Mit SentinelOne Ranger hat der Sicherheitsanbieter einen neuen Service gestartet, der speziell IoT-Netzwerke schützen soll vor möglichen Angreifern. Darüber habe ich mit Matthias Canisius per Videointerview gesprochen. Weitere Themen sind Sandboxen sowie die Frage, wie sich Cloud-Container besser vor unbefugten Zugriffen sichern lassen.
Mit der „doppelten“ Sandbox Angreifer zuverlässiger erkennen
Bei SentinelOne kommen sogenannte Sandboxen immer dann zum Einsatz, wenn ein bestimmtes Malware erkannt wurde und vom attackierten System isoliert werden soll. So kann innerhalb eines geschützten Bereichs der Angriffsvektor in Ruhe untersucht werden, bevor dieser einen Schaden verursacht.
Allerdings bringt das in vielen Fällen eine Verzögerung bei der Ermittlung der Ergebnisse mit sich. Obendrein wird Malware stets ein Stückchen „schlauer“, sodass sie mittlerweile erkennen kann, dass sie sich in einem künstlich geschaffenen virtuellen Raum befindet. Damit kann die Malware je nach Umgebung und Sandbox ein Verhalten vortäuschen, das die Security-Plattform in Sicherheit wiegt. Und schon mutiert die Malware dann doch zu einer Gefahr, trotz oder gerade wegen der Sandbox.
[irp posts=“158365″ ]
Daher geht man bei SentinelOne zu einer Art doppelter Boden über. Das bedeutet dann: Obwohl das Sicherheitssystem die Malware bereits als Angreifer identifiziert hat, wird die Schadsoftware zusätzlich in eine weitere Sandbox überführt, damit dort in einem zweiten gesicherten Bereich weitere Indikatoren ermittelt werden können. Dieses Ergebnis wird dann mit der forensischen Datenbank von SentinelOne abgeglichen, woraus sich eine deutlich zuverlässigere Bewertung des Malware-Angriffs ergibt.
SentinelOne Ranger: Schutz von IoT-Netzwerken von potentiellen Angreifern
SentinelOne Ranger, dieser neuartige Service zum Erkennen von Schadsoftware auf unterschiedlichsten Geräten, hat uns im Videogespräch auch beschäftigt. Die Idee dahinter ist recht simpel: Sobald SentinelOne-Agenten auf den vorhandenen Gerätschaften eines IT-Netzwerks installiert wurden, lässt sich dieses mithilfe von EPP- und EDR-Methoden überwachen und schützen. Damit besteht mithilfe von Ranger die Möglichkeit, dieses Netzwerk vollständig zu analysieren und inventarisieren. Dabei kommen in vielen Fällen Geräte zum Vorschein, von denen der Systemverantwortliche vielleicht noch gar nichts wusste. Dazu gehören beispielsweise Web- oder Überwachungskameras, die in bestimmten Bereichen gar nichts verloren haben oder sogar einen Gefahrenherd darstellen.
[irp posts=“158454″ ]
Auf Basis dieser vollständigen Analyse eines IoT- oder wie auch immer gearteten Netzwerks lässt sich recht einfach feststellen, in welchem Zustand sich die einzelnen Geräte und Komponenten befinden. Und ob die da überhaupt hingehören. In solch einem vollständig erfassten System können dann Methoden der Künstlichen Intelligenz für mehr Schutz des Netzwerk eingesetzt werden.
Mit CWPP Cloud-Container vor fremden Zugriffen schützen
Neben dem Thema Internet of Things und Ranger bewertet SentinelOne auch die Sicherheit von Cloud-Containern als das „Next Big Thing“, wie Matthias während unseres Gesprächs sagte. Dabei steht vor allem die Transparenz der Container im Vordergrund. Damit Firmen und Anwender überhaupt erst einmal verstehen können, was in Containern in Sachen Sicherheit passieren kann. Denn nur dann, wenn mögliche Angriffe auf Container sichtbar gemacht werden können, lassen sich dort auch die richtigen Maßnahmen ergreifen.
[irp posts=“34075″ ]
Im Kontext dieses Container-Schutzes wird aktuell die Docker-Technologie unterstützt, weitere sollen folgen. Dazu gehören laut Matthias Kubernetes, Azure und weitere Umgebungen. Das Gute daran: Es kommt für das Analysieren und Beobachten der Cloud-Container derselbe Agent zum Einsatz, der auch im Linux-Umfeld genutzt wird. Damit stehen für die EPP- und EDR-Methoden ein und dieselbe Sicherheitsplattform bereit, also auch für den Schutz von Container-Assets. Das Ganze nennt SentinelOne übrigens Container & Cloud-native Workload Protection, oder kurz CWPP.
Das vollständige Interview mit Matthias Canisius
Disclaimer: Diesen Videoblogbeitrag habe ich im Auftrag von SentinelOne verfasst. Bei der Ausgestaltung der Inhalte hatte ich nahezu freie Hand.