使用SentinelOne网络安全套件保护您的端点

SentinelOne是为端点、数据中心和云环境提供自主安全性的先驱，可帮助企业快速、简便地保护其资产。在这场引人入胜的采访中，市场总监约塔姆·古特曼（Yotam Gutman）解释了为什么反病毒软件属于过去，以及人工智能如何在现在和未来帮助加强端点安全。哨兵是怎么走到一起的？是什么激发了这个想法？到目前为止它是如何演变的

SentinelOne是一家由Tomer Weingarten和Almog Cohen于6年前在以色列成立的网络安全公司。他们从小就是朋友，当他们意识到传统的安全解决方案在端点安全（即组织内笔记本电脑、台式机和服务器的安全）方面是不够的时候，他们都在这个行业工作。

在此之前，大多数端点安全解决方案都依赖于传统的防病毒技术，这是80年代开发的一种已知工具。这项技术很简单：它旨在扫描机器上的所有文件，并识别与已知病毒的匹配。这就是它在过去30年中的工作方式，但今天一些估计说，我们每天看到数十万种恶意软件变种，它们是由机器而不是人类攻击者改变的。每天都有如此多的新病毒发布，这让传统的AV很难与这场失败的战斗抗争。

当然，还有更具攻击性的攻击，比如勒索软件。勒索软件安装在你的机器上，锁定系统的部分，要求以勒索换取解锁文件和数据。在这种情况下，AV的反应性是不够的。

因此SentinelOne的创始人开发了一个AI引擎来保护端点，并主动扫描机器上的所有文件。它会搜索文件的显示方式、源和属性以及行为方式。然后，它定义文件是否恶意，并通知用户。这就是主动人工智能创建安全层的方式，可以保护您免受恶意活动的影响。

SentinelOne筹集了超过2.3亿美元。我们有300多名员工，其中一半在以色列的大型研发支持中心，100名在美国，其余在欧盟和亚太地区。

最近发生的一件有趣的事情是，整个端点安全市场发生了变化。以前，它是基于McAfee、Symantec和其他我们都知道的提供防病毒功能的大型传统玩家，并很快被全新的、专门的端点安全玩家所取代。但其中一些公司正在消失。Cylance被黑莓（Blackberry）收购，而炭黑（Carbon Black）则被VMware收购，因此它们受到大型企业的控制，不再那么灵活，因此它们基本上为SentinelOne留下了市场空间，让它在市场中获得强大的立足点并加以利用。

我们目前有2500多个客户，大部分在北美，我要说的是《财富》1000强受尊敬的客户，包括世界十大财富公司中的三家。我们的收入也非常可观，2019年接近1亿美元。凭借如此惊人的增长，SentinelOne不仅是另一家以色列网络安全初创公司，也是一家成熟的全球网络安全公司，也是世界顶级的端点安全解决方案之一。

这里是SentinelOne仪表板的预览：

您如何利用AI和ML来保护业务信息

如前所述，基于签名的安全性，也是模式匹配人工智能的一种形式，已经不存在，不再相关。您需要一个强大的人工智能引擎，能够检测异常并将其与全球部署中的其他端点进行比较。这样的引擎需要对恶意软件的行为做出快速反应。

例如，如果未知恶意软件在机器上自行安装，并开始访问部分内存、更改文件或获得访问权限，人工智能引擎应该能够了解该活动并尝试停止它。如果你像我们一样足够快，它甚至可以逆转他们的一些行为。就勒索软件而言，SentinelOne最强大的功能之一就是我们称之为回滚的功能，它使系统能够自动将自身重置为以前的状态，从而为用户节省大量麻烦。

人工智能的另一种形式是，我们允许拥有内部分析师的更熟练用户了解攻击过程。鉴于SentinelOne部署在组织的所有端点上，并且某个特定文件的行为开始不同，我们可以从源头追溯攻击，并说出其来源；它是如何在组织内部横向移动的，也就是说，从一个端点移动到另一个端点；它是如何试图进入外部世界的；它试图访问哪些类型的数据，以及它试图对这些数据做什么。因此，只需点击一下，我们就可以向您展示感染或攻击的整个故事情节，使补救过程更快。

很多时候，你会有简单的人工智能，它会告诉你出了什么问题，这只是众多警报中的一个。因此，其中一名分析师需要对其进行调查，并尝试通过向数据库写入查询来检索数据，但SentinelOne会自动执行此操作，因此它节省了很多我们称之为解决问题的时间。如今，检测时间很容易，但会出现很多误报，因此，为了真正减轻误报，您需要能够理解这些警报的上下文并迅速采取行动。

虽然人工智能很强大，但我们认为它不能解决所有问题。我们的安全解决方案显然旨在为分析师提供最佳工具。没有人力处理的客户仍然可以受益于我们的管理检测和响应（MDR）服务——警惕。我们可以访问这些端点，因此我们可以通过我们称之为“威胁搜索”的方式对其进行积极调查，因此即使没有警报，我们也可以寻找已知攻击的具体指标，以便我们的客户可以决定他们要对此做些什么。这是强大的人工智能和分析人员正在做的工作的结合。

另一件事是，许多公司都提供端点安全解决方案，但我们是唯一（通过一个统一的代理）为Windows（显然是大多数端点）、Mac和Linux提供解决方案的公司，这将我们带入了云端。我们意识到，如今，仅仅保护端点是不够的，因为大量数据位于公共云和混合云中，所以我们也需要能够保护这一点。我们已经看到客户能够加密整个云硬盘的案例，所以这是我们的下一个前沿。

用户在未来几年可能会遇到哪些安全挑战

I可以说，我们面临的最大挑战是非标准IT（也称为“影子IT”）。其中一部分是移动安全，但这不是一个大问题，因为它只在设备层面。

另一方面，进入组织的物联网设备（或“连接设备”）可能是一个主要威胁，因为它们通常不受监督。

假设我们有网络、服务器、服务和端点，它们在IT安全部门的监督下得到了很好的记录。然后，我们有人们带来、购买或安装在办公室的设备，比如Alexa的助手或IP摄像头。

与端点不同，在这些设备上安装安全软件不是很实际，但它们是许多安全漏洞的来源，包括一个非常著名的漏洞，NASA的一些员工带来了一个树莓馅饼：一台装有调制解调器的微型计算机，基本上将NASA的整个设施对外开放，绕过了所有安全机制。没有人确切知道它在那里有多长时间了，但可能要过几个月他们才会发现。如果这种情况发生在NASA身上，任何组织都可能发生。

有专门的安全解决方案可以监控此类活动，但它们要求在网络中部署物理设备（“盒子”）。在SentinelOne，我们想出了一个更聪明的方法。使用我们现有的端点代理，我们通过人工智能了解网络的行为，因此我们知道组织内的所有设备，如果我们看到新的活动，我们可以对其进行指纹识别，并将其与已知设备进行比较。

每个新活动都会显示给IT安全部门，然后要求IT安全部门以他们想要执行的策略做出响应，无论是限制还是阻止用户。我们提供了可视性，以便以后能够执行此类设备。这项新产品被称为SentinelOne Ranger，就在我们讲话的时候，它正在推出。