SentinelOne setzt auf autarke Endpunkte

KI-basierte Angriffsabwehr

05. Juni 2020, 12:00 Uhr   |  Wilhelm Greiner

KI-basierte Angriffsabwehr
© SentinelOne

Im Frühjahr hatte SentinelOne unter dem Namen Singularity eine KI-basierte Lösung zur Bedrohungsabwehr vorgestellt. Security-Anbieter, die den Einsatz künstlicher Intelligenz für sich reklamieren, gibt es jedoch wie Sand am Meer – auf das Green- und Cloudwashing früherer Tage ist längst das AI-Washing gefolgt (AI: Artificial Intelligence). Deshalb ließ sich LANline nun von Matthias Canisius, Regional Director Central and Eastern Europe bei SentinelOne, die Funktionsweise und Besonderheiten der Abwehrplattform erläutern. Der Ansatz hat durchaus seinen Reiz.

SentinelOne ist ein israelisch-amerikanischer IT-Sicherheitsspezialist mit typischer Arbeitsteilung: Entwicklung in Israel, nomineller Hauptsitz in Kalifornien, vor allem zu Vertriebszwecken, kann man doch als ausländisches Security-Unternehmen in den USA weder Blumen noch Topf gewinnen. Seine KI-gestützt operierende XDR-Lösung (Detection and Response für „X“, also „Beliebiges“) hat der Anbieter aus Tel Aviv/Mountain View „Singularity“ genannt, nach dem Zeitpunkt, an dem die KI einst die menschliche Intelligenz überflügeln wird.

Konzipiert ist Singularity als zentrale Security-Plattform, die die Analyse von Daten aus Lösungsbausteinen für den Endgeräteschutz (Endpoint Protection Platform, EPP), für die Abwehr von Angriffen auf Endpunkte (Endpoint Detection and Response, EDR), IoT-Sicherheit und neuerdings auch noch Cloud-Absicherung (Cloud Workload Protection Platform, CWPP) aggregiert (LANline berichtete). Die Software analysiert Angriffsdaten mittels Machine Learning (ML) und leitet daraus Abwehrmaßnahmen ab, die sie autonom umsetzen kann.

SentinelOnes EPP-Baustein soll dabei Angriffe verhindern helfen, sorgt zugleich aber laut Hersteller auch für die Echtzeit-Forensik und die richtliniengesteuert automatisierte Reaktion. Das EDR-Tool ActiveEDR wiederum ermögliche Sicherheitsteams, Ablauf und Ursachen einer Bedrohung zu verstehen und schnell zu reagieren, bis hin zum Threat Hunting in verschlüsseltem Datenverkehr. Das Modul Ranger dient dem Schutz von IoT-Umgebungen per Erkennung unerwünschter oder ans Internet angebundener Geräte sowie mittels Segmentierung, das jüngst hinzugekommene CWPP-Tool zielt laut Hersteller auf die Absicherung von Linux-Plattformen, physischen und virtuellen Umgebungen, Cloud-nativen Workloads und Kubernetes-Containern, auch hier bis zu autonomen Abwehrmaßnahmen.

SOC-Analyst auf dem Endpunkt

Die Besonderheit: Die ML-basierte Angriffserkennung und -abwehr erfolgen nicht zentralisiert im Datacenter oder SOC (Security Operations Center, d.Red.), sondern mittels einer autarken Client-Software lokal auf dem Endpunkt, sei es ein Windows-PC oder ein Docker-Container. „Bei unserer Lösung sitzt sozusagen ein kleiner SOC-Analyst auf jedem Endpoint“, erklärt SentinelOne-Manager Matthias Canisius. „Dadurch brauchen wir für die Analyse keine laufende Cloud-Anbindung.“

Dank ihrer KI/ML-Basis müsse die Software auch keine Virensignaturen up-to-date halten: „Es werden lediglich die mathematischen Modelle aktualisiert, das erfolgt alle sechs bis zwölf Wochen.“ Dadurch eigne sich die Lösung auch für Einsatzfälle, bei denen ein System wochen- oder gar monatelang ohne Internet-Connectivity auskommen muss. Das betrifft zum Beispiel Containerschiffe oder abgelegene Baustellen.

Zur Angriffs- oder Malware-Erkennung erstellt die SentinelOne-Software ein Scoring auf Basis des Prozessverhaltens. Dadurch erkenne sie auch unbekannte Angriffe und dateilos operierende Malware, die sich einer Dateianalyse entziehen würde, betont Canisius. Da nur die Ausführung der ML-basierten Angriffserkennung – und natürlich nicht das extrem rechenintensive Training der ML-Modelle – lokal erfolgt, erzeugt die Client-Software laut Canisius nur ein bis zwei Prozent CPU-Last auf dem Endpunkt. Zentralisiert ist dabei laut dem SentinelOne-Mann lediglich das Management mittels eines Web-basierten Servers, der die Agentendaten sammelt.

