統合型エンドポイントセキュリティ SentinelOne のご紹介 SentinelOne Endpoint Protection Platform セキュリティビジネス部 2019/7 2019 ITOCHU Techno-Solutions Corporation 1
エンドポイントの脅威と必要な対策 エンドポイントの脅威対策を防御 検知から対応 復旧へ 脅威 / 課題 変化させるべき対策のポイント IT 環境の変化と攻撃経路の増加 クラウド利用 PC 持出 / 持込の増加により エンドポイント保護強化の重要性が増加 次々発生する新しいマルウェア 過去の観測データ (= シグネチャ / パターンファイル ) に頼らない技術策の採用 ファイルレス攻撃 スクリプト攻撃などさらに多様化 巧妙化が進む脅威への対応 被害が発生すると調査 対処不能 阻止するだけではなく 被害発生直後の初動対応や復旧にも活用可能な対策 2019 ITOCHU Techno-Solutions Corporation 2
巧妙化を続ける脅威に対応するために 従来型 現世代型 次世代型 既知のマルウェアを検出 パターンファイルの更新や管理が必要 ファイルを検査 0-day マルウェアの検出に対応 ファイルや 脆弱性を突く振る舞いを検査 検知 阻止まで 0-day マルウェアの検出を高度化 システムレベルで挙動を解析し ファイルレス攻撃にも対応 検知 阻止に加えて 対処や復旧機能を統合 検知能力不足 重い運用管理の負担 ファイル検査のため最新脅威への対応不足 防御のみ 善後策なし 増加 巧妙化するファイルレス攻撃にも対応 緊急対応 フォレンジック 復旧まで活用可能 2019 ITOCHU Techno-Solutions Corporation 3
統合型エンドポイントセキュリティ SentinelOne Endpoint Protection Platform 2019 ITOCHU Techno-Solutions Corporation 4
SentinelOne 会社概要 設立 2013 年 1 月 従業員数 250+ 資金調達 $110M Accel Partners Third Point Ventures Tiger Global Management Granite Hill Capital Partners 顧客 Tomer Weingarten CEO 経営陣 Ehud Shamir CSO Almog Cohen CTO 本社 Mountain View, CA R&D US, Israel, France 2,500+ エネルギー製造業金融業 実績 : 7.0 万台 : 5.0 万台 : 4.2 万台 など テクノロジーアライアンス 他多数 2019 ITOCHU Techno-Solutions Corporation 5
SentinelOne ソリューション概要 防御力可視性シンプル自動化 2 つの AI エンジン ファイル ファイルレス攻撃の防御 オンライン オフラインを問わず防御 攻撃過程の可視化 IOC を活用した脅威ハンティング 事前防御と事後対応を統合 軽量エージェント クラウド管理サーバで運用効率を改善 自動実行型 EDR 200 以上の API で他製品とも連携し自動化 2019 ITOCHU Techno-Solutions Corporation 6
SentinelOne だけが提供する広範囲なセキュリティ機能 攻撃前 攻撃時 攻撃後 クラウドインテリジェンス ホワイト / ブラックリスト 動的マルウェア検知 軽減 復旧 11010 10101 01001 静的マルウェア検知 動的エクスプロイト検知 調査 これ対ま策での パターン型マルウェア対策製品 振る舞い型マルウェア対策製品 調査 対応製品フォレンジック製品 ア統プ合ロ型ーのチ 様々な脅威フェーズに対応 2019 ITOCHU Techno-Solutions Corporation 7
機能概要 統合型エンドポイントセキュリティ EPP (Endpoint Protection Platform) 脅威の防御 検知 脅威情報を用いた解析 AIによる静的ファイル解析 AIによる動的挙動解析 端末の制御 デバイス制御 (USB) ファイアウォール制御 EDR (Endpoint Detection & Response) 脅威への対応 調査 プロセスの強制停止 ファイルの隔離 レジストリの修復 改変ファイルの復旧 ネットワーク隔離 脅威ハンティング /IOC サーチ リモートからの端末操作 シングルエージェント 単一管理コンソールですべての機能を提供 2019 ITOCHU Techno-Solutions Corporation 8
