Cloud e trasformazione digitale hanno inevitabilmente spostato il focus della security dall’endpoint all’entreprise. SentinelOne ha deciso di evolversi di conseguenza per soddisfare le esigenze dei clienti. Il vendor, specializzato proprio nella protezione degli endpoint, si è reso conto che l’attività di monitoraggio e difesa un tempo sufficiente per proteggere le aziende, oggi non lo è più a causa del mutato contesto operativo. Le aziende si compongono ormai di tante componenti, dal cloud al mobile, passando per identità, container e altro.

L’unico modo per fornire una protezione efficace è ampliare la propria presenza all’interno delle organizzazioni. Sfruttando il grande successo nel settore endpoint come trampolino di lancio verso un ampliamento del business richiesto dalle esigenze di clienti e partner, e dettato dai temi ormai noti ai conoscitori della security: la trasformazione digitale, il cui driver principale è il cloud.

Un percorso già in atto prima della pandemia, e solo accelerato dall’emergenza sanitaria che ha creato l’esigenza pressante di servizi e applicazioni per dipendenti e clienti. L’urgenza ne ha imposto uno sviluppo frettoloso, compiuto trascurando la sicurezza informatica. Come sottolinea Paolo Cecchi, Regional Sales Director di SentinelOne, la trasformazione digitale non è stata coadiuvata da un’adeguata organizzazione di posture di sicurezza, con il risultato che gli esperti di security sono rimasti ciechi rispetto alla mutata superficie. A una superficie ampliata è corrisposto un livello di protezione decisamente basso.

Paolo Cecchi, Regional Sales Director di SentinelOne

Il cambio di passo

Con la piattaforma unificata Singularity Cloud, che unisce funzionalità di detect & response degli endpoint a quelle di threat hunting autonomo, SentinelOne offre protezione dei workload cloud, dei container e tutto quello che è disponibile in cloud. E, affiancando la piattaforma di Singularity Identity, difende anche da attacchi contro l’identità degli utenti quali il furto di password, l’escalation dei privilegi, i movimenti laterali molto altro. In sostanza - rimarca Cecchi – “forniamo una copertura estesa per tutta l’infrastruttura dei clienti all’interno degli ambienti cloud”.

Questo progetto ben si integra con Singularity XDR di cui abbiamo parlato approfonditamente in una intervista dedicata. Cecchi coglie l’occasione per sottolineare la differenza fra Singularity XDR e un SIEM: è pensiero comune che il lavoro di aggregazione e integrazione dei dati possa essere svolto da un SIEM, ma non è così perché queste soluzioni sono nate per funzioni differenti dalla security.

Se le si vuole impiegare un SIEM ai fini della security occorre un processo manuale, interattivo e reattivo: è necessario cercare proattivamente le minacce, creare manualmente regole per gestirle, e ogni qualvolta che cambia la minaccia bisogna rifare tutto il lavoro daccapo.

Singularity XDR invece colleziona la telemetria degli endpoint, la integra con la telemetria e le informazioni provenienti da altre sorgenti di terze parti, quindi le usa per creare un contesto, svolgere un’analisi automatizzata e rimediare agli incidenti informatici con tempi molto stretti. L’ampio catalogo del Singularity Marketplace peraltro è stato integrato di recente con accordi di partnership con Proofpoint per la protezione delle email e con Mandiant.

Per quanto riguarda Mandiant, esponente di spicco del panorama di cyber defense per le sue competenze nell’ambito della threat intelligence e incident response, l’accordo consente di offrire ai clienti una soluzione completa capace di rilevare, approfondire e rispondere agli incidenti, riducendo i costi relativi all’incident response e migliorando la postura di sicurezza.

Grazie alla soluzione congiunta, le attività sospette e gli alert vengono automaticamente arricchiti con le informazioni sulle minacce generati da Mandiant. Queste possono comprendere l’identificazione della minaccia come malware o altro threat, i livelli di rischio, i profili degli attaccanti, gli Indicatori di Compromissione (IoC) e i link a informazioni più approfondite all'interno della piattaforma Mandiant Threat Advantage. Gli analisti possono accedere a un quadro di sintesi da Mandiant, risparmiando tempo prezioso durante il triage degli incidenti. Si ottengono così il triage automatico degli attacchi, l’ottimizzazione della gestione delle minacce, tempi più brevi di detection e response e la semplicità dovuta a una soluzione no-code.

Una novità al passo con i tempi

All’inizio del mese SentinelOne ha annunciato la disponibilità nel Singularity Marketplace dell'applicazione WatchTower Vital Signs Report. Si tratta di una funzionalità di reporting che comunica agli assicuratori cyber un profilo accurato della postura e dei controlli di cybersecurity, semplificando il processo di assegnazione della corrispondente copertura assicurativa. Per gli assicuratori del settore informatico, l'app fornisce una visione "dall'interno" in tempo reale della postura di sicurezza di un'azienda, per migliorare l'accessibilità alle polizze e modulare il livello di rischio.

Un’esigenza sempre più diffusa, dal momento che il crescente numero di violazioni di dati, ransomware e incidenti informatici ha spinto molte aziende a richiedere o sottoscrivere polizze, per poi trovarsi di fronte alla richiesta di sottoscrivere il proprio livello di rischio e a pagare premi salati. Al contrario dei broker che definiscono l'esposizione al rischio dell'organizzazione utilizzando scansioni esterne, WatchTower Vital Signs Report valuta dall’interno la postura e i dati di rischio, fornendo un preciso contesto dell'esposizione al rischio.