Nem először írunk különféle XDR technológiákról, és az ezt övező piaci trendekről, azonban ennek a történetnek soha nincs vége. Évről-évre felbukkannak újdonságok, hiszen ebben a szegmensben sem pihennek a meghatározó gyártók fejlesztőcsapatai. Ugyanakkor az elmúlt időszakban nemcsak a fejlesztések határozták meg a SentinelOne körüli változások irányát, hanem egy figyelemre méltó felvásárlás is történt, aminek köszönhetően a gyártó portfóliója tovább bővült az akvirált vállalat, az Attivo termékeivel. Ezzel a felvásárlással a korábban is létező együttműködés magasabb szintre lépett, most már a SentinelOne platformon belül is elérhetővé váltak az Attivo funkciói.
Ezekkel a funkciókkal a védelmi képességek kiterjedhetnek a különböző identitásokat tartalmazó környezetekre is. Ez nemcsak azt jelenti, hogy feltehetjük a S1 XDR agentet szerverekre is (ez már régóta elérhető) hanem azt is, hogy az új modullal olyan fejlettebb képességeket kapunk, amellyel az AD (Active Directory) funkcionalitást is meg tudjuk védeni. A modul többek között javaslatokat ad arra vonatkozóan is, hogy miként tudjuk biztonságossá tenni a cégnél lévő felhasználók kezelését akár a „földön”, akár a felhőben. Ha ezeket a javaslatokat megfogadjuk, jelentősen csökkenthetjük a kockázatainkat, hiszen a legtöbb támadás alapvetően a magas jogosultságokkal rendelkező felhasználókra, és ezáltal az ő, praktikusan az AD-ban tárolt identitásuk kompromittálására fókuszál.
A domain controllerekre kihegyezett támadási felület felszámolásán kívül a rendszer képes riasztani olyan esetekben is, mikor a támadó már bejutott, és a megszerzett hozzáférési adatokkal próbál visszaélni vagy a rendszereinket kompromittálni. Fontos, hogy ezeket a támadásokat nemcsak a már SentinelOne menedzselt végpontok irányából képes észlelni, hanem korlátozás nélkül bárhonnan. Így a laterális mozgás észlelését, és az ilyen jellegű próbálkozásokat is hatékonyan ki tudjuk védeni.
Az új képességek listája ezzel még nem ér véget, sőt talán az összes közül a legérdekesebb újdonság a deception-t, azaz a megtévesztést alkalmazó technológia integrálása a S1 XDR platformba. Ezzel a támadókat becsapva, megtévesztve egy honeypot hálózat irányába tudjuk csalni, így késleltetve, vagy adott esetben megakadályozva a támadást. Az ilyen honeypot rendszerek ismérve, hogy valós adatokat nem tárolunk rajtuk, ezért a „valódi” felhasználóknak nem kell interaktálniuk a honepottal a hétköznapokban, viszont a működésüket tekintve teljes értékű elemnek, kiszolgálónak, magas jogosultságú végpontnak, vagy egyéb olyan fontos entitásnak látszanak, amiért a támadók szeretnék közelebbről is megismerni. Ebből következik, hogy minden, a honeypot felé irányuló interakció hasznos információ a védekezésben, hiszen jogosan feltételezhetjük, hogy rosszindulatú támadás vagy felderítés miatt lépett valaki kapcsolatba a honeypottal.
Az új funkciók mind nagyon jól kiegészítik az évek óta a technológia élvonalába sorolt végpontvédelmi képességeket. Érdemes azt is megemlíteni, hogy nemcsak felvásárlással fejlődött a platform az elmúlt időszakban: több újítás között van az is, hogy már egy közös konzolról kezelhetjük a mobil és a hagyományos operációs rendszerű végpontjainkat is. A SentinelOne Marketplace-nek hívott felületén keresztül az elérhető 3rd party integrációk száma is folyamatosan növekszik, a nagy gyártók megoldásait már pár kattintással integrálhatjuk a megszokott, kiterjed natív api alapú integrációk mellett.
A blogbejegyzés az IT Business cikkének átdolgozott változata.