Purple AI, l’acquisizione di PingSafe, la console unificata: sono queste le principali novità che SentinelOne ha presentato alla conferenza RSA 2024 e di cui SecurityOpenLab ha parlato con il Sales Director della Mediterranean Region, Paolo Cecchi. Purple AI era attesa come la soluzione capace di aumentare il potenziale degli analisti con funzioni di threat hunting, analisi e risposta alle minacce. Oggi le promesse vengono mantenute con un prodotto che è disponibile per tutti i clienti e che, assicura Cecchi, è al di sopra delle aspettative. Merito della base concreta su cui poggia la tecnologia, ossia di “un security data lake centralizzato che raccogliere l’impressionante mole di dati e informazioni provenienti sia dalle soluzioni SentinelOne che dall'intero ecosistema aziendale”. Riguardo a questo punto Cecchi precisa che i dati in oggetto sono sia quelli generati a partire dalla prima fase della digitalizzazione (per esempio prodotti dagli endpoint), sia quelli della seconda fase, ossia i processi e le applicazioni di business.

Considerata la mole di informazioni in continuo movimento e proveniente dalle fonti più disparate, oggi non è più possibile limitarsi alla raccolta delle informazioni: “il problema è come utilizzare in maniera corretta questi dati. La soluzione è una sola: fare uso dell’AI per elaborarli e restituire risultati utilizzabili. Questo è il valore aggiunto di Purple AI – sottolinea Cecchi –, un’espansione della piattaforma Singularity che di fatto completa la vision di SentinelOne offrendo non solo un data lake centralizzato, ma più motori LLM che permettono di fare query in linguaggio naturale e di ricevere risposte intellegibili e comprensibili”.

Se il primo punto è relativamente semplice da soddisfare, il secondo non lo è affatto perché implica che la macchina abbia la capacità di elaborare una richiesta in un linguaggio umano scorrevole, preciso e facilmente comprensibile. Purple AI riesce nell’intento grazie al fatto che, nell’attesa che fosse disponibile ai clienti, SentinelOne ha condotto test intensivi e oggi è “in grado di garantire - cosa che pochi sono in grado di fare - che PurpleAI velocizza dell'80% le attività di threat hunting e semplifica del 120% quelle di ricerca, non richiedendo che analisti esperti investano tempo e competenze per generare query complesse su sistemi diversi” sottolinea Cecchi.

Questo ovviamente non significa che Purple AI possa rimpiazzare un analista, anzi, è l’opposto: Purple AI si propone come assistente esperto che agevola il lavoro degli analisti scremando il rumore di fondo, i falsi positivi e tutto ciò che fa perdere tempo al personale qualificato, che può investire il suo tempo in attività di alto profilo.

La soluzione, disponibile da aprile 2024, sta già riscuotendo ampio successo, soprattutto in settori critici come il manufacturing e il retail. Nel primo caso è ormai chiaro che la cybersecurity è un abilitatore di business, ma soprattutto per quanto riguarda le PMI i budget sono quasi sempre ridotti e non permettono la creazione di team interni focalizzati sulla sicurezza. Ottimizzare il lavoro dei team ed efficientarlo grazie alla AI è un vantaggio notevole. Quanto al retail, l’esigenza è garantire la continuità delle vendite, in un contesto in cui manca ancora la cultura aziendale che spinge investimenti importanti non tanto nelle tecnologie di cybersecurity, quanto nel personale deputato a gestirle.

Ovviamente ci sono altri contesti che potrebbero essere positivamente impattati dal passaggio a una soluzione come Purple AI, fra i quali è impossibile non citare sanità e PA, particolarmente soggetti ad attacchi cyber non solo a livello nazionale, ma anche internazionale.

SentinelOne e PingSafe

La cloud security è il contesto alla base dell’acquisizione di PingSafe, che ha sviluppato una Cloud Native Application Platform Protection (CNAPP) le cui feature confluiscono ora nella piattaforma Singularity, rafforzandone l’obiettivo di fornire una sicurezza unificata. A tale riguardo, Cecchi argomenta che oggi ciascun cloud ha la propria protezione built-in: Azure, AWS, Google per citare i maggiori hyperscaler. Gli utenti necessitano poi di soluzioni terze per proteggere le proprie risorse in cloud, ossia i server virtuali, Kubernetes, i Bucket S3, piuttosto che i dati, applicazioni e file che vengono immagazzinati all'interno di ambienti cloud.

