In deze tijd van thuiswerken is er nauwelijks zicht op wat men lokaal draait, welke bedrijfskritische data men lokaal opslaat en of een werkplek up-to-date is. Hierdoor rijst al snel de vraag welke bescherming de gebruikte antivirusoplossing biedt en of hij wel is opgewassen tegen moderne dreigingen zoals ransomware.
Door de overweldigende hoeveelheid nieuwe malware is de stroom aan virusdefinitie-updates niet meer bij te houden. En dat gaat nog voorbij aan alle onontdekte ‘zero-day’-malware waar sowieso geen virusdefinitie voor beschikbaar is. Naast inzetten op preventie luidt het advies dan ook: zet in op gedragsdetectie om malware tijdens de uitvoer ervan te detecteren.
Terug naar het begin
Antivirusoplossingen kent iedereen. Ze beschermen de endpoint veelal op basis van wat ze al kennen (signatures/bekende virusdefinities).
De ontwikkelingen van de laatste jaren vragen echter meer van een endpoint-securityoplossing. Een oplossing vanuit meerdere lagen is gewenst, met aandacht voor de pre-, on- en post-executiefase van malware en waarbij ook de mogelijkheid bestaat om uitgebreide forensische analyse en threat hunting uit te kunnen voeren. Maar voor welke oplossing kies je? Elke oplossing lijkt immers min of meer hetzelfde te bieden, toch?
De drie stappen van een effectieve next-gen EPS
Stap 1: Pre-executie
Als het om bestandsgebaseerde malware gaat, wil je graag dat deze bij aankomst op een endpoint direct wordt opgepikt door de Endpoint Protectie-oplossing. SentinelOne zorgt ervoor dat op het moment dat een bestand het apparaat raakt, direct twee processen parallel starten.
Reputatiecheck & statische analyse
De reputatiecheck zorgt ervoor dat alles dat bekendstaat als kwaadwillend (malicious) op voorhand wordt geblokkeerd. De SentinelOne-agent checkt in enkele milliseconden de SentinelOne Cloud-database. Gelijktijdig start de SentinelOne-agent met een statische analyse van het bestand, direct op het endpoint. De statische analyse met de getrainde Deep File Inspection-engine onderzoekt binnen enkele milliseconden de structuur van het bestand en kan zo de context bepalen. Op basis daarvan wordt bepaald of deze intenties malicious zijn en in quarantaine moeten worden geplaatst. Een van deze twee processen bepaalt of het bestand malicious is of benign (‘in orde’). Dit is belangrijk voor een moderne endpoint-protectieoplossing, omdat hiermee nooit sprake is van afhankelijkheid van de cloud. In de pre-executiefase kan hiermee volledig autonoom bestandsgebaseerde malware worden tegengehouden, ongeacht of het om bekende of onbekende malware gaat.
Stap 2: On-executie
Maar wat als er toch iets door de pre-executiefase heen komt? Of wanneer er sprake is van een ‘fileless attack’? Bijvoorbeeld een aanval die gebruikmaakt van een vulnerability op het systeem en volledig in memory draait? Of wellicht een interactieve aanval? Het is noodzakelijk om ook tijdens de executie van processen op een machine alle gedrag te beoordelen en in te kunnen grijpen wanneer gedragingen ‘de verkeerde kant op gaan’. De behavioral engines van de SentinelOne-agent bekijken continu en in realtime wat zich op de machine afspeelt en of dit gedrag malicious of benign is.
Elk endpoint initieert continu ketens van processen. De meeste van deze ketens (storylines) zijn in orde, maar sommige niet. De SentinelOne-agent onderscheidt realtime deze storylines en bepaalt aan de hand van een scoringsmechanisme of en wanneer een storyline zich ontwikkelt tot malicious gedrag. Vanaf dat moment grijpt de agent direct in en wordt tot aan de bron van de storyline gerapporteerd aan de managementconsole, en gelijktijdig teruggespoeld. Op deze manier is de agent in staat om - wederom volledig autonoom - malicious activiteiten ongedaan te maken.
Impact
De combinatie van de pre-executie-engines en on-executie-engines in de agent zorgen er niet alleen voor dat de pakkans van malicious files en gedrag tot de hoogste in de industrie behoort, maar ook dat de hoeveelheid false-positives tot een minimum wordt beperkt. Oplossingen die zich enkel richten op de pre-executielaag of cloud-afhankelijk werken laten over het algemeen een (veel) hoger aantal false-positives zien. De pre- en on-executie-engines in de SentinelOne-agent zijn zo gebalanceerd dat de pakkans extreem hoog is en het aantal false-positives extreem laag blijft. Bovendien zijn de engines in de SentinelOne-agent dusdanig ontwikkeld dat de impact op het systeem minimaal is. Denk aan minder dan 1% cpu-gebruik en minder dan 200 MB geheugengebruik.
