1

Descripción

2

A. ¿Qué es SentinelOne?

SentinelOne es la “Nueva Generación de Protección Endpoint” (NGEP), realiza la

detección, prevención y restauración a las nuevas amenazas en los dispositivos Endpoint.

A través de un seguimiento de comportamiento dinámico y un análisis de detección

en tiempo real en todos los vectores del ataque (Malware, Exploits y scripts).

SentinelOne amplía la protección de información privilegiada de ataques sofisticados en tiempo real y Apts siendo éste un remplazo certificado de su solución de antivirus existente.

Además, Proporciona un análisis forense completo en tiempo real y visibilidad

profunda del Endpoint con su capacidad de búsqueda.

B. ¿Quiénes son nuestros clientes?

SentnelOne Abarca una amplia gama de industrias y organizaciones (Fortune 500) y PYME (250 o más) SentinelOne ha sido adoptado por las siguientes organizaciones.

⋅ Empresas comerciales

⋅ Institutos de Servicios Financieros

⋅ Instituciones de Salud

⋅ Instituciones de Educación

⋅ Sector Energético

⋅ Manufactura

⋅ Sector Tecnológico

⋅ Sector Minorista

⋅ Comercio Electrónico

⋅ Entretenimiento

⋅ Telecomunicaciones

Hoy en día trabajamos con las empresas más grandes del mundo

#3 Proveedores de alojamiento en la nube (Reackspace).

#1 Minorista (Walmart).

#6 Compañía de venta directa (Mary Kay)

#1 Red de televisión por internet (Netflix)

#1 Cadena de viaje en línea (Agoda)

#2 Intercambio financiero (Nasdaq)

#4 Banco más grande de Europa (UniCredit)

#1 Proveedor de Beneficios de salud dental (Delta Dental)

#2 Empresa commercial Japonesa (Itochu)

#1 Minorista de línea japonesa (Rakuten)

#1 Firma de capital de crecimiento (IVP)

#1 Compañía de entretenimiento y Electrónica (Sony)

3

#1 Servicios financieros en Asia (AEON...aeón parte de crédito)

#1 Telcomunicacines en Taiwán (Chunghwa Telecom)

C. ¿Qué desafíos clave aborda SentinelOne?

El Endpoint es el principal Objetivo Hoy en día, existe una gran variedad de dispositivos Endpoints (de escritorio, portátiles, dispositivos móviles y servidores) que las organizaciones y corporativos empresariales utilizan para desarrollar sus actividades, la gran mayoría de estos Endpoints son móviles, y con frecuencia se utilizan fuera del perímetro de protección, por lo tanto la conexión a varias redes públicas los hacen susceptibles a los ataques, Además, los Endpoints regularmente cuentan con aplicaciones obsoletas y vulnerables que ponen en riesgo su seguridad presentando una gran vulnerabilidad a los ataques de los piratas informáticos los cuales buscan tener acceso a información sensible y causar daño a las Organizaciones.

Los Antivirus y soluciones basadas en la red tradicional (Sandboxing, IPS / IDS, NGFW) han demostrado ser ineficientes en la prevención de las amenazas.

Las organizaciones han confiado en los métodos tradicionales para detectar amenazas, y proteger a lo Endpoints de los ataques Malware. Estos antivirus (AV) basados en firmas convencionales ya no son eficaces, ya que constantemente existe la necesidad de actualizar los archivos de firmas de virus para las nuevas amenazas. Por otra parte, las soluciones tradicionales se centran en los ataques basados en archivos y programas maliciosos, mientras que el panorama de las amenazas evoluciona para incluir tipos más sofisticados de ataques. Las soluciones de amenazas basadas en la red, como cortafuegos, IPS, IDS, trabajan a través de la detección de amenazas dependiendo la reputación IP, éstos son susceptibles a ataques del día cero y solo son eficaces después de los hechos. Por otra parte, los atacantes han desarrollado programas maliciosos que los antivirus tradicionales no pueden detectar, de esta manera el malware reside en el Endpoint hasta que se ejecuta causando daño e infectando el Dispositivo.

Hoy en día el panorama de amenazas es mucho más que el malware basado en archivos

La mayoría de los ataques utilizan múltiples vectores para llegar al Endpoint. Existen nuevas Amenazas que están diseñadas para infiltrarse en la organización y se deslizan en la seguridad sin ser detectados, a menudo utilizando técnicas de malware y de ofuscación polimórficos para evitar la detección. Una vez dentro, establecen el mando y control de comunicaciones (C & C) para robar los datos resultando en la pérdida financiera sustancial y daños a la reputación de la empresa.

