SentinelOne contre CrowdStrike Falcon
Les deux SentinelleOne et Faucon CrowdStrike sont des marques relativement nouvelles, mais toutes deux ont pris de l'importance dans le secteur de la cybersécurité. Les deux sont des systèmes hybrides sur site/basés sur le cloud auxquels les utilisateurs accèdent via un navigateur Web. Les deux nécessitent que des agents soient installés sur l’équipement à surveiller.
Le modèle Software-as-a-Service déployé par SentinelOne et CrowdStrike Falcon réduit la quantité de traitement à effectuer sur l'appareil. Cependant, l’activité du serveur distant se limite à l’analyse et l’essentiel du travail de protection s’effectue toujours sur l’appareil. La console basée sur le cloud permet de surveiller très facilement la sécurité d'un grand nombre de points finaux à partir d'un emplacement central.
Le domaine des logiciels de sécurité a connu de grands changements au cours de la dernière décennie. Les systèmes antivirus traditionnels ont été remplacés par des ensembles de logiciels de protection plus complexes.
Il ne suffit plus de rechercher simplement les logiciels malveillants connus. Les pirates ont adopté de nouvelles stratégies qui incluent la pénétration des réseaux à la fois manuellement et via des processus automatisés . Ils peuvent conserver l'accès au système pendant des années, gardant leur présence secrète en modifiant le système et les fichiers journaux pour supprimer les traces de leurs activités. Les pirates n’ont pas besoin de créer un logiciel sur mesure, car ils peuvent déployer le logiciel standard légitime déjà installé sur l’appareil cible pour explorer les fichiers et les bases de données et récolter des données sensibles.
Utilisation de SentinelOne et CrowdStrike Techniques d'apprentissage automatique de l'IA pour protéger les points finaux contre les intrusions. Tout en se concentrant sur les activités, aucun des deux n’a complètement abandonné la tâche de recherche de logiciels malveillants. La détection des logiciels malveillants fait désormais partie des nombreux contrôles déployés par chaque package.
Ces deux systèmes de protection des terminaux utilisent une architecture et des stratégies similaires, il est donc difficile de choisir entre eux. Cependant, en examinant leurs procédures plus en détail, il est possible de constater des différences fondamentales entre les deux. Jetons un coup d'œil aux caractéristiques de chacun afin que vous puissiez voir lequel répond plus précisément à vos besoins.
SentinelleOne
SentinelOne a été fondée par des professionnels de la cybersécurité qui ont repéré une lacune sur le marché entre les antivirus simples et la protection de cybersécurité sur mesure et basée sur des conseils dont bénéficient les organisations à gros budget. La société possède des bureaux en Amérique du Nord, en Europe, au Moyen-Orient et en Extrême-Orient.
Le site SentinelOne présente le logiciel comme un système de protection contre les menaces . Cependant, ils n’ont pas négligé la détection des logiciels malveillants. Un agent sur l'appareil protégé effectue tout le travail, tout en rendant compte à une console de gestion sur les serveurs SentinelOne.
L'agent utilise des techniques d'apprentissage automatique de l'IA pour établir des activités normales sur l'appareil, puis identifie les écarts par rapport à cette norme. Le système de protection établit des points de restauration et identifie les statuts des fichiers journaux. Des processus inhabituels indiquent des menaces potentielles qui nécessitent une attention particulière.
L'intelligence artificielle est une fonctionnalité majeure de SentinelOne. La phase initiale de l’enquête déploie « IA statique ' procédures. Cela signifie simplement que le système exécute une série de contrôles pour identifier les points faibles potentiels d'un système et les enregistrer à des fins de surveillance. La phase de surveillance des menaces utilise « IA comportementale », qui est le système de détection des anomalies.
Une fois la menace identifiée, les mesures de protection entrent en action. Ces procédures ne font pas appel à l’IA mais font appel à une bibliothèque de scripts d’action. Un processus anormal est arrêté, un fichier endommagé est annulé, un utilisateur suspect est suspendu et l'accès à une adresse IP qui est à l'origine d'une activité suspecte est bloqué.
Bien que la présentation de SentinelOne indique que l'élément IA de l'outil supprime le besoin de bases de données de signatures, le codage du moteur IA lui-même implique une certaine quantité d'informations de référence. L’identifiant fondamental de l’IA est que ses actions sont facultativement sélectionnées parmi une gamme d’alternatives possibles basées sur la probabilité, créant ainsi une base de données de code. Ces procédures sont dérivées des enregistrements des stratégies d'attaque précédentes.
En examinant la description du système, il semble que le logiciel agent de SentinelOne soit un composant beaucoup plus important du système de protection que le serveur distant. L'agent agit comme un logiciel anti-programme malveillant, tandis que l'élément serveur est davantage un outil de reporting.
