SentinelOne es la “Nueva Generación de Protección Endpoint” (NGEP), realiza la detección, prevención y restauración a las nuevas amenazas en los dispositivos Endpoint.
2. ¿Qué es SentinelOne?
SentinelOne es la “Nueva Generación de Protección Endpoint” (NGEP), realiza la
detección, prevención y restauración a las nuevas amenazas en los dispositivos
Endpoint.
A través de un seguimiento de comportamiento dinámico y un análisis de detección en
tiempo real en todos los vectores del ataque (Malware, Exploits y scripts).
SentinelOne amplía la protección de información privilegiada de ataques sofisticados en
tiempo real y Apts siendo éste un remplazo certificado de su solución de antivirus
existente.
Además, Proporciona un análisis forense completo en tiempo real y visibilidad profunda
del Endpoint con su capacidad de búsqueda.
3. ¿Qué desafíos clave aborda SentinelOne?
El Endpoint es el principal Objetivo
Hoy en día, existe una gran variedad de dispositivos
Endpoints (de escritorio, portátiles, dispositivos móviles y
servidores) que las organizaciones y corporativos
empresariales utilizan para desarrollar sus actividades, la
gran mayoría de estos Endpoints son móviles, y con
frecuencia se utilizan fuera del perímetro de protección, por
lo tanto la conexión a varias redes públicas los hacen
susceptibles a los ataques, Además, los Endpoints
regularmente cuentan con aplicaciones obsoletas y
vulnerables que ponen en riesgo su seguridad presentando
una gran vulnerabilidad a los ataques de los piratas
informáticos los cuales buscan tener acceso a información
sensible y causar daño a las Organizaciones.
4. Los Antivirus y soluciones basadas en la red
tradicional son ineficientes.
Las organizaciones han confiado en los métodos tradicionales para detectar amenazas, y
proteger a lo Endpoints de los ataques Malware. Estos antivirus (AV) basados en firmas
convencionales ya no son eficaces, ya que constantemente existe la necesidad de
actualizar los archivos de firmas de virus para las nuevas amenazas. Por otra parte, las
soluciones tradicionales se centran en los ataques basados en archivos y programas
maliciosos, mientras que el panorama de las amenazas evoluciona para incluir tipos más
sofisticados de ataques.
Las soluciones de amenazas basadas en la red, como cortafuegos, IPS, IDS, trabajan a
través de la detección de amenazas dependiendo la reputación IP, éstos son susceptibles
a ataques del día cero y solo son eficaces después de los hechos. Por otra parte, los
atacantes han desarrollado programas maliciosos que los antivirus tradicionales no
pueden detectar, de esta manera el malware reside en el Endpoint hasta que se ejecuta
causando daño e infectando el Dispositivo.
5.
6. No podemos mantener el ritmo
Nuevo
Malware
2007
2008
2009
2010
2011
2012
2013
2014
2015
2016
6
143M
6M
8.5M
12.5M
18M
19M
34.5M
83M
144M
94.5M
Última actualización:
08-25-2016 Copyright (c) AV-
TEST GmbH,
www.avtest.org
390,000Nuevas muestras de
código malicioso por
día
7. 1
3
5
7
9
11
13
15
18
20
2
4
6
8
10
12
14
16
19
17
2 . 5 %
4 4 %
1 5 %
7 . 5 %
5 . 5 %
4 %
3 . 5 %
3 %
2 %
1 . 5 %
0 . 3 %
1 %
0 . 9 %
0 . 8 %
0 . 7 %
0 . 6 %
0 . 5 %
0 . 4 %
0 . 2 %
0 . 1 %
No podemos mantener el ritmo
% de
Malware
Última actualización:
08-25-2016
Copyright (c) AV-TEST
GmbH, www.av-test.org
95%
Nuevas
muestras de
código
malicioso por
día
4 5
De las variantes
de malware que
duraron menos
de una semana
de
8. “El Antivirus no puede más”
INTELIGENCIA PRIMITIVA
Eficaz contra el malware basado en archivos KNOWN
solamente.
