Deep security reasoning come nuova frontiera della sicurezza informatica in cui la difesa non si limita più a rilevare e contenere le minacce. Modelli avanzati di intelligenza artificiale innescano nuovi processi ricognitivi e cognitivi che non solo accelerano l’analisi, recuperando in autonomia dati da fonti eterogenee, ma elaborano scenari plausibili per suggerire in tempo reale ai professionisti dei SOC decisioni e azione coerenti anche nelle situazioni più complesse e critiche. Ad affiancare questa forma di intelligenza aumentata è un’Agentic Detection and Response che abilita un livello di automatizzazione iterativa e contestuale, mentre i workflow di Hyperautomation collegano e orchestrano tutte le fasi dell’analisi e della remediation. Con un punto di attenzione: le componenti tecnologiche non si sostituiscono ai team di sicurezza: lavorano in maniera sinergica con gli analisti umani supportandoli con nuove funzionalità in termini interpretaivi e predittivi, riducendo i tempi di reazione.
Indice degli argomenti
Dall’overload informativo agli insight operativi: le sfide del SOC
In uno scenario dove i dati si moltiplicano, i vettori di attacco si diversificano e i team di sicurezza sono costantemente sotto pressione. La sfida non è solo raccogliere informazioni, ma tradurle in insight operativi tempestivi e affidabili. Per farlo è fondamentale razionalizzare flussi, strumenti e decisioni, garantendo coerenza tra detection, interpretazione e azione. Ecco perché è il momento di risolvere l’anarchia addizionale di soluzioni per la sicurezza e di passare a una logica di piattaforma.
A spiegare più nel dettaglio il valore e il contributo della deep security è stata SentinelOne durante il Virtual Press Briefing intitolato “Cybersecurity, AI e il futuro del SOC” in cui gli esperti hanno colto l’occasione per tematizzare il nuovo scenario operativo dei Security Operation Center e delle tecnologie emergenti al loro servizio.
“Uno dei problemi principali che affrontano i team di sicurezza oggi è l’overload informativo – ha spiegato Paolo Cecchi, Sales Director Mediterranean Region di SentinelOne -. I dati arrivano da fonti eterogenee, in volumi crescenti, e spesso si traducono in alert difficili da interpretare. Non basta più vedere: bisogna capire e anticipare. La vera differenza la fa chi riesce a trasformare queste informazioni in decisioni rapide, affidabili e contestuali. E questo è possibile solo se le tecnologie adottate sono in grado di ragionare, non solo di reagire”.
I vantaggi del Deep security reasoning
Governare ambienti on premise e off premise sempre più articolati e utilizzati dalle line of business con un’autonomia che rende difficile garantire la postura della sicurezza informatica aziendale. È in questo contesto che il deep security reasoning rivela tutto il suo potenziale, anticipando l’escalation degli attacchi, leggendo in profondità la logica di propagazione e suggerendo in tempo reale azioni difensive efficaci. È su questo punto che SentinelOne innesta la marcia dell’augmented nei SOC. E lo fa con un gioco di parole sull’acronimo che da Security Operation Center diventa Singularity Operation Center.
“La capacità di risposta di un SOC oggi non può limitarsi a rilevare – ha puntualizzato Cecchi -. Abbiamo bisogno di tecnologie che non si limitino a osservare i dati, ma che li comprendano nel contesto e generino un contributo operativo tangibile, aiutando gli analisti a decidere in tempo reale come agire per il meglio. Ed è qui che entra in gioco il nostro concetto di piattaforma come modello vincente che integra deep security reasoning, Agentic Detection and Response e hyperautomation. Singularity non è soltanto una piattaforma: è un modello operativo che connette strumenti, automazioni e capacità cognitive che restituisce agli analisti visibilità, lucidità e controllo, permettendo al SOC di evolvere”.
Deep security e interoperabilità: l’evoluzione architetturale di Singularity
Lanciata da SentinelOne oltre dieci anni fa, la piattaforma Singularity nasce con l’obiettivo di offrire un approccio unificato e scalabile alla cybersecurity enterprise, caratterizzata da ambienti sempre più complessi, distribuiti e multivendor. Il valore aggiunto è duplice: da un lato, l’AI agentica integra e accelera l’analisi, mettendo a disposizione degli analisti scenari plausibili e opzioni operative coerenti; dall’altro, consente di affrontare il fronte emergente degli attacchi ai modelli AI aziendali. Per proteggerli, serve un approccio cognitivo capace di riconoscere e contrastare non solo l’attacco informatico, ma anche la manipolazione semantica e strutturale dei sistemi intelligenti.
