Security Data Lake krijgt een steeds centralere rol binnen het aanbod van SentinelOne. XDR en het nieuwe Purple AI (een generatieve AI-toevoeging) halen het maximale uit de data in het datalake.
De dagen van de traditionele EPP (endpoint protection), met virusdefinities en -handtekeningen, liggen inmiddels behoorlijk ver achter ons. EPP is er natuurlijk wel nog steeds, en is ook nog steeds belangrijk, maar we zijn inmiddels al via EDR (endpoint detection and response) bij XDR (extended detection and response) aangekomen. Deze ontwikkeling geeft aan dat er steeds meer vanuit een overkoepelend perspectief naar cybersecurity gekeken wordt. Van het beschermen van endpoints (EPP), via detectie en threat hunting van en op endpoints (EDR), naar detectie en respons voor endpoints en alles wat er nog meer in een omgeving aanwezig is (XDR).
SentinelOne speelt al sinds de oprichting een belangrijke rol in de ontwikkeling van EDR en XDR. De ambities van het bedrijf stoppen echter niet bij het ontwikkelen van een XDR-platform, horen we van Sjoerd de Jong, Solution Engineer bij het bedrijf. SentinelOne voegt steeds meer functionaliteit toe, inclusief generatieve AI. Hoe dat allemaal in elkaar zit, lees je in dit artikel.
SentinelOne Security Data Lake
Met een XDR-oplossing van een leverancier zoals SentinelOne heeft een organisatie zonder twijfel een van de meest geavanceerde security tools van het moment te pakken. Dankzij de inzet van AI/ML kunnen dreigingen relatief snel opgespoord worden en met de remediation en rollback-technologie van het platform kunnen organisaties ook snel herstellen als er iets aan de hand is. We doken enkele jaren geleden al eens uitgebreid in het platform van SentinelOne. Lees dat artikel vooral ook even door voor meer achtergrondinformatie.
De wereld stopt echter niet bij SentinelOne. “We weten dat we niet in een greenfieldomgeving terechtkomen”, in de woorden van De Jong. Vandaar dat SentinelOne voorbij het eigen product moest kijken. Er is heel veel data beschikbaar binnen een organisatie die belangrijk kan zijn vanuit security-oogpunt, maar die standaard niet door securitytooling wordt geanalyseerd. Het gaat dan in eerste instantie vooral om data uit andere security-oplossingen die organisaties al hebben draaien. Dat soort data moet een niveau hoger worden geaggregeerd. Dat is wat SentinelOne wil bereiken met Security Data Lake.
Het idee van een security datalake is precies wat je mag verwachten op basis van de naam. Hier moet alle voor securitydoeleinden belangrijke data samenkomen. Zonder een dergelijk datalake is een platformbenadering van security kansloos, geeft De Jong aan. In zijn woorden: “De eerste taak is om alle beschikbare data nuttig te maken en te correleren.” Dat doe je door deze data te ingesten in een platform zoals Security Data Lake. Let wel, dit betekent niet dat de rest van het aanbod van SentinelOne meteen niet meer belangrijk is, voegt De Jong hier meteen aan toe. “XDR en ons datalake zijn onlosmakelijk met elkaar verbonden, deze combineren een plek waar data terechtkomt met actie die ondernomen wordt op basis van de analyse van die data.”
Aggregeren alleen is niet genoeg
Op papier klinkt het optuigen van een security datalake zonder meer als een goed idee. SentinelOne is ook niet de enige die het doet, we zien zelfs datalake-partijen zoals Snowflake soortgelijke dingen doen. Onderaan de streep moet al die data natuurlijk wel iets opleveren. Data verzamelen kunnen we allemaal wel, maar we moeten er ook iets nuttigs mee kunnen doen. Veel organisaties zullen zich vast al eens gestoten hebben aan die steen, bijvoorbeeld met het iets te enthousiast aan de slag gaan met een SIEM-platform. Dat moet met een security datalake dus niet gebeuren.
Om de data die in Security Data Lake terechtkomt optimaal te kunnen gebruiken, is er bij SentinelOne natuurlijk de al eerdergenoemde integratie met het eigen XDR-aanbod. Voordat die integratie optimaal bruikbaar is, moeten er echter nog wel wat stappen doorgelopen worden binnen Security Data Lake, geeft De Jong aan. Daarvoor heeft SentinelOne begin 2021 een gerichte acquisitie gedaan, van Scalyr. Hiermee is het mogelijk om grote hoeveelheden data te importeren, in een hoog tempo te verwerken en te normaliseren.