SentinelOne indiziert und analysiert das Endpunktverhalten auf Prozessebene. Die Prozesse werden dazu laut Canisius nach einer Reputationsanalyse ganz normal nativ ausgeführt, also ohne Einsatz eines Sandbox-Verfahrens. Bei zweifelhaftem Verhalten – sprich: Überschreitung eines Scoring-Werts – stoppe die Client-Software den Prozess ohne Zeitverzug selbsttätig und stelle bei Bedarf den vorherigen Status ebenfalls ohne menschliche Intervention wieder her. „Dadurch ist dies auch für den Mittelstand eine extrem elegant zu betreibende Lösung,“ so Canisius, insbesondere wenn ein KMU die Angriffsabwehr als MDR-Service (Managed Detection and Response) an Fachleute auslagere. SentinelOne betreibt einen solchen MDR-Service namens Vigilance. Eine Alternative wäre der Bezug eines solchen Dienstes bei einem örtlichen MSSPs (Managed Security Service Provider).

Im Fall eines terminierten Prozesses erhalte der Anwender eine vom Administrator vorgegebene Benachrichtigung und die Software melde den Vorfall an das vorhandene SIEM-System (Security-Information- und Event-Management). SentinelOne stellt aber auch ein eigenes Management-Tool bereit. In beiden Fällen kann der SOC-Analyst den Ablauf des Angriffs oder der Malware-Aktivität vom Anfangspunkt bis zum Rollback einsehen.

Ergänzend gibt es einen reinen Detection-Modus ohne Rollback. Dieser ist für das SOC-Personal gedacht, das Angriffsverläufe beobachten will, um sie für ihr Threat Hunting zu erfassen. Mittels „True Rollback“-Funktion und individueller Prozess-IDs sei auch eine Wiederherstellung „post mortem“ (nach einem erfolgreichen Angriff und dessen Analyse) möglich. Damit bleibe die Option einer forensischen Untersuchung von Vorfällen gewahrt.

Bei einem Fehlalarm könne der Analyst den Prozess innerhalb von Sekunden auf eine Whitelist setzen. Die False-Positive-Rate des Systems liegt laut Canisius „im unteren Bereich des Industriedurchschnitts“: „Unsere False-Positive-Rate ist extrem niedrig, weil wir die Story (den Ablauf eines Angriffsversuchs, d.Red.) als Ganzes sehen.“

Eine bei Unternehmen derzeit besonders gefürchtete Angriffsart ist Erpressersoftware (Ransomware). „Auch bei Ransomware betrachten wir den Prozess von Anfang bis Ende“, erläutert der SentinelOne-Manager. „Einen schlecht gemachten Exploit erwischen wir sofort, andere Ransomware, wenn sie Kontakt mit dem C2-Server aufnimmt, Code aus dem Internet nachladen will oder versucht, die Volume Shadow Copies von Windows zu löschen.“ Denn die Abläufe einer Malware seien schließlich immer die gleichen, auch wenn Einfallstore und Details variieren. „Ein befallenes System können wir innerhalb von 30 Sekunden wiederherstellen“, versichert Canisius. „Wir terminieren den schädlichen Prozess und führen einen Rollback durch. Das ist möglich, weil ja die Volume Shadow Copies nicht gelöscht wurden.“ Ein solches Rollback auf Prozessebene – also nicht des gesamten Rechners – beherrsche die Lösung inzwischen für beliebige Angriffsabläufe, so der SentinelOne-Mann.

Die Software ist laut Canisius mit Blick auf den Einsatz bei MSSPs mandantenfähig, die Mandantentrennung erfolge auf Datenbankebene und mittels dynamischer AD-Gruppen. Lizenziert wird pro Endpunkt mit der üblichen Rabattstaffelung. Die Lizenzvarianten unterteilen sich in Core (reine Erkennung als Ersatz für eine Antivirensoftware), Control (mit Zusatzfunktionen wie Firewall-Kontrolle) und Complete (inklusive der gesamten oben beschriebenen EDR-Funktionalität). Für MSSPs gibt es separate Lizenzierungsmodelle. Der Vertrieb erfolgt ausschließlich indirekt.

In Deutschland ist SentinelOne seit drei Jahren tätig. Zu den ersten „Leuchtturmprojekten“ hierzulande zählen laut Canisius die Provinzial Versicherungen, in den USA habe man bereits zahlreiche namhafte Referenzkunden, darunter den Netzbetreiber AT&T.

Weitere Informationen finden sich unter www.sentinelone.com.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

SentinelOne

SentinelOne

Endpoint Security