Cyber Security | 2 min read

Machine Learning Applicato alla Sicurezza Informatica - SentinelOne Unified Endpoint Protection

Machine Learning Sicurezza Informatica - SentinelOne Unified Endpoint Protection
Machine Learning Sicurezza Informatica - SentinelOne Unified Endpoint Protection

Deep File Inspection (DFI)

SentinelOne Deep File Inspection (DFI) rileva e previene l’attacco di minacce sfruttando modelli statici di ML.

I modelli basati su ML statici sono programmati per rilevare minacce esaminando vari attributi statici che possono essere estratti da file binari/eseguibili.

Questa è una vera e propria tecnologia senza firma molto efficiente nel rilevamento di minacce basate su file.

La più grande differenza tra modelli statici dei vari vendor è la modalità con cui operano. I modelli più aggressivi sono ottimi per bloccare le minacce, ma allo stesso tempo è molto probabile avere un alto tasso di falsi positivi.

Dynamic Behavioural Training (DBT)

SentinelOne Dynamic Behavioural Tracking (DBT) tiene traccia di tutte le attività sul sistema incluse modifiche al file, avvio/arresto del servizio, comunicazione tra processi, attività di rete. Queste informazioni vengono inserite in un modello ML dinamico che rileva ed elimina automaticamente le minacce non rilevate da DFI.

Dal momento che modifica il comportamento di tutti i processi, siamo in grado di identificare minacce molto difficili da catturare con i modelli statici.

Ad esempio, il foglio di calcolo Excel potrebbe avere una macro che esegue PowerShell con un payload di rete che non tocca mai il disco. Abbiamo persino trovato attacchi basati su script macOS utilizzando il nostro modello dinamico.

Dynamic Behavioural Tracking - SentinelOne Unified Endpoint Protection
Dynamic Behavioural Tracking - SentinelOne Unified Endpoint Protection

Motore di Orchestrazione

Il motore di orchestrazione SentinelOne è in grado di isolare automaticamente i dispositivi infetti dalla rete o eseguire il rollback automatico delle minacce.

Il rollback è particolarmente utile durante i primi giorni di PoC o deploy iniziale quando l’agente viene utilizzato insieme all’AV da sostituire.

In genere, l’agente SentinelOne viene installato in modalità Alert per vedere cos’altro è in grado di rilevare. Se è presente un’infezione che non è stata bloccata, è possibile risparmiare molto tempo semplicemente eseguendo il rollback di una versione precedente come si può vedere nella gif mostrata di seguito.

Rollback Versione Precedente - SentinelOne
Rollback Versione Precedente - SentinelOne

In questo video, puoi vederlo in azione; puoi vedere come ogni livello sta rilevando il ransomware e, infine, come viene eseguito il rollback del malware, in modo che l’utente possa continuare a lavorare senza perdere tempo con l’eliminazione manuale del malware.

SentinelOne Detects Princess Evolution Ransomware

Per scoprire di più sulle potenzialità della piattaforma SentinelOne basata su machine learning e intelligenza artificiale per la protezione di dispositivi, chiamaci allo (055) 538-3250 oppure inviaci una mail a cio@florence-consulting.it.

Puoi richiedere una consulenza o demo gratuita a questa pagina. In alternativa puoi compilare il form sottostante.

Related stories