1 Einleitung
Die schiere Anzahl an externen und internen Gefahrenvektoren, mit denen Unternehmen konfrontiert sind, ist eine direkte Folge der stetig wachsenden Größe und Komplexität moderner IT-Infrastrukturen. Es ist mittlerweile weitbekannt, dass herkömmliche, auf den Perimeter fokussierte Sicherheitstools im Zeitalter verteilter Netzwerke, hybrider Cloud-Architekturen und von zu Hause aus arbeitender Mitarbeiter keinen ausreichenden Schutz mehr bieten können. Diese Erkenntnis hat zu einem großen Paradigmenwechsel in der Cybersicherheit geführt: Moderne Tools konzentrieren sich in erster Linie darauf, Bedrohungen schnell zu erkennen, zu analysieren und zu beseitigen, bevor sie größeren Schaden anrichten können.
Vor fast einem Jahrzehnt entstand so eine neue Klasse von „Endpoint Detection and Response" (EDR)-Produkten, die sich auf die Erkennung und Untersuchung verdächtiger Aktivitäten auf Endpunkten konzentrieren. Nicht unbeachtet bleiben zudem verschiedene Artefakte und Spuren, die Malware nach einem Angriff hinterlassen. In ihrer Grundform sammeln EDR-Lösungen mithilfe von Software-Agenten verschiedene Telemetriedaten von Endpunkten, speichern diese Daten für einen bestimmten Zeitraum und ermöglichen es Sicherheitsanalysten, betroffene Endpunkte aus der Ferne zu untersuchen, um die Ursache eines Sicherheitsvorfalls zu identifizieren und zu entschärfen.
Die Speicherung einer ausreichenden Zeitspanne historischer Daten ist wichtiger denn je, da Angreifer heutzutage vermehrt langsame und heimliche Angriffe durchführen, die wochen- oder monatelang inaktiv bleiben können, bevor sie ausgelöst werden. Der Sunburst-Angriff wurde beispielsweise so konzipiert, dass er nach 15 Tagen ausgelöst wird, und ist nur ein Beispiel dafür, weshalb Unternehmen zunehmend einen mehrmonatigen Rückblick auf die Vergangenheit benötigen.
Ursprünglich als Alternative zu herkömmlichen „Endpoint Protection" (EPP)-Tools entstanden, haben sich diese Produkte zu umfassenden kombinierten Schutz-, Erkennungs- und Reaktionsplattformen für Desktops, Laptops und Server entwickelt. Darüber hinaus nutzen moderne EDR/EPDR-Lösungen maschinelles Lernen, um Anomalien in der Sicherheitstelemetrie zu erkennen, sie bekannten Angriffstaktiken und -techniken zuzuordnen (z. B. MITRE ATT&CK) und Sicherheitsanalysten dabei zu helfen, schneller Entscheidungen zu treffen und Alarmmüdigkeit zu vermeiden.
Obwohl solche Tools eine erhebliche Verbesserung der Qualität und der Benutzerfreundlichkeit im Vergleich zu Legacy-Sicherheitstechnologien bieten, reicht die Überwachung von Endpunkten allein leider nicht aus, um moderne, hochgradig verteilte und heterogene IT-Umgebungen abzudecken. Als klassisches Beispiel für eine konvergente Entwicklung sind parallel andere Klassen von Erkennungs- und Reaktionstools entstanden, die sich auf die Netzwerkebene oder Cloud-Infrastrukturen („Network Detection and Response", NDR) oder speziell auf Cloud-native Workloads wie virtuelle Maschinen und Container („Cloud Workload Protection Platforms", CWPP) konzentrieren.
Die neueste Entwicklung auf dem Markt für Sicherheitsanalysen und Incident Response ist XDR (eXtended Detection & Response). XDR-Lösungen sind darauf ausgelegt, mehrere Sicherheitstools für Endpunkte, Netzwerke und Clouds zu konsolidieren und zu ersetzen. Sie bieten eine modernisierte Version des traditionellen Security Information and Event Managements (SIEMs). Im Gegensatz zu SIEMs werden Telemetriedaten in Echtzeit in XDR-Plattformen übertragen und nicht aus Protokollen entnommen, was eine viel schnellere Korrelation und Analyse ermöglicht. Genau wie EDR stützen sich XDR-Lösungen in hohem Maße auf KI- und ML-Methoden, um Fehlalarme zu reduzieren - so verbessern sie die Erkennung und Kategorisierung anormaler Aktivitäten und erreichen einen hohen Automatisierungsgrad für die Erkennung, forensische Analyse und Behebung der Bedrohungen.
SentinelOne ist ein Sicherheitsanbieter mit Hauptsitz in Mountain View, Kalifornien. Die strategische Vision des 2013 gegründeten Unternehmens ist eine integrierte Endpunkt-Sicherheitsplattform, die mehrere unzusammenhängende Sicherheitstools durch eine einzige Lösung ersetzt, um Cyberbedrohungen über alle IT-Assets des Unternehmens hinweg zu verhindern, zu erkennen, zu analysieren und darauf zu reagieren. Dies geschieht sowohl vor Ort als auch in der Cloud. Angetrieben von einer autonomen KI-Engine, die direkt in den Endpunkt-Agenten integriert ist, zielt die Lösung darauf ab, auf ein breites Spektrum von Bedrohungen in Echtzeit zu reagieren und dabei die Latenz der Cloud zu vermeiden.
Anfang 2020 hatte KuppingerCole bereits das Flaggschiffprodukt des Unternehmens getestet, die SentinelOne Singularity Platform. Seitdem hat das Unternehmen jedoch mehrere wichtige Änderungen an der Architektur seiner Lösung vorgenommen, die eine Erweiterung der Erkennungs- und Reaktionsfähigkeiten über mehrere Sicherheitsebenen und über die Endpunkte hinaus ermöglichen. Diese Entwicklungen rechtfertigen einen aktualisierten Blick auf die Fähigkeiten der SentinelOne Singularity Platform.