A kaliforniai székhelyű kiberbiztonsági vállalat, a SentinelOne kapcsán állandó vitatéma, hogy miért jobb az XDR, mint egy klasszikus, „old school” végpontvédelem, vagy egy EDR/EPP megoldás. Legalább ennyire megosztó kérdés az is, hogy egyáltalán létezik-e az a követelményszint, aminek minden megoldásnak teljesítenie kell ahhoz, hogy XDR-nek nevezhessük..
Többféle megközelítés
A különféle gyártók megoldásait a saját portfóliójukban már elérhető termékek mentén alakítják ki XDR-jellegű megközelítéseiket. Találkozhatunk hagyományosan NDR, EDR, de akár SIEM vonalról érkező megoldásokkal is – a közös bennük általában az, hogy egy központi konzolon jeleníthetünk meg riasztásokat és egyéb információkat. Megvizsgáljuk, mire képes egy olyan megoldás, amely a folyamatos fejlődést és a mesterséges intelligencia (AI), valamint a gépi tanulás (ML) alapú működést tűzte ki céljául.
Újgenerációs végpontvédelem
A Singularity Platform óriási előnye, hogy a központi menedzsmentkonzol több saját megoldást is tartalmaz az elérhető külső integrációkon felül. A SentinelOne legfőbb funkciója kétségkívül az újgenerációs végpontvédelem, amely operációs rendszertől (legyen az Windows, Linux, és/vagy macOS) függetlenül egységes védelmet biztosít egy központi konzolon keresztül.
Egyedi SentinelOne-megoldások
Cloud Data Security az S3 bucketek és Netapp tárolók védelmére
A Singularity Marketplace és a Data Lake révén bármilyen külső megoldással integrálható
Egy helyen lehetnek a logjaink és a riasztásaink, bizonyos megoldások esetén a kétoldalú integrációnak köszönhetően akár műveleteket is végrehajthatunk a partner megoldásokon keresztül
Ezek a végpontok bármilyen környezetben futhatnak: lehet akár felhős, akár saját adatközpont is, sőt, a megoldás Kubernetes-környezeteket is képes megvédeni. A platformot könnyen kiegészíthetjük egy hálózati vizsgáló modullal, amely képes felismerni, milyen egyéb eszközök találhatók azokon a hálózatokon, ahol a telepített agenttel rendelkező eszköz is található.
Végpontvédelem mobil eszközökre
A végpontvédelem egyszerűen kiterjeszthető akár (iOS, Android, ChromeOS) mobileszközökre is, így vállalatunk támadási felülete tovább csökkenthető. A mobil végpontvédelem elsőre nem tűnik kiemelt fontosságú pontnak, de ha belegondolunk, hányszor és hányféle kibertámadással és adathalász-SMS-sel találkozhattunk az elmúlt időszakban, gyorsan újraértékelhetjük a prioritási sorrendet.
A címtérrendszerek védelme
Az identitásalapú támadások a ransomware-ektől kezdve egészen a legkülönfélébb célzott támadásokig előfordulhatnak. A Singularity Identity használatával jelentősen növelhetjük a biztonsági szintünket, mivel a modul képes észlelni a céges (AD/AzureAD/EntraID) címtárrendszert érintő támadásokat, illetve javaslatokat tesz a konfigurációs problémákra is. Továbbá képes szimulálni céges környezeteket is, úgynevezett „csali” (decoy, honeypot) rendszereket létrehozva, amelyek megtéveszthetik a támadókat, és megkönnyítik az észlelésüket.
A felhős erőforrások és környezetek védelme
A harmadik fő pillére a megoldásnak a felhős erőforrások és környezetek védelme. Ez egy cloud workload protection (CWPP) megoldásból áll, amely kiterjeszti az on-prem végpontok esetén már ismert és jól bevált védelmet a felhős környezetekre is. Ráadásul a SentinelOne az év elején felvásárolta a PingSafe nevű, teljes cloud security (CNAPP, cloud native application protection) csomagot fejlesztő céget, így hamarosan még több funkció lesz elérhető a platformon belül.
A gyártó egyedülálló módon beépített a megoldásába egy „Purple AI” elnevezésű, mesterséges intelligencia alapú virtuális segítőt, amely többféleképpen használható annak érdekében, hogy a kollégák hatékonyabban tudjanak koncentrálni a lényeges feladatokra. Ilyen többek között a keresések gyorsítása és a különböző találatok értelmezése.
Az IT Businessben 2024. május 22-én megjelent cikk szerkesztett változata.