Negli stessi giorni di OneCon 2024, la conferenza globale di SentinelOne a Las Vegas, pensata per consentire a clienti e partner di scoprire come migliorare la postura di sicurezza aziendale, incontriamo in Italia Nicolas Day, VP Global Gtm Grow Strategy & Enablement e Paolo Cecchi, Sales Director Mediterranean Region. Si tratta di mettere a fuoco le strategie di go to market implementate dalla società a livello internazionale che hanno permesso all’azienda di crescere a doppia cifra nel confronto anno su anno e di capire come le soluzioni di sicurezza possano migliorare capacità e business delle imprese nel nostro Paese. “Passare da un fatturato di circa 800 milioni di dollari di ricavi ricorrenti per raggiungere l’obiettivo di oltre 2 miliardi di dollari è chiaro che rappresenta per SentinelOne una sfida e ci sono diverse modalità per far crescere un’azienda – esordisce Day -. Noi la indirizziamo con una combinazione strategica tra soluzioni, ingegneria e marketing, che devono lavorare insieme per creare valore”. L’importanza di focalizzarsi sulle reali esigenze dei clienti richiede quindi di incontrare di persona le realtà sul campo, ascoltare i loro feedback e identificare le tendenze emergenti nel settore della sicurezza informatica e sulla base della sua esperienza sul campo ecco che Day identifica quindi tre trend chiave.
Cambio di prospettive per i Ciso
Il primo riguarda il cambiamento di prospettiva dei chief information security officer, riguardo a “cosa” devono proteggere. Un elemento interessante è che spesso i Ciso credono di avere tutto sotto controllo, ma incidenti come configurazioni errate o l’utilizzo di tool di terze parti mal gestiti possono aprire “porte” invisibili agli attacchi. Solo per fare un esempio, Day descrive situazioni in cui a causa di una mancanza di comunicazione interna, “i dipendenti possono mettere in atto iniziative individuali, implementarle senza avvertire nessuno, e così aprire inavvertitamente una vulnerabilità nel sistema”. Ecco come, proprio lacune di questo tipo nel controllo e nella supervisione interna portano inevitabilmente a rischi crescenti. Il secondo trend che Day evidenzia è legato all’evoluzione degli attacchi informatici, ora sempre più guidati da sistemi che utilizzano l’AI. Questo ha cambiato radicalmente il panorama della sicurezza. Un tempo gli attacchi erano condotti da esseri umani contro altri esseri umani, ma oggi le macchine hanno assunto un ruolo dominante. “Se ti invio dieci email al giorno, le puoi gestire. Se te ne mando cento, sarà un po’ più difficile, ma potrai ancora farcela. Tuttavia, se ti invio 10.000 email ogni giorno, non riuscirai più a starci dietro”, dettaglia Day. E questo è esattamente ciò che sta accadendo nei Security Operation Center (Soc) di molte aziende, con gli analisti della sicurezza che si trovano sommersi da migliaia di avvisi ogni giorno, a un ritmo che diventa insostenibile. Proprio la crescente complessità e velocità degli attacchi richiede quindi l’uso di soluzioni automatizzate e basate sull’intelligenza artificiale per difendersi efficacemente.
Il terzo trend che Nicolas Day menziona è forse il più inquietante: crescono i deepfake che permettono di creare video e messaggi falsi estremamente realistici, utilizzando solo pochi secondi di una registrazione vocale o l’immagine di una persona. “I deepfake vengono utilizzati in modo sempre più sofisticato per ingannare le persone, inducendole a credere in false comunicazioni da parte di superiori o colleghi. E questa sofisticazione nelle tecniche di attacco rende ancora più urgente la necessità di implementare soluzioni di sicurezza avanzate che possano distinguere le comunicazioni autentiche da quelle contraffatte”. Di fatto il deepfake è l’ultima frontiera del phishing e rappresenta già una delle principali fonti di attacco nel mondo informatico. “E secondo Gartner, il 75% delle violazioni di sicurezza nell’ultimo anno è stato causato da attacchi di phishing”, precisa Day che estende poi lo sguardo sullo scenario dalla dimensione aziendale a quella geopolitica, descrivendo come la cybersecurity sia diventata una questione cruciale anche per le sicurezze nazionali. In passato, la potenza di una nazione era determinata dalla sua dimensione e forza economica, ma oggi la vulnerabilità informatica ha livellato il campo di gioco. Day è categorico: “Sembra esagerato, ma davvero anche un paio di ragazzi esperti nel seminterrato di casa loro potrebbero potenzialmente mettere in ginocchio un’intera nazione”. La cybersecurity quindi non è più solo una questione di protezione dei dati aziendali, ma può avere impatti economici critici su interi settori o Paesi. Ed evitare questi scenari resta tra i primi obiettivi di SentinelOne.
