統合型エンドポイントセキュリティ SentinelOne のご紹介 SentinelOne Endpoint Protection Platform セキュリティビジネス部 2019/7 D01-GC ITOCHU Techno-Solutions Corporation 1

統合型エンドポイントセキュリティ

SentinelOneのご紹介

SentinelOne Endpoint Protection Platform

セキュリティビジネス部 2019/7

エンドポイントの脅威と必要な対策

脅威／課題

IT環境の変化と

攻撃経路の増加

• クラウド利用、PC持出／持込の増加により、エンドポイント保護強化の重要性が増加 • 過去の観測データ(＝シグネチャ／パターン ファイル)に頼らない技術策の採用 • ファイルレス攻撃、スクリプト攻撃などさらに 多様化・巧妙化が進む脅威への対応

次々発生する

新しいマルウェア

エンドポイントの脅威対策を

防御・検知

から

対応・復旧

へ

• 阻止するだけではなく、被害発生直後の 初動対応や復旧にも活用可能な対策

被害が発生すると

調査、対処不能

変化させるべき対策のポイント

巧妙化を続ける脅威に対応するために

• 既知のマルウェアを 検出 • パターンファイルの 更新や管理が必要 • ファイルを検査

従来型

• 0-day マルウェアの 検出に対応 • ファイルや、脆弱性を 突く振る舞いを検査 • 検知、阻止まで

現世代型

• 0-day マルウェアの 検出を高度化 • システムレベルで挙動を 解析し、ファイルレス 攻撃にも対応 • 検知、阻止に加えて、 対処や復旧機能を統合

次世代型

検知能力不足 重い運用管理の負担 ファイル検査のため 最新脅威への対応不足 防御のみ。善後策なし 増加、巧妙化する ファイルレス攻撃にも対応 緊急対応、フォレンジック、 復旧まで活用可能

統合型エンドポイントセキュリティ

SentinelOne 会社概要

設立

2013

年

1

月

従業員数

250

+

本社 Mountain View, CA

R&D

US, Israel, France

資金調達

$110M

Accel Partners Third Point Ventures Tiger Global Management Granite Hill Capital Partners

顧客

2,500

+

実績 エネルギー ： 7.0万台 製造業 ： 5.0万台 金融業 ： 4.2万台 テクノロジーアライアンス 経営陣 Tomer Weingarten CEO Almog Cohen CTO Ehud Shamir CSO 他多数

SentinelOne ソリューション概要

防御力

可視性

シンプル

自動化

• 2つのAIエンジン • ファイル、ファイル レス攻撃の防御 • オンライン、オフラ インを問わず防御 • 攻撃過程の可視化 • IOCを活用した 脅威ハンティング • 事前防御と事後対応 を統合 • 軽量エージェント • クラウド管理サーバ で運用効率を改善 • 自動実行型EDR • 200以上のAPIで 他製品とも連携し 自動化

SentinelOneだけが提供する広範囲なセキュリティ機能

攻撃時

攻撃前

クラウドインテリジェンス、 ホワイト／ブラックリスト

攻撃後

軽減 復旧 調査 動的マルウェア検知 動的エクスプロイト検知 パターン型 マルウェア対策製品 振る舞い型 マルウェア対策製品 フォレンジック製品調査・対応製品 11010 10101 01001 静的マルウェア検知 こ れ ま で の 対 策 統 合 型 の ア プ ロ ー チ

様々な脅威フェーズに対応

✓ 脅威情報を用いた解析 ✓ AIによる静的ファイル解析 ✓ AIによる動的挙動解析

機能概要

脅威の防御・検知

✓ プロセスの強制停止 ✓ ファイルの隔離 ✓ レジストリの修復 ✓ 改変ファイルの復旧 ✓ ネットワーク隔離 ✓ 脅威ハンティング/IOCサーチ ✓ リモートからの端末操作

脅威への対応・調査

✓ デバイス制御 (USB) ✓ ファイアウォール制御

端末の制御

EPP (Endpoint Protection Platform)

統合型エンドポイントセキュリティ

EDR (Endpoint Detection & Response)

SentinelOne マルチレイヤー保護アプローチ

防御・検知 ファイル型マルウェア ファイルレス攻撃、 スクリプト攻撃 既知の攻撃 危険なアプリケーション 巧妙化する脅威 静的ファイル解析 動的挙動解析

Static AI

Behavioral AI

クラウド 脅威インテリ ジェンス 脅威インテリジェンス 脅威の知見に基づき 検出、遮断 静的ファイル解析 ファイルの実行前に 予測的に脅威を検出 動的挙動解析 システム挙動を監視し、 活動から脅威を検出

防御

AIを活用した高度な脅威検出エンジン

SentinelOne 迅速かつ自動化された脅威対応

脅威活動時

脅威発生後

発生前 被害軽減 復旧 調査 脅威インテリ ジェンス 静的ファイル解析 動的挙動解析 予測・予防

検知・対処

対応

インシデント対応に欠かせない機能を自動化

調査・可視化 脅威の動きを視覚的に表現 IOCを使った検索 被害軽減策の実行 プロセスの強制終了、 被疑PCのネットワーク隔離 システム修復・復旧 改変されたシステム設定の回復、 改ざんされたファイルを復旧 製品連携 豊富なAPIで調査・対応をシステム化

