СТАТТЯ

Блокування атак з SentinelOne: як працює захист хмарної інфраструктури на основі ШІ

У цій статті ви дізнаєтеся, як Singularity Cloud Security поєднує швидкі аналітичні дані та реалізацію цінності безагентного CNAPP із потужністю зупинення та проведення цифрової експертизи агента виконання, щоб забезпечити захист на базі штучного інтелекту для сучасних хмарних операцій.

Illustration

Експерти SentinelOne готують до публікації перший у 2024 щорічний звіт про безпеку хмари. Досліджуючи ринок, вони побачили, що фахівці з безпеки хмарних середовищ потопають у даних, але їм бракує розуміння, які саме процеси відбуваються. Хоча багато точкових рішень для хмар, таких як управління станом безпеки (CSPM), виявлення та реагування (CDR) та платформи захисту хмарних навантажень (CWPP), тепер є загальновживаними, організації все ще борються з інформаційними сховищами, намагаючись знайти сенс у довгому списку сповіщень про безпеку хмари.
Рішення SentinelOne CNAPP на базі ШІ, Singularity Cloud Native Security (CNS), допомагає розвʼязати ці проблеми. SentinelOne консолідує дані безпеки з внутрішніх і сторонніх джерел безпеки в єдине озеро даних Singularity.
У цій статті ви дізнаєтеся, як Singularity Cloud Security поєднує швидкі аналітичні дані та реалізацію цінності безагентного CNAPP із потужністю зупинення та проведення цифрової експертизи агента виконання, щоб забезпечити захист на базі штучного інтелекту для сучасних хмарних операцій.

  • Як безагентний захист хмарної інфраструктури допомагає зрозуміти логіку хакера

Singularity Cloud Native Security (CNS) від SentinelOne – це безагентний CNAPP, що використовує унікальний механізм Offensive Security Engine™. Він діє подібно до нападника, автоматизуючи перевірку безпеки хмари методом red teaming та надаючи підкріплені фактами висновки. Експерти SentinelOne називають їх Verified Exploit Paths™. CNS виходить за рамки простого графічного відображення шляхів атак, автоматично та безпечно знаходить проблеми, перевіряє їх та надає докази.

Наприклад, Offensive Security Engine може повідомити: «Виявлено неправильно налаштовану віртуальну машину Amazon EC2. Нам вдалося отримати доступ до нашого тестового сервера C2 та встановити випадковий файл. Ось доказ – ...»

Завдяки цьому фахівці з безпеки хмари можуть краще розставити пріоритети у своєму робочому навантаженні та зосередитися на справді важливому, а не блукати морем теоретичних проблем.

Окрім виявлення та надання доказів про відкриті шляхи атаки, CNS пропонує цілий комплекс функцій CNAPP для мультихмарного середовища. Ось лише деякі з них:

    icon
    Управління безпекою хмарних сервісів (CSPM) – містить понад 2000 вбудованих перевірок конфігурації ресурсів із підтримкою власних політик. 
    icon
    Сканування секретів – CNS знаходить понад 750 типів секретів хмари та ключів доступу. Це набагато більше, ніж пропонує більшість інших рішень. 
    icon
    Безагентне сканування вразливостей для розгорнутих віртуальних машин, контейнерів і реєстрів, щоб виявити відомі вразливості. 
    icon
    Сканування IaC – дозволяє виявляти проблеми на етапі передпродакшену в шаблонах IaC за допомогою понад 700 перевірок популярних фреймворків IaC, таких як Terraform, CloudFormation тощо. 
    icon
    Безпека контейнерів і Kubernetes (KSPM) – виявляє ролі з надто високим рівнем дозволу, відкриті API та багато іншого. 
    icon
    Виявлення та реагування в хмарі (CDR)
    icon
    Graph Explorer візуалізує шляхи атак і спрощує аналіз. Графічний запит щодо вразливостей є одночасно інтуїтивно зрозумілим і потужним. 
  • Безпека роботи в режимі реального часу

Разом із CNS клієнти також можуть отримати значні переваги від Singularity Cloud Workload Security (CWS). CWS – це захист навантаження в хмарі в режимі реального часу (CWPP) для гібридних хмарних середовищ. CWS виявляє та зупиняє атаки під час виконання, такі як атаки нульового дня, програми-вимагачі та безфайлові експлойти. Двома основними перевагами агента CWPP є виявлення загроз у режимі реального часу та реагування на них, а також отримання даних про робоче навантаження з метою проведення ретроспективного аналізу.

