L’AI per tenere testa ai criminali informatici: intervista a Marco Rottigni di SentinelOne

Oggi apre ufficialmente il Cybertech Europe, il più importante evento di cybersecurity in Italia. Poiché la sovrapposizione fra sicurezza informatica e intelligenza artificiale si fa sempre più ampia, è necessario guardare come si stanno comportando i player del settore cybersecurity.

Una delle aziende che ha fatto dell’intelligenza artificiale la sua bandiera è SentinelOne, un’impresa fondata nove anni fa in California che in breve tempo si è allargata in tutti i principali mercati mondiali. In Italia è presente da cinque anni, e in questi giorni ho avuto il piacere di parlare con Marco Rottigni, Technical Director di SentinelOne.

Domanda: Perché oggi un’azienda dovrebbe scegliere una soluzione di sicurezza come SentinelOne?

SentinelOne ha rivoluzionato il modo di fare endpoint protection con l’uso di intelligenza artificiale e con una tecnologia in grado di rilevare tutto quello che succede su un endpoint, normalizzando e organizzando micro-eventi logicamente connessi tra loro in storyline, cioè linee temporali con un proprio identificativo.

Questo permette di monitorare in tempo reale comportamenti sospetti e/o malevoli e intervenire non solo neutralizzandoli, ma identificando la provenienza e intervenendo con una pulizia chirurgica e retrospettiva su tutti gli artefatti digitali creati dalla infezione – fino a ripristinare eventuali danni causati a file ed archivi sulla macchina.

Il tutto a velocità macchina, che è la stessa a cui gli attacchi si manifestano, e senza necessità di connessione a rete o al cloud. L’autonomia, la velocità e l’automazione diventano elementi caratterizzanti della soluzione che danno all’utente continuità operativa e alle SecOps accelerazione e efficacia.

D: Quali sono le funzioni di intelligenza artificiale impiegate nel vostro software di sicurezza?

Una prima analisi statica permette di utilizzare AI-ML per identificare tratti distintivi sospetti o malevoli nella struttura di file fisici, prevenendone l’esecuzione e intervenendo con quarantena.

Per attacchi più sofisticati, ad esempio fileless o interattivi, motori comportamentali analizzano tutto ciò che avviene sull’endpoint in tempo reale – classificando comportamenti sospetti o malevoli che possono venire contrastati sul nascere oppure documentati in detection per una reazione manuale postventiva che comunque porta ad un rimedio totale dell’infezione in pochi secondi.

Il tutto mappato già della documentazione di allarmi e incidenti utilizzando il lessico su tattiche e tecniche del framework MITRE ATT&CK, riferimento universale per facilitare le comunicazioni e la documentazione dell’attacco rispetto alla kill-chain o catena di compromissione standard.

L’agente software opera pertanto in modalità completamente signatureless, non necessitando di aggiornamenti frequenti né di connessione in rete per garantire la massima efficacia.

D: Molti ancora considerano la sicurezza come una serie di compartimenti stagni (endpoint, server, ecc) mentre il vostro prodotto – pensiamo ad esempio all’XDR – agisce in maniera integrata. Quali sono i vantaggi di questo approccio?

Singularity XDR adotta un approccio pragmatico e molto efficace, connettendo tecnologie terze per interagire con le capacità di protezione sull’endpoint di SentinelOne in modo automatizzato. Le tecnologie terze vengono utilizzate per arricchire (eXtended) il contesto del rilevamento (Detection) e per espandere (eXtended) le capacità di risposta (Response).

Ad esempio, un fornitore di Threat Intelligence o una soluzione di Sandbox possono automaticamente fornire ulteriore contesto nelle note di un file ritenuto sospetto o dannoso – al fine di semplificare la comprensione da parte dell’analista della minaccia rilevata e/o neutralizzata, accelerando il tempo di conferma di un incidente.

Oppure una compromissione neutralizzata su un endpoint può scatenare lo spostamento di un utente Active Directory in un gruppo di rischio, in cui politiche preconfigurate determinino la forzatura di cambio password o di ri-autenticazione per mitigare la possibile compromissione di credenziali.

Si generano così flussi automatizzati che massimizzano la resilienza combinando le capacità di più tecnologie con un unico obiettivo di rafforzare la postura di sicurezza.

D: Ci può fare qualche esempio di attacco cibernetico dove gli attaccanti hanno sicuramente usato sistemi di intelligenza artificiale?

Già nel 2019 aveva fatto notizia un profilo Twitter di una sedicente giornalista di una famosa media company, generato utilizzando intelligenza artificiale.

L’attaccante potrebbe poi usare algoritmi di Machine Learning (ML) e di Deep Learning (DL) per cambiare continuamente tratti distintivi di un payload in modo da ingannare meccanismi di detection più tradizionali, oppure per adattare la progressione di un attacco in base al variare delle condizioni ambientali in cui il malware si trova.

L’aspetto preoccupante è la combinazione di tre “V” che questo determina: Varianza, Volume, Velocità.

Ecco spiegato perché in prospettiva tecnologie come SentinelOne rappresentano un modo per mantenere la difesa a livelli elevati, quando i sistemi tradizionali o troppo legati alla rete e al cloud per raffinare la detection e la reazione mostreranno i propri limiti in termini di latenza, efficienza ed efficacia.

D: Lavoro ibrido, asset digitali sempre più diffusi, ipotesi di guerre cibernetiche: come sta cambiando il threat modeling in questi ultimi anni?

Si assiste a un rischio che circonda costantemente l’utente, i cui strumenti di lavoro si moltiplicano (laptop, PC personali, smartphone, tablet) e la superficie di attacco si espande: qualche anno fa esisteva un perimetro a circondare essenzialmente l’azienda, esteso a stessa nel caso di VPN. Ora l’adozione del cloud e di applicazioni critiche in forma SaaS, accessibili da ovunque, annullano questo perimetro in modo drammaticamente totale.

Diventa quindi importante combinare più tecnologie di difesa, partendo dall’endpoint per arrivare all’identità e alle credenziali e via fino a circondare il dato che deve essere acceduto. Per garantire quel livello di resilienza che rende possibile l’esistenza dei nuovi paradigmi operativi che l’evoluzione della minaccia mette a rischio.

Mi occupo da molti anni di intelligenza artificiale. Dopo la laurea in Management ho conseguito una specializzazione in Business Analytics a Wharton, una certificazione Artificial Intelligence Professional da IBM e una sul machine learning da Google Cloud. Ho trascorso la maggior parte della carriera – trent'anni - nel settore della cybersecurity, dove fra le altre cose sono stato consigliere del Ministro delle Comunicazioni e consulente di Telespazio (gruppo Leonardo). Oggi mi occupo prevalentemente di intelligenza artificiale, lavorando con un'azienda leader del settore e partecipando a iniziative della Commissione Europea. Questo blog è personale e le opinioni espresse appartengono ai singoli autori.