1
Descripción
2
A. ¿Qué es SentinelOne?
SentinelOne es la “Nueva Generación de Protección Endpoint” (NGEP), realiza la
detección, prevención y restauración a las nuevas amenazas en los dispositivos Endpoint.
A través de un seguimiento de comportamiento dinámico y un análisis de detección
en tiempo real en todos los vectores del ataque (Malware, Exploits y scripts).
SentinelOne amplía la protección de información privilegiada de ataques sofisticados en tiempo real y Apts siendo éste un remplazo certificado de su solución de antivirus existente.
Además, Proporciona un análisis forense completo en tiempo real y visibilidad
profunda del Endpoint con su capacidad de búsqueda.
B. ¿Quiénes son nuestros clientes?
SentnelOne Abarca una amplia gama de industrias y organizaciones (Fortune 500) y PYME (250 o más) SentinelOne ha sido adoptado por las siguientes organizaciones.
⋅ Empresas comerciales
⋅ Institutos de Servicios Financieros
⋅ Instituciones de Salud
⋅ Instituciones de Educación
⋅ Sector Energético
⋅ Manufactura
⋅ Sector Tecnológico
⋅ Sector Minorista
⋅ Comercio Electrónico
⋅ Entretenimiento
⋅ Telecomunicaciones
Hoy en día trabajamos con las empresas más grandes del mundo
#3 Proveedores de alojamiento en la nube (Reackspace).
#1 Minorista (Walmart).
#6 Compañía de venta directa (Mary Kay)
#1 Red de televisión por internet (Netflix)
#1 Cadena de viaje en línea (Agoda)
#2 Intercambio financiero (Nasdaq)
#4 Banco más grande de Europa (UniCredit)
#1 Proveedor de Beneficios de salud dental (Delta Dental)
#2 Empresa commercial Japonesa (Itochu)
#1 Minorista de línea japonesa (Rakuten)
#1 Firma de capital de crecimiento (IVP)
#1 Compañía de entretenimiento y Electrónica (Sony)
3
#1 Servicios financieros en Asia (AEON...aeón parte de crédito)
#1 Telcomunicacines en Taiwán (Chunghwa Telecom)
C. ¿Qué desafíos clave aborda SentinelOne?
El Endpoint es el principal Objetivo Hoy en día, existe una gran variedad de dispositivos Endpoints (de escritorio, portátiles, dispositivos móviles y servidores) que las organizaciones y corporativos empresariales utilizan para desarrollar sus actividades, la gran mayoría de estos Endpoints son móviles, y con frecuencia se utilizan fuera del perímetro de protección, por lo tanto la conexión a varias redes públicas los hacen susceptibles a los ataques, Además, los Endpoints regularmente cuentan con aplicaciones obsoletas y vulnerables que ponen en riesgo su seguridad presentando una gran vulnerabilidad a los ataques de los piratas informáticos los cuales buscan tener acceso a información sensible y causar daño a las Organizaciones.
Los Antivirus y soluciones basadas en la red tradicional (Sandboxing, IPS / IDS, NGFW) han demostrado ser ineficientes en la prevención de las amenazas.
Las organizaciones han confiado en los métodos tradicionales para detectar amenazas, y proteger a lo Endpoints de los ataques Malware. Estos antivirus (AV) basados en firmas convencionales ya no son eficaces, ya que constantemente existe la necesidad de actualizar los archivos de firmas de virus para las nuevas amenazas. Por otra parte, las soluciones tradicionales se centran en los ataques basados en archivos y programas maliciosos, mientras que el panorama de las amenazas evoluciona para incluir tipos más sofisticados de ataques. Las soluciones de amenazas basadas en la red, como cortafuegos, IPS, IDS, trabajan a través de la detección de amenazas dependiendo la reputación IP, éstos son susceptibles a ataques del día cero y solo son eficaces después de los hechos. Por otra parte, los atacantes han desarrollado programas maliciosos que los antivirus tradicionales no pueden detectar, de esta manera el malware reside en el Endpoint hasta que se ejecuta causando daño e infectando el Dispositivo.
Hoy en día el panorama de amenazas es mucho más que el malware basado en archivos
La mayoría de los ataques utilizan múltiples vectores para llegar al Endpoint. Existen nuevas Amenazas que están diseñadas para infiltrarse en la organización y se deslizan en la seguridad sin ser detectados, a menudo utilizando técnicas de malware y de ofuscación polimórficos para evitar la detección. Una vez dentro, establecen el mando y control de comunicaciones (C & C) para robar los datos resultando en la pérdida financiera sustancial y daños a la reputación de la empresa.