No hay posibilidad de atrapar ataques de día cero.
El uso de heurísticas puede aumentar la tasa de falsos
positivos.
NO VISIBILIDAD
No se monitoriza la actividad del Endpoint
No hay capacidades forenses
LAS ACTUALIZACIONES DE LA FIRMA
NO PUEDEN MANTENER PACING
CON NUEVOS ATAQUES
DEMASIADO INTENSIVO A LOS
RECURSOS
Las exploraciones y las actualizaciones de firmas son un
obstáculo para el rendimiento de la CPU del punto final
9. 9
¿QUÉ ES LA PROTECCIÓN
ENDPOINT DE LA PRÓXIMA
GENERACIÓN?
10. Real-Time Protección Endpoint Unificada
“Protección Endpoint de Siguiente Generación” (NGEP), que
permite la detección, prevención y restauración a las nuevas
amenazas en una sola plataforma.
Completamente visible
En la actividad que realiza el
Endpoint sin ninguna
restricción de rendimiento
Multicapas de protección
Encuentra nuevas amenazas a
través de los principales vectores
Completamente
automatizado
Mitigación de amenazas y
restauración inmediata
Visionario
2016 & 2017 Cuadrante Mágico
Plataformas de protección Endpoint
11. SentinelOne ofrece distintas capas de protección
11
Detección por
Comportamiento
Motor de
Pre-Ejecucion
On Access
01 02
Escanea los archivos
completamente.
Localiza archivos
executables (PE)
03
100% Comportamiento
Incluyendo Fileless
Attacks.
Toma el Hash y
compara contra listas
blancas/negras.
Bloquea
inmeditamente.
“Detecta las amenazas estáticas antes de que estén activas, mitigando así
cualquier nuevo malware antes de que se ejecute o lo detiene en la ejecución”
12. Predice comportamiento malicioso
Monitoreo Autónomo.
Supervisión continua de todas las actividad en el
Endpoint, El Agente es virtualmente invisible y no
puede ser manipulado.
Seguimiento de Comportamiento Dinámico.
Predice cómo se desarrollan los ataques por medio del
comportamiento de las aplicaciones.
Análisis Forense en tiempo real.
Vistas de 360 grados de los ataques de la amenaza y
Análisis Forense detallado.
13. Elimina las Amenazas Rápidamente
Mitigación Zero-Touch.
Protege todos los Endpoints
que están expuestos a la amenaza.
Contención Robusta.
Detiene la propagación a
otros Endpoints desconectando
el dispositivo de la red.
Restauración completa .
Remediación. Elimina residuos del ataque & Roll-back. Regresa el Endpoint al
momento previo al ataque.
14. Adapta las defensas a la perfección
Nube Inteligente.
Refuerza la protección mediante el
aprovechamiento del servicio de
información sobre amenazas.
Auto-Inmunización.
Notifica a todos los Agentes en la
red cuando se detecta una nueva
amenaza y desconecta el Endpoint
infectado.
15. SentinelOne vs Enfoque Multi-solución.
Prevención tradicional +
Listas blancas / Listas Negras
Antes de la Ejecución
Mitigación
Solución o Restauración
Después de la ejecución
Forense
Detección Dinámica Malware
Detección Dinámica Exploit
Durante la ejecuciónPlataformadeprotecciónEndpoint
Agente ligero
Consola de
gestión
unificada
Menos FTEs
(Personal de
Tiempo Completo)
Reduce TCO
(Costo Total de
Propiedad)
Enfoque Multi-Solución
Multiples
Agentes
Gestión Multiple
de consolas
Más FTEs
> 5x TCO de
SentinelOne
Enfoque Unificado
EMET
16. NSS Labs Report 2017
SENTINELONE CALIFICADO COMO
‘Recommended’ POR NSS
Resultados de SentinelOne:
• 100% ratio de bloqueo de malware y
exploits sobre 6 categorías
• Líder en TCO
• 99.8% puntuación de efectividad en
seguridad
17. Gartner Report 2017
Por Segundo año consecutivo SentinelOne es reconocido
como visionario en el cuadrante mágico de Endpoint
Protection Platform.
