SentinelOne срещу CrowdStrike Falcon
И двете SentinelOne и CrowdStrike Falcon са сравнително нови марки, но и двете се издигнаха до известност в индустрията за киберсигурност. И двете са хибридни локални/базирани в облак системи, до които потребителите имат достъп чрез уеб браузър. И двете изискват агенти да бъдат инсталирани на оборудването, което ще се наблюдава.
Моделът Софтуер като услуга, внедрен както от SentinelOne, така и от CrowdStrike Falcon, намалява количеството обработка, която трябва да се извърши на устройството. Тази активност на отдалечения сървър обаче е ограничена до анализ и по-голямата част от защитната работа все още се извършва на устройството. Базираната в облак конзола прави много лесно наблюдението на сигурността на голям брой крайни точки от едно централно място.
Полето на софтуера за сигурност преминава през големи промени през последното десетилетие. Традиционните антивирусни системи са заменени от по-сложни пакети софтуер за защита.
Вече не е достатъчно просто да проверявате за известен зловреден софтуер. Хакерите са приели нови стратегии, които включват проникване в мрежи както ръчно, така и чрез автоматизирани процеси . Те могат да запазят достъпа до системата с години, като пазят присъствието си в тайна, като променят системните и регистрационните файлове, за да премахнат следите от своите дейности. Хакерите не трябва да създават персонализиран софтуер, защото могат да разположат стандартния, легитимен софтуер, който вече е инсталиран на целевото устройство, за да изследват файлове и бази данни и да извличат чувствителни данни.
Използвайте SentinelOne и CrowdStrike AI машинни техники за обучение за защита на крайните точки от проникване. Докато се фокусира върху дейностите, нито един от тях не е изоставил напълно задачата да търси зловреден софтуер. Откриването на злонамерен софтуер вече е една от множеството проверки, които прилага всеки пакет.
Тези две системи за защита на крайни точки използват сходна архитектура и стратегии, така че е трудно да се избира между тях. Въпреки това, разглеждайки техните процедури по-подробно, е възможно да се отбележат фундаментални разлики между двете. Нека да разгледаме характеристиките на всеки, за да можете да видите кое отговаря по-точно на вашите нужди.
SentinelOne
SentinelOne е основана от професионалисти по киберсигурност, които са забелязали празнина на пазара между обикновените AVs и персонализираната, базирана на консултации защита на киберсигурността, на която се радват организациите с голям бюджет. Компанията има офиси в Северна Америка, Европа, Близкия и Далечния изток.
Уебсайтът SentinelOne представя софтуера като система за защита от заплахи . Те обаче не са пренебрегнали откриването на зловреден софтуер. Ан агент на защитеното устройство изпълнява цялата работа, като същевременно докладва обратно на конзолата за управление на сървърите на SentinelOne.
Агентът използва техники за машинно обучение с изкуствен интелект, за да установи нормални дейности на устройството и след това идентифицира отклонения от тази норма. Системата за защита установява точки за връщане назад и идентифицира статусите на регистрационните файлове. Необичайните процеси показват потенциални заплахи, които изискват допълнително внимание.
Изкуственият интелект е основна характеристика на SentinelOne. Първоначалната фаза на разследването се разгръща „ статичен AI ” процедури. Това просто означава, че системата изпълнява серия от проверки, за да идентифицира потенциални слаби места в системата и да ги регистрира за наблюдение. Фазата на наблюдение на заплахите използва „ поведенчески AI ”, което е системата за откриване на аномалии.
След като бъде идентифицирана заплаха, мерките за защита започват да действат. Тези процедури не включват AI, а изискват библиотека от скриптове за действие. Необичаен процес се спира, повреден файл се връща обратно, подозрителен потребител се спира и IP адрес, който е източникът на подозрителна дейност, се блокира за достъп.
Въпреки че в презентацията на SentinelOne се посочва, че AI елементът на инструмента премахва необходимостта от бази данни със сигнатури, самото кодиране на AI двигателя включва определено количество справочна информация. Основният идентификатор на AI е, че неговите действия са избрани по избор от набор от възможни алтернативи въз основа на вероятност, като ефективно се създава база данни с код. Тези процедури са извлечени от записите на предишни стратегии за атака.
Разглеждайки описанието на системата, изглежда, че агентският софтуер в SentinelOne е много по-важен компонент на системата за защита от отдалечения сървър. Агентът действа като антизловреден софтуер, докато сървърният елемент е по-скоро инструмент за докладване.
