連續四年在MITRE Engenuity評比中取得優異成績的SentinelOne,著眼於企業採用雲端搭建應用服務的需求增加,日前更收購PingSafe以取得雲原生應用保護平台(CNAPP)技術,預計將整合到SentinelOne Singularity平台,象徵著雲端安全基本思維的轉變。
企業或組織不再只依賴特定資安控管機制,或是獨立的雲端安全平台建立防護措施,而是可以藉由統一平台解決方案,搭配先進的人工智慧(AI)驅動的控管,以保護各種類型的端點、身分驗證與雲端服務等應用場域安全。
SentinelOne積極擴展其雲端安全能力,為此在2023年底的客戶大會中,提出Singularity Unity新戰略,未來將逐步推出新功能,以改善用戶體驗、增添一款生成式AI助手。本次收購取得的PingSafe雲原生應用保護平台技術,即為其中一環。
根據SentinelOne公開資訊說明,Singularity Unity版本是一系列獨特的增強功能,SentinelOne將在未來12個月內逐步推出,以革新既有的資安維運中心(SOC)。該平台將提供新的用戶體驗,扮演資安團隊的指揮中心和全面記錄系統。藉由整合生成式AI的Purple AI,可讓資安人員改以對話方式執行威脅獵捕與分析資安事件。預期將可簡化事件調查工作、加強治理,並顯著提高關鍵績效指標,包括平均偵測時間(MTTD)與平均解決時間(MTTR)。
此外,Singularity Unity平台建立於Singularity資料湖上,合併來自資安事件管理(SIEM)與延伸式偵測與回應(XDR)方案所收集的各種類型資料,使企業或組織可掌握更多資訊,以落實標準化控管政策。
追蹤攻擊者活動掌握最新情資
數位化快速發展的時代,企業面臨的資安挑戰日益嚴峻。根據2023年年底發布的WatchTower報告書指出,自2022年起至2023年期間,SentinelOne的Vigilance DFIR團隊觀察到多個源自同一線上社群的威脅行為者,該社群自稱為「The Com」。Vigilance DFIR的調查員與UNIT 221B首席研究員Allison Nixon緊密合作,研究這個威脅行為者群體的內部運作。The Com,一個隱秘的線上社群,最近因其日益大膽的活動而受到關注。該群體由多樣化的成員組成,包括遊戲玩家、駭客、一般用戶,他們透過Telegram聯繫與協作,創建了廣泛生態系統。原本The Com社群互動,多數為SIM卡交換、揭露個人資料、盜取社群媒體帳戶,近期卻逐漸演變成網路攻擊行為者的誕生地,開始出現使用國際駭客組織Lapsus$慣用的技術來發動勒索。
WatchTower是SentinelOne的威脅獵捕與情報部門,由全球分布的資安研究人員和情報分析師組成,持續追蹤以了解不斷演變的網路威脅樣貌。主要是利用SentinelOne在全球部署端點上識別的威脅,以及暗網的威脅研究,剖析攻擊者操作的模式。藉此提高回應新威脅的速度,並在威脅獵捕方面具有預測性,幫助客戶降低資安風險。
SentinelOne東南亞、香港與台灣業務代表Nancy Chi觀察,面對外部攻擊手法多變,台灣的製造業、半導體供應鏈等,大多已調整其資安策略。從傳統防毒軟體轉向採用更為先進的端點防護(EPP)與端點偵測與回應(EDR)方案。EPP可提供基礎的已知病毒防護,而EDR則進一步透過24小時監控端點活動、偵測異常行為,並能針對資安事件進行調查與回應,防止攻擊者竊取企業內部機敏資料。
此外,隨著全球資料保護法規的日益嚴格,企業不僅要關注資安防護,還必須確保其操作符合相關法規要求。這意味著EDR系統的功能不應僅限於資安保護,還需要提供符合法規要求的解決方案,以保證企業在處理個人及機敏資料的合規性。
依據風險評估制定資安策略
為避免營運場域遭惡意程式滲透造成損失,Nancy Chi認為,無論是EPP、EDR、XDR等解決方案,其選擇應基於企業的內外部需求,並與資安專家團隊攜手規畫出最適合的策略。她強調,沒有一種萬能的解決方案能適用於所有情況,企業必須從多個方面考量來評估制定資安策略。 Nancy Chi建議,首先,風險評估是制定資安策略的基礎。企業須了解自身面臨的特定資安風險、處理的資料類型,以及資安事件可能帶來的潛在影響。這一過程中,根據企業的實際需求來調整資安策略是關鍵。
其次,合規性要求也是選擇資安解決方案時不可忽視的因素。企業需考慮到行業法規和合規標準可能對特定資安措施的要求,並確保選擇的解決方案能夠滿足這些法律要求,以避免未來的法律風險。
此外,解決方案的整合性和相容性也是重要的考量點。企業應評估所選解決方案與現有資安基礎設施的整合程度,以及它與其他工具的相容性。這些因素將直接影響到資安策略的實施效率和整體效力。
「選擇供應商時,其聲譽和支援服務的質量也是關鍵。一個擁有良好市場記錄、提供有效資安解決方案的知名供應商,通常能夠提供更可靠的支援服務、持續的更新,並能夠更快適應新出現的威脅。」Nancy Chi說。
Purple AI輔助識別、分析和緩解威脅
SentinelOne基於EDR技術發展的Singularity XDR,可為端點裝置提供預防、偵測、回應與修復等功能。除了傳統的端點防護外,Singularity XDR還特別強調雲端安全性。隨著雲端運算的普及,許多企業的重要資料和應用系統逐漸遷移到雲平台。因此,Singularity XDR亦可針對容器、虛擬主機提供防護機制,實現雲端化的敏捷性、安全性和合規性。
身分保護也是Singularity XDR關注的重點。在當前企業網路中,身分認證為安全防護的關鍵環節。Singularity XDR增強了針對基於身分的威脅(如Active Directory和Azure AD)的偵測與回應能力,進而避免身分遭盜用或竊取引發資安事故。在網路控制方面,Singularity Ranger可主動監看應用場域的資產清單,同時避免未經授權的聯網設備任意接入。
Nancy Chi指出,Singularity XDR優勢之一即是透過AI驅動控管措施以提高效率。特別是Purple AI,這是一款致力於輔助威脅獵捕、分析與採取行動的AI應用。Purple AI藉由開源與專用模型,透過資安專家建立AI演算引擎來提高效率。
Purple AI不僅讓資安團隊能夠利用自然語言提出複雜的威脅追蹤問題,並運行操作指令來管理應用環境,還顯著簡化了威脅調查過程。Purple AI對於網路安全領域的理解,使其能夠快速地判讀相關事件,再依據識別的高風險行為提供洞察及建議,減少人力介入調查與分析。