SentinelOne, una visione basata sull’AI
Una delle caratteristiche distintive di SentinelOne è l’utilizzo avanzato dell’intelligenza artificiale e del machine learning per proteggere i propri clienti. “Queste tecnologie sono parte del Dna dell’azienda sin dalla sua fondazione. “E il nostro agent ha l’apprendimento automatico integrato sin dall’inizio. Non è uno strumento che è stato ‘aggiunto’ nell’ultimo anno seguendo l’hype AI”, spiega Day. Un approccio, quello di SentinelOne, che si distingue da quello dei tradizionali software antivirus e di protezione degli endpoint, che si basano su aggiornamenti costanti per rimanere efficaci. Al contrario, l’azienda adotta un metodo proattivo, in cui “l’agente software è in grado di rilevare comportamenti sospetti e agire autonomamente per proteggere il sistema”. Si innesta in questo contesto la recente partnership con Lenovo che prevede l’installazione predefinita della tecnologia SentinelOne sui laptop con Lenovo che a sua volta si impegna a rivendere la piattaforma di sicurezza di SentinelOne ai propri clienti.
Un altro aspetto innovativo delle soluzioni offerte da SentinelOne è la protezione dell’identità. Oltre alla protezione degli endpoint, l’azienda ha recentemente introdotto un unified agent che integra anche la protezione dell’identità in un’unica piattaforma. Questo agente è in grado di rilevare attacchi di phishing e ingannare l’attaccante fornendogli credenziali false, mentre traccia il percorso dell’intrusione per identificare e bloccare l’attacco. Day descrive come questa funzionalità consenta di rimanere sempre un passo avanti rispetto agli attaccanti, proteggendo non solo i dati, ma anche le identità digitali degli utenti perché “mentre l’attaccante pensa di avere accesso alle tue credenziali, in realtà sta già proteggendo il sistema e tracciando il percorso dell’attacco”.
Automazione, chiave per gestire la complessita delle informazioni
Uno dei problemi principali dei Soc moderni è la quantità enorme di alert che ricevono quotidianamente. Come spiega Day, “gli analisti non possono gestire efficacemente migliaia di allarmi senza un sistema automatizzato che li aiuti a identificare quelli realmente critici”. Per questo motivo, SentinelOne ha sviluppato un sistema di “auto-triage” che organizza gli allarmi in base alla loro importanza, aiutando i team a concentrarsi sulle minacce più rilevanti. “In roadmap è previsto che il sistema non solo sarà in grado di identificare un attacco, ma anche di spiegare perché è avvenuto e di correggere autonomamente la situazione”. L’ideale che si vuole realizzare è quindi la creazione di un Soc “autonomo”, in cui sono le macchine proteggono altre macchine dagli attacchi, riducendo la necessità di intervento umano e migliorando l’efficienza operativa. Infine, anche per la protezione del cloud, che rappresenta un’altra area critica della sicurezza informatica, SentinelOne ha sviluppato una soluzione specifica per proteggere le risorse digitali negli scenari multicloud ed esegue una verifica continua delle configurazioni segnalando immediatamente eventuali vulnerabilità e permettendo ai team di sicurezza di intervenire rapidamente prima che gli attaccanti possano sfruttarle.
Le criticità nello scenario italiano
Cala nel contesto dello scenario italiano i temi del giorno così Paolo Cecchi. “Il nostro tessuto, costituito prevalentemente dalle Pmi, oltre alle criticità già evidenziate, come è facile immaginare, evidenzia la difficoltà di mantenere i dati per lunghi periodi, specialmente con le soluzioni tradizionali Siem (Security Information and Event Management)”. Si tratta spesso di soluzioni che, nate on-premise, e successivamente migrate al cloud, non sono state progettate per l’ambiente cloud-native. “Ciò comporta costi elevati per lo storage e la retention dei dati, e rende complicato per molte aziende attuare una strategia di ‘prolungata’ retention dei dati”.
Ma la capacità di mantenere i dati per lunghi periodi è invece essenziale per rilevare attacchi sofisticati che si sviluppano lentamente e che possono operare all’interno di un’organizzazione per mesi o addirittura anni. Gli attaccanti infatti oggi si dividono in due grandi categorie: “Quelli che puntano a ottenere un risultato immediato, come nel caso del ransomware, e quelli sponsorizzati da stati, che operano su un orizzonte temporale molto più lungo.
In questo secondo caso mirano a sottrarre informazioni sensibili o a compromettere infrastrutture critiche, preparandosi a bloccarle o manipolarle in futuro.
Questo tipo di attacchi richiede quindi una visibilità a lungo termine dei dati aziendali, qualcosa che molte organizzazioni non sono attrezzate a gestire con le soluzioni Siem tradizionali.
