09/07/2025
La resilienza e l'AI hanno ribaltato le regole del gioco nella cybersecurity
Cecchi (SentinelOne): AI cruciale per colmare il divario con gli attaccanti, ma è una battaglia continua
Quando si parla di sicurezza informatica oggi si deve ragionare a trecentosessanta gradi, andando a ripensare alla prevenzione e alla capacità di reazione prima di qualunque cosa.
Ne abbiamo parlato con Paolo Cecchi, Senior Sales Director Mediterranean Region, SentinelOne (qui il video).
Il tema della cybersecurity è oggi più che mai centrale. Qual è la sua percezione sul ritorno della prevenzione come priorità per le aziende?
Chi opera nell'ambito della cybersecurity sa che è fatta di cicli, e la prevenzione sta ritornando in auge perché si è arrivati a un punto di rottura. Abbiamo assistito negli ultimi mesi a una recrudescenza degli attacchi ransomware, e questo è accaduto perché l'Intelligenza Artificiale (AI) ha permesso di renderli più veloci ed efficaci, più realistici e soprattutto più accessibili anche a chi non è un hacker professionista. Questo ha spinto i team di sicurezza a riportare il focus sulla prevenzione, cercando di migliorarne la capacità e ottimizzare lo stack di sicurezza. Tuttavia, la prevenzione è solo il punto iniziale; la sicurezza va pensata come un qualcosa di olistico, un processo che deve includere detection, analisi, risposta e retroazione per ottenere i migliori risultati. Il tema della cybersecurity è fondamentale per la gestione del digitale e per mettere in sicurezza dati e applicazioni.
L'Intelligenza Artificiale ha ridefinito il panorama delle minacce: come sta impattando sia gli attaccanti che le difese aziendali?
L'Intelligenza Artificiale ha radicalmente cambiato le regole del gioco. Come ho detto, ha reso gli attacchi ransomware più efficaci e accessibili. Questo significa che le strategie e le tattiche di difesa devono evolvere. La cybersecurity è da anni asimmetrica: l'attaccante ha obiettivi precisi e a volte budget maggiori, con un numero di persone superiore rispetto ai team di sicurezza aziendali, soprattutto nelle PMI. Ad esempio, ho citato un gruppo di cyber attaccanti in Cina composto da circa 500 hacker, una dimensione difficile da eguagliare per la maggior parte delle organizzazioni. L'AI, tuttavia, è anche il grimaldello che permette di diminuire questo gap di asimmetria. Nessuna azienda può permettersi di assumere centinaia di analisti, sia per i costi che per l'enorme skill gap nel settore. L'AI è ciò che può aiutare le aziende a essere più efficaci con le risorse di cui dispongono.
Ha parlato di asimmetria tra attaccanti e difensori: come possono le aziende, specialmente PMI, colmare questo divario?
Le aziende devono agire in maniera più efficace, perché è impensabile coprire gap così ampi in termini numerici e di budget. La capacità di essere più efficaci con gli strumenti e le risorse disponibili diventa fondamentale. L'intelligenza artificiale gioca qui un ruolo chiave. Ricordo sempre che non tutta l'AI è uguale. SentinelOne, ad esempio, ha iniziato a integrare il machine learning nei propri prodotti già 12 anni fa, reinventando l'endpoint protection con il concetto di Next Generation Antivirus. Questa evoluzione ha portato all'introduzione dell'AI all'interno della nostra piattaforma Singularity, che protegge centralmente diverse superfici di attacco e integra soluzioni di terze parti. Abbiamo esteso il concetto di AI con la nostra soluzione Purple AI circa tre anni fa, e le aziende che l'hanno adottata hanno riscontrato un netto miglioramento sia nell'execution che nella protezione. Questo ci permette di aiutare le aziende a colmare il divario di risorse e competenze.
SentinelOne ha una lunga storia nell'uso dell'AI: potrebbe descriverci la vostra soluzione Purple AI e come si differenzia?
