.
Sicurezza, l’approccio di SentinelOne
Nel tempo, il concetto stesso di “sicurezza informatica” è cambiato molto. Sono cambiate le minacce e, di conseguenza, si è perfezionato anche l’approccio dell’industria: dal semplice antivirus alla protezione EDR e XDR a 360°.
SentinelOne propone piattaforme di cybersecurity che comprendono prevenzione, rilevamento, risposta e ricerca basati sull’AI.
La piattaforma XDR è autonoma ed è capace di operare a livello di endpoint, container, workload cloud e dispositivi IoT. I punti di forza sono la leggerezza degli agenti, la facilità di deployment e la capacità di visione e intervento, per una protezione davvero proattiva del network. Con SentinelOne, le organizzazioni possono avvantaggiarsi di potenti strumenti per il controllo della rete e osservare ciò che accade in tempo reale.
Non solo, l’uso di una piattaforma cloud-based consente di evitare il download di pesanti aggiornamenti, un dettaglio che permette di evitare download continui dalla rete e lunghe scansioni periodiche.
Di fatto, l’agente installato sui dispostivi può funzionare sia online, sia quando l’endpoint è offline. Questo perché i metodi di prevenzione e rilevamento adottati non richiedono tassativamente una connessione a Internet.
SentinelOne utilizza motori reputazionali e dispone di funzioni StaticAI e ActiveEDR. In particolare, la componente Endpoint Prevention si occupa di analizzare i file eseguibili prima dell’esecuzione mediante la funzione di prevenzione StaticAI. Si tratta di una evoluzione del “classico” meccanismo basato su firme e capace di garantire maggiore efficacia ed efficienza. Il motore di detection esegue anche l’analisi dei documenti PDF e Microsoft Office. È così possibile rilevare i malware generici e di nuova introduzione, grazie a un modello di machine learning integrato.
Singularity
Con la piattaforma Singularity, l’azienda offre strumenti di cyber resiliency e, da tempo, addestra la propria AI per supportare al meglio le esigenze odierne delle aziende. SentinelOne vuole essere disruptive nel modo in cui offre sicurezza, andando incontro alle aziende, che hanno sempre più bisogno di “consumare dati” e che, al tempo stesso, si trovano a indirizzare problematiche di security su superfici sempre più ampie (endpoint, cloud, mobile, virtualizzazione, identità, accessi).
Grazie al Singularity Security DataLake di SentinelOne è possibile semplificare la normalizzazione e la raccolta dei dati, facilitando allo stesso tempo la generazione di dettagli e informazioni riguardanti una determinata minaccia.
Tra gli annunci più recenti, la società ha introdotto a listino una soluzione AI-driven che potenzia la sicurezza delle imprese: Purple AI.
Si tratta di un’intelligenza artificiale generativa dedicata al threat hunting e basata su algoritmi LLM (large language models). Purple AI rappresenta un esempio di AI “pretrained” (pre-addestrata), a partire da un’immensa base dati costantemente aggiornata e immediatamente pronta per operare. Questa soluzione agnostica e autonoma può funzionare anche in totale assenza di connessione.
Anche grazie a questa innovativa architettura, SentinelOne intende proteggere in modo sempre più efficace le aziende e gli endpoint, supportando attivamente security team e analisti.