SENTINELONE NOMBRADO EL MÁS VISIONARIO
EN EL CUADRANTE MÁGICO DE GARTNER DE
2017
21. Protección contra
Ransomware.
Garantizado.
Protección de Endpoint y Servidor
de siguiente generación.
SentinelOne es un reemplazo AV certificado.
Los clientes de la Plataforma de Protección Endpoint (EPP) SentinelOne
cubiertos con la garantía Ciber-SentinelOne serán reembolsados hasta
$1,000.00 USD (Un mil Dólares Americanos) por cada Endpoint afectado
si somos incapaces de mantenerle a salvo de un ataque ransomware, y
hasta un máximo de $1,000,000.00 USD (Un millón de Dólares
Americanos) por empresa. Inversión: $5 usd por Endpoint.
Póliza de Garantía
Predice Comportamiento malicioso.
El Agente que se instala en cada Endpoint, es invisible y no puede ser manipulado.
A través del monitoreo Inteligente y seguimiento de comportamiento dinámico de SentinelOne, se puede detectar nuevas actividades maliciosas en tiempo real a todos sus Endpoints.
El Agente autónomo SentinelOne supervisa completamente el sistema de toda actividad maliciosa en el Endpoint (núcleo del sistema operativo, memoria, disco, registro, red, etc…) construyendo un escenario de comportamiento en plena ejecución de la aplicación. Detecta las etiquetas y las anomalías de comportamiento utilizando la lógica derivada de la ciencia avanzada de datos y auto aprendizaje. Se predice la secuencia de ataque, mediante el seguimiento de comportamiento dinámico además de optimizar y construir un escenario del progreso que tuvo el ataque.
SentinelOne Realiza un análisis forense en tiempo real y visualizaciones que construyen un argumento del comportamiento malicioso.
Predice Comportamiento malicioso.
El Agente que se instala en cada Endpoint, es invisible y no puede ser manipulado.
A través del monitoreo Inteligente y seguimiento de comportamiento dinámico de SentinelOne, se puede detectar nuevas actividades maliciosas en tiempo real a todos sus Endpoints.
El Agente autónomo SentinelOne supervisa completamente el sistema de toda actividad maliciosa en el Endpoint (núcleo del sistema operativo, memoria, disco, registro, red, etc…) construyendo un escenario de comportamiento en plena ejecución de la aplicación. Detecta las etiquetas y las anomalías de comportamiento utilizando la lógica derivada de la ciencia avanzada de datos y auto aprendizaje. Se predice la secuencia de ataque, mediante el seguimiento de comportamiento dinámico además de optimizar y construir un escenario del progreso que tuvo el ataque.
SentinelOne Realiza un análisis forense en tiempo real y visualizaciones que construyen un argumento del comportamiento malicioso.
Predice Comportamiento malicioso.
El Agente que se instala en cada Endpoint, es invisible y no puede ser manipulado.
A través del monitoreo Inteligente y seguimiento de comportamiento dinámico de SentinelOne, se puede detectar nuevas actividades maliciosas en tiempo real a todos sus Endpoints.
El Agente autónomo SentinelOne supervisa completamente el sistema de toda actividad maliciosa en el Endpoint (núcleo del sistema operativo, memoria, disco, registro, red, etc…) construyendo un escenario de comportamiento en plena ejecución de la aplicación. Detecta las etiquetas y las anomalías de comportamiento utilizando la lógica derivada de la ciencia avanzada de datos y auto aprendizaje. Se predice la secuencia de ataque, mediante el seguimiento de comportamiento dinámico además de optimizar y construir un escenario del progreso que tuvo el ataque.