4
Malware
Ransomware, Trojans, Worms, Backdoors, Rats
Perdida de Archivos, malware basados en memoria
Exploits
Exploits basados en documentos: Office doc exploits, Adobe macros, spearphishing e-
mails
Exploits basados en navegador: Drive-by Downloads, flash, java, iFrame/HTML5
plig-ins
Ataques Ejecutivos
Ataques basados en script: Powreshell, Powersploit, WMI, VBS
Credencials; credencial scraping, Mimikatz, tokens
D. ¿Cuáles son los beneficios de SentinelOne?
Beneficios SentinelOne
Descripción
Mayor detección de
amenazas en todos los
vectores
SentinelOne utiliza la inteligencia artificial para el análisis del comportamiento en tiempo real y la detección de malware, exploits y otros ataques cibernéticos que utilizan técnicas basadas en scripts como Powershell. Predice cómo un ataque se desarrollará contra el Endpoint a través
del comportamiento de la aplicación, deteniendo la amenaza antes de
que pueda causar daños.
Mitigación y Restauración
automática del Endpoint SentinelOne Automatiza todo el proceso de respuesta y el alivio del
Endpoint a través de una mitigación exhaustiva y propenso a errores
Velocidad Procedimientos. Elimina rápidamente las amenazas y devuelve los
Endpoints al último estado de confianza, adaptándose velozmente a la
defensa contra los ataques y cerrando el espacio de tiempo durante el
cual su organización sigue siendo vulnerable.
Visualiza los ataques en tiempo real con su análisis forense
SentinelOne realiza un análisis forense y visualizaciones del ataque
para trazar un punto de origen y el seguimiento a través de los
Endpoints y los otros puntos que se vulneran siendo éste un sistema
de visión completa.
Adaptable contra las nuevas Amenazas
SentinelOne auto-inmuniza los Endpoints notificando rápidamente a
otros Agentes en la red de una nueva amenaza. También aprovecha
el servicio inteligente de detección en la nube seleccionando los datos
de los servicios de reputación, para bloquear de forma proactiva las
amenazas las amenazas conocidas.
Menor coste total de
propiedad mediante la
consolidación de las
SentinelOne en una sola plataforma, despliega y gestiona
rápidamente operaciones virtualmente invisibles que no afectan el
rendimiento de los dispositivos Endpoint, lo que permite mantener la
5
funciones de seguridad de
Endpoint máxima productividad, unificando la prevención, detección y
respuesta.
Implementación Flexible
Implementa SentinelOne en las instalaciones o como un servicio de
gestión basado en la nube para proteger Windows, OS X, los
Endpoints y servidores de usuario basados en Linux.
Rendimiento y Escalabilidad
Una vez protegido Windows, OS X o dispositivos Endpoints basados
en Linux con el Agente autónomo de SentinelOne, éste realiza un
seguimiento de todo el sistema y de la actividad que realiza el
Endpoint sin pérdida rendimiento.
Arquitectura SentinelOne SentinelOne utiliza los siguientes componentes:
Servidor de Administración: Muestra el estado del Endpoint y acumula información de los
Agentes desplegados por SentinelOne, proporcionando un análisis forense detallado del
ataque.
Agentes: Software instalado en cada Endpoint que necesita protección: Windows, SO X,
Linux (física o virtual). El Agente supervisa la actividad en el Endpoint, además tiene la
capacidad para detectar nuevas amenazas y proporciona medidas de mitigación.
Es recomendable para el servidor de gestión una implementación en la nube, ya que
proporciona los siguientes beneficios:
. Configuración rápida del servidor de administración.
⋅ No es necesario ningún hardware o software local de la infraestructura.
⋅ Fácilmente escalable y sin costo adicional.
⋅ Protección de Endpoint siempre disponible (Endpoint en línea).
Uno de los componentes más importantes que SentinelOne utiliza para la protección de
amenazas a los Endpoints en el cual el cliente no interactúa pero es fundamental es la nube
de SentinelOne ya que utiliza los servicios de reputación para la detección de amenazas,
proporcionando lo siguiente:
⋅ Algoritmos de aprendizaje automáticos y heurísticos, que proporcionan mayor exactitud a
la detección de amenazas.
. Los datos utilizados para aumentar la precisión de estos algoritmos incluyen:
⇒ El equipo de investigación de SentinelOne revierte los daños causados por las amenazas. ⇒ Datos de las nuevas amenazas de los ataques detectados en las organizaciones.
6
⇒ SentinelOne cuenta con una integración externa de las diversas fuentes de amenazas, incluyendo:
el sector privado, gobierno y asociaciones (por ejemplo, VirusTotal, Microsoft VIA, NSS CAWS, Éxodo,
Inversión Labs).
E. Caracteristicas y funciones de SentinelOne
Monitoreo Autónomo ligero
⋅ SentinelOne proporciona en cada Endpoint un Agente autónomo ligero que supervisa toda
la actividad que realiza el Endpoint tanto en el núcleo como en el espacio de usuario
(incluyendo archivos, procesos, memoria, registro, red, etc.). El Agente es virtualmente
invisible y no puede ser manipulado.
