A cura di Paolo Cecchi, Sales Director della Mediterranean Region di SentinelOne
L’acquisizione di Observo AI non è semplicemente una nuova integrazione al proprio stack tecnologico di SentinelOne. L’azienda specializzata in sicurezza informatica grazie a una piattaforma di protezione degli endpoint basata sull’AI, punta a trasformare il settore della gestione delle informazioni e degli eventi di sicurezza (SIEM) per realizzare quello che definisce il Security Operations Centre (SOC) AI-Native.
Perché il classico sistema SIEM non è più sufficiente
Il SIEM è stato a lungo il pilastro della sicurezza aziendale. Raccoglie i log e i dati telemetrici da tutti gli ambienti IT (server, endpoint, applicazioni, ambienti cloud, firewall) in modo che gli analisti possano individuare le attività sospette. Ma, purtroppo, questo modello fatica a restare al passo con i volumi dei dati odierni.
Nell’attuale contesto per la sicurezza informatica e la relativa complessità dei dati hanno creato difficoltà alle aziende nel trasferire i propri dati in modo sicuro. Non solo, ma i SIEM tradizionali non sono stati progettati per gli attuali volumi di dati. Il risultato è inefficienza, costi crescenti e una quantità illimitata di falsi avvisi.
Oggi è necessario poter disporre di un valido processo di acquisizione delle informazioni capace di trasferire i dati da qualsiasi fonte a qualsiasi destinazione. E’ una necessità fondamentale per modernizzare con successo qualsiasi ambiente IT e su tutti i cloud: ecco perché SentinelOne ha acquisito Observo AI. Le aziende saranno così in grado di filtrare e ottimizzare i propri dati direttamente alla radice e prima che raggiungano il Singularity AI SIEM. Ciò riduce drasticamente i dati irrilevanti, eliminando il traffico inutile per aiutare a migliorare il rilevamento e individuare le minacce reali.
Il rapporto costi-affidabilità
Per molti responsabili della sicurezza, il punto dolente del SIEM è sempre stato il costo. Le norme di conformità obbligano le organizzazioni a conservare i registri per mesi o addirittura anni, ma l’archiviazione e l’elaborazione di tali volumi di dati con i sistemi legacy è costosa.
Le organizzazioni sono costrette a scegliere tra l’alto costo dell’acquisizione dei dati e la necessità di una conservazione completa e a lungo termine dei dati per motivi di conformità e analisi forense. Questo porta a compromessi su quali dati conservare, creando così pericolosi punti ciechi nella sicurezza.
Questo è il dilemma che SentinelOne spera di risolvere. Con la pipeline di Observo AI integrata nella propria piattaforma, l’azienda ritiene che le organizzazioni possano gestire enormi volumi di dati con costi di archiviazione inferiori del 99%, eliminare il 100% dell’archiviazione ridondante dei dati su tutte le piattaforme e ridurre i costi di acquisizione e conservazione fino al 50%.
Dati più precisi per un’AI più intelligente
Se l’aspetto economico è un lato della medaglia, l’altro è rappresentato dalla qualità dei dati. L’efficacia dei sistemi SIEM dipende dalla qualità delle informazioni che vengono immesse al loro interno, mentre i sistemi legacy acquisiscono grandi quantità di dati telemetrici grezzi con un filtraggio minimo: questo è un fattore di inefficienza.
La pipeline di Observo AI elabora, arricchisce e filtra i dati in tempo reale, prima che raggiungano il sistema SIEM basato sull’AI. Una caratteristica che elimina la telemetria grezza e rumorosa che appesantisce i sistemi tradizionali, fornendo dati molto più puliti per l’analisi. Fornendo alla piattaforma Singularity dati di qualità superiore e pre-arricchiti, con Observo AI, i modelli di machine learning e i rilevamenti basati sull’AI sono ancora più accurati ed efficienti. Invece di addestrarsi su una quantità infinita di informazioni irrilevanti, i modelli di SentinelOne lavorano con i dati più rilevanti e contestualizzati.
Tutto questo accelererà il progresso verso un SOC autonomo, un centro operativo di sicurezza in cui i sistemi di intelligenza artificiale prendono decisioni e agiscono alla velocità macchina, con un ragionamento simile a quello umano.
Una parte fondamentale della visione di SentinelOne è quella di realizzare un SOC veramente autonomo e, le capacità di Observo AI di fornire dati contestuali ad alta fedeltà in tempo reale è alla base dei flussi di lavoro dell’AI Agentic dell’azienda. Dove i sistemi autonomi possono prendere decisioni e agire alla velocità delle macchine con un ragionamento simile a quello umano.
Quali i vantaggi?
Cosa significa per i clienti di SentinelOne? Sono previsti molteplici miglioramenti specifici delle prestazioni in quanto i clienti possono aspettarsi che la sintesi basata sul machine learning riduca il volume dei dati fino all’80%, senza perdere informazioni critiche. I clienti possono poi aspettarsi un’integrazione completa, il rilevamento delle anomalie in streaming in reali-time, l’arricchimento contestuale (GeoIP, intelligence sulle minacce, metadati delle risorse, punteggio), l’ottimizzazione field-level, la rielaborazione automatizzata delle PII, il routing basato su policy e un’interfaccia pipeline agentic in linguaggio naturale.
Per i team di sicurezza abituati a destreggiarsi tra strumenti frammentati, queste funzionalità possono semplificare le operazioni e ridurre il lavoro manuale.
Dalla protezione degli endpoint si passa alla piattaforma integrata
L’acquisizione di Observo AI segna anche un’evoluzione nell’identità stessa di SentinelOne. L’azienda si è fatta un nome nella sicurezza degli endpoint, utilizzando l’AI per rilevare e rispondere alle minacce senza intervento manuale. Dalla sua quotazione in borsa nel 2021, ha ampliato la propria attività alla protezione dei workload in cloud, alla sicurezza delle identità e alle informazioni sulle minacce.
Ora, con il SIEM nel mirino, SentinelOne si posiziona come qualcosa di più di un semplice vendor di soluzioni. Con l’acquisizione di Observo AI, realizza una piattaforma full-stack end-to-end che risolve l’intero ciclo di vita dei dati di sicurezza, dall’acquisizione e arricchimento alla fonte, fino a un SIEM AI unificato e, infine, a una risposta autonoma. Questo rende SentinelOne un player davvero unico, facendo evolvere l’azienda da vendor leader di sicurezza degli endpoint a una piattaforma perfetta per il SOC AI-Native.
