Мы начинаем серию статей, в которых рассмотрим ключевые возможности платформы по защите конечных точек SentinelOne Singularity, включающей в себя антивирус нового поколения, EDR и XDR.
Читайте все статьи этой серии: Обзоры возможностей SentinelOne.
Модуль Ranger, входящий в состав подписок SentinelOne Control и Complete, обеспечивает мониторинг сети организации с помощью методов распределенного пассивного и активного сканирования, что позволяет выявлять запущенные службы, неуправляемые конечные точки, устройства IoT, мобильных телефонов и пр., и затем предпринимать различные действия по отношению к ним.
Зачем это может быть нужно организации?
Количество устройств, работающих в сети, увеличивается, поскольку люди приносят на работу свои личные телефоны, ноутбуки и смарт-устройства. Кроме того, в сеть добавляется все больше и больше Интернета вещей (IoT), операционных технологий (OT) и интеллектуальных устройств. Все эти устройства становятся все более умными и сложными. Эта сложность может привести к ошибкам, а ошибки могут привести к уязвимостям. Это означает, что для сетевых администраторов становится все более важным иметь возможность понимать, что находится в их сети. Ranger автоматически создает этот инвентарь и поддерживает его в актуальном состоянии с течением времени.
Ranger также упрощает поиск неуправляемых конечных точек, на которых еще нет агента. Организациям необходимо знать, что каждое устройство, подключенное к сети, защищено, но на практике это может быть сложно реализовать из-за растущего числа устройств и ограниченного ИТ-персонала. С Ranger актуальный список неуправляемых конечных точек находится прямо в интерфейсе SentinelOne.
Как работает Ranger?
Ranger превращает существующие агенты SentinelOne в распределенную сенсорную сеть, которая сочетает в себе пассивные и активные методы разведки для построения карты всех устройств в сети.
Поскольку недостаточно просто знать, что у вас есть устройство в сети, Ranger также пытается понять операционную систему и роль устройства. Это означает, что вы можете легко просматривать все свои принтеры, мобильные устройства, серверы Linux и т.д. Снятие отпечатка с устройства также позволяет нам быть достаточно уверенными, когда мы говорим, что конечная точка неуправляема, то есть на конечной точке еще нет агента, но он может быть установлен — Ranger интеллектуально выделяет несовместимые устройства, такие как VoIP, IP-камеры, принтеры и т.д.
Хорошо известно, что МСЭ и IDS-системы плохо реагируют на попытки сканирования сети и уязвимостей, и многие устройства IoT не могут справиться с нагрузкой, связанной с типичным сканированием. SentinelOne решает эту проблему разными способами. Во-первых, наши пассивные методы позволяют находить все хосты в той же подсети, что и наши агенты. Во-вторых, мы не используем один хоста для сканирования всей сети — работа разумно распределяется между доступными агентами. Это означает, что ни одна конкретная конечная точка не является шумной или подозрительной. Наконец, сенсоры SentinelOne невероятно легкие. Nmap требует в 10-20 раз больше трафика, а Nessus требует в 100-500 раз! Это достигается за счет того, что сенсоры SentinelOne точны и сфокуссированы на своей задаче.
Детали разработки Ranger
Универсального решения для сканирования сетей не существует. Каждая из них представляет собой уникальную снежинку и может быть сколь угодно сложной. Из-за этого разработчики SentinelOne попробовали несколько разных подходов и изучили, что сработало, а что нет, и где были проблемы. Вендор с самого начала знал, что корректность работы — ключ к применению возможности в рамках уже установленных агентов. Для крупных предприятий очень сложно и дорого добавить еще один агент, и многие предприятия испытывают «усталость от агентов», стремясь максимально консолидировать их.
Прежде чем был создан агент, разработчики экспериментировали, изменяя свою сеть так, чтобы перенаправлять весь трафик через ответвитель Suricata. Преимущество такого подхода было в том, что собирать данные было очень просто, и не нужно было создавать новый агент. Однако SentinelOne быстро столкнулся с проблемами, например, объем трафика, уходящего на сервер Suricata, был чрезмерным даже в небольшой сети. Также этот метод позволял видеть только те конечные точки, которые общались с Интернетом. В конце концов, было решено отказаться от этого подхода и передать задачу агенту.
Следующей трудностью, с которой столкнулись разработчики Ranger, была расстановка приоритета для реализации пассивных и активных методов сетевого сканирования. Существуют тысячи портов, которые можно проверить, и десятки протоколов, которые может использовать устройство. Было потрачено много времени на то, чтобы отсеять порты до наиболее информативных и реализовать самые полезные протоколы.
Что делает Ranger уникальным?
Основное отличие Ranger состоит в том, что он использует существующие агенты в качестве сенсоров. Это означает, что вам не нужно устанавливать еще один агент для работы Ranger.
Другие продукты на рынке требуют добавления физических устройств в сеть и направления туда трафика. Это может раздражать при масштабировании, особенно в больших и загруженных сетях.
Некоторые продукты требуют, чтобы вы сами собирали трафик и выгружали журналы на сервер для обработки. Это, вероятно, самое простое решение для реализации, но оно ложится тяжелым бременем на пользователя по сбору такого количества информации, которое достаточно , чтобы получить четкое представление о сети. Если у вас много разных сайтов и сетей, вам придется отслеживать трафик на всех из них.
Заключение
Ranger дает вам окно в вашу сеть, и эта возможность будет становиться все более важной и ценной по мере того, как все больше разнообразных устройств начинают жить в сети. И вам не нужно устанавливать или закупать новые устройства, чтобы начать использовать эту функцию — все это часть существующего агента SentinelOne. Вы можете протестировать платформу защиты конечных точек SentinelOne с функционалом Ranger уже сегодня.