Detección de comportamiento de ataques
⋅ SentinelOne emplea el Seguimiento Comportamiento Dinámico (DBT), que utiliza una
sofisticada tecnología que aprende y ayuda a predecir amenazas a través de
comportamientos en el marco de contexto completo del usuario, detectando amenazas a
través de múltiples vectores, como son: el malware (basado en archivos, basado en
memoria), exploit (basados en documentos, basados en el navegador) y la información
privilegiada / ataques en vivo. Análisis forense en tiempo real
⋅ SentinelOne mejora notablemente la capacidad de investigación con informes de análisis
forense detallado, basados en información en tiempo real enviada desde el Agente de la
consola de administración SentinelOne.
Visualización de los Ataques
⋅ SentinelOne genera visualizaciones intuitivas del historial de ataques, de esta manera
realiza un análisis forense de visión completa que traza un punto de origen y el
seguimiento a través de los Endpoints y los otros puntos que se vulneran por los ataques.
Mitigación Zero-Touch
⋅ SentinelOne implementa características totalmente automatizadas, que crean una
capacidad de respuesta abarcando todos los Endpoints, locales y remotos, al instante los
elimina y notifica de los procesos maliciosos a todos los Agentes de la red, además
establece políticas contra las nuevas amenazas que se llevan a cabo de forma
automática.
Contención Robusta
Una vez Detectada una nueva amenazas, SentinelOne desconecta el dispositivo de punto
de infección de la red con el fin de evitar que la amenaza se propague a otros Endpoint,
pero todavía mantiene la conexión a la consola de administración SentinelOne.
7
Restauración “ROLL BACK”
⋅ SentinelOne revierte las modificaciones que realizaron los malware y restaura los
archivos manipulados para conseguir sus últimos estados de confianza conocidos, de
esta manera SentinelOne limpia los restos de un ataque.
Nube Inteligente
⋅ SentinelOne refuerza aún más su protección mediante el aprovechamiento del servicio
inteligente de detección en la nube, seleccionando los datos de los servicios de reputación,
para bloquear de forma proactiva las amenazas conocidas.
Auto-Inmunización
⋅ Cada vez que un nuevo comportamiento malicioso se identifica, SentinelOne al instante lo
marca y notifica a todos los Agentes de la red, volviéndolos inmunes al ataque.
Grupos y Políticas.
⋅ Las organizaciones suelen agrupar sus Endpoints de una manera funcional para su
organización, incluye grupos y políticas que permiten a las organizaciones establecer una
estructura lógica a los Endpoints (grupos) y proporciona la capacidad de crear y aplicar
una política (un conjunto de ajustes de configuración).
F. Preguntas frecuentes
⇒ ¿Está buscando complementar o reemplazar su antivirus actual?
⇒ ¿Con qué sistema operativo estás pensando cubrir su necesidad?
⇒ ¿Cuántos dispositivos de escritorio, portátiles y servidores tiene?
⇒ ¿Qué soluciones no ha implementado para resolver sus problemas contra las amenazas?
AV
Anti-exploit
Forense
DLP
Full Disk Encryption
VPN
⇒ Actualmente, ¿Tiene un nuevo proyecto?
¿Cuál es su tiempo en línea?
¿Cómo utiliza su tiempo en línea?
⇒ ¿Cuál es su criterio de éxito?
Capturar APTs y todo tipo de ataques, por ejemplo: Exploits – basados en
Documentos o basado en navegador, malware a base de archivos, perdida
de archivos o memoria.
Ataques en vivo – basados en Scripts (e.g. Powershell)
8
Mitigación Automática / Restauración
Forense
Ease of use
Consolidated Agents
Low footprint
TCO
G. Certificados y Reconocimientos en la Industria
SentinelOne se denomina un "visionario" en el Cuadrante Mágico de Gartner 2016 en
plataformas de protección Endpoint.
⋅ Es una fortaleza clave identificada por Gartner - "SentinelOne es el único proveedor en este análisis que incluye la
funcionalidad completa de tipo EDR en la plataforma central. SentinelOne es un buen candidato para reemplazar o aumentar EPP de soluciones existentes para cualquier empresa en busca de un nuevo EDR integrado ... "
● 2016 Premio Revista SC - Mejor Tecnología Emergente
● Revista de defensa Cibernética Choice Award 2016 Editor - Endpoint Security Solution
Certificaciones
● AV-TEST (junio de 2015) - ha logrado un 98,8% la tasa de detección del día cero en Windows, 100% de detección de malware "generalizado / predomínate". Recibió una puntuación de 5/6 de protección, 5.5 / 6 puntuación de rendimiento, y una puntuación de
6/6 facilidad de uso.
● AV-TEST (diciembre de 2015) - Tasa de detección de 100% en OS X.