SentinelOne ha adottato l'intelligenza artificiale nelle proprie soluzioni da svariati anni, acquisendo competenze e conoscenze che ci permettono oggi di ritenere la nostra AI di primo livello. Abbiamo iniziato 12 anni fa introducendo il machine learning nel nostro agent, evolvendolo poi in una sorta di bozza di AI. La nostra piattaforma, Singularity, è ormai in grado di proteggere in modo centralizzato diverse superfici di attacco, sia con prodotti SentinelOne che di terze parti, grazie a un SIEM (Security Information and Event Management) integrato che aggrega e gestisce soluzioni esterne. Circa tre anni fa, abbiamo esteso questo concetto di AI all'interno della nostra piattaforma attraverso la soluzione Purple AI. Questa scelta è stata pensata proprio per dare alle aziende strumenti all'avanguardia che supportino le loro decisioni e permettano di comprendere al meglio quello che sta succedendo nel loro ambiente, migliorando l'efficacia delle security operations.
La vostra ricerca con IDC ha evidenziato benefici concreti: quali sono i risultati più significativi per le aziende che adottano Purple AI?
Sì, i dati del report di IDC sono concreti e misurabili. Le aziende che hanno adottato Purple AI per mesi, o anche per un paio d'anni, hanno avuto il tempo di misurare miglioramenti precisi. Uno dei dati più significativi che emerge è la percezione di una diminuzione del 60% della probabilità di un incidente di sicurezza grave. Questa percezione si basa su dati concreti: un miglioramento del 55% nella capacità di rimediare agli incidenti e un aumento del 63% nella velocità di identificazione delle minacce. A ciò si associa un efficientamento decisamente importante delle security operations. Quando mancano le risorse per gestire adeguatamente la postura di sicurezza, le operazioni di sicurezza solitamente soffrono. Noi aiutiamo le security operations a essere più efficaci e veloci, supportandole in modo concreto. Questi sistemi non solo supportano le decisioni, ma permettono di comprendere meglio ciò che sta accadendo, aspetto fondamentale per porre rimedio agli attacchi.
Oltre la prevenzione, lei sottolinea l'importanza della "visibilità": perché è così cruciale, soprattutto nell'era del cloud?
Credo che il grosso problema della sicurezza e della cybersecurity sia ancora quello della visibilità. Se non so cosa devo affrontare o cosa mi sta attaccando, non posso difendermi; è una frase banale, ma ancora assolutamente vera. Prendiamo l'esempio della migrazione al cloud, un percorso intrapreso da molte aziende. Il cloud è per definizione dinamico. Non abbiamo più server statici o macchine virtuali fisse; con concetti come Kubernetes e microservizi, le risorse cloud sono estremamente dinamiche. Questo significa che se non si cambia il paradigma per ottenere visibilità sul proprio ambiente cloud - per capire in anticipo vulnerabilità, configurazioni errate e percorsi di attacco - si lascia una superficie di attacco completamente aperta. Stiamo infatti assistendo a numerosi casi di data leakage dove informazioni sensibili vengono esposte in ambienti cloud per i quali le organizzazioni non hanno visibilità. Lo stesso vale per porzioni dell'infrastruttura on-premise, dove magari gli endpoint sono coperti, ma i server di produzione utilizzano soluzioni vecchie per paura del downtime, creando aree dove la sicurezza manca perché manca la visibilità. È importante fare un passo indietro e tornare all'avere visibilità.
Qual è il suo messaggio finale alle aziende per affrontare questa sfida e abilitare la vera trasformazione digitale?
La cybersecurity oggi è una materia complessa, con dati da una parte, applicazioni dall'altra, il cloud, e un costante trasferimento di informazioni. Questa complessità è una realtà con cui dobbiamo convivere. Avere strumenti che ci permettano di avere visibilità e comprendere cosa sta succedendo è di grande aiuto. Le percentuali ampie di risoluzione dei problemi in tempi rapidi, come quelle che abbiamo discusso, ne sono la testimonianza. Il problema non è tanto essere attaccati, ma accorgersi di essere attaccati e poi porvi rimedio. Comprendere meglio questi meccanismi è diventato fondamentale. Il mio messaggio è che la cybersecurity è centrale se vogliamo davvero passare al digitale. Senza una base sicura, la trasformazione digitale non può realizzarsi pienamente.
