SentinelOne XDR: от концепции к реальности

Прошедший год был значимым для всей команды SentinelOne, а особенно для разработчиков платформы SentinelOne Singularity XDR. Теперь не осталось сомнений, что проект, в котором приняло участие множество людей — от инженеров до менеджеров по продажам — обречен на успех.

Платформа Singularity XDR превзошла всех остальных поставщиков СЗИ в тестировании MITRE ATT&CK (по нескольким параметрам), получила наивысшие оценки в отчете Gartner «Критические возможности платформ для защиты конечных точек» и прочно обосновалась в секторе лидеров в волшебном квадранте Gartner для решений по защите конечных точек 2021 года. Для компании SentinelOne важны все без исключения внешние данные, и она буквально живет ими. Но по-настоящему говорят за себя данные, отражающие отношение других отраслевых игроков — самых строгих критиков — и то, что они берут на карандаш решения компании.

Анализ результатов MITRE Engenuity ATT&CK® Evaluation 2021. Источник: Check Point Software. Это не официальная диаграмма MITRE Engenuity.

С момента запуска решение Singularity XDR оставалось прагматичным средством достижения цели, а не маркетинговой самоцелью компании. Все инвестиции были неразрывно связаны с задачами и потребностями заказчиков — крупных из списка Fortune 10, средних и малых компаний. Задачей платформы было ускорить выявление угроз и реагирование на инциденты, задействуя как можно меньше кликов, агентов, интерфейсов и людей. Большую роль в этом играют данные и автоматизация, но это не цель, а средство для удовлетворения потребностей клиентов (подробнее об этом далее).

Как отмечено в предыдущей статье, подход SentinelOne к реализации XDR проистекает из принципов создания EDR-продукта. Трудности, связанные с упорядочиванием, контекстным пониманием и корреляцией данных, появились уже давно. То же можно сказать о необходимости повышать уровень автоматизации и надежно защищать всю поверхность атаки. Следовательно, на рынке возникла потребность именно в XDR-решении, а не XIEM или XOAR. Если бы EDR-решение SentinelOne не было лучшим в своем классе, то её XDR-решение было бы изначально обречено на неудачу.

Но одних только возможностей EDR недостаточно. Возникла необходимость совместить лежащие в основе EDR принципы с инновационными функциями и расширить масштаб их охвата. XDR — это одновременно эволюция и революция EDR. С одной стороны, очевидно, что XDR — это не просто набор возможностей, а скорее решение, органично развившееся из EPP и EDR. С другой стороны, современные реалии — от усложняющегося ландшафта угроз до растущей поверхности атаки и огромного количества данных — стали катализатором для революционного технологического прорыва.

От E к XDR

Как EDR-, так и XDR-решения состоят из следующих компонентов: данные, обнаружение угроз, автоматизация и реагирование. Если схематично изобразить их в виде четырех пересеченных окружностей, то самое главное окажется в центре их пересечения. Это несколько ключевых возможностей EDR-решения SentinelOne, над совершенствованием которых разработчики трудились несколько лет и которые во многом обусловили успех компании. Такие возможности а) сложно повторить, б) имеют решающее значение для создания XDR-решения (по этой причине многие XDR-вендоры неуспешны).

Storyline + MITRE

  • Тестирование MITRE ATT&CK 2021 (как и все предыдущие) во всех аспектах задало ориентир для оценки EDR-решений. Его результаты можно интерпретировать по-разному, и практически все вендоры утверждают, что они лучшие. Но решение SentinelOne показало лучший результат в метрике, которую часто упускают из виду, хотя это, вероятно, единственный показатель, который  напрямую относится к среднему времени реагирования (MTTR). SentinelOne стал не только единственным вендором с точностью детекта 100% и наибольшим количеством выявленных вредоносных действий, но и сгенерировал меньше отдельных алертов, чем любой другой вендор.
  • Это возможно благодаря технологии Storyline, которая позволяет коррелировать и объединять сотни подозрительных действий с файлами, процессами, пользователями, доменами, IP-адресами  и др. в единое сообщение об атаке на уровне вредоносной кампании. Это означает, что с помощью SentinelOne аналитики ИБ могут гораздо быстрее приоритизировать угрозы, расследовать инциденты и реагировать на сложные атаки всего в несколько кликов.

Устранение последствий в один клик на любой платформе

  • Одна из самых ценных особенностей Storyline заключается в том, что все последствия вредоносной кампании можно устранить, нейтрализовать или даже откатить одним кликом. Storyline коррелирует все действия злоумышленников на всех устройствах, а значит ликвидация одной цепочки атаки устранит её последствия на уровне всей кампании. Подход Storyline к реагированию всегда был и будет основан на автоматизации и одинаковых возможностях для всех платформ. Например, SentinelOne анонсировал функцию удаленной оркестрации скриптов (RSO, Remote Scripting Orchestration), которая позволит заказчикам автоматически запускать различные скрипты на любой ОС с помощью одного простого инструмента.