9
Conformidad
● SentinelOne ha trabajado directamente con un asesor de 3er Nivel, Tevora, para dar fe de
que nuestra solución cumple con toda la detección, prevención y obligación de
información:
PCI DSS 3.1 Requisito 5.1: Implementa software antivirus en todos los sistemas comúnmente
afectados por software malicioso
Requerimiento 5.1.1: Asegura que todo antivirus se mantienen al día de forma mecánica,
realiza exploraciones periódicas, genera registros de auditoría que son retenidas por PCI
DSS requisito 10.7.
Requisito 5.3: Asegura que los mecanismos antivirus se están ejecutando de forma activa
y no se pueden desactivar o alterar por los usuarios, salvo por autorización explícita de
gestión sobre una base de caso por caso por un período de tiempo limitado.
Regla de seguridad HIPPA
§164.308(a)(5)ii)(B): Los procedimientos para la protección contra, detección y generación de informes de software malicioso
El informe complete se puede encontrar aquí.
H. Precios y posicionamiento de Costo de propiedad de protección para el Endpoint.
Hoy en día, las organizaciones se ven obligadas a implementar varias tecnologías con el fin de
proporcionar una detección, prevención y respuesta a través de los principales vectores de
ataque. Al hablar con la propuesta de valor de SentinelOne es importante destacar la ventaja de
tener un enfoque totalmente integrado cuando se trata del Costo de propiedad de protección
para el Endpoint.
Las siguientes tablas comparan dos enfoques - el despliegue de SentinelOne frente al despliegue de las tecnologías de 4-5 diferentes, con el fin de acercarse a la funcionalidad que proporcionan. Esto incluye antivirus; una solución de control de aplicaciones para las listas blancas y listas negras; una detección de Endpoint y solución de respuesta (EDR) para amenazas desconocidas; soluciones de un anti-exploit; y una herramienta de recogida de medicina forense. El siguiente análisis es sólo una estimación, y va a variar de una cuenta a otra. El objetivo es
proporcionar algunos puntos de discusión que los clientes potenciales puedan comprender toda
la amplitud de la capacidad que proporcionamos. Asegúrese de leer el informe completo
publicado en nuestro Centro de Recursos.
10
TABLA 1: COMPARACIÓN DE DOS ESTRATEGIAS PARA ENDPOINT.
FASE CAPACIDAD CRITICA SENTINELONE EPP ENFOQUE MULTI-SOLUCION
Pre-Ejecución Prevención Tradicional Nube inteligente/ servicios de
reptación Antivirus (1 Agente)
Listas Negras / Listas blancas Control de aplicaciones adaptivo Solución de control de
aplicaciones
Ejecución Detección dinámica de
Malware Monitor de Comportamiento Dinámico EDR Solución (1 Agente)
Detección dinámica de
Exploid
Monitoreo a nivel de núcleo y espacio de usuario
Agente autónomo ligero para Windows,
SO X, y dispositivos Endpoint Linux
Solución Anti-Exploit (1 Agente o
Microsoft EMET)
Después de la
Ejecución Mitigación
Mitigación Automática
Alerta, Elimina o pone en cuarentena
Detiene la contaminación Endpoint
Proceso de Mitigación manual
Rehabilitación
Integra características de
Rehabilitación (Roll back) de
archivos manipulados
Proceso Interno manual o consulta
de herramientas de rehabilitación
externos
Forense
Análisis Forense en tiempo real
(Basado en el monitoreo de las
actividades del sistema sin
disminuir su rendimiento).
Múltiples de herramientas
Forenses (1 Agente)
Requiere servicios adicionales
para lograr un análisis en tiempo
real.
TABLA 2: COMPARACIÓN DE REQUERIMIENTOS DE SOLUCIONES, REQUERIMIENTOS PERSONALES Y LICENCIAS DE COSTO.
SENTINELONE EPP ENFOQUE MULTI-FUNCIONAL
AGENTE ENDPOINT 1 5
ADMINISTRACIÓN DE CONSOLA 1 4-5
RENDIMIENTO DE LOS USUARIOS 2% Avg, uso del CPU 4% a 10% Avg, uso de CPU
REQUERIMIENTOS IT
SentinelOne EPP + EDR =1FTE
TOTAL: 1 FTE
Antivirus = 2 FTE
Anti-exploit = 1 FTE
Control de aplicación = 2 FTE
EDR/forense = 2 FTE
TOTAL: 7 FTE
11
COSTO TOTAL ANUAL
(Solución + Personal)
$ 30 / Endpoint x 25k endpoints = $750k
1 FTE x $90k / year = $90k
$840,000
AV + Anti-exploit + control APP + EDR/Forense: $121/Endpoint x 25k endpoints = $3,025,000
FTE: 7 x $90/years = $630k
$3,655,000
Top Related