Il parere di SentinelOne

Risponde Marco Rottigni, Technical Director per l'Italia di SentinelOne

Autore: Redazione SecurityOpenLab

Quali sono i vantaggi e quali caratteristiche devono avere le migliori piattaforme XDR?

Sembra quasi banale dirlo, ma l’idea migliore è di interpretare l’acronimo XDR alla lettera. In pratica, disporre di una piattaforma in grado di interconnettere altre tecnologie al fine di estendere il contesto di un evento rilevato grazie a informazioni provenienti da fonti esterne, espandendo anche le possibilità di risposta grazie a funzionalità e capacità di piattaforme terze. Tali integrazioni dovrebbero avvenire con minima configurazione e senza la necessità di sviluppare codice, grazie a uno sforzo dei fornitori delle diverse tecnologie che permetta la realizzazione di queste sinergie digitali, fino a consentire che persino la telemetria dei diversi ambienti possa venire raccolta, normalizzata e consumata in una stessa console.

Il vantaggio principale di una vera soluzione XDR aperta è infatti il potenziamento dei talenti umani, che passano dall’essere elementi operativi per far funzionare una tecnologia a direttori tattici e strategici di una serie di azioni per garantire una postura di sicurezza adeguata e resilienza in caso di attacco. Attori primari quindi, le cui capacità, efficienza ed efficacia sono amplificati da piattaforme altamente integrate e sinergiche.

Illustro il concetto con un esempio: immaginiamo che una piattaforma dedita alla messa in sicurezza degli endpoint rilevi la presenza di malware su un server. Questa tecnologia permetterebbe di neutralizzare la minaccia, impedendo che si propaghi o che prosegua nella sua missione automatica di compromissione e furto di dati. Grazie a una piattaforma XDR, magari interconnessa con il sistema aziendale di Single Sign On, sarebbe possibile arricchire le note dell’evento con la storia dell’ultimo mese per l’utente presente su quel server al momento della detection; sarebbe anche possibile aggiungere da un threat intel feed delle informazioni di cyber intelligence sulla minaccia rilevata. In questo modo l’analista di Security Operations sarebbe enormemente facilitato nel comprendere la portata della minaccia, incrementando velocità ed efficacia del processo di triage dell’incidente.

Lo stesso analista, constatata la neutralizzazione della minaccia, potrebbe intraprendere azioni ulteriori cautelative come, ad esempio, chiedere a un sistema Azure AD di forzare il cambio password dell’identità coinvolta; oppure al sistema VPN di forzare una riautenticazione con MFA dell’utente coinvolto nell’incidente. Il tutto senza lasciare la console principale e avendo contezza degli esiti di queste richieste direttamente nelle note dell’incidente.

Quali sono i vostri prodotti e le best practice più importanti per una difesa efficace?

SentinelOne ha investito sforzi e capitali notevoli per costruire la piattaforma SentinelOne Singularity come interpretazione avanzata e innovativa del concetto di XDR aperto. Fondata su un sistema cloud native multi-tenant che permette di gestire la soluzione as-a-service, la piattaforma Singularity è solidamente ancorata su un security datalake ad altissime prestazioni e permette la messa in sicurezza di superfici da difendere quali endpoint, entità cloud, sistemi mobile e identità.

La soluzione include un Singularity Marketplace dove sono censite moltissime piattaforme tecnologiche: sistemi mail, sandbox, soluzioni di threat intelligence, sistemi Network Detection & Response, piattaforme di collaboration come Slack o Pagerduty, sistemi di ticketing come Jira o ServiceNow e molte altre soluzioni. L’integrazione viene configurata in pochi secondi inserendo i pochi parametri per abilitare la comunicazione bidirezionale, dopodiché l’utilizzo resta immediato e completamente inserito nei workflow operativi della gestione piattaforma.

Agenti software sofisticati e potenti, oppure comunicazioni machine-to-machine, permettono di erogare protezione per le diverse superfici da difendere – utilizzando Intelligenza Artificiale per garantire precisione del rilevamento anche di minacce sconosciute, così come una risposta rapida e puntuale che garantisce continuità operativa all’utente in caso di incidente in una manciata di secondi. Quando la protezione non basta più, perché per superfici come l’identità non serve garantire l’integrità di credenziali che possono venire trafugate tramite l’utilizzo di strumenti leciti in modo illecito da attaccanti specializzati, ecco che la piattaforma permette di implementare strategie di deception o inganno dell’attaccante.

In sostanza i cyber-criminali pensano di ricevere informazioni reali a fronte dei loro tentativi di attacco, mentre quello che ottengono sono dati e identità plausibili ma false. Il tutto mentre il dipartimento di Security viene allarmato ed informato con una visualizzazione della catena di compromissione che l’attaccante sta tentando di perseguire, adeguatamente mappata sul framework MITRE per una maggior comprensibilità e fruizione delle informazioni.

Grazie al security datalake, infine, è possibile raccogliere la telemetria di più fonti eterogenee, normalizzate per garantire interrogabilità e regole di custom detection orizzontali rispetto alle fonti, osservabilità tramite dashboard, alerting in tempo reale e reazioni di risposta coordinate ed automatizzabili.