Redactie - 14 juni 2022

SentinelOne: specialist in autonome endpoint beveiliging

SentinelOne: specialist in autonome endpoint beveiliging image

Het is dagelijkse kost in de nieuwsmedia: cybersecurity laat alle alarmbellen rinkelen. Bedrijven worden gehacked en bestanden gestolen, systemen gaan op slot en werknemers worden bespioneerd. Het zijn een paar van de grote gevolgen van cybersecurity attacks. Cybersecurityspecialist SentinelOne heeft dit domein tot het zijne verklaard en creatieve en effectieve oplossingen ontwikkeld om de wereld veiliger te maken, ook in de cloud-omgeving.

Dutch IT-channel sprak met Sjoerd de Jong, senior sales engineer bij de Amerikaans/Israëlische cybersecurityspecialist met zijn oorsprong in Tel Aviv. Het Israëlische Tel Aviv is de bakermat van veel cybersecurityoplossingen, veel specialisme rond dit domein is daar geconcentreerd. Het bedrijf heeft zijn hoofdkantoor in de Verenigde Staten (Mountain View, Californië), is op NYSE genoteerd en heeft al zo’n 1500 medewerkers. Een volwassen onderneming met een eigen frisse kijk op security en is daarmee de fase van startup echt voorbij. Internationaal krijgt de performance van het SentinelOne-product een hoge score. Sjoerd de Jong is al zo’n 16 jaar actief in de IT-branche en de afgelopen 2 jaar bij SentinelOne betrokken.

Een eigen kijk op cybersecurity
Sjoerd: “SentinelOne heeft een geheel eigen kijk op cybersecurity en maakt volop gebruik van kunstmatige intelligentie. Deze eigen aanpak heeft als belangrijk voordeel dat vooraf niets bekend hoeft te zijn van de cyberthreat. Daar waar bij traditionele oplossingen bibliotheken met virusdefinities nodig zijn met gedetailleerde beschrijvingen (vingerafdrukken) van de kwaadaardige code, werkt SentinelOne helemaal op basis van eigen kennis en kunde.” Kunstmatige intelligentie en machine learning zijn daarbij de belangrijkste ingrediënten. Het heuristische model dat gebruikt wordt zorgt voor een snellere oplossing dan traditionele oplossingen, waardoor het beveiligingsproces ongemerkt op de achtergrond zijn werk doet.

Dankzij AI en Machine Learning
SentinelOne gebruikt gedragsgerichte AI en Machine Learning om schadelijke bestanden en gedragingen te identificeren, voordat zij zich voordoen. Hierbij worden gerelateerde gebeurtenissen gemarkeerd en wordt automatisch een aanvals-verslag (Storyline) samengesteld om de gebeurtenissen in kaart te brengen en de analyse te versnellen. In de Protect-mode identificeert de software niet alleen de aanval, maar wordt deze bovendien automatisch verijdeld. Vervolgens kan een analist met het gepatenteerde 1-Click Remediation alle niet toegestane wijzigingen in de IT-omgeving weer ongedaan maken (rollback). Hiermee realiseert SentinelOne de preventie, detectie, analyse, respons en rollback in één proces.

In drie processtappen
Het gepatenteerde drietraps proces is leidend in de industrie

Sjoerd de Jong: “Dit gepatenteerde drietraps proces is leidend in de industrie. De performance wordt jaarlijks in de MITRE ATT&CK® analyse gewogen. MITRE is een instituut dat een aanvalsgroep en haar methodes simuleert, in testprocedures verwerkt en er analyses mee doet op cybersecurityoplossingen. MITRE kijkt naar alle aspecten van de beveiliging, inclusief de vertraging die het veroorzaakt. SentinelOne gebruikt in het proces geen definities, sandbox, afhankelijkheid van mensen op het kritieke pad of netwerkverbindingen en dat levert snelheidsvoordelen op. Door de SentinelOne agent worden objecten vanaf de buitenzijde beoordeeld en dus niet door ze te openen in een beveiligde omgeving. Deze benadering levert snelheidswinst en een hogere accuraatheid op en is de kern van onze technologie. Voor de zowel statische als dynamische analyse, heeft onze agent de beschikking over ingebouwde AI-modellen. Hiermee analyseert de agent een bestand op verschillende indicatoren en beoordeeld binnen milliseconden of het bestand slechte intenties heeft en verwerkt dit in een score. MITRE waardeert de prestaties van SentinelOne heel hoog.”