SentinelOne マルチレイヤー保護アプローチ 巧妙化する脅威 防御 検知 ファイルレス攻撃 スクリプト攻撃 Static AI Behavioral AI ファイル型マルウェア 既知の攻撃危険なアプリケーション クラウド脅威インテリジェンス 静的ファイル解析 動的挙動解析 防御 AI を活用した高度な脅威検出エンジン 脅威インテリジェンス脅威の知見に基づき検出 遮断 静的ファイル解析ファイルの実行前に予測的に脅威を検出 動的挙動解析システム挙動を監視し 活動から脅威を検出 2019 ITOCHU Techno-Solutions Corporation 9
SentinelOne 迅速かつ自動化された脅威対応 発生前 脅威活動時 脅威発生後 予測 予防 検知 対処 脅威インテリジェンス 静的ファイル解析 動的挙動解析 調査 被害軽減 復旧 対応 インシデント対応に欠かせない機能を自動化 調査 可視化脅威の動きを視覚的に表現 IOC を使った検索 被害軽減策の実行プロセスの強制終了 被疑 PC のネットワーク隔離 システム修復 復旧改変されたシステム設定の回復 改ざんされたファイルを復旧 製品連携豊富な API で調査 対応をシステム化 2019 ITOCHU Techno-Solutions Corporation 10
機能詳細 2019 ITOCHU Techno-Solutions Corporation 11
静的ファイル解析 /Static AI AI/ 機械学習を活用したシグネチャレス型検出技術 アップデート不要で最新の脅威に対応 アップデートのための運用負担を軽減 外部にファイルを送信せず PC 上で検査 既知および未知のファイル型マルウェアを実行前に検出 アクセス 書き込み時に脅威を検出 31,000 以上独自のファイル特性を定義 参照済 マルチ OS 対応 Windows macos Linux 既知および未知のファイル型マルウェア 2019 ITOCHU Techno-Solutions Corporation 12
動的挙動解析 /Behavioral AI システムの挙動に注目して脅威を検出 AI/ 機械学習による知見をモデル化した解析エンジンで 通常と異なる脅威の動きを検出 リアルタイムな調査 記録 何が行われたかを詳細に記録 脅威の動き / 流れをアタックストーリーライン機能で視覚的に表現 環境を問わない軽量エージェント PC やサーバ上で発生するシステムの動作を常に監視 オンライン / オフラインともに対応 2019 ITOCHU Techno-Solutions Corporation 13
迅速かつ柔軟に脅威に対応 復旧 軽減策を自動実行 ポリシーによってインシデントの初期対応を自動実行 プロセスの強制終了や感染ファイルの隔離 強固な封じ込め 外部持ち出し中の PC でもネットワークから切り離し 復旧にも対応 マルウェア被害の痕跡を除去 ランサムウェアによる改ざん被害も元の安全な状態に復旧 2019 ITOCHU Techno-Solutions Corporation 14
インシデント発生時の詳細調査 Deep Visibility 特徴 インシデントに関連するプロセスを自動で関連付けてタイムライン表示 深堀り調査に必要な情報を抽出 ( 端末内のファイル情報 ネットワーク通信情報など ) 社内端末と社外持ち出し PC 両方の詳細調査が可能 ユースケース プロセス親子関係やネットワーク通信情報より影響範囲の特定 URLアクセスやファイル情報より組織全体の潜在的脅威の調査 2019 ITOCHU Techno-Solutions Corporation 15
リモート操作による物理的な移動時間やコストを軽減 Full Remote Shell 特徴 PowerShell(Windows) Bash(macOS) のすべてのコマンドを管理者権限で実行可能 ネットワーク隔離対応中の状態でもアクセス可能 (Windows) SentinelOne のファイル取得機能との連携でリモート端末内でのファイル作成とダウンロードが可能 ユースケース メモリダンプやパケットキャプチャ等のフォレンジックデータ収集 不要なアプリケーションやプロセスの停止 ファイル削除 2019 ITOCHU Techno-Solutions Corporation 16
