Tra cloud e intelligenza artificiale: il 2024 della Cybersecurity secondo SentinelOne

Gen 18, 2024 Stefano Silvestri Malware, Minacce, Scenari, Tecnologia, Vulnerabilità 0

Solitamente s’inizia l’anno coi buoni propositi per i mesi che verranno. Paolo Cecchi, Sales Director di SentinelOne per la Mediterranean Region (Italia, Iberia, Israele, Grecia, Cipro e Malta), ha preferito invece anticipare quelle che saranno le principali minacce informatiche dei prossimi dodici mesi.

Immancabilmente, visto il periodo che stiamo vivendo, l’indice accusatore è stato puntato contro le intelligenze artificiali. Che se è vero che sono foriere di incredibili potenzialità per l’umanità, hanno anche dimostrato in poco tempo quale caos tecnologico possano provocare, soprattutto in ambito informatico.

“Stiamo assistendo a un trend in crescita legato all’exploitation delle IA “, afferma Cecchi. “Non possiamo più fidarci di ciò che leggiamo, vediamo o sentiamo; come individui e come aziende, ci troviamo di fronte a nuove forme d’attacco che non riusciamo ancora a comprendere appieno. Gli attaccanti utilizzano l’IA per rendere gli attacchi meno rilevabili, mascherandoli come attività legittime. Questo li rende estremamente pericolosi perché gli attacchi portati dalle intelligenze artificiali sono più difficili da rilevare e da comprendere“.

A differenza del ransomware, immediatamente identificabile, i modelli generativi producono contenuti su misura e persuasivi, che gli aggressori possono sfruttare per sviluppare nuovi metodi di ingegneria sociale. Invece di mirare a sistemi con debolezze tecniche, gli hacker si concentrano sugli individui. I lavoratori potrebbero così essere indotti a rivelare le proprie credenziali a causa di richieste che sembrano familiari e affidabili, facilitando l’accesso degli hacker.

Cecchi ha poi sottolineato il crescente problema dell’exploitation dei sistemi di intelligenza artificiale. Ad esempio, se un’azienda utilizza IA per fornire supporto clienti attraverso il cloud, questo diventa un asset vulnerabile agli attacchi. La protezione dell’IA inizia dalla sicurezza dell’ambiente cloud in cui opera: se un attaccante riesce a manipolare i suoi sistemi di training, può deviarne le risposte per scopi malevoli, ad esempio indirizzando i clienti verso link dannosi.

Paolo Cecchi è Sales Director di SentinelOne per la Mediterranean Region, che include che paesi quali Italia, Iberia, Israele, Grecia, Cipro e Malta.

SentinelOne con Purple AI, la sua piattaforma basata sull’IA, sta investendo per aiutare le aziende a fronteggiare queste minacce. “Combattiamo il fuoco col fuoco”, dice Cecchi. “Se gli attaccati sfruttano l’intelligenza artificiale, anche i difensori devono farlo per proteggersi. L’IA può analizzare e incrociare centinaia di alert in pochi secondi, molto più velocemente di quanto possa fare un essere umano. In questo modo è possibile rispondere automaticamente alle minacce in modo veloce ed efficace”.

Nata più di dieci anni fa, SentinelOne si dedica alla protezione degli endpoint attraverso ‘sentinelle’, agenti che coprono un ampio spettro di dispositivi. L’innovazione della sua proposta sta nell’utilizzo del machine learning e dell’IA per rilevare comportamenti anomali, piuttosto che affidarsi alle tradizionali signature.

“L’approccio di SentinelOne oggi è incentrato su un security data lake che aggrega dati e telemetrie non solo dai nostri prodotti ma anche da soluzioni di terze parti”, spiega Cecchi. “Questo consente una correlazione efficace delle informazioni, affrontando il problema della dispersione dei dati tra vari strumenti di sicurezza”.

Cecchi sottolinea l’importanza della visione globale nella sicurezza cyber: “Con la nostra piattaforma, siamo in grado di gestire minacce su più fronti, come accessi cloud sospetti, email malevole e attacchi agli endpoint, tutto all’interno di un unico strumento. Questo semplifica enormemente il lavoro dei team di sicurezza e dei SOC”.

SentinelOne, nel tempo, ha ampliato il proprio focus: “Oltre alla protezione degli endpoint ci occupiamo di vulnerability management, protezione del cloud e dell’identità. In un mondo dove le aziende sono sempre più distribuite nel cloud e diversificate, la protezione deve estendersi a tutti gli aspetti, inclusa la protezione delle identità digitali”.

Quest’ultimo spunto serve a Paolo Cecchi per evidenziare la necessità di una maggiore attenzione alla sicurezza nelle aziende dell’Active Directory, un elemento spesso trascurato ma fondamentale per le infrastrutture IT, composte da un database centrale che contiene informazioni su tutti le entità presenti nell’ambiente di rete. “Il tema delle identità digitali sta diventando sempre più importante. L’Active Directory è il cuore di ogni azienda, il ‘gioiello della corona’, come mi piace chiamarlo. Tuttavia, è stato sorprendentemente trascurato in termini di sicurezza, con attenzioni limitate a sporadici audit per mere questioni di compliance.”

