Антивирус нового поколения SentinelOne Россия Казахстан

Возможности SentinelOne: Идентификация устройств и защита IoT с помощью Ranger

Мы продолжаем серию статей, в которых рассмотриваем ключевые возможности платформы по защите конечных точек SentinelOne Singularity, включающей в себя антивирус нового поколения, EDR и XDR.

Читайте все статьи этой серии: Обзоры возможностей SentinelOne.

Мониторинг сети имеет первостепенное значение в обеспечении безопасности ИТ-инфраструктуры. Злоумышленникам достаточно всего одного взломанного устройства, чтобы закрепиться в сети, латерально двигаться по ней и красть информационные активы. К сожалению, не существует универсального метода, с помощью которого IP-устройства могли бы идентифицировать сеья. Тем не менее, решение SentinelOne Singularity Ranger обнаруживает каждое устройство в сети и собирает с них цифровые отпечатки. Сложные алгоритмы машинного обучения, встроенные в агент Sentinel, определяют операционную систему, тип и роль каждого устройства. Таким образом, у специалистов ИБ становится больше актуальной информации и улучшается понимание контекста сети, что позволяет им принимать более точные решения по управлению рисками.

Альтернативы и ограничения

Разнообразные техники активного и пассивного сканирования доступны как в коммерческих, так и в open-source решениях. Однако все они имеют недостатки, которые снижают их эффективность.

Они могут вести активный фингерпринтинг — пинговать устройства, отправлять на них сообщения, а затем использовать их ответы для анализа информации об устройстве — но они упускают из виду данные, которые передаются только при пассивном сканировании. Помимо этой проблемы, надо учитывать межсетевое экранирование, ограничения пропускной способности, нарушения в работе устройств и проблемы совместимости c IDS/IPS и аналогичными системами (алертные штормы и реагирование).

Пассивный фингерпринтинг – прослушивание широковещательных пакетов данных – снимает некоторые из этих ограничений, но из-за больших затрат на развертывание и обслуживание его трудно реализовать в современных сетевых топологиях. Более того, трафик все чаще бывает зашифрован, что ограничивает эффективность многих решений для пассивного фингерпринтинга выше 4-ого уровня.

Должен быть более простой способ инвентаризации активов.

Фингерпринтинг устройств с помощью Ranger

Интерфейс Ranger

Модуль Ranger является уникальным решением всех этих проблем благодаря комбинированному использованию настраиваемых вручную правил, MAC-адресации и агентов Sentinel с искусственным интеллектом. В первую очередь, Ranger превращает агенты Sentinel на конечных точках в распределенные сетевые сенсоры, которые играют важную роль в тренировке модели для фингерпринтинга. Ranger сочетает техники пассивного и активного сканирования, ручную настройку правил и данные о MAC-адресах, что позволяет получить точные цифровые отпечатки, не развертывая дополнительное оборудование или ПО. Такой подход экономит время, деньги и нервы клиентов.

Обзор среды в Ranger

Иерархическая модель машинного обучения Sentinel работает в облаке и состоит из трех слоев. Первый слой модели определяет семейство ОС, например, Windows, Linux, Android или macOS. Второй слой конкретизирует версию ОС, а третий идентифицирует роль и/или тип устройства.

Каждое устройство с установленным агентом Sentinel и включенной функцией Ranger отправляет сведения о своей ОС в облако SentinelOne. SentinelOne поддерживает широкий спектр дистрибутивов Linux, но вместе с тем существуют определенные IoT-устройства, на которых установка агента невозможна из-за аппаратных или программных ограничений.

Следовательно, агенты Sentinel также пассивно «слушают» широковещательный трафик от любых новых устройств, а затем активно сканируют эти устройства в поисках дополнительной информации. Эти параметры сканирования легко настраиваются по подсетям, поэтому администратор контролирует, что сканируется, когда и каким методом.

Параметры работы Ranger

Эта информация агрегируется и используется вместе с данными о MAC-адресах. В этот момент в работу включается сервис SAM Seamless Network. SAM предоставляет цифровые отпечатки на основе MAC-адресов для десятков тысяч моделей устройств (смартфоны, IoT-устройства и т. д.), которые обычно встречаются как в малых, так и в крупных сетях. Алгоритмы SAM постоянно учатся снимать цифровые отпечатки с устройств, основываясь только на их MAC-адресе. Благодаря сотрудничеству с SAM, SentinelOne дополнила свою облачную систему фингерпринтинга на основе ИИ базой профильных знаний, собранную SAM c миллионов подключенных устройств по всему миру.

SentinelOne следит за тем, чтобы модель ИИ Ranger не слишком полагалась на настроенные вручную правила или префиксы MAC-адресов. Такое переобучение помешает модели выявлять закономерности. Модели, основанные только на настраиваемых вручную правилах, требуют больших затрат на разработку, обслуживание и улучшения, в то время как система фингерпринтинга SentinelOne становится умнее с каждым новым проанализированным устройством. Клиентам SentinelOne достаточно включить Ranger, и искусственный интеллект сразу же начнет свою работу.

Заключение

Благодаря улучшенному фингерпринтингу устройств клиенты смогут эффективнее защищать свои сети. Более точная классификация IoT-устройств в сети обеспечивает полное понимание риска, что позволяет лучше спланировать корректирующие действия.

Выявляйте пробелы в развертывании агентов, оценивайте уязвимость к атакам на устройства (например, Ripple20), а также предотвращайте компрометацию уязвимых устройств.

Благодаря Ranger можно:

  • принимать моментальные меры исходя из картины риска,
  • изолировать устройства,
  • устанавливать теги на устройства для их группировки,
  • отмечать устройства как Not Trusted (недоверенное), Suspicious (подозрительное) или Allowed (разрешенное) по результату проверки.

Демо и бесплатное тестирование SentinelOne

Заинтересованы? Закажите демонстрацию, расчет цен или тест SentinelOne по ссылке ниже.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором решений по кибербезопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/