Affrontare le sfide di cybersecurity, in un contesto in continua evoluzione come quello attuale, richiede alle aziende di ri-allineare di volta in volta strumenti tecnologici, processi, competenze e formazione al mutare degli scenari. Anche per questo la scelta del partner di riferimento deve essere inserita all’interno di una strategia vòlta a ‘semplificare’ l’insieme delle soluzioni utilizzate.
In questo contesto opera SentinelOne con cui facciamo il punto sui trend che interessano imprese, organizzazioni e pubbliche amministrazioni rimarcando i principali trend che ci accompagneranno nel corso di questo nuovo anno.
Ne parla Paolo Cecchi, regional sales director Mediterranean di SentinelOne, per la sua region che include Italia, Spagna, Portogallo, Israele, Cipro, Grecia e Malta. “La cybersecurity – esordisce Cecchi – è uno dei settori IT in cui le aziende continuano ad investire – anche in relazione allo scenario macroeconomico e geopolitico complesso – e quello in cui comunque meno sensibili sono le contrazioni di budget”. Anche perché sempre più i board percepiscono che attacchi mirati ed efficaci possono davvero mettere in ginocchio il business, anche in relazione ai conseguenti danni alla reputation aziendale. “Se gli investimenti tecnologici in ambito cyber continuano ad essere ‘stabili’ diverso è però il discorso quando si parla di quelli in ‘risorse umane'” prosegue Cecchi. Questi ultimi sono rallentati prima di tutto dal problema della carenza di competenze che si riflette nella velocità nella realizzazione dei progetti, nello ‘stress’ per i team IT e quindi sui tempi effettivi della ‘messa in sicurezza’ del patrimonio aziendale, che si dilatano. “Allo stesso modo è molto positivo che oggi il problema cybersecurity non sia più appannaggio solo dei Ciso ma anche dei Cfo”. Significa aver effettivamente ‘scalato’ le priorità ed una maggiore attenzione all’effettiva analisi del rischio.
SentinelOne, sfide hacktivism, ransomware e AI
Per quanto riguarda nello specifico i trend che SentinelOne individua come sfidanti per il 2024: hacktivism, ransomware e intelligenza artificiale sono le parole chiave attorno alle quali merita di essere articolata la riflessione. Ci muoviamo quindi oltre la sfera delle considerazione quantitative relative alla ‘crescita’ delle minacce. Con il primo termine qualifichiamo tutti gli attacchi informatici “sponsorizzati” dagli stati, oggi in netta ripresa. Il ransomware resta certo tra le tematiche più di attualità, anche per l’impatto che possono avere gli attacchi di questo tipo su un gran numero di persone – quando per esempio interessano i servizi di pubblica utilità (vd. sanità, utilities, previdenza, anche in Italia etc.) -. Il terzo trend che vediamo e che vedremo sempre di più legato alla cybersecurity è quello dell’AI. Spiega Cecchi: “Parliamo da una parte della possibilità di migliorare la difesa che l’intelligenza artificiale offre, ma anche del fatto che si tratta di un’arma a disposizione di chi attacca” nell’elaborare minacce più sofisticate sì, ma non solo. Per esempio sarà sempre più facile che il cybercrime miri a ‘violare’ l’AI utilizzata dalle aziende fino a falsare le elaborazioni su cui si basano le decisioni aziendali.
Facile immaginare tutte le possibili conseguenze, già oggi, pensando ai rischi correlati anche ai deepfake. Gli stessi modelli generativi sono a loro volta vulnerabili e la loro natura “creativa” può rendere la compromissione difficile da scoprire.
E’ poi da considerare un ulteriore aspetto: se infatti è giusto che le autorità regolamentino l’utilizzo dell’AI, sarebbe troppo ‘innocente’ aspettarsi che anche il cybercrime si attenga alle stesse regole, e questo potrebbe portare l’AI di chi si difende ad essere intrinsecamente più debole di quella di chi attacca.
L’azienda di Cecchi si è già mossa e per un un approccio end-to-end alla cybersecurity e fa leva sui suoi investimenti in Purple AI, in grado di incrementare la qualità del lavoro degli analisti di threat hunting. Purple AI utilizza una varietà di modelli sia open source che proprietari fornendo ai labs un motore per identificare, analizzare e mitigare le minacce utilizzando prompt e dialoghi interattivi ed è utilizzabile sui dati presenti nel SentinelOne Security DataLake così come nelle diverse integrazioni di SentinelOne Xdr.
