Letzte Woche habe ich mit Milad Aslaner von SentinelOne wieder einmal ein Videogespräch geführt. Thema war dieses Mal das Threat Intelligence-Tool Signal, das Teil der Security-Plattform SentinelOne Singularity ist.
Das ist die grundsätzliche Idee hinter Signal
Grundsätzlich handelt es sich bei SentinelOne Signal um eine Threat Intelligence-Lösung, die in Echtzeit mögliche Bedrohung bewertet und entsprechende Reaktionen und Maßnahmen ableiten kann. Hierbei fokussiert sich Signal im Wesentlichen auf drei maßgebliche Aspekte:
1. Bei Signal handelt es sich um eine proaktive Datenbank. Das bedeutet vor allem, dass die Daten bestimmte Erkenntnisse liefern, welche Angreifergruppe für den Hacker-Angriff zuständig ist und um welche Angriffsvektoren es sich möglicherweise handelt. Genau diese Informationen werden dann dem Kunden von SentinelOne zur Verfügung gestellt.
2. Im nächsten Schritt werden die vorliegenden Daten um kontextuelle Informationen angereichert. Damit zeigt man dem zuständigen Sicherheitsanalysten oder CISO nicht nur, was passiert ist, sondern auch, wie das geschehen konnte. Das soll Sicherheitslücken und andere Schwachstellen im Sicherheitssystem des angegriffenen Unternehmens sichtbar machen, um eine nächste Cyberattacke besser verhindern zu können.
Darüber hinaus spricht für Signal, dass es sich um eine offene Datenbank handelt. Damit können Unternehmen bereits bestehende Threat Intelligence-Tools in Signal integrieren. Daraus ergibt sich die Möglichkeit, in Kombination mit dem SentinelOne-Tool eine noch leistungsfähigere Sicherheitsplattform aufzubauen.
Signal richtet sich vor allem an CISOs und IT-Sicherheitsanalysten
Das Threat Intelligence-Tool Signal adressiert vornehmlich zwei Anwendergruppen: CISOs und IT-Sicherheitsanalysten. Hierbei ist das Werkzeug für Chief Information Security Officer insofern interessant, da die bereits eingesetzten Sicherheitsprogramme um eine nützliche Threat-Intelligence-Plattform wie Signal erweitern werden können. Damit lassen sich Security-relevante Zusammenhänge besser und schneller erfassen und verstehen.
Begibt man sich eher auf die Ebene des IT-Endanwenders, so richtet sich Signal an IT-Sicherheitsanalysten. Diese Signal-Zielgruppe kann das Tool für proaktivere Maßnahmen in ihrer täglichen Arbeit einsetzen – für noch bessere und vorausschauendere Schritte, was das Verhindern von Sicherheitsvorfällen betrifft.
Signal lässt sich einfach per Appstore mit anderen Tools kombinieren
Signal lässt sich mit anderen bestehenden Threat Intelligence-Werkzeugen recht einfach kombinieren, sodass die kompletten Abwehrmaßnahmen am Ende über eine einheitliche Oberfläche vorgenommen werden können. Hierfür bestehen zum Beispiel Kooperationen mit anderen Sicherheitsanbietern wie Recorded Future und Hatching für spezielle Sandbox-Lösungen. Diese und zahlreiche weitere ergänzende Sicherheitstools können ganz einfach über den SentinelOne Marketplace mit Signal kombiniert werden. Damit stehen beide Werkzeuge quasi per Mausklick zur Verfügung.
Darüber hinaus besteht für Sicherheitsanwendungen anderer Anbieter die Möglichkeit, mithilfe einer eigens programmierten Schnittstelle die Integration ihres Tools in Signal vorzunehmen. Damit lassen sich nahezu sämtliche Threat Intelligence-Tools mit dem SentinelOne-Werkzeug verbinden.