静的ファイル解析／Static AI

31,000

以上 独自のファイル特性を 定義、参照済 既知および未知の ファイル型マルウェア

AI／機械学習を活用したシグネチャレス型

検出技術

– アップデート不要で最新の脅威に対応 – アップデートのための運用負担を軽減 – 外部にファイルを送信せずPC上で検査

既知および未知のファイル型マルウェアを

実行前に検出

– アクセス、書き込み時に脅威を検出

マルチOS対応

– Windows、macOS、Linux

動的挙動解析／Behavioral AI

システムの挙動に注目して脅威を検出

– AI／機械学習による知見をモデル化した 解析エンジンで、通常と異なる 脅威の動きを検出

リアルタイムな調査・記録

– 何が行われたかを詳細に記録 – 脅威の動き／流れをアタックストーリーラ イン機能で視覚的に表現

環境を問わない軽量エージェント

– PCやサーバ上で発生するシステムの 動作を常に監視 – オンライン／オフラインともに対応

迅速かつ柔軟に脅威に対応・復旧

軽減策を自動実行

– ポリシーによってインシデントの 初期対応を自動実行 – プロセスの強制終了や 感染ファイルの隔離

強固な封じ込め

– 外部持ち出し中のPCでも ネットワークから切り離し

復旧にも対応

– マルウェア被害の痕跡を除去 – ランサムウェアによる改ざん被害も 元の安全な状態に復旧

インシデント発生時の詳細調査

✓ インシデントに関連するプロセス を自動で関連付けてタイムライン 表示 ✓ 深堀り調査に必要な情報を抽出 (端末内のファイル情報、ネット ワーク通信情報など) ✓ 社内端末と社外持ち出しPC両方の 詳細調査が可能

特徴

Deep Visibility

ユースケース ₋ プロセス親子関係やネットワーク通信情報より影響範囲の特定 ₋ URLアクセスやファイル情報より組織全体の潜在的脅威の調査

リモート操作による物理的な移動時間やコストを軽減

Full Remote Shell

✓ PowerShell(Windows) Bash(macOS)のすべてのコマンド を管理者権限で実行可能 ✓ ネットワーク隔離対応中の状態でも アクセス可能(Windows) ✓ SentinelOneのファイル取得機能と の連携でリモート端末内でのファイ ル作成とダウンロードが可能

特徴

ユースケース ₋ メモリダンプやパケットキャプチャ等のフォレンジックデータ収集 ₋ 不要なアプリケーションやプロセスの停止、ファイル削除

エンドポイント保護への多様なアプローチ

承認されたUSBメモリ ✓ 特定のUSBデバイスの使用許可お よび禁止

ファイアウォール制御

✓ 端末間における特定のIPアドレス やポートの通信許可および禁止 SMB接続試行

デバイス制御 (USB)

禁止されたUSBメモリ ユースケース ₋ 端末間の横拡散を狙う マルウェアの通信制御 (特定ポートの通信制御) ユースケース ₋ 組織内で承認されたUSBメモ リのみ許可し、個人利用の USBメモリの接続を禁止

SentinelOne システム構成／サポートOS

SentinelOne エージェント SentinelOne クラウド管理サーバ Microsoft Windows ▪ Windows 7 SP1, 8, 8.1, 10 ▪ Windows Server 2008 R2 SP1, 2012, 2012 R2, 2016, 2019 Apple OS X / macOS ▪ OS X 10.11 ▪ macOS 10.12 , 10.13 , 10.14 Linux (64bit)

▪ Red Hat Enterprise Linux 5.5 - 5.11 , 6.0 – 6.10 , 7.0 - 7.6 ▪ CentOS 5.5 - 5.11 , 6.1 - 6.10 , 7.0 – 7.6 ▪ Ubuntu 12.04 , 14.04 , 16.04 , 16.10 , 17.04 , 17.10 , 18.04, 18.10 ▪ Amazon Linux 2016.01以降 , 2017.01以降 , 2018.03 ▪ Amazon Linux 2 ▪ Oracle Linux 5.8 - 5.11 , 6.5-6.9 , 7.0以降 CPU 1GHz dual-core メモリ Windows : 3GB以上(推奨)

Apple OS X, macOS, Linux : 2GB以上(推奨)

空きディスク容量 Windows/Apple OS X, macOS : 2GB , Linux : 1GB

エージェント サポートOS

ライセンス体系 - CoreとControlとComplete 機能差異

機能 Core Control※ Complete

検知/防御 静的ファイル解析/動的挙動解析 ○ ○ ○ ドキュメント、スクリプト ○ ○ ○ ファイルレス、エクスプロイト ○ ○ ○ ラテラルムーブメント ○ ○ ○ 対応 修復/復旧 ○ ○ ○ ネットワーク隔離 ○ ○ ○

Full Remote Shell ○ ○

端末管理 デバイス制御 ○ ○ ファイアウォール制御 ○ ○ 脆弱性管理 ○ ○ EDR/脅威ハン ティング

ActiveEDR Basic Basic Advanced

アタックストーリーライン Basic Basic Advanced

Deep Visibility ○

SentinelOneをはじめ、様々なデバイスに精通した セキュリティ技術者がオペレーションを実施

CTC-MSSによるセキュリティ監視サービス

早急に対策(感染拡大の防止)が必要であるセキュリティインシデントが発生した場合、 アナリストがいち早く対応(感染端末のお客様ネットワークからの分離)を行います。 お客様はCTC-SOCに復旧指示をいただくだけで、アナリストが端末を安全な状態に戻します。 セキュリティインシデント 発生確認 感染端末の復旧作業 感染拡大防止のための ネットワーク隔離 対応完了後の ネットワーク再接続 豊富なスキル・ナレッジを 有したセキュリティ技術者 お客様環境