SentinelOne Realiza un análisis forense en tiempo real y visualizaciones que construyen un argumento del comportamiento malicioso.
NARRATIVA
SentinelOne es una compañía de protección de última generación que ofrece detección, prevención y corrección en tiempo real de amenazas avanzadas en una sola plataforma.
Lo hacemos a través del seguimiento y análisis de comportamiento dinámico para detectar - en tiempo real - las amenazas a través de todos los vectores de ataque (malware, exploit, script).
Supervisamos de cerca todas las actividades del sistema para identificar cuándo las aplicaciones o los procesos muestran un comportamiento malicioso y mitigan las amenazas en tiempo real.
Puede utilizar SentinelOne para reemplazar su solución antivirus existente, al mismo tiempo que proporciona protección contra exploits y basada en información privilegiada, con un único agente ligero.
Además, ofrecemos una visibilidad profunda de los puntos finales, búsqueda y forense.
NARRATIVA
SentinelOne es una compañía de protección de última generación que ofrece detección, prevención y corrección en tiempo real de amenazas avanzadas en una sola plataforma.
Lo hacemos a través del seguimiento y análisis de comportamiento dinámico para detectar - en tiempo real - las amenazas a través de todos los vectores de ataque (malware, exploit, script).
Supervisamos de cerca todas las actividades del sistema para identificar cuándo las aplicaciones o los procesos muestran un comportamiento malicioso y mitigan las amenazas en tiempo real.
Puede utilizar SentinelOne para reemplazar su solución antivirus existente, al mismo tiempo que proporciona protección contra exploits y basada en información privilegiada, con un solo agente ligero.
Además, ofrecemos una visibilidad profunda de los puntos finales, búsqueda y forense.
ESCANEO DE ACCESO
El software antivirus se ejecuta en segundo plano en su computadora, comprobando cada archivo abierto.
Al hacer doble clic en un archivo EXE, puede parecer que el programa se inicie de inmediato, pero no. Su software antivirus comprueba primero el programa, comparándolo con virus conocidos, gusanos y otros tipos de malware.
Los virus que explotan los agujeros de seguridad en los programas no serían capturados por el escáner. Después de que un virus ha infectado su sistema, es mucho más difícil de eliminar. (También es difícil estar seguro de que el malware ha sido completamente eliminado.)
HEURISTICOS
La heurística también puede aumentar la tasa de falsos positivos. Un antivirus puede notar que un programa se está comportando de manera similar a un programa malicioso y lo identifica como un virus.
NARRATIVA
Proporciona visibilidad profunda y un análisis forense de los ataques realizados al Endpoint.
Realiza un seguimiento de Comportamiento Dinámico y un Análisis de amenazas en tiempo real de todos los vectores del ataque (malware, exploit, script).
Completamente automatizado en todas las actividades del sistema para identificar cuando las aplicaciones o procesos están mostrando un comportamiento malicioso y mitiga las amenazas en tiempo real.
Desde la perspectiva del dispositivo de punto final, el ciclo de vida de la ejecución de amenazas se puede dividir en tres fases: pre-ejecución, ejecución y post-ejecución.
PRE-EJECUCIÓN: PREVENCIÓN ESTÁTICA, WHITELISTING Y BLACKLISTING Cualquier malware basado en archivos puede evitarse en un dispositivo de Endpoint objetivo, siempre que el código de ataque haya sido previamente detectado y pueda identificarse de antemano como una amenaza conocida. Esta es la esencia del software antivirus heredado; Su capacidad de bloquear las amenazas conocidas de ejecutar directamente haciendo coincidir una amenaza a las firmas que existen dentro de la capa de administración del software antivirus.
