СТАТЬЯ

Блокировка атак с SentinelOne: как работает защита облачной инфраструктуры на основе ИИ

В этой статье вы узнаете, как Singularity Cloud Security объединяет быстрые аналитические данные и реализацию ценности безагентного CNAPP с мощностью остановки и проведения цифровой экспертизы агента исполнения, чтобы обеспечить защиту на базе искусственного интеллекта для современных облачных операций.

Illustration

Эксперты SentinelOne готовят к публикации первый в 2024 году ежегодный отчет о безопасности облака. Исследуя рынок, они увидели, что специалисты по безопасности облачных сред утопают в данных, но им не хватает понимания, какие именно процессы происходят. Хотя много точечных облачных решений, таких как управление состоянием безопасности (CSPM), обнаружение и реагирование (CDR) и платформы защиты облачных нагрузок (CWPP), теперь употребляются повсеместно, организации все еще борются с информационными хранилищами, пытаясь найти смысл в длинном списке уведомлений о безопасности облака.

Решение SentinelOne CNAPP на базе ИИ, Singularity Cloud Native Security (CNS), помогает решить эти проблемы. SentinelOne консолидирует данные безопасности из внутренних и посторонних источников безопасности в единое озеро данных Singularity.

В этой статье вы узнаете, как Singularity Cloud Security объединяет быстрые аналитические данные и реализацию ценности безагентного CNAPP с мощностью остановки и проведения цифровой экспертизы агента исполнения, чтобы обеспечить защиту на базе искусственного интеллекта для современных облачных операций.

  • Как безагентная защита облачной инфраструктуры помогает понять логику хакера

Singularity Cloud Native Security (CNS) от SentinelOne – это безагентный CNAPP, использующий уникальный механизм Offensive Security Engine™. Он действует подобно атакующему, автоматизируя проверку безопасности облака методом red teaming и предоставляя подтвержденные фактами выводы. Эксперты SentinelOne называют их Verified Exploit Paths™. CNS выходит за рамки простого графического отображения путей атак, автоматически и безопасно находит проблемы, проверяет их и предоставляет доказательства.

Например, Offensive Security Engine может сообщить: «Обнаружена неправильно настроенная виртуальная машина Amazon EC2. Нам удалось получить доступ к нашему тестовому серверу C2 и установить случайный файл. Вот доказательство – ...»

Благодаря этому специалисты по безопасности облака могут лучше расставить приоритеты в своей рабочей нагрузке и сосредоточиться на действительно важном, а не дрейфовать в море теоретических проблем.

Кроме обнаружения и предоставления доказательств об открытых путях атаки, CNS предлагает целый комплекс функций CNAPP для мультиоблачной среды. Вот лишь некоторые из них:

    icon
    Управление безопасностью облачных сервисов (CSPM) содержит более 2000 встроенных проверок конфигурации ресурсов с поддержкой собственных политик.  
    icon
    Сканирование секретов – CNS содержит более 750 типов секретов облака и ключей доступа. Это на порядок выше, чем предлагает большинство других решений.  
    icon
    Безагентное сканирование уязвимостей для развернутых виртуальных машин, контейнеров и реестров для обнаружения известных уязвимостей.  
    icon
    Сканирование IaC – позволяет выявлять проблемы на этапе предпродакшена в шаблонах IaC с помощью более 700 проверок популярных фреймворков IaC, таких как Terraform, CloudFormation и т.д.  
    icon
    Безопасность контейнеров и Kubernetes (KSPM) – выявляет роли со слишком высоким уровнем разрешения, открытые API и многое другое.  
    icon
    Обнаружение и реагирование в облаке (CDR)
    icon
    Graph Explorer визуализирует пути атак и упрощает анализ. Графический запрос относительно уязвимостей одновременно интуитивно понятный и мощный. 
  • Безопасность работы в режиме реального времени

Вместе с CNS, клиенты также могут получить значительные преимущества от Singularity Cloud Workload Security (CWS). CWS – это защита нагрузки в облаке в режиме реального времени (CWPP) для гибридных облачных сред. CWS обнаруживает и останавливает атаки во время выполнения, такие как атаки нулевого дня, программы-вымогатели и бесфайловые эксплойты. Двумя основными преимуществами агента CWPP является выявление угроз в режиме реального времени и реагирование на них, а также получение данных о рабочей нагрузке с целью проведения ретроспективного анализа.

