Kde běžný antivirus nestačí, nastupuje SentinelOne

Ochránit firemní sítě a zařízení před kybernetickými hrozbami je stále těžší. Běžné antiviry nestačí včas reagovat na sofistikované útoky a jsou odkázané na databázi známých virů, s níž neustále porovnávají detekované kódy. Jenže než se vzorek nového malwaru dostane do virové databáze antivirové společnosti, může už napáchat spoustu škody. Nemluvě o tom, že mnohé hrozby přichází pozvolna a skrytě: útočník pronikne do firemního systému a záměrně několik týdnů či měsíců nevytváří žádné aktivity, aby poté nečekaně a drtivě udeřil.

Tam, kde končí možnosti klasického antiviru, nastupují řešení komplexního zabezpečení koncových bodů, tzv. Endpoint Detection and Response (EDR) a rozšířené detekce a reakce (XDR). Takovou ochranu představuje například SentinelOne, který na českém trhu nabízí bezpečnostní společnost APPSEC. Funguje na bázi neuronové sítě, čili v podstatě kopíruje cosi jako síť nervových zakončení v mozku, která neustále monitorují chování systému a zvládají nejen detekci kybernetického napadení, ale také pomoc se zastavením již probíhajícího útoku dříve, než dojde k odcizení citlivých dat nebo narušení aktivit společnosti.

Na rozdíl od běžných antivirových řešení SentinelOne nevyužívá k identifikaci podezřelého chování databáze známých signatur v kombinaci se skenováním souborů na koncové stanici. Protože než se informace o novém viru dostane do databáze antivirové společnosti a samotný antivir se aktualizuje, aby tyto hrozby uměl zachytit, je většinou pozdě. Útok je potřeba předvídat, a k tomu je skvělá právě ochrana na bázi neuronové sítě. „Jakmile se objeví infekce, která není v antivirové databázi nebo ve formátu souboru, jsou tradiční řešení většinou bezbranná. Současní hackeři navíc velmi často používají nové typy útoků. Patří sem tzv. file-less útoky přes operační paměť, exploity dokumentů, webových prohlížečů a mnoho dalšího,“ vysvětluje Adam Paclt ze společnosti APPSEC.

Díky technologii, která imituje síť nervových buněk, však SentinelOne nespoléhá pouze na signatury, ale pro účely detekce využívá množství pokrokových technik včetně behaviorální analýzy. Proto je toto řešení schopné odhalit podezřelé vzory chování a v reálném čase je zastavit. Kontroluje koncové stanice, cloudové pracovní zátěže, síťové e-maily další zdroje napříč organizací, přičemž analyzuje kód, síťový provoz i chování uživatelů. Jakmile narazí na nějaké anomálie v systému, okamžitě se na ně soustředí a prověří je. V průběhu času totiž sleduje běžný provoz a dokáže odhalit jakékoli odchylky. Jde tedy o jednu z nejvyšších dostupných úrovní kybernetické ochrany.

SentinelOne je cloudová služba, na kterou jsou napojeny agenti instalovaní v jednotlivých koncových bodech nebo serverech firmy. Dokáže odhalit a zastavit útok zcela autonomně a bez nutnosti intervence administrátora či jiného uživatele. Dokonce zakročí i proti samotnému administrátorovi systému, pokud se chová podezřele. Z principu totiž považuje všechny pracovní zátěže, uživatele, koncové stanice a aplikace za nedůvěryhodné. Chcete se o SentinelOne dozvědět více? Navštivte stránku
www.appsec.cz/cs/produkty/sentinelone.