Más recientemente, las organizaciones han comenzado a complementar las deficiencias de su software antivirus mediante el despliegue de listas blancas y la tecnología de listas negras como una capa adicional de protección. Estas técnicas se combinan para formar un método de fuerza bruta de gating que las aplicaciones se les permite correr en un dispositivo Endpoint particular. Esta forma de prevención es un medio eficaz de reducir significativamente la superficie de ataque general de la organización y hace que los hackers y los ciberdelincuentes trabajen más (y gastan más dinero) para penetrar en la infraestructura de TI de la organización a través del punto final.
De acuerdo con los estándares de hoy, la protección previa a la ejecución debe considerarse como una apuesta de la tabla para cualquier enfoque para asegurar el punto final.
ON EXECUTION: DETECCIÓN DINÁMICA DE MALWARE AVANZADO Y EXPLOTACIONES La fase de ejecución es donde una amenaza desconocida (a menudo una variante cuidadosamente envuelta o alterada de una amenaza conocida) escapa a la detección inicial y comienza a ejecutarse en el dispositivo de punto final. Es durante la ejecución donde se realiza el análisis continuo de la actividad del sistema para identificar el comportamiento malicioso. La detección de malware avanzado y Exploits por métodos dinámicos fue la primera de las tecnologías de sandbox basadas en redes que emulan puntos finales y ejecutan contenido sospechoso con el objetivo de identificar nuevas amenazas nunca antes vistas. A medida que se detectan nuevas amenazas, se crean y distribuyen firmas en el cortafuegos perimetral con la esperanza de que puedan bloquearse durante la pre-ejecución desde ese momento.
Cada vez más, las organizaciones están agregando nuevas soluciones de seguridad de Endpoint basadas en el comportamiento para prevenir amenazas avanzadas que no se detectan a nivel de red. Estas soluciones se centran en la identificación en tiempo real de los comportamientos maliciosos utilizados por el malware, las exploits y los ataques más furtivos basados en secuencias de comandos. Esto se logra supervisando todas las actividades a nivel de sistema desde el espacio del núcleo hacia arriba, formando el contexto para permitir la rápida identificación y aislamiento de patrones maliciosos que están vinculados a una nueva amenaza. Estas nuevas soluciones han demostrado ser más eficaces contra las amenazas avanzadas y se utilizan cada vez más como un sustituto del antivirus.
También es importante tener en cuenta que la profundidad y extensivita de la supervisión de actividad en el dispositivo de Endpoint determina la viabilidad de cualquier información forense que se pueda procesar. Este es un ingrediente clave para los procesos posteriores a la ejecución exitosos.
Una vez que un ataque se ejecuta con éxito en uno o más puntos finales, la organización permanece vulnerable hasta que el personal de seguridad pueda mitigarla completamente, deteniendo su propagación lateral y eliminándola de los dispositivos afectados. Muchas tecnologías hoy se centran en identificar y alertar a la existencia de una amenaza. Esto envía al personal de respuesta a incidentes en una lucha, armado con una combinación de herramientas de mitigación y forenses y procedimientos manuales a través de los cuales se realizan los intentos de encontrar y poner en cuarentena los sistemas infectados. A veces, consultores expertos en seguridad son llamados (a un costo considerable) cuando los equipos internos necesitan asistencia - con la mitigación, la remediación de archivos afectados, o la generación e interpretación de datos forenses. En última instancia, la respuesta más eficaz es aquella en la que la mitigación y la remediación del ataque se ejecutan inmediatamente, en el punto inicial de detección. Esto se valida a través de la Arquitectura de Seguridad Adaptativa de Gartner, y ha sido adoptada por algunos pioneros que están integrando la detección, prevención y respuesta para un enfoque más completo.
RESUMEN
Las medidas de pre-ejecución reducen la superficie de ataque global bloqueando las amenazas conocidas y gating qué aplicaciones se les permite correr
Las amenazas sofisticadas pueden detectarse a través de un seguimiento y análisis de comportamiento dinámico, realizado a medida que se ejecuta el proceso sospechoso (ejecución ON)
Cuando se detecta una amenaza, la organización sigue siendo ampliamente vulnerable hasta que la amenaza pueda ser totalmente neutralizada, haciendo que la mitigación de la velocidad de la máquina y la remediación sean críticas.