Голямо предимство на тази архитектура е, че не изисква постоянна връзка през сървъра, за да работи. Това може да бъде жизненоважно в случай на атака в цялата система, която деактивира мрежата или блокира достъпа до интернет.
Данните, които трябва да бъдат изпратени на сървъра за анализ, могат да бъдат съхранени и качени, след като мрежовата атака бъде разрешена и контактът отново стане възможен. Междувременно обаче процедурите за защита на SentinelOne продължават да работят напълно.
Професионалисти:
- Използва AI за идентифициране на нови и развиващи се заплахи
- Предлага страхотни визуални данни и работни процеси в конзолата за администриране
- Може автоматично да върне повредени файлове от ransomware или инфекция
- Агентите на крайни точки могат да функционират дори ако връзката им с C&C сървъра е прекъсната
Минуси:
- Бих искал да видя пробна версия, а не демонстрация, преди да закупя
CrowdStrike Falcon
CrowdStrike Falconсе предлага в четири издания: Falcon Pro , Falcon Enterprise , Falcon Premium , и Falcon Complete . Заглавието Falcon се отнася до платформа за защита от заплахи. Платформата е набор от помощни програми, всяка от които прилага отделна стратегия за защита. Броят на модулите, които са включени във всяко издание, маркира разликата между всеки план за обслужване.
Както подсказва името, Falcon Complete включва цялата партида. Освен това идва с екип от техници, които да управляват системата вместо вас. Това е управлявана услуга. В другия край на диапазона, Falcon Pro включва най-малко модули.
Тези модули са:
- Falcon Prevent Антивирусният софтуер, включен във всички издания.
- Falcon Intelligence Механизмът за разузнаване на заплахи, включен във всички издания.
- Falcon Insight Откриване и реакция на крайна точка. Не е включено във Falcon Pro.
- Falcon Overwatch Лов на заплахи. Не е включено във Falcon Pro.
- Falcon Discover Модул за ИТ хигиена. Не е включено в Pro или Enterprise.
- Falcon Device Control Опционален допълнителен модул, който следи всички свързани устройства.
Вече можем да видим голяма разлика между двата пакета за сигурност на крайната точка. CrowdStrike Falcon предлага меню от модули, докато SentinelOne е цялостно решение 'всичко в едно'.
Falcon Prevent е следващо поколение AV система. Подобно на SentinelOne, този модул премахва необходимостта от традиционната база данни със сигнатури за зловреден софтуер. Освен това, подобно на SentinelOne, тази функция се изпълнява от агент, резидент на крайната точка . Тази защита може да продължи дори когато крайната точка е изолирана от мрежата и не може да се свърже със сървъра на CrowdStrike. Въпреки това, CrowdStrike подчертава леката природа на своя агент, като има малко въздействие върху процесора на защитената крайна точка.
Модулът Falcon Prevent изпълнява повечето от защитните дейности, налични в SentinelOne. Той проучва устройството за слабости и проверява известни точки на уязвимост. Той установява базова линия на нормална дейност и след това търси отклонения от този модел. След това изключва измамни процеси и блокира достъпа до подозрителни потребители и IP адреси.
Falcon Intelligence е мястото, където системата CrowdStrike се отклонява от решението SentinelOne. Това е система за анализ на заплахи, която се появява на три места: на крайната точка, на сървъра на CrowdStrike и в експертния екип на CrowdStrike. По същество, след като атаката бъде открита и обработена, софтуерът на крайната точка записва какво се е случило и кои процедури са изключили атаката и след това дава приоритет на откриването на това събитие за текуща защита.
Записите на тази заплаха, как е възникнала и как е била блокирана се качват на сървъра на CrowdStrike, където поведението на атаката на една крайна точка за един клиент се обединява с резултатите, качени от други клиенти. По този начин, с агрегирането на данни, сървърните процеси на системата Falcon Intelligence могат да предупреждават за това, което изглежда се е превърнало в координирана глобална атака, и да идентифицират нови стратегии за атака.
Специалистите по киберсигурност, наети от CrowdStrike, получават достъп до тези обобщени данни и извършват допълнителен анализ, за да се уверят, че софтуерът не е пропуснал нищо. Резултатите от този анализ може да накарат компанията да преработи части от своята система. Анализът също така предоставя изходен материал за консултативни уведомления, разпространени до клиентите, и предупреждения, които могат да бъдат отправени към по-широката бизнес общност.
Falcon Insight има за цел да открива напреднали постоянни заплахи. В APT хакер получава достъп до система, създавайки очевидно валиден потребителски акаунт или придобивайки изоставен акаунт. Това позволява на нарушителя да получи дългосрочен достъп до всички ресурси на системата и съдържащите се в нея данни.