Ma un ulteriore segno di attenzione al tema è anche l’entrata nell’advisory board di SentinelOne di Christopher Krebs, la cui esperienza sulla cybersecurity di “frontiera” è più che riconosciuta. Ingresso da correlare all’acquisizione della società di consulenza Krebs Stamos Group ed alla creazione di PinnacleOne Strategic Advisory Group che ha come obiettivo aiutare i decision maker a comprendere come operare attraverso intelligence, intuizioni e strategie trasformative nella gestione del rischio avanzata, sempre più alla base di una buona strategia cyber.
“SentinelOne, nell’ambito di questo scenario complessivo – prosegue Cecchi – opera sulla scorta di un’esperienza complessiva di oltre dieci anni, maturata sulla protezione degli endpoint (non solo pc e server, ma anche dispositivi Ot etc.) grazie all’utilizzo di specifici agent con un approccio alla protezione non basato sulla semplice analisi delle signature quanto proprio sul potenziale di machine learning e AI”. Vi abbiamo appena accennato a proposito di Purple AI: oggi SentinelOne propone un approccio “platform centric” con alla base il suo “security data lake entro cui confluiscono dati di telemetria dai dispositivi come anche informazioni di provenienza da altri database di security e non”. SentinelOne su questi dati attiva una serie di correlazioni in modo da rendere virtuoso il patrimonio informativo che invece spesso resta disperso in silos.
La protezione sistemica del cloud
Sulla platform di SentinelOne oggi si innestano diversi servizi: quindi oltre alla protezione degli endpoint, quelli di vulnerability management, la protezione cloud, delle identità con l’obiettivo ultimo non tanto di proteggere un singolo “pillar” quanto piuttosto il business nella sua complessità. La platform in particolare trae i suoi punti di forza dalla “capacità di aggregare, consolidare e correlare le diverse informazioni nell’ecosistema dove esse sono utilizzate”.
Ed è questo anche un aspetto apprezzato dalle aziende considerato che sì, la protezione parte effettivamente dagli endpoint, perché sono essi le interfacce/utente con la sfera digitale dei dati, ma impatta poi su gestione dati, applicazioni, architetture. “Ecco allora la centralità della protezione di Active Directory, per essere sicuri che chi opera con i dati sia effettivamente chi dice di essere”. Allo stesso tempo, l’operatività in cloud ed i modelli di business basati su app native in cloud hanno alzato ulteriormente il livello della sfida security, già raccolta negli Usa, e solo in parte dalle nostre aziende, proprio per un gap quasi fisiologico nella maturità cloud rispetto agli Usa.
Su questo punto è importante allora insistere ancora sul tema della “riduzione della complessità”. Si parla di Cloud Security Posture Management (Cspm) di Cloud Workload Protection, di protezione delle piattaforme applicative, con il rischio di vedere “spacchettata” la security in cloud per cui le aziende si trovano disorientate, fanno fatica a capire come attivarsi. “E invece è proprio il consolidamento della security l’arma su cui puntare per fare bene”, prosegue Cecchi.
Per operare in questa direzione SentinelOne acquisisce la Cloud Native Application Protection Platform di Pingsafe, per integrarla con le funzionalità di SentinelOne per la sicurezza dei workload e dei dati in cloud. Parliamo quindi di Cspm ma anche di ‘postura corretta’ su Kubernetes, della scansione delle vulnerabilità agentless e della scansione dell’Infrastruttura as code shift-left. E proprio da questa integrazione nella platform Singularity ci si aspetta il cambio del paradigma della sicurezza in cloud.
Con l’acquisizione di PingSafe, infatti, SentinelOne offrirà funzionalità specifiche di scansione avanzata dei codici segreti degli ambienti runtime e build-time e un sistema di regole per la gestione della superficie di attacco che esegue scenari di violazione e simulazione di attacco contro le risorse cloud esposte a Internet per identificare il modo in cui un hacker potrebbe compromettere tali risorse.
Invece di ricorrere a soluzioni specifiche o a una piattaforma di sicurezza stand-alone per il cloud, le aziende possono così accedere a una piattaforma di sicurezza integrata comprensiva di funzionalità di sicurezza avanzate, in tempo reale e basate sull’AI, per proteggere l’intera azienda a livello di endpoint, identità e cloud. Chiude Cecchi: “Anche in Italia su questi temi e su un approccio volto alla semplificazione è alta l’attenzione, per quanto la maturità del cloud non sia paragonabile con quella di altri Paesi. E tuttavia finance, energy, ma anche manifatturiero e retail vedono SentinelOne ben posizionata “, quasi in correlazione diretta con la maturità del cloud in questi verticali.
© RIPRODUZIONE RISERVATA
