SentinelOne Singularity XDR è una delle migliori piattaforme per la sicurezza informatica aziendale che semplifica la protezione in chiave d’approccio “moderno attuale” degli endpoint, utilizzando tecnologia Cloud attraverso un’unica piattaforma centralizzata e autonoma per la cyber security di largo perimetro, per la sua natura come prodotto è indicato per le medie imprese e grandi realtà.
Prodotto dall’omonima azienda, SentinelOne Singularity XDR è già sul mercato ormai dal 2013, un tempo di maturazione sufficiente per analizzarne in dettaglio le sue indiscutibili qualità.
Indice degli argomenti
Panoramica sulla piattaforma di difesa e sue integrazioni
La piattaforma SentinelOne Singularity XDR gioca con buona interazione tra Cloud, endpoint e rete per fornire visibilità completa e unificata sullo stack tecnologico.
Il suo lavoro inizia con la raccolta e l’analisi dei dati, creando il contesto indipendentemente dall’origine dell’evento quando viene rilevato e continua attraverso la risoluzione, consentendo di intraprendere le azioni appropriate per risolvere le minacce in modo tempestivo.
La stretta integrazione con una serie di applicazioni, strumenti e servizi di terze parti è consentita attraverso il marketplace Singularity, che presenta connettori selezionati per Splunk, Okta, Microsoft, AWS, IBM Security, ServiceNow e molti altri.
La tecnologia Storyline a sua volta viene sfruttata durante tutto il processo per creare un prodotto finale ricco e utilizzabile che fa da guida attraverso la fase di risposta all’incidente. Essa ha la flessibilità necessaria per acquisire e combinare dati di terze parti al suo interno e acquisisce in modo semplice e tempestivo dati di sicurezza da qualsiasi fonte, offrendo agli analisti visibilità sull’intero perimetro difeso e vigilato.
SentinelOne Singularity XDR: come si integra all’interno delle aziende
Si tratta di un prodotto orizzontale che ha la capacità di correlare gli eventi della telemetria nativa e di terze parti, in modo di mettere assieme i dati di un attacco attraverso il tuo stack di sicurezza, a tutto tondo.
Questo metodo velocizza le indagini accelerando il metodo migliore di risposta per le mitigazioni.
Gli analisti contano con una serie di strumenti per scalare la risposta e la mitigazione a migliaia di endpoint contemporaneamente su qualsiasi sistema operativo.
Il suo Marketplace ha ampie caratteristiche di scelta di sotto applicazioni per le più svariate problematiche e per ogni tipo di topologia di rete e tipologia di dispositivi.
Con questo corredo il prodotto accelera ulteriormente le risposte e tempi di ripristino ad azione dannosa compiuta.
Siamo davanti ad un prodotto che offre supporto per ogni realtà e ogni sistema operativo che offre il mercato, e inoltre supporta carichi di lavoro su applicazioni in container nativi del Cloud e anche realtà in container locali.
Vantaggi come strumento principe per i SOC
Questa piattaforma di difesa si configura come uno strumento eccellente per operazioni di vigilanza informatica e gruppi di lavoro SOC (Security Operation Center), anche distaccati o di operatività remota.
Possiede un virtuoso monitor di periferia chiamato Ranger che mantiene sempre sotto vigilanza e verifica la superficie d’attacco individuando dispositivi non consentiti in rete; inoltre, ha la capacità di fare inventario delle risorse.
Mediante l’applicazione di un’intelligenza artificiale che lavora su basi dati centralizzate di minacce remote, è capace di individuare comportamenti consueti in tempo reale anche alle prime mosse di ransomware, minacce “file less”, e attacchi “LOLbin”.
Lo scopo della funzione StaticAI del prodotto è rilevare i malware generici e di nuova introduzione con un modello di machine learning compatto integrato nell’agente che sostituisce i grandi database di firme utilizzati nei vecchi prodotti antivirus.
Ad ogni modo, l’agente SentinelOne XDR è studiato per funzionare sia online che offline.
Metodi di prevenzione in tempo reale, un vantaggio per l’IT
La piattaforma SentinelOne Singularity XDR adotta un approccio multi-vettore, con l’uso di tecnologie di analisi statica pre-esecuzione mediante la sua AI, come illustrato prima, che sostituiscono le applicazioni antivirus.
Con questa piattaforma è possibile accedere ai dati backend dell’intero sistema aziendale attraverso una soluzione che offre una visione completa della rete e delle risorse.
Stiamo parlando di uno dei prodotti tra i più rodati, testato e garantito, che possa offrire il mercato, di conseguenza in questo articolo non scenderemmo a tematiche di approvazione ma ad una panoramica tecnica del medesimo.
Nei dispositivi, il suo agente risiede in memoria a livello di kernel e monitora i processi in tempo reale. Di questo processo si occupa il motore di rilevamento comportamentale dinamico, che permette alla platea di monitoraggio di vedere esattamente quello che è successo e succede in tempo reale su un endpoint in ogni fase di esecuzione con dati come origine, attività dei processi e dei file, eventi del registro, connessioni di rete ed altro.
SentinelOne può anche sostituire i tradizionali prodotti di analisi del traffico di rete (NTA, Network Traffic Analysis), le appliance per la visibilità della rete (come Forescout) e le piattaforme di threat hunting dedicate. La tecnologia Threat Detection Technology (Intel TDT) basata su hardware che consente scansioni della memoria accelerata è pienamente supportata.
SentinelOne Singularity XDR, i “contro” secondo il punto di vista dei tecnici
I client non possono personalizzare l’algoritmo di machine learning e intelligenza artificiale, in quanto viene dichiarato che non è necessario “addestrare” l’intelligenza artificiale già cablata nel prodotto e nel proprio ambiente.
L’agente di SentinelOne non carica dati su Cloud per cercare degli indicatori di attacco (IoA), né invia codice a un sandbox su Cloud per l’analisi dinamica, questo comportamento potrebbe denotare poca indipendenza del dispositivo creando un vincolo sulla sua protezione centralizzata in azienda.
I “pro” di SentinelOne Singularity XDR: risaltano le sue qualità
Necessita di poco personale per la gestione dei nodi periferici, gli addetti al controllo possono verificare e controllare circa 100.000 nodi per ogni specialista. Va detto che esiste un servizio opzionale di nome Vigilance che integra eventuali carenze su questo profilo da parte delle aziende.
SentinelOne XDR conta con sull’API RESTful ed è dotata di oltre 300 funzioni che permettono l’integrazione con altri prodotti di sicurezza.
La documentazione online della piattaforma è davvero vasta ed esaurisce ogni tipo di necessità informativa in merito.
SentinelOne XDR supporta il framework MITRE ATT&CK sfruttando il sistema comportamentale dinamico per vigilare l’andamento dei processi sugli endpoint protetti.
Ripristinare e riportare un endpoint Windows allo stato precedente all’esecuzione di un processo malevolo è semplicissimo dalla console della piattaforma.
L’agente SentinelOne non rallenta l’endpoint su cui è installato in quanto usa poche risorse, questo denota che se il dispositivo non viene sollecitato dalla piattaforma, talvolta l’AI entro cablata attende sempre istruzioni dall’esterno per modellare il suo metodo di comportamento di fronte al rischio.
Conclusioni
Nulla da dire sulla qualità e l’esperienza di chi lo offre sul mercato, come descritto sopra alcuni piccoli punti andrebbero ritoccati ma nel complesso è una soluzione eccellente di cui già moltissime aziende di spicco si servono, erogando un lavoro encomiabile.
Rimane il nodo del prezzo, che poi ogni realtà vedrà in base alle proprie esigenze e budget.