エンドポイント保護への多様なアプローチ ファイアウォール制御 端末間における特定の IP アドレスやポートの通信許可および禁止 デバイス制御 (USB) 特定の USB デバイスの使用許可および禁止 SMB 接続試行 承認された USB メモリ 禁止された USB メモリ ユースケース 端末間の横拡散を狙うマルウェアの通信制御 ( 特定ポートの通信制御 ) ユースケース 組織内で承認されたUSBメモリのみ許可し 個人利用の USBメモリの接続を禁止 2019 ITOCHU Techno-Solutions Corporation 17
参考資料 2019 ITOCHU Techno-Solutions Corporation 18
SentinelOne システム構成 / サポート OS エージェントサポート OS SentinelOne クラウド管理サーバ SentinelOne エージェント Microsoft Windows Windows 7 SP1, 8, 8.1, 10 Windows Server 2008 R2 SP1, 2012, 2012 R2, 2016, 2019 Apple OS X / macos OS X 10.11 macos 10.12, 10.13, 10.14 Linux (64bit) Red Hat Enterprise Linux 5.5-5.11, 6.0 6.10, 7.0-7.6 CentOS 5.5-5.11, 6.1-6.10, 7.0 7.6 Ubuntu 12.04, 14.04, 16.04, 16.10, 17.04, 17.10, 18.04, 18.10 Amazon Linux 2016.01 以降, 2017.01 以降, 2018.03 Amazon Linux 2 Oracle Linux 5.8-5.11, 6.5-6.9, 7.0 以降 システム要件 CPU 1GHz dual-core メモリ Windows : 3GB 以上 ( 推奨 ) 空きディスク容量 その他 Apple OS X, macos, Linux : 2GB 以上 ( 推奨 ) Windows/Apple OS X, macos : 2GB, Linux : 1GB.NET Framework 4 以上 (Windows) 2019 ITOCHU Techno-Solutions Corporation 19
ライセンス体系 - Core と Control と Complete 機能差異 機能 Core Control Complete 静的ファイル解析 / 動的挙動解析 検知 / 防御 ドキュメント スクリプト ファイルレス エクスプロイト ラテラルムーブメント 修復 / 復旧 対応 ネットワーク隔離 Full Remote Shell デバイス制御 端末管理 ファイアウォール制御 脆弱性管理 ActiveEDR Basic Basic Advanced EDR/ 脅威ハンティング アタックストーリーライン Basic Basic Advanced Deep Visibility TrueContext 脅威ハンティング Controlライセンスは8 月以降リリース予定のHoustonバージョンから追加されます 2019/7/1 現在のGrandCanyonバージョンはCoreライセンスとCompleteライセンスの提供となります 2019 ITOCHU Techno-Solutions Corporation 20
CTC-MSS によるセキュリティ監視サービス SentinelOne をはじめ 様々なデバイスに精通したセキュリティ技術者がオペレーションを実施 早急に対策 ( 感染拡大の防止 ) が必要であるセキュリティインシデントが発生した場合 アナリストがいち早く対応 ( 感染端末のお客様ネットワークからの分離 ) を行います お客様は CTC-SOC に復旧指示をいただくだけで アナリストが端末を安全な状態に戻します セキュリティインシデント発生確認 感染拡大防止のためのネットワーク隔離 豊富なスキル ナレッジを有したセキュリティ技術者 お客様環境 感染端末の復旧作業 対応完了後のネットワーク再接続 2019 ITOCHU Techno-Solutions Corporation 21
2019 ITOCHU Techno-Solutions Corporation 22