Falcon Overwatch предоставя услугите на екип за лов на човешки заплахи. Публичността на тази услуга обяснява, че специалистите на CrowdStrike ще търсят проактивно заплахи във вашата среда.
На пръв поглед тази услуга е малко притеснителна и вероятно не е обяснена много добре. Звучи така, сякаш тези отдалечени експерти ще влязат на случаен принцип във вашите крайни точки и ще проучат техните файлове и услуги, много по начина, по който би направил хакер. Това би се равнявало на нежелано проникване, което би обезсилило мерките ви за защита на системата за спазване на стандартите за сигурност на данните, така че обяснението на услугата вероятно е подвеждащо.
В действителност екипът по киберсигурност не трябва да прониква във вашите крайни точки, тъй като софтуерът на агента отчита събития за пробив в сигурността и тази информация трябва да бъде достатъчен изходен материал, върху който да работят анализаторите на Falcon Overwatch. Тази услуга има за цел да прецизира процедурите за управление на заплахи, за да намали фалшивите положителни резултати при откриване на заплахи.
Falcon Discover е скенер за уязвимости, който търси в крайна точка, регистрира целия й софтуер, съхранение на файлове, потребителска активност и събития за достъп и идентифицира слаби места в системата, като например изоставени акаунти. Това е допълнителна услуга, която SentinelOne няма.
Falcon Device Control не е включено в нито едно от изданията на Falcon, но е допълнителна екстра. Това специално следи USB портовете. Той идентифицира всяко USB устройство, което се свързва към крайната точка, и позволява на администратора конкретно да упълномощи това устройство за използване с крайната точка. Всички USB устройства, които не са одобрени, се блокират за свързване към операционната система.
Професионалисти:
- Предлага продукти, които могат да паснат на всякакъв размер мрежа и бюджет
- Сисадмините могат да избират опции от различни модули, което им позволява да персонализират сигурността на крайната си точка
- Може да се конфигурира за наблюдение за съответствие (HIPAA, SOX и др.)
- Леките агенти заемат много малко системни ресурси във фонов режим
Минуси:
- Може да се възползва от по-дълъг пробен период
CrowdStrike Falcon се предлага на 15-дневен безплатен пробен период.
CrowdStrike Falcon Достъп до 15-дневната БЕЗПЛАТНА пробна версия
SentinelOne и CrowdStrike Falcon
SentinelOne е приблизително еквивалент на Falcon Pro , началното издание наCrowdStrike Falcon. И двете опции за сигурност могат да работят независимо и се изпълняват чрез агентния софтуер, който трябва да бъде инсталиран на крайната точка. По същество и в двата случая това е локален софтуер с конзола за управление, която се хоства на отдалечения сървър на услугата.
И двете услуги премахват необходимостта от централна изследователска лаборатория и екип от експертни анализатори. Това премахва много от изискванията за съхранение на традиционните AV системи, тъй като няма база данни със сигнатури, участваща в търсенето на заплахи. И в двата случая агентът се държи по-скоро като свързан с крайна точка инструмент за системна информация и управление на събития (SIEM) вместо старомодна комбинация от AV-защитна стена.
Базираните в облак конзоли както на SentinelOne, така и на CrowdStrike Falcon позволяват на системните мениджъри да получат преглед на заплахите, възникващи на отделни крайни точки, и обобщени данни за дейността във всички крайни точки в организацията, които са защитени.
По-високите планове на CrowdStrike Falcon – Enterprise и Premium – се добавят човешки експертни дейности и автоматизирано споделяне на информация сред потребителската общност на CrowdStrike. Тези дейности правят услугата CrowdStrike много подобна на дейностите на системите за защита на крайни точки, предлагани от традиционните AV доставчици. Например Falcon Insight и Falcon Overview правят CrowdStrike Falcon еквивалент на Symantec Endpoint Protection пакет.
Като предлага различни издания, CrowdStrike се опитва да се конкурира с различните стратегии за защита от заплахи, прилагани от различни конкуренти. За директно сравнение между CrowdStrike Falcon и SentinelOne, съсредоточете се повече върху изданието Falcon Pro.
За щастие и двата пакета са достъпни за безплатни изпитания. Можете да получите 15-дневен безплатен пробен период на CrowdStrike Falcon Pro и безплатна демонстрация на SentinelOne . Опитайте всеки и оставете съобщение в Коментари раздел по-долу, за да споделите мненията си с общността.