Stap 3: Post-executie
Maar hier houdt het niet op. In geval van een dreiging wil je als organisatie graag zo volledig mogelijk worden geïnformeerd, met zo min mogelijk ruis. Uiteraard zonder de mogelijkheid van diepgaande analyse te verliezen.
Het SentinelOne-incidentoverzicht toont alle details rondom een dreiging. Belangrijk om te vermelden is dat wanneer een aanval zich voltrekt waarbij meerdere aanvalstechnieken worden gebruikt, de SentinelOne-console dit automatisch correleert tot een event. Dit heeft als doel om zo snel mogelijk een heldere weergave van de gebeurtenis te geven
Welke details kunnen we dan tonen? Grofweg omvat een incident onder andere om welke endpoint het gaat, het tijdstip van de gebeurtenis en van de rapportage, wie er was ingelogd, het bronbestand (hashes), welke automatische acties zijn uitgevoerd vanuit de agent (kill, quarantine, remediate, rollback) en een lijst van indicatoren die tijdens de aanval zijn gedetecteerd (gekoppeld aan het MITRE ATT&CK Framework).
Tevens biedt het overzicht van het incident de mogelijkheid de storyline te bekijken en zo te zien welke stap op welk moment door de malware of aanvaller werd genomen.
Ten slotte is er de mogelijkheid om alle activiteiten rondom het incident te bekijken. Denk aan auditing (wie deed wat en wanneer rondom het incident) en welke acties de agent op welk moment zelf heeft uitgevoerd.
Forensics (EDR)
Tot zover alle elementen die te maken hebben met de pre-, on- en post-executiefase van dreigingen. Deze elementen focussen zich met name op de dreigingen zelf en alle context en acties eromheen. Maar wat als je ook naar niet-malicious (dus benign) activiteiten wilt zoeken? Of wellicht wilt kunnen zien of er reeds sprake is van voorbereidende - maar op zich niet malicious zijnde - acties voor een aanval? Dan biedt de deep visibility-oplossing van SentinelOne uitkomst. Middels queries vanuit de console kunnen alle endpoints die zijn voorzien van een agent worden onderzocht. Het gaat hier niet alleen om informatie van nu, maar ook om activiteiten die wellicht maanden of zelfs een jaar geleden op een endpoint hebben plaatsgevonden.
Wanneer een dreiging wordt gedetecteerd door de behavioral engine, waar diverse indicatoren uit zijn te herleiden, maakt de console daar automatisch een storyline van. Op deze storyline kan vervolgens worden gehunt. De Deep Visibility-engine op de console laat vervolgens alle indicatoren van de aanval zien en op welke endpoints deze indicatoren ook zijn gedetecteerd.
Stel dat in een organisatie een incident heeft plaatsgevonden. De indicatoren van deze aanval zijn gedeeld door deze organisatie of door andere instanties. In een simpele query kunnen de met SentinelOne beveiligde endpoints op een of meerdere van deze indicatoren worden gecheckt. Tevens kan een watchlist worden aangemaakt waarop de endpoints regelmatig op deze indicatoren worden gecontroleerd.
Uiteraard pikken de engines aan boord van de agent gedrag op zodra het malicious wordt, maar op deze manier kan gedrag ook worden gedetecteerd voordat het die status bereikt. Vervolgens kan het op dezelfde manier worden behandeld als een daadwerkelijke threat, inclusief alle mitigation- en remediation-acties. Natuurlijk wordt ook ongewenst niet-malicious gedrag gedetecteerd.
Realtime inzicht in gedrag op systeemniveau is niet alleen onmisbaar om in geval van ongewenste activiteit te kunnen ingrijpen. Ook het proactief speuren naar voortekenen van een mogelijke dreiging wordt zo kinderspel. Dus wanneer de directeur aan je bureau staat, wijzend op een krantenartikel over een nieuwe ransomware- of malwareaanval, kun je hem in no-time garanderen dat deze dreiging zich niet manifesteert binnen het bedrijf, zonder dat daarvoor een update hoeft te worden uitgevoerd over een signature database.
Bron: SentinelOne