“Singularity ha tre capacità differenziali importanti: la più storica è un data lake as a service – ha sottolineato Marco Rottigni, Technical Director di SentinelOne -. In questi anni abbiamo continuato ad affinare i processi di raccolta dei dati non strutturati da una pluralità di fonti diversificate per normalizzarli nel rispetto dello standard OCSF, fornendo a qualsiasi vendor dei formati standardizzati e immediatamente fruibili. La seconda capacità è l’iperautomazione, che consente di potenziare le skill degli analisti umani nell’interpretare queste informazioni. Oggi tutti parlano di AI agentica ma noi siamo stati dei precursori quando due ani fa abbiamo introdotto Asimov, un agente specializzato che gestiva l’interazione tra gli utenti e la piattaforma piattaforma, ragionando con modelli statistici per dare risposte puntuali. In ambito cybersecurity la nostra Purple AI è nativamente in forma agentica e non poteva essere diversamente per poter capire le richieste, raggiungere il dato anche di qualsiasi fonte terza, raggrupparlo, interpretarlo e trasformarlo in informazione, confrontandolo con modelli statistici. Il tutto in linguaggio naturale. Poter dare la stessa flessibilità di consumo e di interpretazione anche su fonti di terze parti è un valore importante. Soprattutto con una piattaforma che continua a integrarsi nella maniera più trasparente, più aperta possibile con qualsiasi altra, azzerando le due parole unite da un trattino che sono percepite come pericolosissime dalla stragrande maggioranza dei clienti: vendor lock-in”.
Le nuove funzionalità di AI Purple
Rispetto alla roadmap dello sviluppo, Rottigni cita anche due nuove funzionalità di Purple AI: Community Verdict e AI Similarity.
“Mettetevi nei panni di un analista di un SOC: ricevete un segnale di tipo suspicious, quindi non confermato, non validato ma sospetto – ha detto il manager -. Potrebbe essere un ransomware: dunque dovete cercare di arricchire, contestualizzare queste informazioni. Community Verdict è la funzione AI che vi dice: guarda che tra tutti i clienti SentinelOne del mondo, il 57% di quelli che ha ricevuto questa segnalazione l’ha considerata un falso positivo o un vero positivo. Il tutto in modo completamente anonimizzato, esclusivamente basato su modelli statistici, rielaborato dall’intelligenza artificiale generativa in tempo reale. In modo analogo funziona Similarity che, sempre sulla base di modelli statistici anonimizzati, è in grado di identificare quanti esemplari simili di quella stessa specie di alert sono stati visti nello zoo planetario SentinelOne a cui contribuisce un network di partner commerciali, nostri ricercatori di threat intelligence, nostri sistemi tecnologici che fanno detection comportamentale che arricchiscono continuamente le nostre fonti informative. Questa reattività analitico informativa permette all’analista di avere molta più confidenza nelle azioni che inizia a intraprendere”.
Deep security reasoning e scalabilità: orchestrare il SOC distribuito
Nel modello operativo proposto da SentinelOne, il Singularity Operation Center non è solo un punto tecnologico, ma un framework di orchestrazione pensato per ambienti distribuiti, eterogenei e ad alta densità di segnali. A garantire coerenza tra i diversi team, sistemi e livelli decisionali interviene Athena, il motore di deep security reasoning che governa il comportamento adattivo della piattaforma, traducendo pattern complessi in insight operativi azionabili.
“Con Athena ci siamo spinti oltre la semplice correlazione tra eventi – ha osservato Rottigni -. Abbiamo costruito una logica che apprende dalle dinamiche di attacco e sa restituire una lettura contestuale che tiene conto di cosa sta accadendo, dove, in quale ordine e con quali dipendenze. Questo permette non solo di reagire meglio, ma anche di mantenere coerenza strategica tra team che lavorano in parallelo su domini diversi. È questa capacità di leggere e governare il contesto che trasforma Singularity da una somma di strumenti in un ecosistema operativo, in grado di adattarsi a esigenze diverse, integrarsi con architetture esistenti e supportare un approccio realmente predittivo e distribuito alla cybersecurity”.
