自律型エンドポイントセキュリティ
SentinelOne | SentinelOne Endpoint Protection Platform
身代金要求型のランサムウェアや仮想通貨発掘のリソースを掠め取るマイニングマルウェア等、時代とともに外部からの攻撃は多様化しています。また、1日あたり作成されるウィルスの数は数万以上だと言われています。
そこで、洗練された機械学習による防御と検知、高度な自動対応をマシンスピードで実現する自律型エンドポイントセキュリティ製品「SentinelOne Endpoint Protection Platform」が誕生しました。
この製品は、セキュリティ対策に求められるあらゆる機能を完備しています。外的脅威からの防御から検知、調査だけでなく、軽減、復旧まで行うので、セキュリティ担当者の大幅なリソース削減を実現します。
SentinleOne Endpoint Protection Platformは、EPP + EDRを開発コンセプトとしたエンドポイントセキュリティ製品です。EPPでは静的解析エンジン、及び動的解析エンジンが並行稼働し、実行形式ファイル型マルウェアから、エクスプロイト、マクロ、PowerShell等を使ったファイルレス攻撃まで、あらゆる攻撃を効果的に防御します。EDRではインシデント発生時の詳細なログ収集により攻撃内容の可視化、また、全端末のIOC情報を常時収集することにより組織内の横断的なサーチを行うことが可能です。
現実的で厳密なサイバーセキュリティテストを提供するSE Labsは、SentinelOneに対し、サイバー犯罪者や他の攻撃者がシステムやネットワークを侵害するのと同様の手法でシステムを侵害し、標的のネットワークに侵入するように設計した様々なハッキング攻撃の検証テストを実施しました。
検証対象内容
・⾮常に巧妙な標的型攻撃の検知
・⾮常に巧妙な標的型攻撃の振舞いに対する防御
・脅威による損害やその他のリスクの修復
・正常なアプリケーションやオブジェクトへの対応
正常なファイルを脅威ファイルと共に利用することで、過検知や検知精度に影響を与えるが検証されました。
結果、すべてのアプリケーションを正常に動作させ、さらにすべての攻撃に対しても完全な検知と防御を提供することができました。この結果において高評価を頂き、SE Labs賞(トリプルA)を受賞しました。>>詳細はこちら
では早速、外部からの脅威に晒されたエンドポイントを自律型のセキュリティソリューションがどのように防御・検知・対応するかをご覧ください。
ファイル実行時ではなく、HDDにファイルが書き込まれたタイミングで機械学習エンジンによるスキャンが即時実行されます。マルウェアを検知した場合は、特定ディレクトリへの暗号化隔離されます。
ファイルの実体を伴わないPowerShellを使ったファイルレス攻撃が増加していますが、動的解析エンジンにより検知、防御が可能です。動画の前半部はWindowsDefenderが動作しているものの検知することが出来ません。
マルウェア本体の隔離のみならず、改変されたレジストリキーや一時ファイルの修復、更にランサムウェアに暗号化されたファイルの復旧まで実施します。上記作業を手動で行うには高度な知識や技術を要しますが、SentinelOne Endpoint Protection Platformではワンクリックで完了します。
