L’aumentata efficacia degli attacchi cyber e gli attacchi contro i modelli AI sono stati il punto di partenza con cui Paolo Cecchi, Regional Sales Director Mediterranean Region di SentinelOne, ha aperto la conferenza stampa in cui ha delineato il quadro della cybersecurity relativo all’Europa meridionale, con un focus sulle dinamiche italiane. Citando i report annuali di SentinelOne, Cecchi sottolinea infatti che “il ransomware risulta essere ancora al top delle minacce informatiche. Il ransomware-as-a-service è cresciuto in maniera esponenziale e sono emerse nuove tattiche. Questi attacchi, pur essendo gli stessi che già visti negli anni passati, sono aumentati in termini di numerosità e sono migliorati dal punto di vista dell’efficacia”.

Il salto di qualità è ovviamente dovuto all’AI, che nelle mani degli attaccanti potenzia le tecniche, tattiche e procedure utilizzate in precedenza. Come già noto, tuttavia, anche in questo campo le sorprese non mancano e un’altra tendenza emergente portata all’attenzione da Cecchi riguarda i tentativi di attacco rivolti direttamente ai modelli di intelligenza artificiale, proprio nell’ottica di ideare attacchi sempre più mirati e dannosi.

Nel suo intervento, Cecchi ha presentato anche i risultati del Cloud Security Report 2024, frutto di un’indagine condotta su circa 500 aziende a livello globale, che mette in luce le criticità della migrazione al cloud, soprattutto in regioni meno mature come il sud Europa: “la migrazione al cloud è ancora qualcosa in divenire; le aziende cloud native nella nostra region non sono tantissime. Quello che sta accadendo è che le aziende che utilizzavano infrastrutture tradizionali stanno migrando al cloud”, senza tuttavia le risorse in grado di capire esattamente le esigenze e le priorità nella protezione delle infrastrutture cloud.

Paolo Cecchi, Regional Sales Director Mediterranean Region di SentinelOne

Del resto lo skill shortage non è un tema nuovo e impatta puntualmente sulla cybersecurity, con effetti negativi che si sommano a quelli della gestione frammentata delle risorse cloud e dell’assenza di una visione d’insieme. Non stupisce quindi la conclusione di Cecchi: “il cloud si sta configurando come una superficie di attacco estremamente semplice da affrontare per gli attaccanti proprio per l’assenza di una cultura ben sviluppata, di processi e metodologie avanzate”.

Un altro tema centrale è quello dell’approccio a piattaforma, che si è rivelato “vincente o comunque molto richiesto anche in virtù dell’ottimizzazione che oggi tutte le aziende stanno cercando, e a cui SentinelOne fa fronte con la piattaforma Singularity che è stata pensata proprio per rispondere a queste esigenze, consolidando più stack di sicurezza e coprendo diverse superfici di attacco”.

Sul fronte dell’intelligenza artificiale, Cecchi ha illustrato i risultati di uno studio IDC che ha misurato i benefici concreti di Purple AI: “una diminuzione del 60% di major security event, perché Purple AI permette di identificare le minacce informatiche in maniera molto più veloce - secondo questi dati circa del 63%. Ciascun membro del tea, grazie all’ottimizzazione che è possibile ottenere con l’AI, è in grado di gestire circa il 61% in più di endpoint. Il tempo per rimediare le minacce informatiche è diminuito del 55%”.

Tecnologie consolidate

Marco Rottigni, Technical Director per l’Italia di SentinelOne, ha ricordato innanzi tutto le caratteristiche chiave della piattaforma Singularity: “una piattaforma che si fonda su tre pilastri: Data Lake, Hyper Automation e Purple AI”. Quanto al Data Lake, negli anni SentinelOne ha evoluto la capacità di raccogliere dati non strutturati ed eterogenei per poi normalizzarli in funzione dello standard OCSF (Open Cyber Security Schema Framework). Il secondo passaggio è l’automazione: “una volta ottenute queste informazioni, ne viene automatizzato il consumo in modo da potenziare gli skill degli analisti umani nella loro interpretazione”, cosa che è resa possibile da Hyper Automation e Purple AI.

Marco Rottigni, Technical Director per l’Italia di SentinelOne

Quest’ultimo è un agente di intelligenza artificiale che consente interrogazioni in linguaggio naturale anche su fonti di terze parti, che dispone di due funzioni evidenziate da Rottigni: Community Verdict e Similarity, che permettono agli analisti di capire in tempo reale come vengono valutati determinati segnali di rischio dalla community globale SentinelOne. “Community Verdict è un’intelligenza artificiale che è in grado di dire - fra tutti i clienti SentinelOne del mondo – quanti hanno ricevuto la medesima segnalazione che l’analista ha di fronte e in quale percentuale è stata indicata come un falso positivo o un vero positivo. Il tutto completamente anonimizzato, basato su modelli statistici rielaborati dall’intelligenza artificiale generativa in tempo reale”.

Rottigni ha chiarito anche il nodo della sicurezza dell’AI introdotto in precedenza da Cecchi, precisando che nel caso di Purple AI, “nasce e vive all’interno della subscription cliente di SentinelOne. Lavora con i suoi dati, è un modello pre-trained, interagisce con il cliente e accede a modelli statistici che vengono calati, in forma anonimizzata, nella stessa subscription. Non ha interazione con l’esterno e non ha interazione con Internet. Ma beneficia, secondo un’architettura che deriva dalla Retrievable Augmented Generation, dei dati che le sono forniti”.

Uno sguardo al futuro

Rottigni ha illustrato la roadmap della piattaforma, che prevede l’introduzione di Athena, la visione evolutiva di Purple AI: “Athena è il nome in codice della visione che abbraccia Purple AI da due anni a questa parte, quindi qualcosa che già oggi esiste e si traduce in caratteristiche tangibili per gli utenti di Purple AI di tutto il mondo. L’evoluzione proseguirà quest’anno e l’anno prossimo e continuerà ad offrire valori diversi molto specializzati, tutti basati sulle capacità di piattaforma e di AI generativa agent-based che caratterizzano Purple AI”.