De Jong wijst in dit opzicht op het belang van dat laatste: “Met name het normaliseren is heel krachtig.” SentinelOne heeft dan ook parsers draaien voor de meeste security-oplossingen. Deze normaliseren ingested data naar het OCSF-formaat, de standaard in de security-industrie. Dit normaliseren is belangrijk, want “niet iedere securityleverancier noemt een computer een computer, soms noemen ze het host of endpoint”, geeft De Jong als voorbeeld. Door dit te normaliseren kan het als een geheel worden aangeboden aan de SentinelOne’s XDR-platform. Het zorgt er ook voor dat je eenvoudig specifieke perspectieven op je omgeving kunt krijgen. Je kunt zo onder andere vanuit het perspectief van het endpoint de zaken bekijken. Dit is belangrijk als je bijvoorbeeld forensische analyse doet. Je ziet vanuit het ene standpunt soms net even andere dingen dan vanuit het andere.
Uiteindelijk is een datalake natuurlijk alleen maar nuttig als er ook de juiste data in staat. Dat houdt in dat het mogelijk moet zijn om alle relevante data te ingesten. Zitten daar geen beperkingen aan? Volgens De Jong is dat in principe niet het geval. Je kunt de integraties via de Marketplace doen, een soort app store. Cloud-to-cloud integraties werken verder vrij standaard via API’s. Voor alles wat niet cloud is, heeft SentinelOne alternatieve methodes. Dit gaat tot aan een collector die de data zelf komt halen. “Zelfs data uit de oudste omgevingen kun je ingesten”, belooft hij. “We hebben de meeste use-cases al gezien”, voegt hij nog toe. Hij durft die stelling dus wel aan.
Van symptoom naar oorzaak
Uiteindelijk moet de beschikbaarheid van SentinelOne Singularity Security Data Lake, in combinatie met de Marketplace en XDR, het werk van analisten aanmerkelijk eenvoudiger maken. Deze kunnen nu meteen alle relevante context zien, is het idee. “Vanuit EDR of EPP weet je het vaak wel dat een melding een symptoom is van iets groters, of dat deze op zichzelf staat”, volgens De Jong. Dat is op zich het probleem niet. Wat dan wel? “De vraag die analisten willen beantwoorden is of de brand geblust is”, geeft hij aan. Die vraag is met bovengenoemde tooling niet eenduidig te beantwoorden. “Het kan zijn dat het om een eenmalig incident op een endpoint gaat, maar XDR-data kan ook aantonen of het bijvoorbeeld om een gecompromitteerde identiteit gaat”, noemt De Jong enkele wat meer specifieke voorbeelden van vragen die kunnen leven binnen een organisatie.
Als je Security Data Lake optimaal inricht en koppelt aan XDR, kun je bovenstaande vragen dus wel beantwoorden, maken we op uit de woorden van De Jong. Als voorbeeld noemt hij een integratie met Proofpoint, een van de belangrijkste spelers op het gebied van email security. “Via deze integratie weet je tot op de email nauwkeurig wat er is gebeurd”, volgens hem. Die integratie geeft je dan ook alleen maar relevante informatie, is de gedachte. Let wel, het platform van SentinelOne doet in dit voorbeeld de correlatie en legt de verbanden. Proofpoint levert in principe alleen de rauwe data, die door een parser gaan en in het datalake stromen.
Bovenstaande klinkt goed, maar is wel erg reactief. Werkt het ook de andere kant op? “Bidirectionaliteit is uiteindelijk zeker de bedoeling”, geeft De Jong aan. Dat is niet zomaar even geregeld natuurlijk. Er zijn echter wel degelijk al response-integraties beschikbaar. Als voorbeeld noemt hij die met Palo Alto Networks. Dankzij die integratie kan SentinelOne URL’s en bestanden terugsturen naar de producten en platformen van Palo. Die informatie kunnen de firewalls van die leverancier dan weer gebruiken om hun bescherming te verbeteren. Dit zorgt voor een effectievere en efficiëntere bescherming. “Je beschermt hiermee de keten”, vat De Jong het samen. Dat is heel belangrijk, want geen enkele securityleverancier kan het alleen, ook al willen sommige wellicht anders doen geloven.
Purple AI, een generatieve security-assistent
Op dit punt in het gesprek merken we op dat dit allemaal goed klinkt, maar dat het er zo ook niet eenvoudiger op lijkt te worden. Het klinkt alsof er alleen maar meer informatie en meldingen naar SOC’s en securityteams komen. Die verdrinken daar vaak al in. Dat realiseren ze zich bij SentinelOne gelukkig ook. Vandaar dat het bedrijf een – hoe kan het ook anders in 2023/2024 – generatieve AI-oplossing heeft. Deze moet het leven van de eerstelijnsspecialist aanzienlijk beter maken, horen we van De Jong.
