SentinelOne promoveert Purple AI van security-assistent naar autonome SOC-analist

Insight: SentinelOne

SentinelOne promoveert Purple AI van security-assistent naar autonome SOC-analist

Nieuwe functionaliteit in het Singularity Platform van SentinelOne moet ervoor zorgen dat een SOC niet meer alleen iets is voor grote bedrijven met grote security teams. Purple AI is dankzij deze nieuwe functionaliteit en in combinatie met het Singularity Data Lake van SentinelOne geen AI-assistent meer, maar een analist die pro-actief en autonoom aan de slag gaat voor organisaties. De implicaties van deze nieuwe functionaliteit in het SentinelOne-platform zijn potentieel enorm.

De strijd tegen aanvallers is altijd een oneerlijke geweest. We kennen allemaal de vaste uitspraak wel: een aanvaller hoeft maar een keer succesvol te zijn en mag vele malen falen, de verdedigende partij moet altijd succesvol zijn en mag geen enkele keer falen.

Om altijd succesvol te zijn, moeten organisaties behoorlijk veel investeren. In security tooling, maar vooral ook in mensen, twee onderdelen die samenkomen in een Security Operations Center (SOC). Dit is echter alleen voorbehouden aan grotere organisaties, die dit kunnen betalen. Voor kleinere organisaties is een eigen SOC onbereikbaar. Die wenden zich dan als het goed is tot aanbieders van managed services op dit vlak.

Met alleen een SOC ben je er als organisatie echter nog niet. Het is ook zaak om deze optimaal in te zetten. Vaak gebeurt dit reactief. Er komt een melding binnen, een analist gaat kijken wat er aan de hand is en lost het probleem als het goed is op. AI kan in dit opzicht een goede assistent zijn om snel tot de kern te kunnen komen van een probleem. Zeker gezien de hoeveelheid meldingen en telemetrie die op analisten afkomt (en alleen maar verder toeneemt), is een zekere mate van AI en automation door AI min of meer onmisbaar geworden.

Als je op deze manier AI inzet voor cybersecurity, ben je echter nog altijd reactief bezig. Met andere woorden, organisaties lopen nog altijd achter de feiten aan. SentinelOne wil hier verandering in aanbrengen. Dat wil het doen met de combinatie van Purple AI en het Singularity Data Lake dat het heeft aangelegd als onderdeel van het eigen Singularity-platform. We spraken kort voor de RSA Conference kort met Ric Smith, CPO en CTO van SentinelOne.

Purple AI en Singularity Data Lake

Zowel Purple AI en het Singularity Data Lake zijn niet nieuw. We schreven eind december vorig jaar al eens een uitgebreid verhaal over de visie van SentinelOne rondom deze twee componenten. De data in het data lake in combinatie met de (Gen)AI-mogelijkheden van Purple AI moet het mogelijk maken om het maximale te halen uit de data. Ongeveer een maand geleden kwam PurpleAI ook daadwerkelijk algemeen beschikbaar.

Tot zover niets nieuws dus. Deze week voegt SentinelOne echter nieuwe mogelijkheden toe aan het Singularity-platform. Nieuwe features die mogelijk zijn dankzij de combinatie van Purple AI en het Security Data Lake. Purple AI krijgt hiermee nog geen maand na algemene beschikbaarheid meteen een nieuwe dimensie. Smith verwoordt het als volgt: “Purple AI doet niet zomaar alleen wat je het vraagt om te doen, het doet wat je wilt dat het doet.”

Bovenstaande quote geeft aan dat Purple AI een autonoom opererende SOC-analist is in plaats van ‘slechts’ een security-assistent. Dat laatste kan het ook nog uiteraard. Je kunt nog steeds aan Purple AI vragen of het een overzicht kan geven van assets die kwetsbaar zijn voor een specifieke dreiging bijvoorbeeld. Dat is functionaliteit die veel andere securitypartijen ook bieden. “Chatbots en de interactie ermee zijn echter alweer achterhaald”, geeft Smith aan. We moeten voorbij de security-assistent, volgens hem, richting een autonoom opererende SOC. Dat is het nieuws van vandaag. SentinelOne heeft de eerste stappen in die richting gezet.