Правила активного реагирования STAR

  • SentinelOne Storyline Active Response (STAR) — инструмент автоматизированного хантинга, детекта и реагирования. Эта технология позволила достичь непростого баланса между встроенными движками обнаружения угроз и возможностью для партнеров и заказчиков создавать собственные правила автоматического обнаружения. STAR позволяет превратить запросы в Singularity в правила обнаружения, которые отслеживают все входящие данные практически в реальном времени. При срабатывании эти правила могут как сгенерировать простой алерт, так и запустить сложный плейбук реагирования. Технология STAR уже стала неотъемлемой частью EDR-решения SentinelOne, и она будет развиваться в рамках Singularity XDR как с точки зрения данных, которые она отслеживает, так и с точки зрения мер реагирования, которые она может запустить.

Хантинг в реальном времени по данным за 365 дней

  • Термин «срок хранения данных» употребляют в отрасли ИБ очень часто. Многие поставщики СЗИ заверяют, что предлагают долгосрочное хранение данных, но потом выясняется, что это либо неполные данные, либо с неполным доступом. Singularity обеспечивает возможность хантинга в реальном времени по данным за последние 365 дней (или больше, при необходимости). Для наглядности: согласно результатам тестов MITRE ATT&CK 2021, только решение SentinelOne обеспечило 100% детект — это беспрецедентный объем данных. Со времен атаки SUNBURST на компанию SolarWinds многие клиенты SentinelOne уже воспользовались возможностью запрашивать данные за последние 365 дней, чтобы получать полную картину происходящего в их среде в течение года.

Именно комбинация этих и других фундаментальных возможностей, а также баланс между ними, позволяют SentinelOne реализовать XDR-решение.

Данные и автоматизация — это основа

Несмотря на достигнутые успехи, SentinelOne не перестает совершенствоваться. Компания продолжает разрабатывать новый функционал, расширять портфель интеграций и развиваться по всем направлениям.

Приобретение стартапа Scalyr и интеграция его возможностей в решение SentinelOne — иллюстрация того, как стратегия компании воплощается в реальность и как сильно связаны между собой звания лучшего EDR- и XDR-решения. Поскольку не только XDR-решения, но и кибербезопасность в целом строится вокруг данных, Singularity создана для оптимизации «святой троицы» их параметров: производительности, масштабируемости и низкой стоимости. Технология Scalyr дополняет все, что SentinelOne планирует реализовать в рамках EDR- и XDR-решений: беспрецедентная скорость, эффективность и гибкость. Благодаря этой технологии можно оперативно получать данные из растущего числа источников — конечных точек и других.  К тому же, она помогает отвечать на такие вопросы, как «Насколько легко добавлять новые типы данных», «Насколько эффективен процесс нормализации данных» и «Поддерживает ли технология создание слоев абстракции и анализа на основе всех данных».

Маркетплейс Singularity и интеграция в стек СЗИ

Площадка Singularity Marketplace — еще одна важная часть стратегии SentinelOne по развитию концепции XDR. У SentinelOne большой опыт запуска новых продуктов — как инновационных, так и реализующих новый подход к уже существующим технологиям. Но нужно понимать, что в организации могут уже быть развернуты другие СЗИ. Singularity Marketplace облегчает интеграцию и оркестрацию аналитики и мер реагирования между различными СЗИ, задействуя каждое из них, ускоряя, упрощая и повышая эффективность защиты. Портфель интеграций с Singularity XDR, обеспечивающих унифицированный сбор и корреляцию данных, а также реагирование на инциденты, растет с каждой неделей — в этом вопросе компания прислушивается к заказчикам. SentinelOne следит за тем, чтобы все интеграции и API совершенствовали платформу: дополняют ли они контекст угроз? Улучшают ли анализ их первопричин? Ускоряют ли их устранение?

Заключение

Из-за обилия решений на рынке и ажиотажа вокруг технологии XDR легко запутаться. Порой разные вендоры обещают схожий функционал, что усложняет выбор для заказчика и вынуждает его самостоятельно выяснять, что стоит за этими заявлениями. SentinelOne объединяет новые методы защиты от угроз с основными принципами работы EDR, описанными выше, и другими инновационными наработками — от покрытия новых поверхностей атаки до внедрения новых процессов. Всё это поможет и дальше удовлетворять потребности заказчиков. Singularity XDR не приемлет компромиссов — это не SOAR- и не SIEM-, а лучшее в мире XDR-решение. И это только начало.

15-минутное демо SentinelOne. Самое важное

Демо, цены и тестирование SentinelOne

Заинтересованы? Закажите демонстрацию, расчет цен или тест SentinelOne, заполнив эту форму.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором инновационных решений по кибербезопасности.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/