By Amit Chowdhry
SentinelOne 是一家專注通過端末保護企業的次世代網路安全公司。 SentinelOne 端末保護平台(EPP)技術著重於行為阻止並利用人工智慧,而不使用特徵碼,這使其成為市場上其他防病毒軟體的有力代替品。 SentinelOne 的 EPP 服務也可以與傳統的防毒軟體兼容,提供希望可同時運行的企業組織使用。該解決方案還結合了端末檢測和回應(EDR)功能,如修復和 roll back,,以及廣大的能見度 - 甚至可用於加密流量 - 用於搜尋威脅。
那為什麼行為阻止很重要? SentinelOne 檢視動態執行模式來發現端末是否受到攻擊 - 端末可能包括連接到公司網路的筆電,伺服器或雲端工作負載。由於 SentinelOne 的訓練是來自好數百萬好與壞的行為模式,它可以防止甚至未知的惡意軟軟體散播,並且就本質上,比數百萬個特徵碼還更有效。 EPP 還可以自動隔離檔案,終止進程,甚至將機器恢復並修復回已知狀態。通過靜態和行為 AI 與駐留在端末上的模具相結合,SentinelOne 能夠針對最廣泛的檔案和無檔案攻擊類型實現最高功效及最小的誤報和系統影響。
自2013年SentinelOne推出以來,籌資超過1.1億美元。一些 SentinelOne 的投資者包括Accel Partners,Tiger Global Management,Sound Ventures,Third Points Ventures,Redpoint 和Data Collective。為了解更多的有關於 SentinelOne ,我採訪了首席執行官和共同創始人 Tomer Weingarten。
Weingarten 告訴我,電腦和軟體總是讓他著迷。他在青少年時期就與 SentinelOne 的聯合創始人之一相識,他們都對研究網路安全和挑戰當前的防禦措施感到興趣。 Weingarten在接受採訪時說:“這是一個與我們現在正在經歷的事情完全不同的時代,一切都很容易被破解。” “我的共同創始人將他的熱情轉為職業生涯,並加入了Checkpoint(他在那裡遇到了我們的第三位共同創始人),同時我繼續建立其他公司,研究和利用統計分析 - 今日可能被稱為”機器學習“。”
此時,Weingarten 表示,所有共同創始人聯合起來概念化一個理想保護軟體的外觀。 “通過構建一個可以即時監控設備的自主 AI 核心,通過一個輕量級 agent 自動化阻止,檢測甚至修復攻擊,我們已經能夠建立出具有無與倫比的功效和可全面覆蓋平台的產品 ”, Weingarten並補充道。 “其自動 EDR 功能可以在執行後部署 roll back 的功能,以將主機恢復到未感染狀態。該平台具備了從開始到結束的端末和威脅的 360 度視圖,從而為數位鑑識和策略執行提供強大之功能。“
Weingarten指出,沙盒和特徵碼將無法應對日益嚴峻的“越來越來勢洶洶的攻擊格局”。因此,SentinelOne 團隊知道唯一有效的防線為誘捕和阻止端末設備上的攻擊者。這些想法恰好與人工智慧和機器學習的進步相吻合。
“我們知道,機器學習將創建一個強大且有效的新方法來即時檢測和阻止攻擊,而無需任何關於攻擊或含惡意程式執行檔的特定預先知識。這是一個令人難以置信的突破 - 使我們的技術能夠使用統計分析來準確預測嘗試在端末上運行的內容是惡意的 ” Weingarten解釋說。
在 2013 年初建立第一個原型之後,SentinelOne 團隊向全球最先進技術公司的安全和基礎設施的團隊展示了它。在得到資安專家的正面反饋後,最初的產品有了更進一步的發展。此後更多的資金投入,現在該公司在全球僱用了近 300 人。 SentinelOne 也擁有超過 2,000 名客戶,公司在 2017 年同比增長達到 300%。
此外,SentinelOne 在第三方測試中連續排名第一。例如,AV Test 將S entinelOne 評為唯一在Mac平台上“防範所有攻擊者100% ”的提供商。 SentinelOne 被選為第一個也是唯一與 Windows Defender 高級威脅防護(ATP)服務集成以涵蓋 Mac 和Linux 設備平台的次世代端末防護平台(EPP)。一個領先的研發團隊,SentinelOne 最近在GitHub宣布的開放原始碼計劃來回饋族群。
