Обзор SentinelOne – лучшие антивирус с Искусственным интеллектом

20 мая 2021

Компания SentinelOne это пионеры в сфере разработки ПО для обеспечения безопасности в облачных хранилищах, алгоритмах обработки данных и конечных точках. Уникальность программного решения SentinelOne еще и в том, что они позволяют:

1. Вовремя обнаружить потенциальную уязвимость.

2. Предотвратить серьезную угрозу.

3. Своевременно отреагировать на атаку.

Более того, в рамках одной платформы вы получаете все инструменты для форензики (компьютерная криминалистика).

Именно при помощи инструментов, предлагаемых платформой SentinelOne вы можете предотвратить практически любую угрозу или заблокировать серьезную атаку на вашу систему. А интегрированный механизм адаптации системы (с участием искусственного интеллекта), позволяет учитывать специфику организации всех сетей внутри компании и характер потенциальных угроз и атак. Это очень важно, ведь бороться со сложными и направленными кибератаками сегодня крайне трудно.

К счастью, решение SentinelOne позволяет это сделать.

Платформа уже была признана огромным количеством компаний и конкурсов. 40% компаний из списка Fortune 10 уже выбрали эту программную платформу для защиты. А еще это лучшее EPP и EDR решение по реакции клиентов Gartner Peer Insight. Это о многом говорит. А еще по результатам многочисленных исследований и тестирований платформа SentinelOne показала себя наилучшим образом, в тестах по защите конечных точек.

Как работает платформа?

Для защиты конечных точек в SentinelOne разработали полноценную платформу. Называется она One Singularity. Эта платформа позволяет защитить всю информацию от крайне сложных и многосоставных угроз. Это не только антивирусное ПО нового поколения, но и инструменты для:

•  Обеспечения безопасности всех процессов.
• Своевременного реагирования.
• Детектирования любых потенциальных атак (EDR).
• Обеспечения безопасности для интернета вещей.
• Комплексной защиты облачных ресурсов и хранилищ.

Да, это целый набор различных инструментов, но они все объединены в одну удобную платформу. Кроме того, сама платформа поставляется в 3 изданиях, для решения задач любой сложности. Список платформ не ограничивается "Большой тройкой". И форм-фактор платформы тоже не станет препятствием для внедрения, любая редакция Sentinel One может быть развернута на публичных и гибридных облачных системах, в корпоративных центрах обработки данных и т.п.

Сама платформа по умолчанию распространяется по модели SaaS. Заказчик же может выбрать 1 вариант из двух:

1. Развертывание системы в локальной инфраструктуре.

2. Подключение к облачному центру AWS (от Amazon).

Если вы захотите выбрать второй вариант, то получите практически ничем не ограниченные ресурсы для работы сервисов XDR и EDR. Тут есть одно важное уточнение: речь об активных сервисах. И вместе с тем, алгоритм предотвращения угроз все равно будет работать в локальном формате. Поэтому все составляющие платформы будут работать независимо от того, подключились вы к центру облачного управления или нет. Зависимость от облачного сервера это уязвимость, и в SentinelOne прекрасно это понимают.

О лицензиях и возможностях

Клиенты One Singularity получают доступ ко всем инструментам и консоли управления:

•  Хорошо проработанный API (почти 350 функций).
• Возможность интеграции с другими системными платформами.
• Гибкая система уведомлений с рассылками как через syslog, так и посредством e-mail серверов.
• Аналитические дашборды.
• Встроенный алгоритм для форензики.
• Круглогодичная защита и поддержка.

А еще на платформе One Singularity есть механизм консолидации всех конечных точек и узлов по разным группам и локациям. Это позволяет повторить всю организационную структуру вашей сети. Вы можете изолировать отдельные зоны сети так, чтобы злоумышленники никогда не смогли туда забраться. С защитой управленческих учетных записей здесь все складывается очень хорошо. Дело в том, что для авторизации обслуживающего персонала платформа предлагает сразу несколько моделей доступа. Это не только популярная МФА, и менее понятная SSO. Это еще и схема ролевого доступа.

Кроме того, все пользователи платформы могут выбрать локацию самостоятельно. Что до лицензии, то платформа предоставляется по определенному количеству агентов. Это годовая подписка. Для получения лицензии должно быть не меньше 100 агентов. Плюс к тому, разработчик предлагает пакет дополнительных услуг по подпискам. Одна из таких услуг может быть полезна: это круглосуточная поддержка безопасности отдельными специалистами компании-разработчика по схеме аутсорса.

Отдельные решения для защиты Sentinel One

В агент платформы встроили сразу оба модуля Ranger и Rogues соответственно. Решение Ranger включает в себя огромное количество расширенных инструментов и возможностей. А издание Rogues есть по умолчанию, но включается оно в один из пакетов:

• Control.
• Complete.

И вот тут самое время разобраться с отдельными решениями, вроде Rangel Iot. Это компонент XDR-платформы, позволяющий удерживать контроль над поверхностью атаки в корпоративной сети. Этот компонент будет удерживать любую исходящую от внутреннего устройства угрозу.

Редакция One Core

Это базовый пакет платформы для организации безопасности в конечных точках. Функционал можно представить следующим списком:

•  Панели управления.
• Алгоритм для выстраивания иерархии групп и ресурсов.
• Защищенный канал доступа к консолям SaaS.
• Полная автономность агентов.
• Наличие обновленного антивирусного ПО с искусственным интеллектом.

 Даже если случилось что-то серьезное, вы всегда сможете восстановить систему, без особых проблем.

Пакет Control

Еще одна редакция платформы, с включенным функционалом One Core, но дополнительными функциями:

1. Выявление чужеродных устройств внутри сети.

2. Управлением любыми периферийными устройствами.

3. Контроль исходящих и входящих сетевых подключений (с локализацией).

Возможность инвентаризации приложений в пакете Control позволит найти программное обеспечение, создающее серьезную угрозу для безопасности всей инфраструктуры сети.

Пакет Complete

Этот пакет позволяет обеспечить защиту конечных точек для организаций. Запатентованный алгоритм Storyline позволяет выстраивать целый список атак и группировать их разными способами:

• Кластер инцидентов.
• Введение контекста.
• Изучение взаимосвязей между событиями.

 Всё это упрощает процесс внутреннего расследования, и ускоряет обнаружение первичного источника атаки или вредоносного программного обеспечения. Теперь первопричина будет найдена намного быстрее. Эта технология позволяет снять нагрузку с огромного числа специалистов в отделе безопасности.

И это еще далеко не все возможности пакета Complete.