使用SentinelOne网络安全套件保护您的端点

SentinelOne是为端点、数据中心和云环境提供自主安全性的先驱,可帮助企业快速、简便地保护其资产。在这场引人入胜的采访中,市场总监约塔姆·古特曼(Yotam Gutman)解释了为什么反病毒软件属于过去,以及人工智能如何在现在和未来帮助加强端点安全。哨兵是怎么走到一起的?是什么激发了这个想法?到目前为止它是如何演变的

SentinelOne是一家由Tomer Weingarten和Almog Cohen于6年前在以色列成立的网络安全公司。他们从小就是朋友,当他们意识到传统的安全解决方案在端点安全(即组织内笔记本电脑、台式机和服务器的安全)方面是不够的时候,他们都在这个行业工作。

在此之前,大多数端点安全解决方案都依赖于传统的防病毒技术,这是80年代开发的一种已知工具。这项技术很简单:它旨在扫描机器上的所有文件,并识别与已知病毒的匹配。这就是它在过去30年中的工作方式,但今天一些估计说,我们每天看到数十万种恶意软件变种,它们是由机器而不是人类攻击者改变的。每天都有如此多的新病毒发布,这让传统的AV很难与这场失败的战斗抗争。

当然,还有更具攻击性的攻击,比如勒索软件。勒索软件安装在你的机器上,锁定系统的部分,要求以勒索换取解锁文件和数据。在这种情况下,AV的反应性是不够的。

因此SentinelOne的创始人开发了一个AI引擎来保护端点,并主动扫描机器上的所有文件。它会搜索文件的显示方式、源和属性以及行为方式。然后,它定义文件是否恶意,并通知用户。这就是主动人工智能创建安全层的方式,可以保护您免受恶意活动的影响。

SentinelOne筹集了超过2.3亿美元。我们有300多名员工,其中一半在以色列的大型研发支持中心,100名在美国,其余在欧盟和亚太地区。

最近发生的一件有趣的事情是,整个端点安全市场发生了变化。以前,它是基于McAfee、Symantec和其他我们都知道的提供防病毒功能的大型传统玩家,并很快被全新的、专门的端点安全玩家所取代。但其中一些公司正在消失。Cylance被黑莓(Blackberry)收购,而炭黑(Carbon Black)则被VMware收购,因此它们受到大型企业的控制,不再那么灵活,因此它们基本上为SentinelOne留下了市场空间,让它在市场中获得强大的立足点并加以利用。

我们目前有2500多个客户,大部分在北美,我要说的是《财富》1000强受尊敬的客户,包括世界十大财富公司中的三家。我们的收入也非常可观,2019年接近1亿美元。凭借如此惊人的增长,SentinelOne不仅是另一家以色列网络安全初创公司,也是一家成熟的全球网络安全公司,也是世界顶级的端点安全解决方案之一。

这里是SentinelOne仪表板的预览:

SentinelOne dashboardSentinelOne dashboard

您如何利用AI和ML来保护业务信息

如前所述,基于签名的安全性,也是模式匹配人工智能的一种形式,已经不存在,不再相关。您需要一个强大的人工智能引擎,能够检测异常并将其与全球部署中的其他端点进行比较。这样的引擎需要对恶意软件的行为做出快速反应。

例如,如果未知恶意软件在机器上自行安装,并开始访问部分内存、更改文件或获得访问权限,人工智能引擎应该能够了解该活动并尝试停止它。如果你像我们一样足够快,它甚至可以逆转他们的一些行为。就勒索软件而言,SentinelOne最强大的功能之一就是我们称之为回滚的功能,它使系统能够自动将自身重置为以前的状态,从而为用户节省大量麻烦。

人工智能的另一种形式是,我们允许拥有内部分析师的更熟练用户了解攻击过程。鉴于SentinelOne部署在组织的所有端点上,并且某个特定文件的行为开始不同,我们可以从源头追溯攻击,并说出其来源;它是如何在组织内部横向移动的,也就是说,从一个端点移动到另一个端点;它是如何试图进入外部世界的;它试图访问哪些类型的数据,以及它试图对这些数据做什么。因此,只需点击一下,我们就可以向您展示感染或攻击的整个故事情节,使补救过程更快。

很多时候,你会有简单的人工智能,它会告诉你出了什么问题,这只是众多警报中的一个。因此,其中一名分析师需要对其进行调查,并尝试通过向数据库写入查询来检索数据,但SentinelOne会自动执行此操作,因此它节省了很多我们称之为解决问题的时间。如今,检测时间很容易,但会出现很多误报,因此,为了真正减轻误报,您需要能够理解这些警报的上下文并迅速采取行动。

虽然人工智能很强大,但我们认为它不能解决所有问题。我们的安全解决方案显然旨在为分析师提供最佳工具。没有人力处理的客户仍然可以受益于我们的管理检测和响应(MDR)服务——警惕。我们可以访问这些端点,因此我们可以通过我们称之为“威胁搜索”的方式对其进行积极调查,因此即使没有警报,我们也可以寻找已知攻击的具体指标,以便我们的客户可以决定他们要对此做些什么。这是强大的人工智能和分析人员正在做的工作的结合。

另一件事是,许多公司都提供端点安全解决方案,但我们是唯一(通过一个统一的代理)为Windows(显然是大多数端点)、Mac和Linux提供解决方案的公司,这将我们带入了云端。我们意识到,如今,仅仅保护端点是不够的,因为大量数据位于公共云和混合云中,所以我们也需要能够保护这一点。我们已经看到客户能够加密整个云硬盘的案例,所以这是我们的下一个前沿。

用户在未来几年可能会遇到哪些安全挑战

I可以说,我们面临的最大挑战是非标准IT(也称为“影子IT”)。其中一部分是移动安全,但这不是一个大问题,因为它只在设备层面。

另一方面,进入组织的物联网设备(或“连接设备”)可能是一个主要威胁,因为它们通常不受监督。

假设我们有网络、服务器、服务和端点,它们在IT安全部门的监督下得到了很好的记录。然后,我们有人们带来、购买或安装在办公室的设备,比如Alexa的助手或IP摄像头。

与端点不同,在这些设备上安装安全软件不是很实际,但它们是许多安全漏洞的来源,包括一个非常著名的漏洞,NASA的一些员工带来了一个树莓馅饼:一台装有调制解调器的微型计算机,基本上将NASA的整个设施对外开放,绕过了所有安全机制。没有人确切知道它在那里有多长时间了,但可能要过几个月他们才会发现。如果这种情况发生在NASA身上,任何组织都可能发生。

有专门的安全解决方案可以监控此类活动,但它们要求在网络中部署物理设备(“盒子”)。在SentinelOne,我们想出了一个更聪明的方法。使用我们现有的端点代理,我们通过人工智能了解网络的行为,因此我们知道组织内的所有设备,如果我们看到新的活动,我们可以对其进行指纹识别,并将其与已知设备进行比较。

每个新活动都会显示给IT安全部门,然后要求IT安全部门以他们想要执行的策略做出响应,无论是限制还是阻止用户。我们提供了可视性,以便以后能够执行此类设备。这项新产品被称为SentinelOne Ranger,就在我们讲话的时候,它正在推出。

您还有什么想与我们的读者分享的吗

我认为我们处于一个独特的位置。我们植根于以色列,但我们是一家全球性公司,很少有公司能够做到这一点。随着我们的招聘,我想邀请更多有才华的人加入我们。

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注