SentinelOne utmanar etablerade sanningar

Med en ny generation av säkerhetsverktyg och lösningar utmanar SentinelOne det traditionella antivirus-tänket. Varje enhet kan bli sin egen SOC och avlasta IT-avdelningen på nya sätt. Automation är nyckelordet.

Hans Grapenmyr, Regional Sales Manager för Nordics & Baltics

Om det och mycket mer fick vi höra på ett intressant event på Sjö & Land vid Strandvägskajen i Stockholm. En dag som dessutom inramades med sol och högsommarvärme, vilket fick alla deltagare på gott humör. Efter en inledande god lunch hälsade Hans Grapenmyr oss alla varmt välkomna till en halvdag i säkerhetens tecken. Hans, som är Regional Sales Manager för Nordics & Baltics, och Nils von Greyerz, Solutions Engineer, startade under 2018 upp SentinelOnes lokala verksamhet i Sverige. Härifrån sköter de även den övriga nordiska marknaden samt Baltikum. Det är med andra ord två herrar som ofta är på resande fot eftersom de vill ha en så hög närvaro som möjligt i hela regionen.

Dags att lämna sandlådan?

Eric Van Sommeren, Regional Sales Director Northern Europe, gav oss en inblick i hur den allmänna hotbilden har förändrats de senaste åren och hur komplex IT-säkerhet har blivit. Gamla sanningar har blivit nya och en uppgift för SentinelOne, och övriga marknadsaktörer, är att få företag och organisationer att förstå och inse allvaret. En av många utmaningar är att hotbilden förändras så snabbt. 95 % av dagens Malware är bara aktiva i upp till en månad. Det är till och med så att fyra av fem Malware-versioner bara finns i högst en vecka. Därefter försvinner de och dyker upp igen i en ny skepnad. En annan utmaning är att fortfarande är det hela 80 % av organisationerna som förlitar sig på ett signaturbaserat skydd av sina slutenheter (Endpoint Devices) berättar Eric.

”Det är lätt att falla i fällan att se slutenheterna som det sista steget i en säkerhetslösning, men trots namnet så ser vi det som att slutenheterna är den första utposten inom IT-säkerhet”, säger han.

Eric ger oss ytterligare exempel på hur snabbt befintliga lösningar åldras på grund av att de cyberkriminella tenderar att ligga steget före. Dagens moderna versioner av Malware kan känna av att de har hamnat i en Sandbox för att observeras. Då blir de helt passiva och slutsatsen av analysen kan lätt bli att det inte finns något hot. När de sedan lämnar Sandboxen och har klassats som ofarliga aktiveras den skadliga koden.

”Sandbox-tekniken var okej för fem år sedan men den räcker inte till idag och tyvärr är det cirka 30 % av organisationerna som fortfarande litar på den tekniken”, förklarar Eric.

Utan filer ökar hotet

I Europa saknar 77 % av intrången, via Malware, bifogade filer. Även det ett bevis på hur snabbt etablerade sanningar föråldras. Synsättet att man inte ska öppna en bifogad fil, som man inte litar på, är förvisso fortfarande relevant men ett av de största hoten just nu är så kallade File-less Malware som sprids utan bifogade filer. Ett av de populäraste verktygen för att sjösätta detta är Microsoft PowerShell. Givetvis helt utan Microsofts deltagande.

Om vi inte redan nu har insett att moderna Malware och liknande hot har blivit mycket mer sofistikerade, än de var för bara några år sedan, så blir vi det definitivt när Eric berättar att även de enheter som för tillfället inte är uppkopplade behöver skyddas dygnet runt. Dagens Malware kan känna av om enheten är uppkopplad och vänta tills den inte är det, innan den skadliga koden aktiveras. Ännu en gammal ”sanning” ställs på ända, nämligen att när en enhet inte är uppkopplad så är den säker.

Automation är säkerhetsbranschens nya svarta

Vad är då svaret på hur vi ska bemöta den nya och avancerade hotbilden?

Eric Van Sommeren menar att automation är en del av svaret. Det är ett logiskt svar eftersom det helt enkelt är så ofantligt stora mängder data som behöver analyseras att en manuell lösning är helt omöjlig. Dessutom innebär det att den befintliga personalen kan ägna sig åt betydligt mer inspirerande uppgifter än att analysera stora mängder data under tidspress.