Purple AI – zo heet de nieuwe oplossing/dienst – is onderdeel van Security Data Lake. Iedere Security Data Lake-klant kan toegang krijgen tot Purple AI. Het model erachter heeft SentinelOne zelf ontwikkeld. Dit was eigenlijk helemaal niet zo’n enorme klus, geeft De Jong aan. “Het principe erachter zat al heel lang in onze agent”, volgens hem. Hij voegt hier wel meteen aan toe dat de ML en AI die SentinelOne sinds 2013 in de agent heeft niet hetzelfde is als generatieve AI. Maar er zijn uiteraard wel concepten die beide technologieën delen. Dat maakt het voor een partij als SentinelOne eenvoudiger om deze stap te zetten dan voor een speler die nog geen enkele ervaring heeft op dit vlak.
Purple AI moet security eenvoudiger maken
Uiteindelijk haalt Purple AI een heleboel complexiteit weg, is de bedoeling. Dat moet wel, want “voor de meeste mensen zijn queries nog steeds te complex en te moeilijk”, geeft De Jong aan. Dan is het dus heel lastig om de juiste vraag aan Security Data Lake (en daarmee aan XDR) te stellen.
Met Purple AI kun je in principe alle securityvragen beantwoorden. Purple AI interpreteert de vraag, in welke taal je hem ook stelt. Het geeft antwoord met relevante data, interpreteert de data en haalt daar in normale taal de highlights uit, doet voorstellen tot actie en voorstellen tot additionele dieper gaande vragen.
Je kunt vragen om alle apparaten te tonen die kwetsbaar zijn voor een specifieke aanval, maar ook veel algemenere vragen stellen. Je kunt het als het ware als een soort security-assistent inzetten, door te vragen hoe de security posture van de organisatie is. Dankzij de integratie met het datalake, waarin alle data genormaliseerd is, kan Purple AI ook meteen aangeven waarom iets niet in orde is en aanbevelingen geven. Is het nog niet helemaal duidelijk, dan kun je vragen of Purple AI het nog iets beter kan specificeren.
Hoe betrouwbaar is Purple AI?
AI kan natuurlijk veel beweren, organisaties moeten deze beweringen wel vertrouwen. Zeker als het gaat om de beveiliging van de organisatie is dat cruciaal. Volgens De Jong zit het op dat punt wel goed. Je kunt in principe alles van Purple AI controleren en bevragen, ook voor auditingdoeleinden. Je kunt bijvoorbeeld de ruwe data bekijken en de Data Lake query die Purple AI gegenereerd heeft. Daar staan duidelijk knoppen voor in de interface.
Dit soort ontwikkelingen zijn erg belangrijk om vertrouwen te kweken en te houden in AI in deze omgevingen. SentinelOne biedt al sinds de oprichting geautomatiseerde playbooks aan voor de eigen omgeving. Dankzij de integraties met andere leveranciers kan dat nu ook buiten de eigen omgeving. De functionaliteit zal richting de toekomst alleen maar verder toenemen, als er steeds meer (bidirectionele) integraties beschikbaar komen. Dat dit gaat gebeuren, staat wel redelijk vast wat ons betreft. Dit is de richting die we op moeten om de steeds complexer wordende omgevingen adequaat te beveiligen.
Conclusie: SentinelOne zet grote stappen richting platformaanpak
Het is duidelijk dat SentinelOne inmiddels al lang niet meer alleen de XDR-speler is waar het wellicht bij veel organisaties nog om bekend staat. Dat blijft het natuurlijk ook, maar het bedrijf heeft inmiddels de nodige stappen gezet richting de toekomst. Die toekomst is er wat ons betreft zonder twijfel eentje van securityplatformen. Met de koppeling van XDR aan Security Data Lake behoort SentinelOne daar ook toe.
Een dergelijk platform biedt verder ook nog veel mogelijkheden voor verdere uitbreiding. Als de data klopt die in zo’n datalake staat, kan het voor allerlei doeleinden gebruikt worden. Zeker met de toevoeging van Purple AI is het mogelijk om snel fundamentele inzichten te verkrijgen over de stand van zaken op het gebied van cybersecurity. Wel zal er voor het AI-gedeelte nog wat vertrouwen gewonnen moeten worden, maar dat is niet meer dan logisch. Als dat er eenmaal is, kan de meerwaarde van securityplatformen nog groter worden, zeker als die ook nog eens optimaal integreren met elkaar.
Lees ook: Cybersecurity in 2023: is het vijf voor of vijf over twaalf?
2 dagen geleden
