Met Purple AI geeft SentinelOne security-analisten tijd terug

“Een deel van de uitdagingen van vandaag de dag zijn niet heel anders dan wat ik 15 jaar geleden als security-analist zag”, begint Corona het gesprek. “Er is een tekort aan expertise in cybersecurity: er zijn meer mensen met bepaalde vaardigheden nodig. Securityteams zijn eigenlijk continu bezig met een inhaalslag. Aanvallers krijgen nieuwe vaardigheden en daar moet je in meegaan. Tegelijkertijd gebruiken technici nieuwe technologie, zoals AI en cloud, bij het ontwikkelen van hulpmiddelen. Bijblijven is heel moeilijk in de cybersecurity, omdat er elke dag iets nieuws gebeurt.”

De gevolgen daarvan zijn merkbaar, zo vertelt ze. “We zien onderzoeken waaruit blijkt dat er veel securityexperts met een burn-out zijn. Alert fatigue (alarmmoeheid, red.) is een begrip dat je steeds vaker tegenkomt. Dat speelt bij teams overal in de wereld en in allerlei sectoren.” Je moet als organisatie keuzes maken, zo zegt ze. “Perfectie bestaat niet in cybersecurity. Teams moeten moeilijke beslissingen nemen over de risico’s die ze willen accepteren.”

Puzzelstukken vinden

Deze uitdagingen zijn de reden waarom SentinelOne in april de AI-analist Purple AI lanceerde. “Bij de ontwikkeling hebben we eerst bekeken hoe een dag in het leven van een security-analist eruit ziet. Waar krijgt hij of zij allemaal mee te maken? Wat kost het meeste tijd? We kwamen erachter dat analisten tijdens hun dag bijna geen momenten hebben waarop ze iets konden doen dat snel en eenvoudig is en dat voor veel tevredenheid zorgt. We zagen ook dat twee taken zelfs voor de meest ervaren analisten extra uitdagend zijn: het maken van keuzes uit duizenden alarmeringen en het oplossen van de puzzel nadat je een hypothese hebt.”

“Purple AI helpt je met het vinden van de juiste puzzelstukken”, geeft ze aan. “We automatiseren sommige taken, of we maken ze op zijn minst sneller en makkelijker. We gebruiken daarvoor nieuwe AI-technologie: LLM’s (large language models, red.) die voorheen nog niet bestonden. Daarmee krijgen analisten in normale taal antwoord op hun vragen. Als je in het verleden threat hunting deed naar bijvoorbeeld Salt Typhoon, moest je allerlei indicatoren onderzoeken. Je kunt Purple AI nu gewoon vragen ‘Ben ik doelwit van Salt Typhoon?’. Dat is de meest gebruikte functie. We hebben van klanten gehoord dat ze hun onderzoektijd daardoor omlaag hebben kunnen brengen van vier uur naar twintig minuten.”

Stappen delen

Purple AI is nuttig voor mensen met minder security-ervaring, maar ook voor de meest ervaren experts, verduidelijkt Corona. “We organiseren regelmatig leuke wedstrijden, waarbij we allerlei mensen uitnodigen voor threat hunting. We zien regelmatig dat mensen met weinig securityervaring, zoals IT managers, dankzij Purple AI van securityexperts kunnen winnen. Maar ook mensen met heel veel ervaring zijn erg blij met Purple AI. Als je geconfronteerd wordt met een nieuw soort aanval, dan maakt je ervaringsniveau niet zoveel meer uit. Dan moet je altijd een puzzel oplossen. Purple AI maakt ook deze mensen sneller, omdat ze bepaalde stappen over kunnen slaan.”

Purple AI kan, een half jaar na de lancering, een succes worden genoemd. “Het is een van onze snelst groeiende producten ooit. De tevredenheid, die we meten, is ook heel hoog. Vooral de functie ‘notebook’ is zeer populair. Het zorgt ervoor dat jouw vragen aan Purple AI en de antwoorden die je daarop krijgt worden bijgehouden. Ze worden samengevat in normaal taalgebruik en gebundeld. Dat helpt analisten om over incidenten te communiceren met andere mensen binnen de organisatie, want je kunt de stappen die je hebt gezet meteen delen. Dat is iets dat nu vaak veel tijd kost, tot frustratie van analisten.”

Dataverlies door GenAI

Purple AI wordt nooit getraind met klantgegevens en de processen en inzichten van een klant worden nooit met anderen gedeeld, benadrukt Corona. Dat is anders bij veel andere GenAI-tools. Corona: “Het beveiligen van AI is een onderwerp dat sterk in opkomst is, ook bij ons. We doen op dit moment veel onderzoek naar de uitdagingen van klanten. Het verlies van data door het gebruik van GenAI-tools is de belangrijkste. Daarbij gaat het niet alleen om chat-interfaces, zoals ChatGPT, maar ook om AI-tools die in bepaalde documenten of applicaties zitten. Als het model de input heeft, wordt het ergens opgeslagen en kan het worden ingezet voor training. Als de medewerkers van een enterprise allemaal van dat soort hulpmiddelen gebruiken zonder dat ze de gevaren kennen, zijn de risico’s groot.” SentinelOne gaat werken aan een product voor deze uitdaging, zo vertelt ze.

Alledaagse taken automatiseren

Ze noemt nog een uitdaging. “Als je iets onderzoekt wil je alle belangrijke informatie tot je beschikking hebben, op één plek. Daarvoor hebben we de oplossing Data Lake. Het zorgt ervoor dat je logs kunt bundelen. Niet alleen die van SentinelOne, maar ook van andere leveranciers. Daardoor heb je alle informatie tot je beschikking op het moment dat je het nodig hebt. Wanneer dat is, weet je nooit van tevoren. Met ons Data Lake maakt dat niet uit. Klanten geven aan dat query’s dertig tot vijftig keer zo snel gaan als dat ze gewend waren.”

Het automatiseren van processen zorgt er niet voor dat menselijke analisten overbodig worden, benadrukt Corona. “Daar krijgen we vaak vragen over. Ons doel is om de saaie, alledaagse taken te automatiseren, waardoor analisten tijd terugkrijgen om echt met security bezig te zijn. Dat maakt ze beter in hun werk en zorgt ook voor meer werkplezier.”