SentinelOnes svar på hotbilden är One som är en tjänst, en agent, som skapar en SOC (Security Operations Center) på varje slutenhet. Den vakar över enheten genom att jaga, upptäcka, förebygga och lösa såväl hot som attacker.

Norwegian är en av SentinelOnes många nöjda kunder. Deras CISO Gérard Dürrmeyer berättade, uppkopplad via länk, om deras positiva upplevelser av att använda SentinelOnes tjänster.

”I och med samarbetet med SentinelOne har fokus flyttats till slutenheterna. Alla branscher har sina egna utmaningar. För oss handlar det bland annat om att vår personal är i ständig rörelse samt att flygplanen i sig har blivit betydligt mer digitaliserade de senaste åren. SentinelOne erbjuder en lösning som täcker hela hotbilden och som fungerar på flera plattformar. Den är dessutom BYOD-vänlig (Bring Your Own Device) och det passar oss bra eftersom vi har många olika typer av enheter”, berättar han.

Vill inte skapa trötthet

Därefter följde en mycket pedagogisk demo av hur SentinelOne hanterar attacker och intrångsförsök. Den hölls av Nils von Greyerz. Han visade bland annat hur en instruktion för betalning av Bitcoins för att låsa upp en enhet kan se ut. Med glimten ögat sa han att det finns många ”hederliga” Service Desks som kan lära sig något av de tydliga instruktioner som de cyberkriminella tar fram för att instruera sina offer om hur de ska betala.

En genomtänkt funktion i SentinelOnes skydd är att den larmar endast en gång när något händer. Orsaken till att man har valt denna lösning är Alert Fatigue, som innebär att om det kommer för många larm på en och samma gång orkar inte användaren ta in all information och i värsta fall missar man helt att ett nytt larm kommer. Självklart kan kunden följa alla händelser som följer på en attack, men det kommer bara ett larm om respektive hot.

Vi frågade Eric Van Sommeren hur han ser på den svenska marknadens mognadsgrad när det gäller säkerhetsfrågor?

”Jag har utgångspunkten att kunderna inte alltid har full insikt om hur hotbilden faktiskt ser ut. Det är vårt uppdrag. Det händer så mycket idag och kunderna har fullt upp med sin egen kärnverksamhet. Vi på SentinelOne däremot arbetar med säkerhet hela tiden och då vill jag vara säker på att vår dialog med kunden börjar på en nivå där alla är med. De är mer utsatta än de många gånger är medvetna om”, svarar han.

”Vi kan bidra till att reaktiva lösningar byts ut mot ett proaktivt tänk med moderna säkerhetslösningar”, avslutar Eric.

Att tro räcker inte

Vi har tidigare haft förmånen att samtala med Nils von Greyerz i olika sammanhang. Vår fråga till Nils denna gång blir; Vilken är den vanligaste fällan att falla i, när det gäller IT-säkerhet, idag?

”Jag brukar säga att om du tror att du är säker då har du ett problem, för det är du inte. Alltför många tror att det räcker med att köpa en ”pryl” som löser all säkerhet. Självklart tycker jag att man ska satsa på våra tjänster och produkter men det stannar inte där. Vi vill att kunderna även tänker till runt vad som faktiskt ska göras när en incident inträffar. Att identifiera ett hot är givetvis viktigt men när det händer, och det kommer det att göra, är det avgörande att företaget har en utarbetad incidentprocess. Det är dessutom av största vikt att personalen har ett mandat att agera. Inte minst ska mandatet vara kommunicerat och intränat så att alla vet vad som ska göras när det blir allvar”, förklarar Nils engagerat.

”Om du går runt och tror att du är säker, så jobbar du inte aktivt med riskmanagement. GDPR har bidragit till en ökad medvetenhet. Vad händer när data trots allt förloras? Vi måste få igång det tänket!”, summerar Nils.

Det avslutande minglet med mat och dryck gav oss alla en chans att smälta alla intryck och budskap, främst detta att vara proaktiv. Agera innan något händer. Många var de som valde att prata om det i solskenet på uteverandan.