SentinelOne: la difesa informatica delle aziende dev'essere autonoma, veloce e automatizzata

Dopo lo sbarco in Italia nel 2020, SentinelOne sta crescendo e si è presentata alla stampa italiana con una conferenza in cui ha parlato della sua strategia, del suo approccio al concetto di sicurezza e dei suoi prodotti.

La strategia di SentinelOne ruota intorno a un XDR autonomo

"Oggi non esiste più l'endpoint come fine a se sesso. Una volta si diceva che l'endpoint è importante perché tutti gli attacchi cominciano lì, ma questa cosa non è più così vera. O almeno, non lo è più dal 2020, complici la trasformazione digitale di molte aziende e l'emergenza pandemica, che hanno portato a una tremenda virata verso il cloud." Così spiega l'approccio di SentinelOne Marco Rottigni, technical director dell'azienda, aggiungendo anche che il problema oggi è quello di proteggere tutta la superficie d'attacco, che si è espansa a dismisura, nonché quello di far parlare fra di loro le soluzioni di sicurezza e le applicazioni aziendali.

SentinelOne punta su tre caratteristiche: autonomia, velocità e automazione. Rottigni spiega che i sistemi di difesa informatica devono essere autonomi, veloci e automatizzati perché la velocità di attacco è oggi tale da rendere gli esseri umani troppo lenti per contrastare efficacemente i criminali: è necessario dunque avere sistemi basati su intelligenze artificiali che intervengano quando necessario, lasciando poi alle persone il compito di capire cosa sia successo e di implementare rimedi.

Caratteristica saliente di SentinelOne è l'uso di una tecnologia brevettata che l'azienda chiama "storyline": vengono registrati tutti i cambiamenti che avvengono su un sistema, così che sia possibile intercettare comportamenti malevoli (senza doversi affidare ai tradizionali motori basati su firme, ma capendo quando un'attività devia dalla norma) e, quando un attacco riesca a fare dei danni, affinché si possa ripristinare il sistema allo stato in cui era prima dell'attacco stesso. In questo modo si ottengono due vantaggi: da un lato c'è il fatto che l'utente non perde dati e non deve ricorrere all'assistenza del dipartimento IT, risparmiando tempo ed evitando perdite di produttività; dall'altro c'è la certezza che l'infezione venga rimossa dal sistema e che, dunque, sia possibile riprendere le normali attività.

Singularity XDR è il prodotto di punta di SentinelOne ed è pensato per proteggere le varie superfici d'attacco presenti in azienda: non solo gli endpoint, ma anche il cloud (inclusi i container) e la gestione delle identità, con strumenti per l'analisi dei dati, la risposta agli incidenti e la creazione di obiettivi "finti" per sviare gli attaccanti.

SentinelOne mette in pratica il concetto di "XDR" (che sta per "eXtended Detection and Response") con il Singularity Marketplace, che consente di accedere a strumenti e servizi di terze parti che si integrano, però, con Singularity XDR, perché i partner "sono bravi a fare quello che noi non sappiamo fare e viceversa, quindi se mettiamo insieme, in maniera aperta, le forze, riusciamo a essere più efficaci." L'integrazione con strumenti terzi permette poi di automatizzare procedure che migliorano la sicurezza: ad esempio, è possibile imporre la riautenticazione tramite Active Directory nel caso in cui venga registrato un login sospetto da parte di un utente.

Per rispondere alle sempre crescenti ed evolute minacce che la modernità pone di fronte alle aziende è necessario fare ricorso a strumenti altrettanto moderni ed evoluti. SentinelOne offre un approccio aperto e innovativo, che sta (fortunatamente, ma lentamente) prendendo piede in un po' tutto il settore della sicurezza. Parafrasando quanto diceva giustamente Rottigni, l'unione fa la forza e per questo le soluzioni XDR come Singularity XDR appaiono meglio attrezzate per fronteggiare le minacce del giorno d'oggi.