Sentinel One - Trabajamos juntos para mejorar la seguridad
El experto en seguridad Brad Gorkan (Vicepresidente de Seguridad en CommScope) nos cuenta que las capacidades de detección y respuesta (EDR) antivirus de puntos finales de próxima generación en SentinelOne son herramientas muy poderosas para la defensa de la seguridad cibernética, lo que permite a los analistas encontrar una aguja en un pajar y luego tomar medidas. Hágalo ahora, con un mínimo esfuerzo.
Aunque estas herramientas tienen un gran potencial, se pueden combinar aún mejor con el conocimiento de los grupos de interés de ciberseguridad y con los analistas de seguridad que toman decisiones especificas e importantes. La mayoría de los expertos pensarían que clasificar el "malware" real como "falso positivo" supone un gran riesgo, pero también existen grandes preocupaciones sobre los "objetos benignos" clasificados como "malware".
En el último caso, el resultado es que el objeto benigno se incluye en la lista negra en todos los extremos del alcance. Si el analista se equivoca, puede colocar contenido que pueda interrumpir el funcionamiento del negocio, como aplicaciones de desarrollo propio necesaria para procesos críticos. Sin embargo, si los objetos está en la mayoría de los puntos finales, este error puede causar graves consecuencias catastróficas.
Reconociendo esto, se me ocurrió, dice Gorkan, un concepto que llamé Guard Rails (traducido al español como Barandas de Seguridad - Barreras de Seguridad - Objeto de Borde), que fue enviado a nuestro equipo de administración de clientes de SentinelOne y finalmente formulé su hoja de ruta. Ahora, unos meses después, esta función está en el producto y se utiliza.
Guard Rails utiliza datos que ya existen en la plataforma SentinelOne. Podemos comprobar el historial de la red para ver cuántos otros puntos finales dentro del alcance también han visto alertas similares. Además, SentinelOne ahora tiene un botón central "Buscar ahora" que le permite ver el impacto potencial de agregar cierto contenido a la lista de exclusión (también conocida como la "lista negra").
Estos son datos muy simples, pero vitales. Por ejemplo, si un hash de objeto se encuentra 15 veces en tres dispositivos, se puede inferir que el riesgo operativo de las medidas de mitigación es menor que otro hash encontrado 1,563 veces en 1,560 terminales. En este último caso, el analista sabrá inmediatamente que la exclusión del objeto afectará a una gran cantidad de sistemas. Si el objeto es realmente malicioso, eso es lo que tenemos que hacer, pero la evaluación de impacto proporcionada por Guard Rails permite a los analistas detenerse para comprender e investigar mejor el tema y los eventos relacionados. Al utilizar datos existentes para proporcionar este cálculo simple, podemos guiar a los analistas a tomar decisiones de mejor calidad.
SentinelOne también integra otro Guard Rail directamente en el flujo de trabajo del analista agregando el hash a la lista negra, incluso cuando el analista excluye la aplicación. Cuando los analistas están a punto de tomar medidas, pueden ir a la lista de amenazas relacionadas con el hash o la "visibilidad profunda" para buscar el hash o la ruta. De esta manera, el analista puede comprender el impacto potencial de la operación antes de realizar la operación. Estas son las nuevas funciones y mejoras de la nueva versión. Esperamos que puedan mejorar tu experiencia.
Creo firmemente que la seguridad de la información es un deporte de equipo. Gracias a este eslogan, las características adicionales de la hoja de ruta incluyen elementos de crowdsourcing que pueden enriquecer aún más la información de los analistas. No termina ahí; utilizando datos existentes, SentinelOne puede proporcionar información agregada (no identificada) de la base de clientes más grande de SentinelOne para proporcionar la siguiente información:
- ¿Otros clientes de SentinelOne también ven esta amenaza?
- ¿Cuántos han tomado medidas de mitigación en el objeto?
Esto, sin duda, ayudará a los analistas a aumentar su confianza en las acciones que emprendan.
Estamos librando una guerra todos los días. Necesitamos buenas herramientas para ayudar a los operadores de seguridad de red a tomar decisiones mejores y más rápidas, y mejorarlas mediante funciones de inteligencia artificial (como las que se encuentran en SentinelOne).
Como industria, también debemos ayudarnos unos a otros y convertirnos en aliados en esta guerra para que podamos tener éxito juntos. En los últimos 6 a 12 meses, he sido testigo de un aumento en este tipo de cooperación entre empresas, grupos corporativos y agencias de aplicación de la ley. Creo que este es el camino correcto y funciona. Me gustaría agradecer a SentinelOne por escuchar mis ideas, usarlas como base y promoverlas rápidamente en el producto.
Nbitek y SentinelOne
SentinelOne Endpoint Protection Platform (EPP/EDR) proporciona prevención, detección y corrección de ataques para todos los vectores principales, rápida eliminación automática de amenazas, capacidades de respuesta impulsadas por políticas y visibilidad del entorno de endpoint, y proporciona un contexto completo y análisis forense en tiempo real.
SentinelOne