“È il target principale degli attaccanti”, continua Cecchi, poiché una volta che vi hanno accesso non hanno bisogno di malware o di altri stratagemmi. Possono semplicemente sfruttare le credenziali di un dipendente per accedere a tutto ciò che può fare all’interno dell’organizzazione. Questo rende l’attacco ancora più occulto e pericoloso.”

Da questo momento in poi l’attenzione si è spostata su un altro tema caro a SentinelOne, la sicurezza nel cloud. “Quando le aziende iniziano a migrare nel cloud, la sicurezza diventa un interrogativo cruciale. Ci sono diverse necessità e soluzioni: dal Cloud Security Posture Management (CSPM) al Cloud Data Security (CDS), dal Cloud Identity Access Management (CIAM) alla Cloud Workload Protection (CWPP), fino alla Cloud Native Application Protection Platform (CNAPP). Il problema è che attualmente non esiste una soluzione unica che copra tutti questi aspetti”. Le aziende quindi si trovano spesso a dover gestire molteplici soluzioni, creando una situazione simile a quella dei silos tecnologici che si sono sviluppati negli ultimi dieci anni.

Per affrontare questa sfida, Cecchi parla dell’acquisizione di Pingsafe, ufficializzata lo scorso 8 gennaio, per un valore di 100 milioni di dollari. Fondata da uno dei più famosi hacker etici al mondo, PingSafe è una soluzione CNAPP con la capacità di monitorare in tempo reale i workload distribuiti su piattaforme multi-cloud. Una volta integrata nella piattaforma Singularity di SentinelOne, promette di trasformare la sicurezza offrendo protezione, sicurezza e automazione per l’intero ambiente cloud aziendale.

Le nuove funzionalità apportate da PingSafe includono una scansione avanzata dei codici segreti in fase di runtime e build-time, e un innovativo sistema di regole per la gestione della superficie di attacco. Quest’ultimo esegue scenari di violazione e simulazioni di attacchi contro risorse cloud esposte a Internet, per identificare le potenziali brecce sfruttabili da hacker.

PingSafe è una società indiana che sviluppa una piattaforma di sicurezza cloud per la protezione delle applicazioni cloud native. La sua acquisizione da parte di SentinelOne consentirà alla società statunitense di ampliare l’offerta di soluzioni di sicurezza in cloud.

Sul tema del cloud, però, Cecchi sottolinea un significativo divario tecnologico tra gli Stati Uniti e l’Europa: “Gli Stati Uniti sono avanti di un paio d’anni rispetto al resto del mondo, specialmente in termini di progressi tecnologici”. Basti pensare che le maggiori aziende che forniscono servizi cloud, come Meta, Twitter, Uber, Amazon e altri hyper scaler, sono basate negli USA e hanno già fatto grandi investimenti in applicazioni e infrastrutture cloud native.

Mentre gli Stati Uniti hanno una forte presenza di aziende che operano attivamente nella nuvola, Cecchi nota che in Europa, e ancora di più nel Sud Europa, è difficile trovare realtà simili. “Il tasso di adozione di approcci cloud native in Europa è ancora molto lento”, afferma Cecchi, aggiungendo che questa osservazione, fatta un anno fa, rimane purtroppo valida anche oggi, con progressi tuttora molto limitati e lenti.

Cecchi è quindi passato a osservare che nonostante un contesto macroeconomico, politico e geopolitico complicato, la cybersecurity rimane un settore chiave in cui le aziende continuano a investire stabilmente. “Anche se alcuni settori dell’IT hanno subito revisioni di budget e rallentamenti, la cybersecurity si è mantenuta un’area d’investimento costante e robusto, il che è particolarmente positiv,o dato il contesto”.

Tuttavia, segnala un rallentamento dovuto alla carenza di competenze specializzate in ambito cyber, una questione nota da tempo e ora ancor più incisiva. La conseguente mancanza di personale qualificato rende più oneroso e lento lo sviluppo e l’attuazione di progetti di cybersecurity. “Abbiamo notato un allungamento dei tempi per i test di Proof of Concept (POC) e dei ritardi nella realizzazione di progetti già pianificati, a causa di team di sicurezza sovraccarichi e ridotti”, spiega Cecchi.

Che evidenzia anche l’impatto dell’analisi finanziaria, oggi essenziale in ogni progetto tecnologico: “Ormai le scelte non sono più a carico soltanto dei reparti IT o dei reparti di cyber sicurezza, ma passano anche al vaglio dei CFO, che hanno una visione più ampia di quelli che sono flussi di cassa, le disponibilità e quant’altro”.

Sebbene l’analisi finanziaria possa introdurre ulteriori ritardi, contribuisce a una maggiore comprensione e sensibilizzazione rispetto ai problemi di cybersecurity. “La partecipazione del CFO e l’escalation verso il board sono fondamentali per far crescere la percezione dell’importanza della cybersecurity nelle aziende. Il 2024 sarà un anno di grande successo per le aziende che avranno la volontà e le capacità di mettere la tecnologia al servizio della sicurezza informatica”.

Condividi l'articolo