Un gros avantage de cette architecture est que cela ne nécessite pas une connexion constante via le serveur pour pouvoir fonctionner. Cela pourrait s’avérer vital en cas d’attaque à l’échelle du système désactivant le réseau ou bloquant l’accès à Internet.
Les données qui doivent être envoyées au serveur pour analyse peuvent être stockées et téléchargées une fois qu'une attaque réseau a été résolue et que le contact devient à nouveau possible. Cependant, entre-temps, les procédures de protection de SentinelOne restent pleinement opérationnelles.
Avantages:
- Tire parti de l’IA pour identifier les menaces nouvelles et évolutives
- Offre d'excellents visuels de données et de flux de travail dans la console d'administration
- Peut restaurer automatiquement les fichiers endommagés par un ransomware ou une infection
- Les agents de point de terminaison peuvent fonctionner même si leur connexion au serveur C&C est interrompue
Les inconvénients:
- J'aimerais voir un essai plutôt qu'une démo avant d'acheter
Faucon CrowdStrike
Faucon CrowdStrikeest disponible en quatre éditions : Faucon Pro , Entreprise Faucon , Faucon Premium , et Faucon terminé . Le titre Falcon fait référence à une plateforme de protection contre les menaces. La plateforme est une suite d'utilitaires, chacun implémentant une stratégie de protection distincte. Le nombre de modules inclus dans chaque édition marque la différence entre chaque plan de service.
Comme son nom l'indique, Falcon Complete inclut le tout. Il est également accompagné d’une équipe de techniciens pour faire fonctionner le système à votre place. Il s'agit d'un service géré. À l'autre extrémité de la gamme, Falcon Pro comprend le moins de modules.
Ces modules sont :
- Faucon Empêcher Le logiciel antivirus inclus dans toutes les éditions.
- Faucon Intelligence Le moteur de renseignement sur les menaces inclus dans toutes les éditions.
- Aperçu du faucon Détection et réponse des points finaux. Non inclus avec Falcon Pro.
- Surveillance du faucon Chasse aux menaces. Non inclus avec Falcon Pro.
- Faucon Découvrir Un module d’hygiène informatique. Non inclus dans Pro ou Enterprise.
- Contrôle des appareils Falcon Un module supplémentaire en option qui surveille tous les appareils connectés.
Nous pouvons déjà constater une différence majeure entre les deux packages de sécurité des points finaux. CrowdStrike Falcon propose un menu de modules, tandis que SentinelOne est une solution complète tout-en-un.
Faucon Empêcher est un système AV de nouvelle génération. Comme SentinelOne, ce module supprime le besoin de la base de données traditionnelle de signatures de logiciels malveillants. De plus, comme SentinelOne, cette fonction est implémentée par un agent résidant sur le point de terminaison . Cette protection peut continuer même lorsque le point de terminaison est isolé du réseau et ne peut pas contacter le serveur CrowdStrike. Cependant, CrowdStrike souligne le caractère léger de son agent, ayant peu d'impact sur le CPU du point final protégé.
Le module Falcon Prevent exécute la plupart des activités de protection disponibles dans SentinelOne. Il explore l'appareil à la recherche de faiblesses et vérifie les points de vulnérabilité connus. Il établit une base d’activité normale, puis recherche les écarts par rapport à ce modèle. Il arrête ensuite les processus malveillants et bloque l’accès aux utilisateurs et adresses IP suspects.
Faucon Intelligence C'est là que le système CrowdStrike s'écarte de la solution SentinelOne. Il s'agit d'un système d'analyse des menaces qui intervient à trois endroits : sur le point final, sur le serveur CrowdStrike et au sein de l'équipe d'experts CrowdStrike. Essentiellement, une fois qu'une attaque a été détectée et traitée, le logiciel sur le point final enregistre ce qui s'est passé et quelles procédures ont stoppé l'attaque, puis donne la priorité à la détection de cet événement pour une protection continue.
Les enregistrements de cette menace, comment elle s'est produite et comment elle a été bloquée sont téléchargés sur le serveur CrowdStrike, où le comportement de l'attaque sur un point final pour un client est regroupé avec les résultats téléchargés par d'autres clients. Ainsi, grâce à l'agrégation des données, les processus serveur du système Falcon Intelligence peuvent alerter ce qui semble être devenu une attaque mondiale coordonnée et identifier de nouvelles stratégies d'attaque.
Les spécialistes de la cybersécurité employés par CrowdStrike ont accès à ces données agrégées et effectuent une analyse plus approfondie pour s'assurer que le logiciel n'a rien oublié. Les résultats de cette analyse pourraient amener l’entreprise à reconcevoir certaines parties de son système. L'analyse fournit également des éléments de base pour les notifications d'avis distribuées aux clients et les avertissements qui peuvent être émis à l'ensemble de la communauté des affaires.
Aperçu du faucon vise à détecter les menaces persistantes avancées. Dans une APT, un pirate informatique accède à un système, créant un compte utilisateur apparemment valide ou acquérant un compte abandonné. Cela permet à l’intrus d’accéder à long terme à toutes les ressources du système et aux données qu’il contient.
