Мы продолжаем серию статей, в которых рассматриваем ключевые возможности платформы по защите конечных точек SentinelOne Singularity, включающей в себя антивирус, EDR и XDR нового поколения.
Читайте все статьи этой серии: Обзоры возможностей SentinelOne.
Сегодня мы рассмотрим Singularity Conditional Policy — возможность менять уровень защиты хоста в зависимости от его зараженности.
Причины разработки функции Singularity Conditional Policy
Хотя ИБ занимает первое место уже во многих организациях, многие компании по-прежнему сталкиваются с вирусами-шифровальщиками, кражей данных и вымогательством. Чтобы закрыть эти пробелы в системе безопасности, от специалистов ИБ требуется больше гибкости и эффективности, а также готовность к изменениям, без которых компания не может расти и повышать свою конкурентоспособность. Жертвой киберпреступников может стать любая организация, поэтому компании вкладывают ресурсы и время в улучшение своих защитных возможностей по обнаружению угроз, реагированию на них и восстановлению после атак.
Два аспекта имею решающее значения для эффективной защиты:
- способность предотвратить атаку и недопустить проникновение злоумышленников,
- эффективное обнаружение и реагирование на угрозу, если взлом все-таки произошел.
При внимательном рассмотрении первого пункта оказывается, что основная проблема предотвращения угроз состоит в том, что политики безопасности зачастую однотипны. В лучшем случае политики могут различаться для обычных и критичных хостов. Но все они одинаковы как для скомпрометированных, так и для незараженных конечных точек. При этом сложные политики часто затрудняют работу пользователей, а простые — увеличивают поверхность атаки.
Но что, если бы политики безопасности могли гибко реагировать на разные ситуации, автоматически усиливая или ослабляя защиту в зависимости от категории риска конечной точки?
Будь это возможно, организации смогли бы принимать риск-ориентированные решения.
SentinelOne представляет новую возможность платформы Singularity: политику защиты, учитывающую статус зараженности конечной точки (Singularity Conditional Policy) и позволяющую динамически применять дополнительные меры безопасности к потенциально скомпрометированным устройствам. Как только устройство снова считается безопасным, задействованные дополнительные меры предосторожности автоматически отменяются. Таким образом, Singularity Conditional Policy помогает организациям реализовывать концепцию Zero Trust Network (ZTN).
Обзор Singularity Conditional Policy
Singularity Conditional Policy — это первый динамический механизм применения политик ИБ, опирающийся на статус конечной точки. С его помощью можно отдельно настроить политику безопасности для скомпрометированных и «чистых» конечных точек. Благодаря этому можно динамически изменять настройки безопасности в зависимости от уровня риска хоста.
Как следствие, по умолчанию конечные точки не являются доверенными, и их состояние постоянно проверяется. Если конечное устройство, находящееся под защитой SentinelOne, атаковано, то Singularity Conditional Policy временно перемещает ее в группу с высоким уровнем риска и применяет соответствующую защитную конфигурацию. После устранения угрозы конечная точка автоматически возвращается в группу незараженных с назначением прежней конфигурации. Таким образом, Singularity Conditional Policy помогает уменьшить поверхность атаки и предотвратить потенциальный ущерб.
Функцией Singularity Conditional Policy могут воспользоваться все клиенты SentinelOne. Чтобы ее активировать, нужно выполнить два простых действия.
1. Создать группу хостов и настроить соответствующие политики защиты
На данном этапе создается новая группа хостов, в которую механизм Singularity Conditional Policy в реальном времени помещает скомпрометированные конечные точки.
После этого для новой группы настраиваются необходимые политики безопасности.
Например, можно включить режим предотвращения подозрительных действий, запретить подключение периферийных устройств через USB или Bluetooth, а также убедиться в том, что скомпрометированные конечные точки не могут связаться с определенными доменами или диапазонами IP-адресов.
2. Включить функцию Singularity Conditional Policy
Теперь, когда у вас созданы группа для скомпрометированных конечных точек и соответствующие политики безопасности, осталось только установить приложение Singularity Conditional Policy из Singularity Marketplace.
Усиление защиты в реальном времени с помощью политик Singularity Conditional Policy
После настройки Singularity Conditional Policy готов к работе. Если конечная точка будет взломана, она в реальном времени переместится в группу для скомпрометированных устройств, а меры для обеспечения безопасности будут усилены. После устранения угрозы конечная точка вернется в свою прежнюю группу.
Заключение
SentinelOne остается лидером благодаря инновациям в сфере обеспечения кибербезопасности, одновременно помогая решать ИТ-задачи развивающихся компаний. Приложение Singularity Conditional Policy создано компанией SentinelOne в рамках реализации стратегии ZTN и позволяет командам ИБ защищать свои организации, обнаруживать киберугрозы, реагировать на них, а также восстанавливаться после атак. Подход ZTN — «доверяй, но проверяй», выстроенный вокруг конечных точек, основан на оценке их состояния, в зависимости от которого корректируются политики безопасности.
Больше нельзя рассчитывать на то, что находящиеся в корпоративной сети пользователи не представляют угрозы и им можно открыть доступ ко всем сервисам и ресурсам компании. Очевидно, что нельзя продолжать назначать одинаковые политики защиты для всех конечных точек, не принимая во внимание их профиль риска.
Напротив, применять политики необходимо динамически в зависимости от ситуации. Singularity Conditional Policy на платформе Singularity — это первый механизм управления политикой доступа SentinelOne, ориентированный на конечные точки. Теперь он доступен всем клиентам SentinelOne.
Хотите узнать больше о SentinelOne?
Закажите расчет стоимости, презентацию или тестирование SentinelOne прямо сейчас.