  • Важливість захисту від загроз у режимі реального часу

Чому такий акцент на захисті в режимі реального часу?

Атаки під час виконання є автоматизованими – вони відбуваються та поширюються за лічені секунди. Приклад – атака під час виконання на AWS Fargate в Amazon ECS. Коротко кажучи, зловмисник використовує відому вразливість та отримує доступ до інфраструктури C2. Він підʼєднує скомпрометовану робочу станцію, щоб віддалено запустити шкідливий скрипт, який, своєю чергою, запускає скрипт python, що виконує шкідливе ПЗ, закодоване в base64. Вся послідовність атаки відбувається за лічені секунди.

Чим довше атаці дозволено розвиватися, тим дорожчим і складнішим буде її усунення. Це не лише інтуїтивно зрозуміло, а й підтверджено даними щорічного звіту IBM X-Force Cost of Data Breach Report. Тільки агент може забезпечити виявлення загроз та реагування на них в режимі реального часу.

  • Важливість журналу криміналістичних даних

Коли відбувається атака під час виконання, фахівцям з реагування на інциденти потрібен запис телеметрії робочого навантаження для проведення аналізу. Розуміння першопричини інциденту є основою для визначення його розвʼязання. Тільки агент CWPP може спостерігати та записувати телеметрію на рівні ядра.

CWS забезпечує захист в режимі реального часу під час виконання для робочих навантажень як у публічній, так і в приватній хмарі. Розглядаючи, наприклад, AWS, незалежно від того, чи ці робочі навантаження працюють на Amazon EC2, Amazon ECS або EKS, або навіть на AWS Fargate, SentinelOne забезпечує перевірену продуктивність, яка:

Заснована на штучному інтелекті

Використовує архітектуру eBPF з 2019 року

Легко розгортається

  • icon

    Безпека даних на основі ШІ для Amazon S3

Amazon S3 (Simple Storage Service) – одна з найпопулярніших служб AWS. Це сервіс об'єктного сховища, що пропонує провідні в галузі масштабованість, доступність і продуктивність. Щоб запобігти перетворенню сховищ S3 на плацдарм зловмисників, де вони можуть розміщувати шкідливе ПЗ, а також щоб мінімізувати ризики втрати даних, компанія SentinelOne запустила систему виявлення загроз для Amazon S3 (TD4S3).

TD4S3, що входить до складу продуктової лінійки Singularity Cloud Data Security, забезпечує захист зі швидкістю роботи машинного навчання. Ця система виявляє та видаляє шкідливе програмне забезпечення зі сховищ S3. Нові файли скануються автоматично, а наявні можна перевіряти вручну за потреби. Усі сканування файлів відбуваються локально, тому жодна конфіденційна інформація ніколи не покидає AWS-мережу організації.

TD4S3 використовує власний статичний механізм виявлення на базі ШІ від SentinelOne, навчений на майже мільярді зразків шкідливого програмного забезпечення за останні 10 років. Будь-які файли, які вважаються шкідливими, автоматично шифруються та поміщаються на карантин. Гнучкі політики автоматично виявляють сховища S3 у великих масштабах, тому вам не потрібно називати їх по одному.

  • Висновок

Singularity Cloud Security – це унікальний підхід SentinelOne до CNAPP (платформи захисту додатків, орієнтованих на хмару). Рішення поєднує найкращі можливості без агентів та на основі агентів, щоб забезпечити неперевершену продуктивність та зручність. Cloud Native Security (CNS) – це компонент без агентів, який використовує мислення нападника, допомагаючи фахівцям з безпеки хмари зосередитися на підтверджених проблемах та вразливостях. Всі рішення Singularity Cloud Security є невіддільною частиною платформи Singularity від SentinelOne та озера даних Singularity для забезпечення єдиної видимості та аналітики на основі штучного інтелекту.
Щоб отримати консультацію з рішень SentinelOne, напишіть нам: moc.hcetokab%40enolenitnes