Autonome SOC-analist

Met de nieuwe functionaliteit in het Singularity-platform laat SentinelOne Purple AI “los op de data” die is gekoppeld in en aan het Security Data Lake. Dit kunnen eigen databronnen zijn, maar het koppelt ook met EDR, Okta, AWS, onder andere. Purple AI stuurt autonoom queries uit naar al deze bronnen tegelijkertijd en continu. Het detecteert hiermee dingen die niet kloppen of verdacht zijn en presenteert deze bevindingen aan iemand binnen de organisatie die een voorgestelde oplossing voor een probleem dan kan goedkeuren.

Het is uiteraard niet de bedoeling dat deze nieuwe functionaliteit alleen maar meer werk oplevert voor organisaties op het gebied van cybersecurity. Dat risico loop je wel. Purple AI gaat onherroepelijk meer vinden dan je zonder deze autonomie te zien zou krijgen. Vandaar dat SentinelOne het mogelijk maakt om zogeheten hyperautomation rules aan te maken. Hiermee kun je volledig geautomatiseerd problemen oplossen. Niet een keer, maar iedere keer als hetzelfde probleem weer voorbijkomt. Het model hierachter leert continu en zal beter worden naarmate het meer gebruikt wordt, geeft Smith aan.

Bovenstaande klinkt behoorlijk futuristisch. We kunnen ons voorstellen dat niet iedere organisatie dit ziet zitten. Bij SentinelOne realiseert men zich ook dat er maar weinig mensen zijn die volledig ‘Skynet’ willen gaan hiermee. Dat wil zeggen, alles in handen leggen van Purple AI zonder enige uitlegbaarheid is niet wat organisaties willen. Vandaar ook dat er in de nieuwe functionaliteit iets zit wat Global Alert Similarity heet. Dat is een score die duidelijk maakt of iets wat Purple AI gevonden heeft daadwerkelijk foute boel is. Dit doet het door de resultaten van andere klanten wereldwijd te toetsen aan elkaar. Is de score hoog genoeg, dan zien andere klanten het ook als een gevaar en kun je actie ondernemen.

Schermafbeelding van een dashboard van een gebruikersinterface met verschillende zakelijke statistieken, zoals gebruikersbetrokkenheid, financiële gegevens, systeemstatus en recente activiteiten, met een navigatiemenu aan de linkerkant.
Een screenshot van de nieuwe functionaliteit van binnen het SentinelOne Singularity-platform

Richting een SOC voor iedereen

De verantwoordelijkheid voor een belangrijk deel in de handen van een AI-analist zoals Purple AI leggen zal ongetwijfeld niet vanzelf gaan. Ook al is er de bevestiging vanuit het bredere klantenbestand dat iets kwaadaardig is en opgelost moet worden, er zal zeker nog wel even de nodige argwaan blijven richting deze nieuwe functionaliteit. Het zal voor SentinelOne zaak zijn om zo transparant mogelijk te zijn over hoe het tot bepaalde beslissingen komt. Dan win je het vertrouwen van klanten om er steeds verder in mee te gaan.

Mee gaan zullen organisaties uiteindelijk echter toch echt moeten doen, is onze overtuiging. Het wordt langzaam maar zeker vrijwel onmogelijk om organisaties nog goed genoeg te beschermen zonder de inzet van hulpmiddelen zoals Purple AI. Een goed getraind algoritme dat pro-actief en continu op zoek gaat naar kwetsbaarheden en verdacht gedrag zal altijd effectiever zijn dan een of meerdere mensen die nadat er meldingen zijn binnengekomen op onderzoek uitgaan.

Tot slot geeft de nieuwe functionaliteit van Purple AI in combinatie met het Singularity Data Lake van SentinelOne ook een bemoedigend signaal af aan kleinere organisaties. Die hebben nu in theorie ook de beschikking over een potentieel volwaardig SOC, zonder dat ze daar dure mensen voor in dienst moeten nemen. De aanbieders van managed security services aan deze bedrijven zullen iets minder blij zijn met deze ontwikkeling. Dat is althans onze inschatting. Al zijn met name kleinere bedrijven ook niet echt de doelgroep van deze spelers. Die kunnen hun security-inspanningen dus een enorme boost geven.

Het succes van een gedemocratiseerde autonome AI-analist voor iedereen is uiteraard afhankelijk van wat het allemaal kost. Daar zal SentinelOne goed over moeten nadenken. Dat is immers waar het uiteindelijk toch allemaal op neerkomt. Goede tooling is leuk, maar het moet wel betaalbaar zijn.