SentinelOne is de flight recorder voor bescherming van endpoints

Abonneer je gratis op Techzine!

Om echt succesvol te worden in de drukke en competitieve security-markt, moet je een uniek verhaal hebben. SentinelOne heeft dat, op meerdere vlakken. Dat is althans wat André Noordam, Director Sales Engineering bij de leverancier, ons vertelt. Daar horen we uiteraard graag meer over. Wat volgt is een gesprek over agents, flight recorders, storylines en singularities, waaruit duidelijk naar voren komt wat SentinelOne onderscheidt in de markt.

SentinelOne is sinds oprichting in 2013 een security-aanbieder gericht op endpoints. Dat is nog steeds zo, al is het wel goed om even scherp te krijgen wat tegenwoordig endpoints zijn. Het gaat hierbij namelijk niet alleen om pc’s, laptops en andere devices. Ook IoT-endpoints horen erbij, evenals cloud workloads in bijvoorbeeld Kubernetes-omgevingen.

Voor deze omgevingen heeft SentinelOne een enkele agent ontwikkeld die niet alleen NGAV (Next-Gen Antivirus) en EDR (Endpoint Detection and Response) omvat, maar ook opschoning biedt nadat de malware van het endpoint is verwijderd. Deze agent installeer je op ieder endpoint dat je wilt beschermen. In het geval van IoT kan dit niet altijd, dan installeer je het op het systeem/endpoint dat er zo dicht mogelijk in de buurt is.

Als we het hebben over de enkele agent van SentinelOne, benadrukt Noordam vooral de mogelijkheden die deze biedt voor containers in Kubernetes-omgevingen. Andere leveranciers die bescherming zeggen te bieden voor deze omgevingen, doen vaak een quickscan op het moment dat de container opgestart wordt, geeft hij aan. SentinelOne pakt dit anders aan. Hun agent monitort ook deze omgevingen continu.

Geïntegreerde opschoning

De combinatie van NGAV en EDR die SentinelOne biedt is al best bijzonder, maar zeker niet uniek in de markt. Het unieke zit hem toch vooral in de combinatie met de opschoning. Niemand kan dat bieden, stelt Noordam zonder aarzelen. Met opschoning bedoelt hij hier het verwijderen van zaken zoals aangepaste registry keys, door malware geïnstalleerde software en andere aanpassingen gedaan door malware op systemen en omgevingen.

Deze geïntegreerde opschoning is volgens Noordam een grote reden voor veel klanten om de overstap naar SentinelOne te maken. Dat maakt de claim dat zij daar uniek in zijn ook meteen een stuk sterker. Het is niet alleen SentinelOne zelf die het zegt, maar de klanten vinden dat dus kennelijk ook.

Verder is het ook nog goed om te weten dat de drie componenten (NGAV, EDR, opschoning) niet alleen vanaf een enkele agent opereren. Alles wat nodig is om het werk te kunnen doen, zit ook ingebakken in de agent. Dat betekent dat SentinelOne geschikt is voor gebruik in omgevingen met weinig of geen beschikbare bandbreedte. Dit betekent overigens niet dat de agent bijzonder zwaar is. Volgens Noordam is de impact ervan op de machine waar hij op draait beperkt: 1 procent CPU-gebruik en 200 MB geheugen. De agent wordt ook niet zwaarder of groter na verloop van tijd. Aangezien hij gebruikmaakt van AI/ML, downloadt hij geen signatures en breidt dus ook niet uit.

Flight recorder

Tijdens het gesprek gebruikt Noordam met enige regelmaat de term flight recorder als het gaat om het functioneren van de agent. Dat is eigenlijk de beste manier om naar SentinelOne te kijken. Doordat je deze flight recorder installeert, heb je de hele keten continu inzichtelijk. Hij houdt immers alles continu bij. Het idee is dat je hiermee niet alleen veel sneller detecteert dat iets niet in de haak is. Je kunt ook sneller herstellen van een aanval.

Ter illustratie van dat laatste haalt Noordam een ransomware-aanval aan. Dat blijft nog altijd een grote uitdaging, zeker in SMB en het middensegment, stelt hij. Om ransomware te lijf te gaan, heeft SentinelOne een roll-back technologie ontwikkeld. Hiermee kun je een aanval dus zelfs terugdraaien nadat deze is uitgevoerd. Je zet met behulp van deze technologie alleen de data terug die de aanvallers versleuteld hebben, uit een beschermde back-up. Dankzij de flight recorder van SentinelOne, heb je ook meteen inzichtelijk welke back-up je moet hebben. Deze houdt immers alles continu bij, dus je weet precies wanneer de getroffen data nog wel gezond was. De rest van je data hoef je niet terug te zetten uit een back-up en blijft dus up-to-date.

De agent van SentinelOne kijkt overigens niet zozeer naar de data bij het bijhouden van wat er gebeurt in een omgeving. Het gaat veel meer om het kijken naar gedragingen, iets waar AI en ML uiteraard zeer geschikt voor zijn. Daarmee kun je al veel aanvallen (deels) afslaan voordat ze echt gevaarlijk kunnen worden. Je zou dit ‘protection 2.0’ kunnen noemen, waarbij je niet zozeer verhindert dat kwaadwillenden in je omgeving komen, maar wel dat ze er iets schadelijks uit kunnen richten.

Storyline

Met alleen een flight recorder ben je er nog niet. Je houdt dan weliswaar continu alles in de gaten, maar dit levert niet meteen nuttige inzichten op. Met andere woorden, data verzamelen is niet zo ingewikkeld, je krijgt pas inzichten als je deze data kunt duiden. Daarvoor is context nodig. Noordam noemt dat tijdens ons gesprek de storyline. Ook hierin is SentinelOne volgens hem uniek.