4

Malware

Ransomware, Trojans, Worms, Backdoors, Rats

Perdida de Archivos, malware basados en memoria

Exploits

Exploits basados en documentos: Office doc exploits, Adobe macros, spearphishing e-

mails

Exploits basados en navegador: Drive-by Downloads, flash, java, iFrame/HTML5

plig-ins

Ataques Ejecutivos

Ataques basados en script: Powreshell, Powersploit, WMI, VBS

Credencials; credencial scraping, Mimikatz, tokens

D. ¿Cuáles son los beneficios de SentinelOne?

Beneficios SentinelOne

Descripción

Mayor detección de

amenazas en todos los

vectores

SentinelOne utiliza la inteligencia artificial para el análisis del comportamiento en tiempo real y la detección de malware, exploits y otros ataques cibernéticos que utilizan técnicas basadas en scripts como Powershell. Predice cómo un ataque se desarrollará contra el Endpoint a través

del comportamiento de la aplicación, deteniendo la amenaza antes de

que pueda causar daños.

Mitigación y Restauración

automática del Endpoint SentinelOne Automatiza todo el proceso de respuesta y el alivio del

Endpoint a través de una mitigación exhaustiva y propenso a errores

Velocidad Procedimientos. Elimina rápidamente las amenazas y devuelve los

Endpoints al último estado de confianza, adaptándose velozmente a la

defensa contra los ataques y cerrando el espacio de tiempo durante el

cual su organización sigue siendo vulnerable.

Visualiza los ataques en tiempo real con su análisis forense

SentinelOne realiza un análisis forense y visualizaciones del ataque

para trazar un punto de origen y el seguimiento a través de los

Endpoints y los otros puntos que se vulneran siendo éste un sistema

de visión completa.

Adaptable contra las nuevas Amenazas

SentinelOne auto-inmuniza los Endpoints notificando rápidamente a

otros Agentes en la red de una nueva amenaza. También aprovecha

el servicio inteligente de detección en la nube seleccionando los datos

de los servicios de reputación, para bloquear de forma proactiva las

amenazas las amenazas conocidas.

Menor coste total de

propiedad mediante la

consolidación de las

SentinelOne en una sola plataforma, despliega y gestiona

rápidamente operaciones virtualmente invisibles que no afectan el

rendimiento de los dispositivos Endpoint, lo que permite mantener la

5

funciones de seguridad de

Endpoint máxima productividad, unificando la prevención, detección y

respuesta.

Implementación Flexible

Implementa SentinelOne en las instalaciones o como un servicio de

gestión basado en la nube para proteger Windows, OS X, los

Endpoints y servidores de usuario basados en Linux.

Rendimiento y Escalabilidad

Una vez protegido Windows, OS X o dispositivos Endpoints basados

en Linux con el Agente autónomo de SentinelOne, éste realiza un

seguimiento de todo el sistema y de la actividad que realiza el

Endpoint sin pérdida rendimiento.

Arquitectura SentinelOne SentinelOne utiliza los siguientes componentes:

Servidor de Administración: Muestra el estado del Endpoint y acumula información de los

Agentes desplegados por SentinelOne, proporcionando un análisis forense detallado del

ataque.

Agentes: Software instalado en cada Endpoint que necesita protección: Windows, SO X,

Linux (física o virtual). El Agente supervisa la actividad en el Endpoint, además tiene la

capacidad para detectar nuevas amenazas y proporciona medidas de mitigación.

Es recomendable para el servidor de gestión una implementación en la nube, ya que

proporciona los siguientes beneficios:

. Configuración rápida del servidor de administración.

⋅ No es necesario ningún hardware o software local de la infraestructura.

⋅ Fácilmente escalable y sin costo adicional.

⋅ Protección de Endpoint siempre disponible (Endpoint en línea).

Uno de los componentes más importantes que SentinelOne utiliza para la protección de

amenazas a los Endpoints en el cual el cliente no interactúa pero es fundamental es la nube

de SentinelOne ya que utiliza los servicios de reputación para la detección de amenazas,

proporcionando lo siguiente:

⋅ Algoritmos de aprendizaje automáticos y heurísticos, que proporcionan mayor exactitud a

la detección de amenazas.