那又是什麼讓 SentinelOne 是更有價值?因為該平台是自主性的。 SentinelOne 在端末上使用機器學習和人工智慧來動態分析運行設備上的所有的低階進程。
“我們是唯一可提供部署在內部和雲端環境中的次世代端末保護平台。也是市場上唯一就單一個 agent ,可完全融合端末保護平台(EPP)和端點檢測與響應(EDR) ” Weingarten特別強調。 “我們也是唯一一個由端末提供,從加密流量中可檢視全面威脅的解決方案,因此無需在網路流量時解密和重新加密。”
“網路正在經歷一次重大轉變,傳統預防的逝去不僅將保護的重心,還包括存取控制 - 轉移到端末。隨著我們 Deep Visibility 的發布,我們首次嘗試對網路數據路徑進行控制, ” Weingarten 總結。 “這些數據讓我們能夠有效地進行模具建立,並且僅能通過軟體進行 - 網路存取和使用的真實狀況 - 沒有任何界限,無論設備在哪裡,甚至是在雲端上。在現代企業中,以你喜好的方式來定義您的網路,且以一種非常適合當今數據消費量模式的方式,這就是最終的靈活性。“
0 Comments
有針對性攻擊的 Samsam 第ㄧ次是在2016年左右首次出現,它瞄準了醫療保健行業並且是一個很典型的勒索軟體,受害者通過點擊惡意鏈接,email 附件或惡意廣告進行感染。 因為 Samsam 直接使用 Red Hat's JBoss產品中的漏洞感染伺服器,所以變得獨一無二。駭客使用 JexBoss:一個開放原始碼滲透測試工具等其他工具來識別 JBoss 伺服器中未修補的漏洞。一旦駭客滲透其中一台伺服器,他們會將 Samsam 安裝到目標中的 Web 應用程序伺服器上,並將勒索軟件客戶端散播到Windows 設備並對其文件進行加密。
至 2016 年 4 月底,Samsam 已目標攻擊至少 58 個組織,包括醫療保健行業。 MedStar Health 是一家 50 億美元的醫療服務朱組織,在馬里蘭州和華盛頓特區擁有 10 家醫院,員工超過 30,000 人,是第一個受到攻擊並被勒鎖 45 比特幣或18,500美元贖金的公司之一。儘管所有營運都被迫停止,但很幸運的,MedStar不需付贖金。除 MedStar 之外,洛杉磯的好萊塢長老會醫療中心遭到駭客攻擊並且支付了將近 17,000 美元的贖金,德國的兩家醫療機構及肯塔基州Henderson 的衛理公會醫院也遭到了攻擊。 2018 年 3 月 23 日星期五,亞特蘭大市發布了以下信息: 亞特蘭大市目前正面臨著各種客戶使用的應用程序的停機問題,其中包括一些客戶可能用來支付賬單或與法院有關的信息。我們將會發布任何更新訊息。 — City of Atlanta, GA (@Cityofatlanta) March 22, 2018
接下來是新聞發表會:
市長 @KeishaBottoms 針對安全漏洞招開新聞發表會. https://t.co/h1WlcyUc6x — City of Atlanta, GA (@Cityofatlanta) March 22, 2018 根據 11Alive,是 Samsam 所做的攻擊。年初時 Samsam 也攻擊了科羅拉多州交通部。
Demo
Analysis
SentinelOne會在 pre-execution 及 on-execution 就檢測到 Samsam 。在默認 policy 中,它將不會被允許執行。如果設置為檢測模式,SentinelOne 會檢測勒索軟體專門使用的行為,意指掃描硬碟上的文件,並用加密的版本替換它們。鑑於Samsam 使用漏洞進行部署,SentinelOne 會在此階段檢測到攻擊。在 Attack Storyline 中,我們看到 SentinelOne agent 檢測到 Samsam,從而防止文件被加密並無法恢復。此外,如果未檢測到漏洞利用,SentinelOne 將檢測到受攻擊伺服器向網路上其他伺服器的任何橫向移動。在勒索軟體能夠執行之前,SentinelOne的早期檢測將會發現 Samsam 攻擊。另外,Samsam會刪除 shadow copies,使IT管理員無法將檔案和應用程式恢復到未加密狀態。 SentinelOne 識別此行為並檢測Samsam何時嘗試刪除 shadow copies。如果有什麼東西漏掉了,SentinelOne 能夠修復受攻擊的檔案並將它們回轉到預先加密的狀態。