Reducir la vulnerabilidad a las nuevas amenazas en evolución requiere entender el contexto completo de cada nuevo ataque a través de una forense precisa y detallada
Predice Comportamiento malicioso.
El Agente que se instala en cada Endpoint, es invisible y no puede ser manipulado.
A través del monitoreo Inteligente y seguimiento de comportamiento dinámico de SentinelOne, se puede detectar nuevas actividades maliciosas en tiempo real a todos sus Endpoints.
El Agente autónomo SentinelOne supervisa completamente el sistema de toda actividad maliciosa en el Endpoint (núcleo del sistema operativo, memoria, disco, registro, red, etc…) construyendo un escenario de comportamiento en plena ejecución de la aplicación. Detecta las etiquetas y las anomalías de comportamiento utilizando la lógica derivada de la ciencia avanzada de datos y auto aprendizaje. Se predice la secuencia de ataque, mediante el seguimiento de comportamiento dinámico además de optimizar y construir un escenario del progreso que tuvo el ataque.
SentinelOne Realiza un análisis forense en tiempo real y visualizaciones que construyen un argumento del comportamiento malicioso.
Rápidamente elimina las amenazas.
El producto es tan efectivo que detecta la amenaza, la elimina y Evita que se contaminen otros equipos dentro de la misma red y estén donde estén, y en el caso que fueran infectados, revierte los danos causados dejando los equipos como estaban en un principio.
La capacidad de respuesta integrada de SentinelOne Revierte los daños causados por las amenazas fácilmente restaurando los archivos modificados por la amenaza para regresarlos a su último estado conocido que es de confiar.
Defensas perfectamente adaptadas.
Cuando detecta una amenaza nueva, lo manda a listas negras, evitando así, que otros equipos se contaminen y dejando aislado al infectado.
SentinelOne utiliza una nube inteligente y de aprendizaje automático para adaptarse a la perfección a sus defensas de Endpoint contra los últimos Malware, Exploits y ataques.
Detiene inmediatamente la propagación a los demás Endpoints desconectando el dispositivo de punto de infección de la red, además usa el aprovechamiento del servicio inteligente de detección en la nube seleccionando los datos de los servicios de reputación para bloquear de forma proactiva las amenazas y así extender la protección.
SentinelOne Emplea un equipo de élite de los investigadores de seguridad cibernética centrado en la investigación de las amenazas más recientes para mejorar la protección.
Existe una gran variedad de opciones que las organizaciones implementan para brindar una protección integra de Endpoint, sin embargo, cualquier enfoque que involucra un conjunto de soluciones de Endpoint generalmente consiste en una mayor complejidad de gestión.
A pesar de que los gastos de personal y el rendimiento en la infraestructura TI pueden variar dependiendo la organización, una plataforma que protege, hace frente a las amenazas, proporciona capacidades de visibilidad y respuesta de Endpoint es la mejor opción para su empresa. No sólo reduce al mínimo los costes y la complejidad de la infraestructura, además ofrece mayor capacidad de respuesta en el uso de múltiples herramientas.
En un reciente análisis, los costos de licencias y de gestión para el enfoque de seguridad de Endpoint fragmenta a más de 4 veces el coste total de propiedad de la solución basada en la plataforma “SentinelOne protección de Endpoint”.
SentinelOne ofrece gran valor a la protección del Endpoint desde el más amplio conjunto vectores de amenazas (basado en menos archivos de malware, exploits, ataques avanzados, robo de información privilegiada). Además, permite una visibilidad completa de la actividad en el Endpoint, y ofrece un detallado análisis forense en tiempo real.
#1 Red de televisión por internet (Netflix)
#1 en Entretenimiento y Electrónica (Sony)
#1 Minorista (Walmart).
#6 Compañía de venta directa (Mary Kay)
#2 Intercambio financiero (Nasdaq)