L’intelligenza artificiale generativa ingolosisce anche i cybercriminali. Che stanno sempre più sfruttando gli strumenti automatizzati di AI per i loro attacchi. È anche per questo che una efficace strategia di cybersecurity richiede soluzioni sempre nuove, che tengano conto non solo delle strategie usate dagli hacker, ma anche delle tecnologie che questi utilizzano. È il caso di SentinelOne, che con la proposta PurpleAI intende aumentare il potenziale degli analisti con funzioni di threat hunting, analisi e risposta alle minacce, guidate dall'Intelligenza Artificiale, come annunciato all'ultima RSA Conference. Questa e altre novità sono state al centro di una conversazione con la stampa a fine giugno da parte del management italiano dell’azienda californiana, che proprio quest’anno ha compiuto i sui primi dieci anni di storia.

Scenario in evoluzione

Lo scenario attuale della cybersecurity viene inquadrato da Paolo Cecchi, Regional Sales Directory Mediterranean Region di SentinelOne, che parla di “attacchi sempre più mirati, con le aziende che talvolta sono in difficoltà. Ma ultimamente l’intelligenza artificiale generativa sta determinando un cambio di passo, dato che oggi è più o meno alla portata di chiunque abbia un budget a disposizione e sappia dove cercare le cose. Oggi è possibile acquisire tool più o meno automatizzati e basati sull’AI, che permettono ai cybercriminali di sferrare attacchi estremamente efficaci e rapidi.”

Ma soprattutto “questo comporta che anche i difensori devono organizzarsi per utilizzare le stesse tecnologie, la stessa AI, per aumentare il livello di protezione e la rapidità di risposta agli attacchi. A questo riguardo, SentinelOne è stata tra le prime aziende a utilizzare algoritmi di Machine Learning e di Artificial Intelligence all'interno delle soluzioni e delle piattaforme per aumentare la protezione dei nostri clienti”, fa notare Paolo Cecchi.

La cloud security

Oltre all’AI, c’è un ulteriore aspetto che sta complicando lo scenario della cybersecurity: “lo spostamento deciso verso il cloud, che comporta una reingegnerizzazione dei processi aziendali e delle architetture in generale, che diventano cloud native”, prosegue Paolo Cecchi, spiegando che “stiamo diventando lo standard de facto per le aziende che intendono proteggere al meglio i loro ambienti cloud”. Per citare un solo esempio, si può menzionare il caso di Canva, la cui piattaforma di design e visual communication online è offerta esclusivamente in cloud, che si caratterizza per essere un’azienda cloud native in ogni senso, anche perché tutti i dipendenti lavorano in remoto. Ecco quindi che Canva, società australiana con sede centrale a Sydney, ha scelto Singularity XDR di SentinelOne per proteggere tutto il suo cloud, in modo da assicurarsi che tutti gli endpoint siano davvero ben protetti e che i workload vengano salvaguardati da eventuali attacchi.

Paolo Cecchi di SentinelOne

Il Security Data Lake

Tornando alla soluzione Purple AI, le cui funzioni sono al momento disponibili in preview limitato, è da notare che viene utilizzata su tutti i dati presenti nel SentinelOne Security DataLake e consente di rispondere con un solo clic attraverso le varie integrazioni di SentinelOne XDR: ogni domanda posta dall'analista viene eseguita senza che l'utente debba conoscere le varie fonti o il modo in cui i relativi dati vengono inseriti.

L’intelligenza artificiale generativa di PurpleAI è dedicata al threat hunting, all'analisi e alla risposta alle minacce, semplificando notevolmente l'attività di threat hunting grazie all'AI conversazionale. “Quando si tratta di threat hunting, identificare la query giusta per ottenere i migliori risultati non è mai facile”, spiega Marco Rottigni, Technical Director per l’Italia di SentinelOne, sottolineando che “è necessario che l'analista capisca quali siano gli schemi da ricercare e abbia conoscenza delle sintassi della query per tradurre domande apparentemente semplici in qualcosa di comprensibile per il sistema. Invece, con Purple AI, gli analisti possono ottenere risposte rapide, precise e dettagliate a qualsiasi domanda e in qualsiasi lingua”.

