C’era una volta il SIEM (Security Information and Event Management). In realtà c’è ancora, ma è cambiata sia la sua funzione sia il suo utilizzo. Lo spiega bene Paolo Ardemagni, Vice President Southern Europe Middle East & Africa di SentinelOne: “Il SIEM in passato si limitava a fornire informazioni, demandando all’essere umano la prosecuzione delle attività. Era nato on-premise come tool di sicurezza, mentre oggi serve a coadiuvare le persone che si occupano di security”.
Volendo usare una nomenclatura aggiornata, tra quelle che il mondo tech continua a sfornare a ritmi sostenuti, si potrebbe parlare di next generation SIEM. È la definizione proposta da Paolo Cecchi, Sales Director Mediterranean Region di SentinelOne, che chiarisce: “Il SIEM nasce una quindicina di anni fa dall’esigenza di compliance, non da quella della sicurezza. Nel momento in cui una serie di dati ha cominciato a essere raccolta in un repository centralizzato, allora è diventato automatico utilizzarlo anche per la sicurezza”.
La versione tradizionale del SIEM si focalizzava principalmente sugli endpoint, motivo per il quale in anni recenti sono arrivati gli XDR (eXtended Detection and Response) che mirano a proteggere una superficie d’attacco molto più ampia rispetto al solo endpoint. E poiché tale superficie è in costante allargamento, non bastano più delle singole soluzioni verticali per garantire una cybersecurity efficace alle aziende.
L’Intelligenza Artificiale come risposta alle nuove minacce
“L’evoluzione delle minacce – prosegue Ardemagni – è talmente rapida che servono soluzioni di sicurezza che non solo siano in grado di aiutare le aziende a reagire alle minacce, ma che le possano anticipare e mitigare prima che queste provochino seri incidenti informatici. Anche le strutture esterne dei SOC, i Security Operations Center, e gli analisti della sicurezza di qualsiasi livello dovrebbero poter beneficiare degli strumenti, della velocità e delle prestazioni un tempo riservati alle organizzazioni con budget elevati. Non servono più strumenti che eseguano semplicemente, ma devono poter agire in modalità proattiva. Questo è possibile grazie a nuove funzionalità tecnologiche che, con il potente utilizzo di strumenti basati sull’AI consentano alle imprese di imparare e adattarsi continuamente alle nuove minacce, fornendo protezione in tempo reale e capacità di risposta automatizzata”.
La digital transformation da un lato ha aumentato la superficie d’attacco delle aziende, dall’altro ha determinato un incremento esponenziale dei dati che proprio ciascuna azienda produce. Le due cose messe assieme sono all’origine della “tempesta perfetta” che sta investendo l’ambito della cybersecurity. È sempre più difficile ottenere piena visibilità su tutte le superfici d’attacco ed è sempre più complesso gestire una mole di dati così estesa che cresce costantemente. La risposta a questo stato di cose, secondo gli esperti di SentinelOne, potrebbe arrivare da un approccio basato su piattaforma.
I vantaggi dell’approccio su piattaforma per la cybersecurity
Nel nuovo scenario non basta più un SIEM, seppure di ultima generazione, né un XDR o un SOAR (Security Orchestration, Automation and Response). “Qualunque soluzione verticale che va a coprire specifici ambiti – evidenzia Cecchi – sarebbe insufficiente. L’approccio su piattaforma, al contrario, permette di risolvere il problema dell’aumento esponenziale dei dati. Oggi nessun essere umano e nessun team è in grado di gestire in maniera adeguata una tale mole di dati. Anche SentinelOne, nata come azienda dedicata alla protezione degli endpoint, si è evoluta per far fronte a questo stato di cose, adottando ad esempio l’Intelligenza Artificiale non da oggi, ma fin dai tempi in cui il machine learning era all’interno del nostro agent per proteggere gli endpoint. Oggi il nostro sistema si chiama Purple AI e permette di risolvere il problema della gestione dell’enorme quantità di dati e della loro correlazione. Purple AI ha dimostrato sul campo un efficientamento di circa l’80% nella gestione degli incidenti”.
La combinazione di piattaforma e Intelligenza Artificiale, a detta del manager di SentinelOne, dovrebbe ovviare a un dei problemi storici della cybersecurity, quello dei silos. Se esistono infatti diverse soluzioni di sicurezza e ciascuna è specializzata su una porzione della superficie d’attacco, anche la relativa AI a corredo potrebbe essere fonte di complicazione. Invece, una piattaforma all’interno della quale possono essere raccolti tutti i dati provenienti da più soluzioni di cybersecurity, si candida a gestire gli alert e gli incidenti in maniera unificata, dando ai team di sicurezza una leva per essere più efficaci e proattivi.
L’hyperautomation no-code applicata alla sicurezza
Non a caso la nuova frontiera su cui opera SentinelOne è quella della hyperautomation no-code, cioè dell’inserzione di AI e automazione nei processi a cui i team di sicurezza devono dedicarsi, ma con una sostanziale diminuzione dell’effort correlato al lavoro sul codice.
“Non è un segreto che i team di security siano sempre più sommersi da dati, avvisi e triage che richiedono ore di lavoro” sottolinea in conclusione Paolo Ardemagni, aggiungendo che “le soluzioni evolute di AI per la sicurezza non solo devono essere capaci di creare query di dati complesse, ma hanno l’obiettivo di anticipare ciò che gli analisti della sicurezza devono fare e consigliare i passi successivi. Le regole di iper-automazione, utilizzando analisi analogiche globali, possono fornire indicazioni di risposta intelligenti basate sul modo in cui gli altri hanno reagito ad avvisi simili e raccomandazioni smart per trasformare tali azioni in risposte proattive”.
Già oggi la tecnologia aiuta a individuare e risolvere le vulnerabilità nei codici e nelle configurazioni, nonché ad automatizzare le operazioni di rilevamento e risposta agli attacchi. In futuro aiuterà le aziende ad abbandonare un modello reattivo, accorciando ad esempio progressivamente i tempi di rilevamento e di rimedio calcolati con parametri chiave come il Mean time to detect (MTTD) e il Mean Time to Remediate (MTTR). Una riduzione dei tempi che coincide inevitabilmente con maggiore efficienza e minori costi.