Qlik管理控制台 (QMC)是一個基於Web的應用程序,用於配置和管理你的 Qlik Sense網站。
可觀看本影片以瞭解QMC概念。
在您的Qlik Sense儀表版加入背景圖。或是您的企業logo。
這是一個簡單的Qlik Sense Extension,允許用戶將背景圖片放入Qlik Sense中。 也可以將圖像與字段值或其他類型的條件相關聯以動態更改背景圖像。
今天早些時候發布,一個惡意勒所軟體試圖在3月6日12小時內感染400,000個用戶。該勒所軟體是Dofoil的一個變種,攜帶一個虛擬貨幣礦工。
此惡意軟體通常通過具有 DOC 或 ZIP 檔附件的垃圾電子郵件來感染主機。然後連接到 C&C server 以獲得指令,下載並執行惡意檔。 正如 bleepingcomputer 發布的那樣,惡意碼會分離第二個 explorer.exe,下載並運行偽裝成合法Windows文件的cryptocurrency 礦工。 好消息是 SentinelOne 的客戶完全受到保護。在幾毫秒內,SentinelOne 技術將 Dofoil 檢測為有害,並對其進行分類並阻止執行。
DEMO
在視頻中,你可以看到具有默認策略的 SentinelOne 2.5版如何防止 Dofoil 的三個不同的範本,即使在 offline 時也是如此。 一旦主機 offline,我們已將惡意範例複製到桌面,agent 立即隔離文件,擋住並阻止木馬執行並造成傷害。
之後,我們允許它執行以查看 SentinelOne 行為 AI 如何檢測它。以下是在緩解之前所執行的程度。
在檢測中,我們觀察到以下指標:
如下方顯示,SentinelOne 控制台已將範本分類。此功能可用於啟動在 EA 中的 Banff 管理版本。
CONCLUSION
當如此多的設備被感染得如此之快時,很明顯的,你需要的是一種能夠在微秒內防止自動化解決方案。若是這麼多設備被感染,企業將付出成本是很大的。如果 SentinelOne 已經為你提供保護,we got you covered。 原文
前幾天 bleepingcomputer 寫了一篇關於 Thanatos 的勒索軟體。
這支病毒有兩方面的獨特之處:
Demo
在影像中,你可以注意到 SentinelOne 即使在 offline 時也會阻止Thanatos Ransomware。能夠檢測和阻止威脅的邏輯停留在代理端,使從檢測到降低風險的時間僅需一秒鐘。
Technical explanation
先讓我們深入了解 SentinelOne 技術如何檢測到這一點。為此,我們將政策更改為僅檢測並審查了它正在嘗試執行的操作。首先,讓我們檢查一下我們在允許它運行之前看到的指標:
如果稍後允許運行,你可以找到攻擊概要。它表示 Anti-Detection 反檢測,Exploitation 開發和 System Manipulation 系統操縱。
在檢查 storyline 時,你可以觀察整個影響。使用 SentinelOne 行為 AI,它能夠在有機會加密任何內容之前就終止勒索軟體。你也可以看到更多的指標,比如使用 cmd 命令刪除嘗試,然後產生一個系統過程來造成傷害。在下面的圖片中顯示:
Conclusions
