Мы продолжаем серию статей, в которых рассмотриваем ключевые возможности платформы по защите конечных точек SentinelOne Singularity, включающей в себя антивирус нового поколения, EDR и XDR.
Читайте все статьи этой серии: Обзоры возможностей SentinelOne.
Мониторинг сети имеет первостепенное значение в обеспечении безопасности ИТ-инфраструктуры. Злоумышленникам достаточно всего одного взломанного устройства, чтобы закрепиться в сети, латерально двигаться по ней и красть информационные активы. К сожалению, не существует универсального метода, с помощью которого IP-устройства могли бы идентифицировать сеья. Тем не менее, решение SentinelOne Singularity Ranger обнаруживает каждое устройство в сети и собирает с них цифровые отпечатки. Сложные алгоритмы машинного обучения, встроенные в агент Sentinel, определяют операционную систему, тип и роль каждого устройства. Таким образом, у специалистов ИБ становится больше актуальной информации и улучшается понимание контекста сети, что позволяет им принимать более точные решения по управлению рисками.
После того, как устройство обнаружено, по нему можно проводить IoT-хантинг, можно изолировать его от сети или же автоматически устанавливать на него агент SentinelOne.
Альтернативы и ограничения
Разнообразные техники активного и пассивного сканирования доступны как в коммерческих, так и в open-source решениях. Однако все они имеют недостатки, которые снижают их эффективность.
Они могут вести активный фингерпринтинг — пинговать устройства, отправлять на них сообщения, а затем использовать их ответы для анализа информации об устройстве — но они упускают из виду данные, которые передаются только при пассивном сканировании. Помимо этой проблемы, надо учитывать межсетевое экранирование, ограничения пропускной способности, нарушения в работе устройств и проблемы совместимости c IDS/IPS и аналогичными системами (алертные штормы и реагирование).
Пассивный фингерпринтинг – прослушивание широковещательных пакетов данных – снимает некоторые из этих ограничений, но из-за больших затрат на развертывание и обслуживание его трудно реализовать в современных сетевых топологиях. Более того, трафик все чаще бывает зашифрован, что ограничивает эффективность многих решений для пассивного фингерпринтинга выше 4-ого уровня.
Должен быть более простой способ инвентаризации активов.
Фингерпринтинг устройств с помощью Ranger
Модуль Ranger является уникальным решением всех этих проблем благодаря комбинированному использованию настраиваемых вручную правил, MAC-адресации и агентов Sentinel с искусственным интеллектом. В первую очередь, Ranger превращает агенты Sentinel на конечных точках в распределенные сетевые сенсоры, которые играют важную роль в тренировке модели для фингерпринтинга. Ranger сочетает техники пассивного и активного сканирования, ручную настройку правил и данные о MAC-адресах, что позволяет получить точные цифровые отпечатки, не развертывая дополнительное оборудование или ПО. Такой подход экономит время, деньги и нервы клиентов.
Иерархическая модель машинного обучения Sentinel работает в облаке и состоит из трех слоев. Первый слой модели определяет семейство ОС, например, Windows, Linux, Android или macOS. Второй слой конкретизирует версию ОС, а третий идентифицирует роль и/или тип устройства.
Каждое устройство с установленным агентом Sentinel и включенной функцией Ranger отправляет сведения о своей ОС в облако SentinelOne. SentinelOne поддерживает широкий спектр дистрибутивов Linux, но вместе с тем существуют определенные IoT-устройства, на которых установка агента невозможна из-за аппаратных или программных ограничений.
Следовательно, агенты Sentinel также пассивно «слушают» широковещательный трафик от любых новых устройств, а затем активно сканируют эти устройства в поисках дополнительной информации. Эти параметры сканирования легко настраиваются по подсетям, поэтому администратор контролирует, что сканируется, когда и каким методом.
Эта информация агрегируется и используется вместе с данными о MAC-адресах. В этот момент в работу включается сервис SAM Seamless Network. SAM предоставляет цифровые отпечатки на основе MAC-адресов для десятков тысяч моделей устройств (смартфоны, IoT-устройства и т. д.), которые обычно встречаются как в малых, так и в крупных сетях. Алгоритмы SAM постоянно учатся снимать цифровые отпечатки с устройств, основываясь только на их MAC-адресе. Благодаря сотрудничеству с SAM, SentinelOne дополнила свою облачную систему фингерпринтинга на основе ИИ базой профильных знаний, собранную SAM c миллионов подключенных устройств по всему миру.
SentinelOne следит за тем, чтобы модель ИИ Ranger не слишком полагалась на настроенные вручную правила или префиксы MAC-адресов. Такое переобучение помешает модели выявлять закономерности. Модели, основанные только на настраиваемых вручную правилах, требуют больших затрат на разработку, обслуживание и улучшения, в то время как система фингерпринтинга SentinelOne становится умнее с каждым новым проанализированным устройством. Клиентам SentinelOne достаточно включить Ranger, и искусственный интеллект сразу же начнет свою работу.
Заключение
Благодаря улучшенному фингерпринтингу устройств клиенты смогут эффективнее защищать свои сети. Более точная классификация IoT-устройств в сети обеспечивает полное понимание риска, что позволяет лучше спланировать корректирующие действия.
Выявляйте пробелы в развертывании агентов, оценивайте уязвимость к атакам на устройства (например, Ripple20), а также предотвращайте компрометацию уязвимых устройств.
Благодаря Ranger можно:
- выявлять и классифицировать новые устройства в своей сети, в т.ч. «умные вещи»,
- отмечать устройства как Not Trusted (недоверенное), Suspicious (подозрительное) или Allowed (разрешенное) по результату проверки,
- изолировать недоверенные устройства,
- удаленно устанавливать агенты SentinelOne на доверенные устройства,
- проводить расследования и осуществлять хантинг по IoT-устройствам,
- помечать устройства тегами для их группировки.
Демо и бесплатное тестирование SentinelOne
Заинтересованы? Закажите демонстрацию, расчет цен или тест SentinelOne по ссылке ниже.