Crescono gli attacchi alla supply chain
Anche in Italia, un’altra tendenza preoccupante è poi l‘incremento degli attacchi alla supply chain. Cecchi evidenzia come le organizzazioni, nonostante possano investire massicciamente nella protezione interna, trovano estremamente difficile proteggere l’intero ecosistema con cui interagiscono quotidianamente, come fornitori e partner. “Gli attacchi alla supply chain sono diventati un metodo con cui gli attaccanti cercano di colpire le organizzazioni più grandi, con una dinamica particolarmente insidiosa, perché molte piccole e medie imprese che fanno parte della catena di approvvigionamento non dispongono degli stessi livelli di protezione delle grandi aziende”. Di conseguenza, le organizzazioni più grandi diventano vulnerabili agli attacchi indiretti che sfruttano le debolezze dei loro partner. Torna quindi il tema dell’automazione come snodo cruciale. Cecchi: “Le soluzioni di intelligenza artificiale e automazione, come PurpleAI, possono quindi aiutare anche le nostre aziende a rispondere più rapidamente ed efficacemente agli attacchi, riducendo la dipendenza dall’intervento umano”.
Automazione essenziale non solo per le grandi aziende, che devono gestire volumi enormi di alert, ma anche per le organizzazioni più piccole, che altrimenti non potrebbero permettersi gli investimenti necessari per mantenere un livello adeguato di protezione. Il tema già affrontato da Day relativo al cloud, ritorna anche tra le criticità del Paese. Cecchi: “Molte organizzazioni hanno adottato soluzioni di cloud security solo per spuntare una casella nel loro check-list di sicurezza, senza però implementare soluzioni avanzate. Tuttavia, con l’aumento degli attacchi in cloud, le aziende stanno iniziando a riconsiderare le loro priorità. Ed è evidente che non è più sufficiente adottare soluzioni di sicurezza di base ma si deve investire in soluzioni cloud-native più sofisticate che possano proteggere adeguatamente queste nuove superfici di attacco”.
Consolidamento e iper-automazione
La frammentazione delle soluzioni è tema a sua volta critico nel nostro contesto. La proliferazione di diverse tecnologie di sicurezza ha portato molte organizzazioni a gestire un numero eccessivo di silos di sicurezza, rendendo difficile mantenere una visione coerente delle minacce. “Il futuro della sicurezza informatica si gioca quindi nella capacità di consolidare le tecnologie in uso in un’unica piattaforma, in grado di offrire una visione unificata delle superfici di attacco e di rispondere alle minacce in modo rapido ed efficiente”. Mentre uno dei maggiori fallimenti della sicurezza informatica – secondo Cecchi – “è stato il tentativo di automatizzare la risposta agli incidenti con soluzioni troppo complesse, come i Soar (Security Orchestration, Automation, and Response) che troppo spesso richiedono un effort umano continuativo ed estremamente elevato”. Ecco che proprio per risolvere questo problema, SentinelOne sta sviluppando soluzioni di hyper automation che semplificano drasticamente il processo di risposta agli attacchi, riducendo la necessità di interventi manuali e permettendo alle organizzazioni di rispondere più velocemente e in modo più efficiente alle minacce.
Cybersecurity e normative, colmare il gap
Le moderne aziende, indipendentemente dalla loro dimensione, si trovano ad affrontare una crescente pressione per rispettare le normative in materia di sicurezza informatica e tra i temi emersi nel confronto di scenario per l’Italia c’è il problema del divario tra l’indirizzo fornito dalle normative e la loro reale applicazione. Leggi e regolamenti spesso si limitano a dettare cosa va fatto ma non sempre offrono linee guida operative su come raggiungere questi obiettivi. Le tecnologie proposte da SentinelOne riescono a coprire alcuni di questi gap tecnologici, offrendo visibilità e immagazzinamento dei dati e risposte automatizzate, ma occorre anche una forte cultura aziendale e una visione chiara su come integrare queste tecnologie nei processi aziendali. Sottolinea Cecchi: “E’ importante che tutta l’organizzazione, e non solo il team di sicurezza, sia coinvolta nel processo di adeguamento normativo”, cosa che non sempre avviene, così come resta difficile per le Pmi disporre di risorse adeguate per la cybersecurity per cui l’automazione rappresenta una soluzione vincente e l’unica via percorribile per fare bene.
Le sfide della convergenza tra IT/OT
Un messaggio chiude il confronto, Cecchi: “SentinelOne ha saputo sfruttare questo vantaggio nell’automazione offrendo soluzioni scalabili che si adattano alle esigenze sia delle piccole che delle grandi organizzazioni. Queste ultime non acquistano solo le tecnologie disponibili sul mercato, ma investono anche nella visione a lungo termine del vendor che offre tali tecnologie. Questo è particolarmente importante perché gli attacchi informatici si evolvono costantemente, richiedendo soluzioni di sicurezza che siano capaci di adattarsi a queste nuove minacce e coprano i bisogni di protezione dagli endpoint tradizionali (come workstation e dispositivi mobili), ai sistemi cloud e legacy, alle esigenze legate alla convergenza tra IT e OT”. E, anche nel contesto IT/OT, SentinelOne si distingue per la capacità di coprire anche i sistemi legacy, un aspetto cruciale per molte aziende che operano con tecnologie datate. In particolare, la proposta dell’azienda è in grado di raccogliere e analizzare dati provenienti da entrambi i mondi, consentendo di identificare potenziali minacce che potrebbero provenire dall’interconnessione tra IT e OT.
© RIPRODUZIONE RISERVATA