In de tweede stap kijkt de agent op het endpoint naar het gedrag van het object (bestand) onder inspectie en de resultaten worden gemitigeerd en gerapporteerd aan het management console. Dit proces is onzichtbaar voor de gebruiker en levert absoluut geen vertraging op. Bij het gebruik van een sandbox gaat tijd verloren door het bestand te transporteren, analyseren en de resultaten terug te koppelen.

De derde en laatste stap is response, de reactie op het gevonden veiligheidsrisico. De klant kan zelf bepalen in hoeverre de agent automatisch reageert op de detectie.

Zo kan de klant vervolgens in alle rust op het management console naar de threat kijken, en daarna kiezen om extra stappen uit te voeren. Bijvoorbeeld het terugrollen van gedrag. In bijna alle gevallen zal de analyse van het ruwe bestand de risico’s al zichtbaar maken. Mocht dit desondanks niet gebeuren, dan wordt het door het gedrag bij openen direct opgemerkt. De agent ziet direct een gedrag dat niet bij het type bestand hoort. Dan worden de doorlopen mutaties teruggedraaid. De SentinelOne-oplossing houdt een verhaallijn (log) bij tijdens dit proces. Geïnfecteerde bestanden gaan direct in quarantaine. Tevens fungeert het platform als een flightrecorder. De agent monitort immers alle gedragingen op een endpoint en rapporteert de verhaallijnen (goed of slecht) aan het management console. Deze maakt de data op zijn beurt inzichtelijk, doorzoekbaar en geeft de klant de kans om actie te ondernemen.

In de cloud
Cloud-technologie met containers op basis van Kubernetes wordt steeds meer gemeengoed. Het is de volgende transitie van de IT. Eerst waren er servers waarop een applicatie liep, toen kreeg je op die servers, met de introductie van virtualisatie, meerdere VM’s met eigen applicaties en nu zijn er de containers in de cloud. Containers hosten vaak onderdelen van applicaties en worden veelal ingezet ten behoeve van schaalbaarheid en dynamiek. Hierop is moeilijker antivirussoftware te implementeren.

DevOps teams die verantwoordelijk zijn voor de publicatie van applicatie containers hebben vaak een andere motivatie dan het securityteam. Een DevOps engineer is vaak gedreven om een container snel te kunnen leveren aan haar (interne) klant. Zo is een van de gevaren dat dit team gebruik maakt van kant en klare container images op marketplaces als Docker Hub. Een plek die cybercriminelen inmiddels gevonden hebben en voorzien van voor geïnfecteerde images die vervolgens tienduizenden keren worden gedownload. De voordelen van containers zijn evident, ze zijn zeer flexibel en in hoge mate schaalbaar. SentinelOne heeft ook dit proces nu onder controle door in het Kubernetes of Openshift cluster een agent uit te rollen die alles wat er rond containers gebeurt als een flightrecoder kan bijhouden en registreren met een retentie van 14 tot 365 dagen.

SentinelOne kan in realtime kwaadaardig gedrag herkennen en is vervolgens in staat om de desbetreffende container immutable te maken. Dit zorgt ervoor dat de container op slot staat en wijzigingen in de applicatie niet mogelijk zijn. Containers leven maar kort, maar de “flightrecorder” heeft het toch vastgelegd. Dus sporen blijven daarmee zichtbaar als de container al verdwenen is. De oplossing van SentinelOne maakt het dus mogelijk te allen tijde sporen te achterhalen.

Aangeboden als Saas in de cloud of on-premises
De SentinelOne SaaS-oplossing kan zowel on-premises als vanuit de cloud afgenomen worden. De partners van SentinelOne overleggen met hun klanten hoe ze het willen gebruiken. Het kan als complete alleenstaande service gebruikt worden, of ingebed in een management omgeving van de partner. Sjoerd de Jong: “SentinelOne werkt altijd via partners, zij hebben de relatie met de klant en verkopen de abonnementen. De meeste klanten (98%) kiezen voor de cloud-oplossing. Wij hosten in Europa, nog specifieker in Duitsland (Frankfurt-regio). Dat laatste garandeert de strengste privacy implementatie. Een veilig gevoel.

Auteur: Hans Steeman

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024