L’AI conversazionale

Nel dettaglio, Purple AI consente ai threat hunters di porre domande su minacce specifiche e note e di ottenere risposte rapide senza dover creare manualmente query sugli indicatori di compromissione. Per fare un esempio, l'analista può fare una domanda tipo “Il mio ambiente è infettato da SmoothOperator?”, oppure “Ho qualche indicatore di SmoothOperator sui miei endpoint?" al fine di individuare una minaccia specifica. In risposta, spiegano in SentinelOne, Purple AI è in grado di fornire una tabella di risultati con approfondimenti contestuali basati sul comportamento osservato e sulle anomalie identificate nei dati restituiti. Inoltre, vengono fornite domande di follow-up e consigli su come procedere.

Marco Rottigni di SentinelOne

Marco Rottigni, Technical Director per l’Italia di SentinelOne ricorda che l’azienda sfrutta l’Intelligenza Artificiale da sempre “non come tecnologia sostitutiva delle risorse di cybersecurity, ma come tecnologia assistiva, potenziante e supportiva di chi si occupa di sicurezza informatica”. Nella evoluzione appena presentata, questa tecnologia sfrutta i dati presenti nel SentinelOne Security DataLake che “da anni raccoglie dati di telemetria finalizzati a distinguere un incidente da qualcosa di diverso – spiega Rottigni – prima che la minaccia arrivi sulle reti dei clienti”. Sono questi strumenti la base dei nuovi algoritmi che consentono di usare il linguaggio naturale per interpellare una AI che non è solo efficiente, ma che ha una grande esperienza. Così facendo “Purple AI aiuta gli analisti a potenziare ulteriormente il loro lavoro” puntualizza Rottigni, che nicchia: “è come se trasformassimo un analista in un super analista, ossia in un analista che ha una schiera di assistenti altamente specializzati, capaci di filtrare i dati da un mare magnum per trovare i segni di una compromissione”, ponendo delle semplici domande in linguaggio naturale.

I vantaggi di questa tecnologia sono piuttosto evidenti. Come sintetizza Rottigni, “in una situazione di mercato che offre analisti da formare che costano poco, oppure analisti formati che costano tanto, Purple AI costituisce un vantaggio competitivo perché fa in modo che gli analisti abbiano uno strumento assistivo grazie al quale accelerare i tempi di formazione e aumentare l’efficiente del personale esistente”.

Al paradigma appena illustrato ovviamente concorrono attivamente tutti i prodotti del Singularity Marketplace, che condividono lo sforzo con SentinelOne, permettendo di configurare l'integrazione tra più piattaforme nel minor tempo e con il minor sforzo possibile. Come spiega Rottigni infatti, “Singularity Marketplace fa sì che il dato diventi già informazione nel momento stesso in cui converge nella piattaforma SentinelOne, quindi Purple AI avrà accesso a tutti i dati di tutte le applicazioni già raffinati e normalizzati”. Semplicemente, grazie al linguaggio naturale l’analista non dovrà più andare a prendere la scheda dell’incidente e visualizzarla, gli basterà porre una domanda al sistema per ottenere i dati combinati di quella scheda e tutte le informazioni a corollario.

L’integrazione con Wiz

Quella relativa a PurpleAI non è l’unica novità di SentinelOne: a fine giugno è infatti stato annunciato anche il completamento dell’integrazione con Wiz, startup nata nel 2020 che ha la maggior parte del proprio corposo team tecnico a Tel Aviv in Israele. L’integrazione prevede la possibilità di accedere in anticipo a Singularity Skylight, una soluzione avanzata che consente di acquisire senza problemi i dati di terze parti nel Singularity Security DataLake di SentinelOne.

Vista più da vicino, Singularity Skylight è progettata per semplificare la normalizzazione e la raccolta dei dati, e utilizzando sia SentinelOne sia Wiz si ottengono numerosi vantaggi: quando SentinelOne rileva una minaccia a livello di runtime a un server o a un container cloud, arricchisce automaticamente i dettagli della minaccia con i dati di contesto forniti da Wiz sulla risorsa cloud in oggetto, comprese eventuali vulnerabilità, configurazioni errate o codici esposti, e li trasmette nella console di gestione di SentinelOne. In questo modo si può semplificare l'analisi e la risposta agli incidenti oltre che la ricerca delle minacce, e anche rafforzare le ricerche.

“Le aziende gestiscono troppi dati in troppi silos, e questo determina un quadro parziale dei rischi per la sicurezza. Unendo la capacità di rilevamento delle minacce cloud in tempo reale da parte di SentinelOne con l'abilità di identificare i problemi con Wiz in un unico data lake di sicurezza, i clienti possono eseguire il triage e risolvere i propri problemi in modo più rapido ed efficace, favorendo un’innovazione agile in cloud”, conclude Ely Kahn, Vice President of Product Management for Cloud Security and AI/ML di SentinelOne.