  • Важность защиты от угроз в режиме реального времени

Почему такой упор на защите в режиме реального времени?

Атаки при выполнении автоматизированы – они происходят и распространяются в считанные секунды. Пример – атака при выполнении на AWS Fargate в Amazon ECS. Если коротко – злоумышленник использует известную уязвимость и получает доступ к инфраструктуре C2. Он подсоединяет скомпрометированную рабочую станцию, чтобы удаленно запустить вредоносный скрипт, который в свою очередь запускает скрипт python, выполняющий вредоносное ПО, закодированное в base64. Вся последовательность атаки происходит в считанные секунды.

Чем дольше атаке разрешено развиваться, тем дороже и сложнее будет ее устранение. Это не только интуитивно понятно, но и подтверждается данными ежегодного отчета IBM X-Force Cost of Data Breach Report. Только агент может обеспечить обнаружение и реагирование на угрозы в реальном времени.

  • Важность журнала криминалистических данных

Когда происходит атака во время выполнения, специалистам по реагированию на инциденты требуется запись телеметрии рабочей нагрузки для проведения анализа. Понимание первопричины инцидента является основой для определения его решения. Только агент CWPP может наблюдать и записывать телеметрию на уровне ядра.

CWS обеспечивает защиту в режиме реального времени при выполнении рабочих нагрузок как в публичном, так и в частном облаке. Рассматривая, например, AWS, независимо от того, работают ли эти рабочие нагрузки на Amazon EC2, Amazon ECS или EKS, или даже на AWS Fargate, SentinelOne обеспечивает проверенную производительность, которая:

Основана на искусственном интеллекте

Использует архитектуру eBPF с 2019 года

Легко разворачивается

  • icon

    Безопасность данных на основе ИИ для Amazon S3

Amazon S3 (Simple Storage Service) – одна из самых популярных служб AWS. Это сервис объектного хранилища, предлагающий ведущие в области масштабируемость, доступность и производительность. Чтобы предотвратить превращение хранилищ S3 в плацдарм злоумышленников, где они могут размещать вредоносное ПО, а также чтобы минимизировать риски потери данных, компания SentinelOne запустила систему обнаружения угроз для Amazon S3 (TD4S3).

TD4S3, входящая в состав продуктовой линейки Singularity Cloud Data Security, обеспечивает защиту со скоростью работы машинного обучения. Эта система обнаруживает и удаляет вредоносное программное обеспечение из хранилищ S3. Новые файлы сканируются автоматически, а существующие можно проверять вручную при необходимости. Все сканирование файлов происходит локально, поэтому никакая конфиденциальная информация никогда не покидает AWS-сеть организации.

TD4S3 использует собственный статический механизм обнаружения на базе ИИ от SentinelOne, обученный почти миллиарду образцов вредоносного программного обеспечения за последние 10 лет. Любые вредоносные файлы автоматически шифруются и помещаются в карантин. Гибкие политики автоматически обнаруживают хранилища S3 в больших масштабах, так что вам не нужно называть их по одному.

  • Вывод

Singularity Cloud Security – это уникальный подход SentinelOne к CNAPP (платформе защиты приложений, ориентированных на облако). Решение объединяет лучшие возможности без агентов и на основе агентов, чтобы обеспечить непревзойденную производительность и удобство. Cloud Native Security (CNS) – это компонент без агентов, использующий мышление атакующего, помогая специалистам по безопасности облака сосредоточиться на подтвержденных проблемах и уязвимостях. Все решения Singularity Cloud Security являются неотъемлемой частью Singularity-платформы от SentinelOne и озера данных Singularity для обеспечения единой видимости и аналитики на основе искусственного интеллекта.

Чтобы получить консультацию по SentinelOne, напишите нам:
moc.hcetokab%40enolenitnes