Oggi le strategie di cybersecurity che mirano principalmente a difendere i singoli endpoint dalle intrusioni esterne non bastano più. E chi pensa di poter fare a meno di strumenti integrati – in grado non solo di monitorare in tempo reale i flussi di dati che scorrono sotto la superficie aziendale, ma anche di riconoscere e notificare con largo anticipo comportamenti anomali – sta mettendo a repentaglio la continuità operativa del business e l’integrità del proprio patrimonio informativo.
Com’è cambiata la superficie aziendale sensibile alle intrusioni
«È un errore continuare a pensare che tutti gli attacchi comincino dall’endpoint. Semplicemente, non è più vero. A partire dal 2020 si sono intersecati diversi macro fenomeni che hanno cambiato la natura sia fisica sia logica dei punti d’accesso ai network aziendali. Alla fisiologica accelerazione dalla trasformazione digitale e alla sempre maggiore mobilità del mondo enterprise si sono aggiunti l’impatto tremendo che il Covid ha comportato sul modo di fare business e la forte virata sul cloud, considerato ormai da molte organizzazioni non più un punto di arrivo sul piano tecnologico, ma un nuovo modello operativo. La combinazione di questi fattori ha avuto come effetto collaterale una rifocalizzazione dei cybercriminali sul dato: l’endpoint diventa così solo una delle tante possibili superfici d’attacco, all’interno di uno scenario in cui le fonti a cui attingono i workflow continuano a moltiplicarsi e stratificarsi. Difendere la rete quindi non vuol dire rattopparla aggiungendo nuove soluzioni, ma adottare piattaforme Extended Detection and Response (XDR) aperte, capaci di interconnettersi e usare in modo mutuale una le specializzazioni dell’altra. Ed è esattamente quello che cerchiamo di fare noi, abbracciando le specificità di altre piattaforme tecnologiche».
Who's Who
Marco Rottigni
A parlare è Marco Rottigni, Technical Director di SentinelOne, società di sicurezza informatica fondata nel 2013 a Mountain View e non a caso dal 2020 in rapida espansione anche nella regione Emea. La startup italiana, affidata a Paolo Ardemagni, è passata infatti nel giro di un paio d’anni da due sole risorse a un team di 13 persone, che segue il mercato delle aziende con più di 1500 dipendenti. «Non si tratta solo di attività sales, incluso il lavoro svolto tramite il canale, ma anche di gestione delle iniziative di marketing, a cavallo di pre e post vendita: parliamo ormai di una struttura completa, che si avvale pure della collaborazione di ricercatori attivi negli ambiti del dark web e della cyber threat intelligence», spiega Rottigni.
L’approccio di SentinelOne all’XDR: la piattaforma Storyline Active Response
SentinelOne sta consolidando la propria posizione lungo l’orizzonte delle soluzioni di cybersecurity puntando su una tecnologia che cerca di essere «il più autonoma possibile. Con ciò non vogliamo dire che non necessiti dell’intervento umano», precisa Rottigni, «ma che riesca a prescindere dalla capacità di risposta umana, che risulta troppo lenta per la velocità con cui oggi è necessario contrastare le minacce». Secondo il manager di SentinelOne, a una nuova generazione di attacchi che non ha precedenti per volume, varianza e appunto velocità, bisogna rispondere con sistemi basati sull’intelligenza artificiale e facendo leva su processi automatizzati. «In effetti autonomia, automazione e velocità sono le tre caratteristiche che contraddistinguono la nostra soluzione Storyline Active Response. La piattaforma traccia tutto quello che accade su qualsiasi dispositivo, equipaggiato con qualunque sistema operativo e indipendentemente dal fatto che sia online oppure offline, ricostruendo le tappe di eventuali intrusioni, fermando le infezioni in corso e ripristinando gli archivi danneggiati. In questo modo è possibile comprendere non solo cosa è successo, e prepararsi così ad affrontare in futuro minacce simili, ma anche cosa è stato mitigato e soprattutto cosa resta da fare per rendere il sistema sicuro».
In altre parole, la soluzione monitora e riepiloga automaticamente ciascuna tappa dell’evoluzione di un comportamento malevolo – fin dalla sua prima manifestazione – ed espone le informazioni rilevanti del processo di intrusione all’interno di un report facilmente accessibile anche per profili non tecnici, in quanto aggregato con un lessico comprensibile. «Evidenziare l’esatto iter di un incidente informatico permette di eliminarne gli effetti sui sistemi in modo chirurgico, lasciando inalterato tutto ciò è rimasto di buono», rimarca Rottigni, alludendo alla base dati e agli ultimi salvataggi dei progetti in corso.
La filosofia con cui SentinelOne ha sviluppato la piattaforma è applicabile a diversi processi: oltre alla già citata rilevazione delle anomalie sugli endpoint, si parla anche di supporto per la gestione delle attività di incident response e di operazioni per la messa in sicurezza dei workflow in ambienti multi-cloud, oltre che di funzionalità IDR (Identity Detection and Response) per l’elaborazione di contromisure efficaci alla possibile compromissione di credenziali valide. «Ma prevediamo pure l’utilizzo di tecniche di deception per disorientare l’attaccante durante l’intrusione e acquisire informazioni rilevanti sulle strategie e sugli strumenti che ha messo in campo», aggiunge Rottigni, specificando che la soluzione spazia dall’endpoint al cloud, passando per il mondo mobile e per quello IoT, fino appunto all’identity management e alla configurazione delle active directory.
I vantaggi di un ecosistema aperto e integrato
Agire in autonomia non vuol dire però necessariamente agire da soli. Anzi, secondo SentinelOne nell’ambito della cybersecurity è imperativo dare vita a un ecosistema aperto integrando le soluzioni e le tecnologie di altri vendor che hanno puntato su approcci peculiari all’XDR. «Ecco perché abbiamo creato uno strumento capace di innestarsi in modo trasparente con l’offering di aziende che hanno sviluppato abilità diverse dalle nostre. Dalla threat intelligence alla neutralizzazione degli attacchi, fino alla creazione di ambienti di quarantena e all’avvio di processi di riautenticazione, pensiamo che proporsi al cliente in modo multisfaccettato sia il sistema migliore per garantire non soltanto completezza nella gamma delle azioni che vanno dal contrasto alla risposta nei confronti delle minacce, ma anche un consumo ottimizzato di dati. Ci tengo a precisare», avverte Rottigni, «che l’idea non è quella di esporre tutta la complessità di queste piattaforme alle aziende, le quali sono semplicemente interessate a non dover scontare gli effetti di un attacco andato a buon fine. Qui si tratta di dare rilevanza alla protezione dei dati e al livello di sicurezza che un’organizzazione intende raggiungere. E credo sia abbastanza emblematico il fatto che al momento ancora nessuno dei nostri clienti ha dovuto soccombere a un attacco ransomware. Il nostro modello, d’altra parte, è apprezzato anche dai partner, che mettono in opera la piattaforma per conto terzi o la usano direttamente per erogare servizi gestiti, e i vendor con cui collaboriamo hanno compreso perfettamente quali sono i vantaggi dell’aggregazione e della specializzazione quando si tratta di affrontare scenari in cui la velocità di risposta è un fattore critico di successo».