廣告商不會對其代碼進行 QA 檢查。在這種情況下,被加密的文件成為不可逆轉,你需要一個自動化解決方案,無論是否需要連接,都可以緩解這些網路威脅。這就是 SentinelOne 來如何節省時間。 原文 今年冬季奧運會在韓國平昌舉行。據報導,一些非關鍵的主機系統在開幕式期間受到惡意程式的攻擊。幸運的是,官方能夠在12小時內完全修復。該惡意軟件被稱為“Olympic Destroyer”,一個非常恰當的名字,因為惡意軟件的目標似乎是純粹的破壞。 無論何時我們看到重要的惡意程式出現,我們都會嘗試看看SentinelOne是否能夠抵禦威脅。我們很高興地說,我們確實發現了Olympic Destroyer,SentinelOne的客戶是受到保護的。 SentinelOne使用多種檢測機制,可將其分為兩種類型:查看檔案及觀察機器行為的機制。例如,我們的 Deep File Inspection(DFI)引擎會查看該文件並使用一些非常花俏的機器學習來分類文件是否是惡意軟體。好處是它可以在有機會執行之前就消除惡意軟體,並且在我們的測試中,在 Olympic Destroyer 被置入桌面後, 立即被DFI檢測到。 以下是檢測的 video: 更深入挖掘 儘管像DFI這樣的靜態檢測機制非常重要且有用,但我們也想知道我們的動態行為追踪 Dynamic Behavior Tracking(DBT)引擎是否會檢測到惡意軟件。 DBT監視系統的行為方式並查找任何惡意活動,以便可以檢測無檔案和漏洞攻擊,而且通常一般情況下,惡意軟體很難隱藏起來。為了測試DBT,我們故意停止了DFI來允許惡意軟件執行。令人雀躍的是,DBT引擎在運行後幾秒鐘內檢測到惡意軟件,並且SentinelOne能夠完全防止任何損壞。由於惡意軟體執行了幾秒鐘,我們的 agent能夠收集大量有趣的數位鑑識。例如,你可以看到原始範例刪除多個有效內容,嘗試刪除 shadow 備份副本,清除 event log 等。以下為 “攻擊故事情節” 的螢幕截圖: 從上圖中,olympic-destroyer.exe 啟動它的一些隨機命名的 payload:_bah.exe,obgvu.exe,dwltc.exe。以下為一個螢幕截圖,顯示從運行範例中收集的由過程中產生的訊息: 從這裡,你可以看到所有的被執行過程都是由於點擊 olympic-destroyer.exe 以及確切的命令參數而啟動的。你可以看到惡意軟體嘗試刪除多種類型的備份,禁用 Windows recovery 以及清除 event logs。
我們很高興及謙虛地宣布,微軟選擇SentinelOne來做為Windows Defender Advanced Threat Protection(ATP)服務中的Mac和Linux端末保護支援。 事實上,SentinelOne是唯一一家被選中的次世代端末保護公司,這也證明了我們的自動化端末保護方法。我們更榮幸能夠與世界上最大的OS製造商合作,為全球大多數的端末提供支援,幫助網路世界變得更加安全。 使用Mac的Windows Defender ATP客戶現在可以放心,並知道最佳AV 將保護他們的端末。至於Linux群族 - 這是SentinelOne再一次致力於Linux族群的表示。 相對的,這對客戶意味著什麼?它讓Windows Defender ATP整合非常簡單,只需點擊幾下便可執行該服務。沒有基礎設施要求。整合配置完成後,來自onboarded MacOS和Linux設備的新事件將自動啟動到Windows Defender ATP控制台。 現在,資安團隊能夠更加輕鬆地管理越來越複雜的不同端末的安全 - 從Windows Defender ATP界面監控所有活動,自動檢測並即時偵測最進階的威脅。 這僅是為我們的客戶提供比世界上任何端末公司更多的API的最新的努力。目前,SentinelOne擁有超過200種API用於領先的安全和基礎設施產品,使客戶能夠將安全資產集成並統一到其環境中。 我們相信這是SentinelOne持續獲得新客戶和市場份額的重要原因 - 客戶數量同比增長370%,超過2000個客戶部署。 我們為這大成長感到自豪,並將繼續創新,為客戶帶來更多價值。如果您有興趣了解與Windows Defender ATP整合的更多信息,或者對我們的產品進行評估,請與我們聯繫。 原文 photo credit by: https://techtalk.gfi.com/what-is-defender-atp-and-how-it-protects-your-endpoints-and-infrastructure/
|
Categories
All
Archives
January 2021
|