Was macht eigentlich SentinelOne den ganzen Tag, was haben die Arbeitsweisen von Endpoint Detection & Response mit der kriminalistischen Forensik zu tun und wie kommt in diesem Kontext die Künstliche Intelligenz zum Einsatz? Darüber habe ich mit Matthias Canisius gesprochen.
Endpoint Protection sowie Endpoint Detection & Response (kurz: EPP und EDR), das sind die Hauptbetätigunsfelder von SentinelOne. Damit sollen mithilfe von lokal installierten Agenten Malware-Angriffe frühzeitig erkannt und abgewehrt werden. Anschließend oder sogar währenddessen wird diese Attacke mithilfe von EDR analysiert und bewertet. Damit es zu dieser Art des Vorfalls möglichst nicht mehr kommt.
Daraus ist eine umfassende Endpunkt-Sicherheitslösung entstanden, die SentinelOne seinen Kunden zum Aufspüren und Eliminieren von Schadsoftware bereitstellt. Um anschließend das Ganze nachträglich beurteilen und bewerten zu können.
EDR und Forsensik weisen Ähnlichkeiten auf
Sieht man sich die Arbeitsweise der SentinelOne EPP- und EDR-Lösung genauer an, fällt ein Zusammenhang mit der kriminalistischen, forensischen Arbeitsweise auf. Denn da, wo ein Verbrechen passiert ist, weil sie von der Exekutive (sprich Polizei, analog: EPP) nicht erfolgreich verhindert werden konnte, macht sich das rechtsmedizinische Institut (analog: EDR) an die Aufarbeitung des Kriminalfalles.
Damit soll bestimmt werden, was genau passiert ist und und an welchen Stellen das System Lücken aufgewiesen hat. Dabei wird der Tathergang genau nachgestellt, um somit die Schwachstellen zu identifizieren, die zu der Cyberattacke geführt haben. Dabei wird stets die Möglichkeit eingeräumt, dass es sich auch um etwas Gutartiges oder ein Missverständnis handeln könnte.
Wie sich SentinelOne die Künstliche Intelligenz zunutze macht
Künstliche Intelligenz respektive Machine Learning ist ein integraler Bestandteil der SentinelOne-Security-Lösung. Damit können die EPP- und EDR-Algorithmen permanent dazu lernen, und das auf Basis ausgefeilter mathematischer Methoden. So lassen sich neue Malware-Bedrohungen viel schneller und zuverlässiger erkennen als mit den statischen Methoden, die auf Signaturen und anderen Dingen beruhen.
Denn macht man sich einmal klar, dass etwa 90 Prozent der aktuellen Cyber-Bedrohungen unbekannt sind, wird schnell klar, dass es mit statischen Analysen alleine nicht mehr getan ist. So kann man mit der Kombination aus EPP, EDR und Künstlicher Intelligenz sogar in Echtzeit Malware aufspüren und vom eigenen Netzwerk fernhalten. Und das wird angesichts der ständig neuen Bedrohungen eine existenzielle Herausforderung bleiben.