AI e cyber, attacchi più sofisticati e carenza di skill: SentinelOne punta su piattaforma aperta e Purple AI per unire endpoint, cloud, identità e sicurezza dell’AI.
Autore: Marco Rottigni
Oggi non si può parlare di innovazione tecnologica senza affrontare il tema della cybersecurity, un ambito sempre più intrecciato con l’evoluzione dell’intelligenza artificiale. Gli hacker hanno imparato a sfruttare strumenti di AI generativa per rendere gli attacchi più rapidi, economici e sofisticati. Questo scenario non riguarda più solo le PMI italiane, ma coinvolge le aziende strutturate e di grandi dimensioni, spesso in difficoltà non tanto per mancanza di budget, quanto per carenza di competenze interne e risorse specializzate.
È in questo contesto che si inserisce SentinelOne, oggi uno dei principali provider di soluzioni per la cybersecurity. Da anni l’azienda ha scelto di superare il modello delle soluzioni isolate di sicurezza, puntando su una piattaforma unificata, un ecosistema di difesa esteso e integrato, capace di affrontare e risolvere in modo olistico le minacce che non provengono solo dall’esterno, ma che spesso nascono da processi interni non ottimizzati.
L’approccio del provider si fonda sull’utilizzo della stessa intelligenza artificiale come strumento avanzato di difesa, per individuare nuovi pattern di attacco, automatizzare le risposte e aumentare il livello di protezione per i clienti. Da alcuni anni l’azienda ha intrapreso con decisione la strada della piattaforma, una scelta che oggi non è più opzionale: la frammentazione delle soluzioni, la difficoltà di integrazione e la scarsità di skill rendono insostenibile un approccio basato su prodotti scollegati tra loro.
In passato, ogni vendor tendeva a integrare la propria intelligenza artificiale all’interno del singolo prodotto, ottimizzata per lo specifico contesto. Il limite di questo approccio è evidente: le AI non dialogano tra loro. SentinelOne ha invece sviluppato un’architettura di piattaforma aperta, capace di raccogliere dati e alert provenienti anche dalle tecnologie di terze parti, rendendoli fruibili e correlabili. Questo avviene sia tramite un marketplace di connettori già ready, sia attraverso la piattaforma stessa.
Uno dei timori più diffusi tra i clienti, quando si parla di piattaforme è il rischio di lock-in. SentinelOne ha affrontato questo tema mantenendo l’ecosistema volutamente aperto, progettato per essere parte di un’architettura più ampia e non un vincolo rigido. Questo approccio ha permesso all’azienda di essere riconosciuta per la facilità di integrazione e per l’assenza di dipendenze eccessive dal vendor.
Partendo dalla protezione degli endpoint, SentinelOne ha poi progressivamente esteso le proprie capacità anche al cloud, grazie a recenti acquisizioni che hanno portato allo sviluppo di soluzioni cloud-native. Il cloud, in questo senso, diventa un abilitatore tecnologico fondamentale: consente di democratizzare l’accesso ai dati e agli strumenti di sicurezza, rendendo le informazioni sempre più normalizzate e accessibili, indipendentemente dalla loro origine.
Osservando l’architettura di SentinelOne emergono diverse superfici presidiate direttamente – endpoint, cloud, identità, intelligenza artificiale – affiancate da altre interfacce coperte da tecnologie terze. Il vero valore della piattaforma sta nella capacità di normalizzare gli alert, per renderli comprensibili sia agli analisti impegnati nel triage, sia ai team più specializzati che si occupano di threat hunting e di investigazione avanzata.
L’intelligenza artificiale gioca qui un ruolo centrale. SentinelOne ha sviluppato una AI specifica per la cyber security, progettata per raccogliere, correlare e interpretare i dati a supporto delle attività di detection, investigation e response. Un esempio concreto è Purple AI, introdotta circa tre anni fa, in anticipo rispetto a molte soluzioni concorrenti. A differenza delle AI generaliste integrate nei singoli applicativi (come il CRM), Purple AI nasce con un obiettivo preciso: migliorare l’efficacia e la velocità dei team di SecOps.
Oggi, però, l’AI rappresenta anche una nuova superficie di attacco. L’adozione massiva di strumenti basati su LLM ha aperto rischi significativi, spesso sottovalutati dalle aziende: esposizione di dati sensibili, prompt injection, jailbreak, leakage di informazioni e utilizzo inconsapevole di dati confidenziali come materiale di addestramento. Per rispondere a queste minacce, SentinelOne ha acquisito Prompt Security, una soluzione specializzata nella protezione dell’AI, sia quella utilizzata dagli utenti sia quella sviluppata internamente.
La difesa passa dal presidiare il punto comune di interazione, ovvero l’utente. Intercettare e controllare il dialogo tra utente e intelligenza artificiale – che avvenga via browser, applicazione o chatbot – consente di rilevare attacchi sofisticati, anche quelli basati su tecniche subdole come l’uso di caratteri invisibili nei prompt. È fondamentale proteggere questo scambio in entrambe le direzioni: prevenire input confusi e impedire che l’AI restituisca informazioni sensibili, codice proprietario o credenziali.
Parallelamente, si assiste da anni a un’estensione degli attacchi verso il dominio delle identità digitali. Un trend accelerato dalla pandemia, dal lavoro in smart working e dalla progressiva dissoluzione del perimetro aziendale tradizionale. Oggi il vero perimetro è rappresentato dalle identità, dalle applicazioni e dai sistemi a cui esse accedono. Gli hacker non forzano più le porte: entrano, sfruttando credenziali compromesse.
SentinelOne ha sviluppato soluzioni dedicate alla protezione delle identità e alla loro visibilità. Senza una piena comprensione di ciò che accade a livello di identità, le organizzazioni si espongono a enormi punti ciechi. Endpoint, cloud, AI e identità convergono nello stesso ambiente operativo: ciascuna superficie richiede difese specifiche, ma è la piattaforma a consentire una visione unificata, arricchita e realmente interpretabile dai segnali di sicurezza.
In conclusione, la strategia di SentinelOne si fonda su un principio chiave: specializzare le difese, integrare i segnali, centralizzare l’intelligenza. Solo così è possibile affrontare un quadro di minacce sempre più complesso, dinamico e guidato dall’AI stessa.