SentinelOne

Antivirus je mrtvý, ať žije SentinelOne
Klasické antiviry se již desítku let spoléhají primárně na tu stejnou mechaniku, a to databázi známých signatur v kombinaci se skenováním souborů na koncové stanici. Marné pokusy o rozšiřování stávajících antivirů o heuristiky nebo strojové učení většinou ústí v těžkopádnou a nefunkční změť technologií.

95% všech kybernetických útoků využívá zranitelné koncové stanice
Koncové body jsou tím nejslabším článkem ve vaší organizaci. Klasické antiviry jsou bezbranné vůči moderním vektorům útoku. Těmi jsou útoky přes operační paměť, tzv. file-less, exploity dokumentů, webových prohlížečů, živé útoky jako skriptování, Powershell, Powersploit, WMI, VBS, Mimikatz, apod.

Přes 400 tisíc nových vzorků malware každý den
Klasický antivirus je závislý na databázi vzorků, kterých je obrovské množství. Každý podezřelý soubor na vaší stanici pak porovnává s touto databází, to vytváří obrovskou zátěž na infrastrukturu. Jakmile se objeví infekce, která ještě není v databázi, nebo se na vaše stanice dostane jinak než jako soubor, jste bezbranní. Stačí změnit jeden znak v kódu malware a klasický antivirus je poražen. Proto i ty největší společnosti na světě doposud podléhají infekcím jako je ransomware.

SentinelOne - Next Generation Endpoint Protection (NGEP)
SentinelOne je od základu navržený jako inteligentní systém, který zabrání nejen malwaru ale i manuálním nebo živým útokům v napadení vaší infrastruktury. Nespoléhá se na signatury, ale využívá kombinaci několika pokrokových technik k detekci hrozby na základě chování.

Pokročilá statická detekce
Ochrana před klasickou formou útoku šířenou soubory, a to jak statickou inteligentní analýzou souboru, ale i klasickým dotazem na databázi vzorků pokud to tak zákazník chce.

Detekce za běhu
V této fázi již infekce obešla klasický antivirus a kopíruje se do operační paměti. V této fázi vstupuje SentinelOne tam, kde klasický antivirus selhává. Dynamicky analyzuje komplexní chování procesů a podle výsledku analýzy okamžitě zablokuje podezřelé chování.

Remediace
Po úspěšné detekci umožní detailní náhled na operace, které během útoku na koncové stanici proběhly, od spouštění procesů, přes manipulaci se soubory až po zápisy v registru. Pomocí funkce rollback dokáže vrátit nechtěné změny systémy v případě, že se nepodařilo zachytit útok okamžitě. Díky auto-imunizaci okamžitě informuje ostatní koncové stanice ve vaší organizaci a zabrání dalšímu šíření.

O SentinelOne
SentinelOne byl založen skupinou veteránů, kteří původně pracovali pro ikony informační bezpečnosti, jako jsou CheckPoint nebo WhiteHat Security, špičky ve svém oboru. SentinelOne je prvním řešením od dob vzniku antiviru, které bylo oficiálně certifikováno laboratořmi NSS jako náhrada této zastaralé ochrany pro koncové stanice. Mnoha je označována za největšího vizionáře z oblasti ochrany koncových stanic. V jedné platformě spojuje vlastnosti několika produktů a má historicky nejnižší TCO ze všech dosavadních technologií pro ochranu dat na endpointu. Toto vše už jen jako třešničku na dortu završuje naprosto neznatelným vlivem na výkon stanice, který mu klasické AV můžou jen tiše závidět. SentinelOne si je svojí technologií natolik jistý, že k produktu nabízí finanční garanci 1000$ za každou stanici, která by i přesto byla nakažena ransomwarem, až do výše 1 milionu dolarů na organizaci. Podporuje Windows, Mac, Linux, servery i virtuální prostředí.

Co dostanete?

PRE-EXECUTION (před spuštěním, většina dnešních AV):

pomocí inspekce obsahu souborů, statické analýzy a v případě potřeby i klasického porovnání signatur, zabrání běhu malware ještě před tím než se spustí.

ON-EXECUTION (za běhu, téměř žádný klasický AV):

pomocí behaviorální analýzy, umělé inteligence a strojového učení okamžitě detekuje škodlivý běžící proces.

POST-EXECUTION (reakce na hrozbu, forenzní analýza, produkty EDR):

automatická mitigace (ukončení, karanténa), detailní scénář útoku, při použití Windows Shadow Copy, na jeden klik možnost rollbacku celého útoku ransomware do stavu nezašifrováno (!).