Il parere di SentinelOne

Risponde Paolo Ardemagni, Senior Regional Director Southern Europe, Emerging Markets di SentinelOne

Autore: Redazione SecurityOpenLab

Quali sono le difficoltà di cyber security che ci sono nella gestione del passaggio dalla virtualizzazione classica ai container, e il passaggio dal data center tradizionale al multicloud?


Il comparto dell’IT sta cambiando rapidamente e container e Kubernetes sono sempre più diffusi: in pochi anni siamo passati da sistemi che prevedevano una semplice macchina virtuale ai container, quindi a una piattaforma di orchestrazione dei container. Purtroppo, un cluster K8s come insieme di macchine gestite da un nodo primario e dalle sue repliche, può includere migliaia di macchine e servizi, diventando un potenziale vettore di attacco.

Senza considerare poi che l’installazione di Kubernetes può essere effettuata on-premise oppure utilizzando un servizio basato in cloud. Nello scenario on-premise, ogni configurazione che prevede l’esecuzione di nuove macchine, l’impostazione della rete e la messa in sicurezza dell’applicazione deve essere eseguita manualmente. I servizi gestiti basati in cloud (come Google GKE, AWS EKS o Azure AKS) consentono invece l’installazione di K8s con una configurazione minima e il provider di servizi cloud mantiene i nodi aggiornati con le funzionalità di sicurezza più recenti.

Le tecnologie cloud, i container e i dispositivi IoT stanno quindi incrementando le potenzialità della forza lavoro distribuita, ma questa impone una visione coerente della rete aziendale e un livello di sicurezza autonomo in tempo reale su tutte le risorse connesse per persone e dati, ovunque si trovino. La piattaforma Xdr di SentinelOne, fornita tramite cloud, è stata sviluppata appositamente per proteggere tutti gli endpoint prevedendo un accurato monitoraggio di ogni risorsa dell’azienda.

Sfruttando modelli AI comportamentali brevettati, SentinelOne unifica perfettamente la protezione degli endpoint (EPP), il rilevamento e la risposta degli endpoint (EDR), il controllo IoT e la protezione di container e cloud workload (CWPP).

L'adozione sempre maggiore di applicazioni e microservizi su cloud pubblico crea problemi di visibilità e controllo che possono agevolare i cyber attacchi. Qual è il modo migliore per affrontarli e risolverli?


I processi di Digital Transformation stanno spingendo un numero sempre maggiore di organizzazioni a migrare ai servizi cloud, e molte di queste stanno adottando una strategia multi-cloud. In particolare, se parliamo di un cloud pubblico, ogni azienda sa bene che deve adottare una strategia di sicurezza robusta ed efficace.

In primis, occorre considerare che sebbene i server risiedano fisicamente oltre i confini aziendali, è responsabilità esclusiva del cliente poter garantire la sicurezza dell'host cloud, monitorando costantemente tutti i processi per identificare in modo autonomo eventi dannosi e contrastarli prima che questi si diffondano.

E se è vero che le organizzazioni stanno sempre più migrando dall’on-premise al cloud, gli hacker non stanno certo a guardare. I dati più recenti delle indagini sulle violazioni riflettono le attuali prassi di comportamento delle organizzazioni, le quali, per riuscire a mitigare ogni tipo di minaccia, devono poter investire in soluzioni runtime EPP ed EDR come quelle offerte da SentinelOne, che garantiscono la sicurezza dei propri workload in cloud, implementando una soluzione di protezione efficiente dei carichi di lavoro.

Cloud Workload Security di SentinelOne aiuta a prevenire tutte queste casistiche e a salvaguardare l’ecosistema aziendale, grazie a un sistema di automatizzazione completo che assicura agilità e massima sicurezza. SentinelOne conferma la sicurezza delle macchine virtuali cloud in tempo reale, prevedendo anche un’unica console per la gestione della sicurezza di tutte le infrastrutture cloud, gli endpoint degli utenti e i dispositivi IoT.

Il caso SolarWinds ha messo in luce l'annoso problema della DevOps security. Come proteggere questo delicato ma importantissimo ambito?


Per il caso in oggetto si è trattato di una campagna malevola ben strutturata, messa in atto in maniera sistematica che ha sfruttato una vulnerabilità nella piattaforma Orion di SolarWinds, utilizzata per la gestione e il monitoraggio delle reti. Come sappiamo, gli attaccanti sono riusciti a nascondere negli aggiornamenti legittimi della piattaforma Orion una backdoor utilizzata per compromettere il server su cui era installata la suite di IT monitoring, che ha consentito loro di ottenere l’accesso ai sistemi sui quali era in esecuzione l’applicazione SolarWinds.

SentinelOne non è stata ferma ad osservare, permettendo così ai criminali informatici di avere il sopravvento in un momento in cui gli obiettivi degli attaccanti sono più vulnerabili che mai. Abbiamo così collaborato per sviluppare l’integrazione tra Solarwinds RMM e il nostro EDR, che consente agli utenti di monitorare e gestire la sicurezza degli endpoint da una singola dashboard durante l’intero ciclo di vita della minaccia.

La soluzione EDR di SentinelOne offre ai partner di SolarWinds la possibilità di visualizzare i dati su minacce e incidenti per aiutare loro e i relativi clienti a stare al passo con le minacce, ottenendo una maggiore visibilità delle attività sospette e degli attacchi avanzati da una singola dashboard. Inoltre, se un attacco sferrato va a buon fine e si verifica una violazione, la quarantena e il rollback automatici (soltanto nel sistema operativo Windows) di SentinelOne aiutano a garantire il ripristino veloce e un periodo di inattività minimo per il cliente.

L’ultima cosa di cui tutti hanno bisogno in questo momento sono gli attacchi informatici per aggiungere ulteriore tensione alle aziende e ai dipendenti. Ci stiamo impegnando a fare la nostra parte e speriamo che il contributo di SentinelOne consentirà a vendor, partner e soprattutto alle aziende, di rimanere protette mentre il mondo affronta l’emergenza sanitaria.