Purple AI, de nieuwe generatieve AI-toevoeging aan het SentinelOne-platform gaat volgens het bedrijf veel tijd besparen voor security teams en deze ook veel betere inzichten bieden in de zwakke plekken en kwetsbaarheden van de organisaties waar ze voor werken. Vanaf vandaag is deze nieuwe GenAI security analist algemeen beschikbaar.
Organisaties hebben een grote uitdaging op het gebied van cybersecurity. Er is simpelweg te veel te doen met het aantal mensen dat ze hebben die zich met security bezighouden. Ric Smith, de Chief Product and Technology Officer van SentinelOne heeft het erover dat de gemiddelde enterprise (wat dat ook precies mag zijn) iedere dag te maken heeft met meer dan 1000 alerts per dag die het moet onderzoeken. De security teams moeten daarnaast ook nog pro-actief op jacht naar bedreigingen. Met andere woorden, het aantal aanvallen en kwetsbaarheden is inmiddels zo hoog dat ze zich een slag in de rondte moeten werken om deze te analyseren en er vervolgens actie op te ondernemen.
Betere preventie, intrinsiek veiligere software en meer security awareness binnen organisaties kunnen hier ook maar gedeeltelijk iets tegen doen. Er moet dus extra hulp komen voor security teams. Meer mensen is vaak niet mogelijk en lost het probleem ook niet echt op, want is maar beperkt schaalbaar. De aanvallen schalen veel harder door dan dat je met extra mensen op kunt vangen. De security-industrie en de organisaties die hulp nodig hebben zullen dus naar AI moeten kijken voor de broodnodige hulp. Dat is waar SentinelOne Purple AI voor heeft ontwikkeld.
Purple AI
Purple AI is niet iets wat SentinelOne vandaag aankondigt. Sterker nog, we hebben het al uitgebreid beschreven in een artikel dat we enkele maanden geleden hebben gepubliceerd. Het nieuws van vandaag is dat het vanaf nu algemeen beschikbaar is. Iedere klant van SentinelOne die gebruikmaakt van de Security Data Lake-dienst van het bedrijf kan er in principe gebruik van gaan maken.
Een klein stukje herhaling hier over Purple AI uit ons vorige artikel. Het is een GenAI-assistent/analist die je helpt met threat hunting, suggesties rondom de vragen die je kunt stellen (in gewone mensentaal) en het genereren van rapporten. Met Purple AI kun je in principe alle securityvragen beantwoorden, hoorden we tijdens ons gesprek met Sjoerd de Jong, Solution Engineer bij SentinelOne, enkele maanden geleden. Purple AI interpreteert de vraag, in welke taal je hem ook stelt. Het geeft antwoord met relevante data, interpreteert de data en haalt daar in normale taal de highlights uit, doet voorstellen tot actie en voorstellen tot additionele dieper gaande vragen.
Je kunt vragen om alle apparaten te tonen die kwetsbaar zijn voor een specifieke aanval, maar ook veel algemenere vragen stellen. Het doel van Purple AI is dat het een heuse security-assistent is. Je kunt bijvoorbeeld vragen hoe de security posture van de organisatie is. Dankzij de integratie met het datalake, waarin alle data genormaliseerd is, kan Purple AI ook meteen aangeven waarom iets niet in orde is en aanbevelingen geven. Is het nog niet helemaal duidelijk, dan kun je vragen of Purple AI het nog iets beter kan specificeren.
Interessant om hier uit te lichten zijn wat ons betreft de Purple AI Threat Hunting Quick Starts. Dit zijn door SentinelOne opgestelde zoektermen rondom specifieke risico’s die SentinelOne heeft geïdentificeerd in de markt, maar die wellicht nog niet bekend zijn bij organisaties. Daarnaast is het ook goed om te zien dat Purple AI het Open Cybersecurity Schema Framework (OCSF) ondersteunt. Deze standaard heeft als doel om data silo’s binnen security af te breken. Een gezamenlijke standaard zorgt voor minder overhead op het gebied van het normaliseren van data en dus voor een snellere en betere detectie, is het idee.
Eerste ervaringen
Purple AI is zoals gezegd geen nieuwe aankondiging. Dat heeft als voordeel dat SentinelOne het al enige tijde heeft draaien bij een selectie klanten. Volgens SentinelOne zijn de ervaringen van die klanten zonder meer bemoedigend. Het spreekt over een prestatiewinst op het gebied van threat hunting van tachtig procent. Zonder exact te weten wat de oude situatie is, is het lastig in te schatten voor ons hoeveel winst dit in absolute getallen is uiteraard. Maar in cybersecurity telt iedere winst die je kunt boeken. Dus ook al is dit tachtig procent van iets wat sowieso al heel snel werkte, is het alsnog een grote winst.
Verder rapporteren klanten van SentinelOne dat Purple AI erg geschikt is om zinnige inzichten te krijgen in SIEM-scenario’s. SIEM’s staan erom bekend dat ze enorm veel logs genereren. Die logs zorgen voor veel werk voor de analisten. En ook voor heel veel ruis, waar ze hun kostbare tijd in moeten stoppen. Daar valt veel te winnen. Met Purple AI hebben analisten de mogelijkheid om heel snel queries af te vuren op de data. Dit zorgt ervoor dat de zeer belangrijke mean time to respond een stuk omlaag kan.
Purple AI tilt SentinelOne naar hoger niveau
Zoals al enkele keren aangegeven is Purple AI vanaf vandaag beschikbaar. Het is onderdeel van het Security Data Lake-aanbod van SentinelOne. Daarmee is het in eerste instantie een erg interessante toevoeging voor bestaande SentinelOne-klanten. Als de ervaringen zo positief blijven als bij de (vanzelfsprekend door SentinelOne zelf geselecteerde) early adopters, kan het voor SentinelOne ook een kans zijn om behoorlijk wat nieuwe klanten op te tekenen, al zit de concurrentie ook niet stil natuurlijk.
Al met al tilt Purple AI het overkoepelende verhaal van SentinelOne wat ons betreft naar een hoger niveau. Dat is niet alleen goed nieuws voor SentinelOne zelf, maar ook voor organisaties in het algemeen. Die kunnen alle hulp die ze kunnen krijgen, goed gebruiken. Als nu ook de hele industrie eens goed achter initiatieven zoals OCSF gaat staan, kan dat nog veel meer gebeuren. Maar dat is iets voor een andere keer.