Surveillance du faucon fournit les services d’une équipe de chasse aux menaces humaines. La publicité de ce service explique que les spécialistes CrowdStrike rechercheront de manière proactive les menaces au sein de votre environnement.
A première vue, ce service est un peu inquiétant et n'est sans doute pas très bien expliqué. Il semble que ces experts distants se connectent de manière aléatoire à vos points de terminaison et explorent leurs fichiers et services, un peu comme le ferait un pirate informatique. Cela équivaudrait à une intrusion indésirable qui invaliderait les mesures de protection de votre système concernant la conformité aux normes de sécurité des données. L'explication du service est donc probablement trompeuse.
En réalité, l’équipe de cybersécurité n’a pas besoin de s’introduire dans vos points de terminaison, car le logiciel agent rend compte des événements de violation de sécurité et ces informations devraient constituer une source suffisante pour que les analystes de Falcon Overwatch puissent travailler. Ce service vise à affiner les procédures de gestion des menaces afin de réduire les faux positifs de détection des menaces.
Faucon Découvrir est un scanner de vulnérabilités qui recherche via un point final, enregistre tous ses logiciels, son stockage de fichiers, l'activité des utilisateurs et les événements d'accès, et identifie les points faibles du système, tels que les comptes abandonnés. Il s’agit d’un service supplémentaire que SentinelOne ne propose pas.
Contrôle des appareils Falcon n'est inclus dans aucune des éditions Falcon mais constitue un supplément facultatif. Cela surveille spécifiquement les ports USB. Il identifie chaque périphérique USB connecté au point final et permet à un administrateur d'autoriser spécifiquement ce périphérique à être utilisé avec le point final. Tous les périphériques USB qui n’ont pas été approuvés ne peuvent pas se connecter au système d’exploitation.
Avantages:
- Propose des produits adaptés à toutes les tailles de réseaux et à tous les budgets
- Les administrateurs système peuvent choisir des options dans différents modules, leur permettant de personnaliser la sécurité de leurs points de terminaison.
- Peut être configuré pour surveiller la conformité (HIPAA, SOX, etc.)
- Les agents légers consomment très peu de ressources système en arrière-plan
Les inconvénients:
- Pourrait bénéficier d’une période d’essai plus longue
CrowdStrike Falcon est disponible avec un essai gratuit de 15 jours.
CrowdStrike Falcon Accédez à l'essai GRATUIT de 15 jours
SentinelOne et CrowdStrike Falcon
SentinelOne est à peu près l'équivalent de Faucon Pro , l'édition d'entrée de gamme deFaucon CrowdStrike. Ces deux options de sécurité peuvent fonctionner indépendamment et sont implémentées via le logiciel agent qui doit être installé sur le point final. Essentiellement, dans les deux cas, il s’agit d’un logiciel sur site avec une console de gestion hébergée sur le serveur distant du service.
Les deux services suppriment le besoin d’un laboratoire de recherche central et d’une équipe d’analystes experts. Cela supprime une grande partie des exigences de stockage des systèmes audiovisuels traditionnels, car aucune base de données de signatures n'est impliquée dans la recherche des menaces. Dans les deux cas, l'agent se comporte davantage comme un agent lié au point de terminaison. outil de gestion des informations système et des événements (SIEM) plutôt qu'un combo AV-pare-feu à l'ancienne.
Les consoles basées sur le cloud de SentinelOne et CrowdStrike Falcon permettent aux gestionnaires système d'obtenir un aperçu des menaces survenant sur des points de terminaison individuels et des données d'activité agrégées sur tous les points de terminaison de l'organisation qui sont protégés.
Les plans supérieurs de CrowdStrike Falcon – Enterprise et Premium – s'ajoutent activités d'experts humains et le partage automatisé de renseignements au sein de la communauté des utilisateurs de CrowdStrike. Ces activités rendent le service CrowdStrike très similaire aux activités des systèmes de protection des points finaux proposés par les fournisseurs audiovisuels traditionnels. Par exemple, Falcon Insight et Falcon Overview font de CrowdStrike Falcon l'équivalent du Protection des points de terminaison Symantec emballer.
En proposant différentes éditions, CrowdStrike tente de rivaliser avec les différentes stratégies de protection contre les menaces mises en œuvre par divers concurrents. Pour une comparaison directe entre CrowdStrike Falcon et SentinelOne, concentrez-vous davantage sur l'édition Falcon Pro.
Heureusement, ces deux packages sont disponibles en essai gratuit. Vous pouvez bénéficier d'un essai gratuit de 15 jours de CrowdStrike Falcon Pro et une démo gratuite de SentinelOne . Essayez chacun et laissez un message dans le commentaires ci-dessous pour partager vos opinions avec la communauté.