Per farlo ci sono moltissimi prodotti che, presi singolarmente, svolgono bene il proprio lavoro, ma complessivamente creano un ambiente altamente frammentato su cui è difficile avere visibilità e in cui è complesso intervenire tempestivamente. Con l’acquisizione di PingSafe, SentinelOne può proporre ai propri clienti “una piattaforma CNAPP che ci permette di proteggere e di garantire la compliance delle risorse in cloud sotto diversi ambiti. Quindi non c'è più la necessità di comprare diverse soluzioni verticali, si può sottoscrivere la nostra soluzione e scegliere quale delle opzioni al suo interno è la più idonea per le proprie esigenze”.

Per comprendere meglio il ruolo della soluzione PingSafe, basti pensare che nasce dall’idea originale del suo fondatore di adottare un approccio “offensive”: la piattaforma include al suo interno la capacità di simulare effettivamente, dal punto di vista dall'attaccante, il percorso di attacco e le vulnerabilità sfruttabili all’interno dell’ambiente cloud. In sostanza, PingSafe simula un’attività di red teaming scatenando un attacco verso l’infrastruttura stessa del cliente, in modo da comprendere come si muoverebbe l'attaccante all'interno di questo ambiente e dove andrebbe ad atterrare. I punti identificati sono quelli da correggere con priorità, e proprio questa indicazione secondo Cecchi è “un elemento differenziante fortissimo, perché è una capability attualmente unica al mondo”.

Quello che promette SentinelOne con questa opzione è pertanto una protezione in real time delle risorse in cloud, che – aggiunge Cecchi- “non è nient'altro che la nostra protezione endpoint estesa ai server in cloud, a Kubernetes e via dicendo, coniugata con tutta la componente agentless di analisi della posture delle risorse in cloud, grazie a PingSafe”. Un elemento differenziante è proprio la mancanza di un agent, perché “non avere la necessità di installare un agent permette di proteggere dalle eventuali misconfigurazioni e dalle vulnerabilità in tempi rapidi, aggiungendo inoltre la capacità di comprendere il mindset dell'attaccante, ossia di capire quali sono le vulnerabilità realmente exploitabili da un attaccante, facendo una prioritizzazione delle vulnerabilità che agevola una difesa proattiva ed efficiente” conclude Cecchi.

La console unificata

Un altro importante annuncio alla RSA Conference 2024 è quello relativo alla console unificata, che permette di fornire alle Security Operations uno strumento efficace che aggrega tutte le informazioni di sicurezza in un’unica interfaccia visiva facile da interpretare e da monitorare. Un pannello di controllo unificato che permette agli analisti di lavorare in maniera più efficace. A tale riguardo Cecchi puntualizza che “oggi tutti parlano di console unificata, in realtà non è proprio così. Molti offrono una visione d’insieme degli alert, ma poi per condurre qualunque tipo di analisi o azione è necessario aprire pagine web e schermate aggiuntive che creano confusione e fanno perdere tempo. SentinelOne si differenzia dai competitor perché fornisce realmente un pannello di controllo unificato” precisa Cecchi.

SentinelOne in Italia

A livello globale SentinelOne ha dichiarato un significativo incremento delle revenue nel quarto trimestre 2023 rispetto allo stesso periodo dell’anno precedente. Il parziale relativo all’Italia non è di dominio pubblico, ma Cecchi assicura un andamento più che positivo, con una “crescita consistente rispetto all’anno precedente”. In relazione al 2024, “gli obiettivi dell’Italia sono il mantenimento di un tasso di crescita anno su anno in linea con quello degli ultimi due anni, l’ampliamento della customer base e l’upselling delle espansioni aggiunte di recente alla piattaforma Singularity, che di per sé vanta già alcune centinaia di clienti di grandi dimensioni nel Belpaese”.

Di pari passo con il business è cresciuto anche il team italiano sia in termini numerici che di incarichi assunti a livello europeo, mentre resta invariato il modello di vendita al 100% orientato al canale, con un unico distributore (Exclusive Networks) e una folta rete di partner che include sia i tradizionali reseller, sia gli MSSP che sono attualmente il punto di forza di SentinelOne. L’importanza per i fornitori di servizi gestiti – spiega Cecchi - è dovuta al fatto che SentinelOne non vende servizi diretti, quindi non si pone in competizione con il partner. “Abbiamo un SOC nostro e forniamo dei servizi MXDR come SentinelOne, ma preferiamo che siano i nostri partner ad erogare tali servizi ai clienti”. SentinelOne interviene solo nel momento in cui il partner, per motivazioni tecniche, non è in grado di erogare il servizio, con una attività indirizzata al supporto del partner.

Italiani sono anche molti ricercatori di threat intelligence, che risiedono sul territorio nazionale e lavorano nell’ambito di gruppi di lavoro internazionale, svolgendo ricerche sulle minacce globali e analisi delle metodologie di attacco (TTP), contribuendo ai servizi di threat intelligence erogati ai clienti SentinelOne.