Met een storyline bedoelt Noordam dat het mogelijk is om te vergelijken met een startpunt. In het ransomware-voorbeeld hierboven is dat startpunt bijvoorbeeld het moment dat de gegijzelde data nog niet versleuteld was. Wil je een dergelijke context creëren met behulp van andere technologieën, dan heb je volgens hem allemaal losstaande elementen nodig. Een SOC-medewerker moet de storyline zelf bij elkaar puzzelen op basis van de output van die losse elementen. Dat is een behoorlijke klus, die tijd kost. Tegen de tijd dat de medewerker het ‘verhaal’ heeft geschreven, is de malware alweer een stuk dieper en breder verspreid.

De storyline-benadering van SentinelOne werkt ook erg goed tegen dechainen, geeft Noordam aan. Hiermee doelt hij op pogingen van hackers om technologie en analisten zand in de ogen te strooien door onderdelen van de omgeving tijdelijk los te koppelen. Dit kan door een reboot zijn, of door een device dagen of zelfs maanden in slaapstand te zette. Het resultaat is dat een hacker onder de radar kan blijven. Dit dechainen is met de technologie van SentinelOne volgens Noordam extreem lastig in te zetten. Ook na een reboot of een slaapstand van dagen, weken of maanden, kan de technologie van SentinelOne nog altijd de volledige storyline inzichtelijk maken.

Een voordeel van een flight recorder met een storyline is dat je veel effectiever bent in het oplossen van security-problemen. Dat niet alleen, geeft Noordam aan, meer mensen in organisaties kunnen zich hierdoor bezighouden met security. Je hebt niet meer per se het extreem hoge niveau nodig van de medewerker die alles bij elkaar moet puzzelen. Dat is zeker in een markt waarin mensen met een dergelijk niveau schaars zijn, een groot pluspunt. Let wel, voegt hij eraan toe, een eenvoudiger instapniveau betekent niet dat je beperkt bent in wat je met het platform van SentinelOne kunt beschermen.

Modulair SentinelOne Singularity-platform

Nu we de basis van de benadering van SentinelOne scherp hebben, willen we ook even kijken naar wat het bedrijf nu daadwerkelijk aanbiedt. Daarvoor komen we bij de laatste belangrijke term, namelijk Singularity. Dat is het platform van SentinelOne, waarop het alle producten en diensten bouwt. Met dit platform verbreedt SentinelOne de scope, geeft Noordam aan. Het is niet meer alleen op enkele endpoints gericht, maar kan nu ook XDR bieden. Hiermee voeg je zaken zoals EDR, NTA en SIEM samen in een gelaagde benadering. De recente overname van Scalyr speelt uiteraard ook een belangrijke rol in het uitbouwen van dit aanbod.

SentinelOne heeft overigens zeker niet als doel om alles zelf te doen met het Singularity-platform. Het bedrijf doet dan ook mee aan het OpenAPI-initiatief. Hiermee kunnen organisaties het platform koppelen aan andere data lakes, bijvoorbeeld van endpoint management oplossingen.

Het Singularity-platform zelf is modulair. Dit maakt het volgens Noordam efficiënt en effectief voor zowel kleine als grote bedrijven. Wil je alles, dan kies voor Singularity Complete, ben je in eerste instantie alleen maar op zoek naar NGAV, dan kun je Singularity Core afnemen. Verder heb je dan ook nog Singularity Cloud, voor als je workloads in containers in de cloud wilt beschermen, en Ranger IoT, waarmee je inzicht krijgt in je netwerk. Op een groot netwerk vind je namelijk altijd behoorlijk wat endpoints zonder beveiliging. Noordam heeft gevallen gezien van grotere klanten waarbij dit opliep tot 10 procent van de endpoints.

De modulariteit is er dus primair om zoveel mogelijk potentiële klanten meerwaarde te kunnen bieden. Aan de basisbescherming verandert de keuze van ‘smaak’ Singularity overigens niets, benadrukt Noordam. Het verschil zit vooral in het gebruiksdoel. Threat hunting is bijvoorbeeld niet bijster interessant voor kleinere bedrijven, ook al zouden ze er de resources voor hebben. Dat zit dan ook niet in Singularity Core, maar wel in de uitgebreidere variant.

‘The sky is the limit’

Het idee is dat alle organisaties vanaf zo’n 100 endpoints bediend kunnen worden met het Singularity-platform. Een bovengrens is er niet, geeft Noordam aan. Dankzij de onderliggende architectuur en de focus op SaaS, kan het platform meeschalen met organisaties. Uiteindelijk haal je het meest uit het platform als je dit als dienst afneemt, als het gaat om zichtbaarheid en schaalbaarheid. SentinelOne biedt het Singularity-platform echter ook aan voor on-premises omgevingen, voor organisaties waarbij SaaS simpelweg niet kan of mag. Tot slot is het goed om te vermelden dat het platform multi-tenant ondersteunt. Het beheer van de omgeving in een gedeeld platform kun je hiermee delegeren. Als reseller kun je er relatief eenvoudig diensten op leveren en doorverkopen.

Al met al heeft SentinelOne wat ons betreft zeker een uniek verhaal, waarmee het zich onderscheidt in de markt. De modulaire platformbenadering zorgt ervoor dat Singularity voor organisaties van allerlei formaten en in allerlei sectoren potentieel interessant is. De ontwikkeling van wat ermee mogelijk is, zal ook zeker niet stilvallen, getuige de overname eerder dit jaar van Scalyr. We kunnen ongetwijfeld nog veel meer verwachten van SentinelOne in de toekomst.