. Los datos utilizados para aumentar la precisión de estos algoritmos incluyen:

⇒ El equipo de investigación de SentinelOne revierte los daños causados por las amenazas. ⇒ Datos de las nuevas amenazas de los ataques detectados en las organizaciones.

6

⇒ SentinelOne cuenta con una integración externa de las diversas fuentes de amenazas, incluyendo:

el sector privado, gobierno y asociaciones (por ejemplo, VirusTotal, Microsoft VIA, NSS CAWS, Éxodo,

Inversión Labs).

E. Caracteristicas y funciones de SentinelOne

Monitoreo Autónomo ligero

⋅ SentinelOne proporciona en cada Endpoint un Agente autónomo ligero que supervisa toda

la actividad que realiza el Endpoint tanto en el núcleo como en el espacio de usuario

(incluyendo archivos, procesos, memoria, registro, red, etc.). El Agente es virtualmente

invisible y no puede ser manipulado.

Detección de comportamiento de ataques

⋅ SentinelOne emplea el Seguimiento Comportamiento Dinámico (DBT), que utiliza una

sofisticada tecnología que aprende y ayuda a predecir amenazas a través de

comportamientos en el marco de contexto completo del usuario, detectando amenazas a

través de múltiples vectores, como son: el malware (basado en archivos, basado en

memoria), exploit (basados en documentos, basados en el navegador) y la información

privilegiada / ataques en vivo. Análisis forense en tiempo real

⋅ SentinelOne mejora notablemente la capacidad de investigación con informes de análisis

forense detallado, basados en información en tiempo real enviada desde el Agente de la

consola de administración SentinelOne.

Visualización de los Ataques

⋅ SentinelOne genera visualizaciones intuitivas del historial de ataques, de esta manera

realiza un análisis forense de visión completa que traza un punto de origen y el

seguimiento a través de los Endpoints y los otros puntos que se vulneran por los ataques.

Mitigación Zero-Touch

⋅ SentinelOne implementa características totalmente automatizadas, que crean una

capacidad de respuesta abarcando todos los Endpoints, locales y remotos, al instante los

elimina y notifica de los procesos maliciosos a todos los Agentes de la red, además

establece políticas contra las nuevas amenazas que se llevan a cabo de forma

automática.

Contención Robusta

Una vez Detectada una nueva amenazas, SentinelOne desconecta el dispositivo de punto

de infección de la red con el fin de evitar que la amenaza se propague a otros Endpoint,

pero todavía mantiene la conexión a la consola de administración SentinelOne.

7

Restauración “ROLL BACK”

⋅ SentinelOne revierte las modificaciones que realizaron los malware y restaura los

archivos manipulados para conseguir sus últimos estados de confianza conocidos, de

esta manera SentinelOne limpia los restos de un ataque.

Nube Inteligente

⋅ SentinelOne refuerza aún más su protección mediante el aprovechamiento del servicio

inteligente de detección en la nube, seleccionando los datos de los servicios de reputación,

para bloquear de forma proactiva las amenazas conocidas.

Auto-Inmunización

⋅ Cada vez que un nuevo comportamiento malicioso se identifica, SentinelOne al instante lo

marca y notifica a todos los Agentes de la red, volviéndolos inmunes al ataque.

Grupos y Políticas.

⋅ Las organizaciones suelen agrupar sus Endpoints de una manera funcional para su

organización, incluye grupos y políticas que permiten a las organizaciones establecer una

estructura lógica a los Endpoints (grupos) y proporciona la capacidad de crear y aplicar

una política (un conjunto de ajustes de configuración).

F. Preguntas frecuentes

⇒ ¿Está buscando complementar o reemplazar su antivirus actual?

⇒ ¿Con qué sistema operativo estás pensando cubrir su necesidad?

⇒ ¿Cuántos dispositivos de escritorio, portátiles y servidores tiene?

⇒ ¿Qué soluciones no ha implementado para resolver sus problemas contra las amenazas?

AV

Anti-exploit

Forense

DLP

Full Disk Encryption

VPN

⇒ Actualmente, ¿Tiene un nuevo proyecto?

¿Cuál es su tiempo en línea?

¿Cómo utiliza su tiempo en línea?

⇒ ¿Cuál es su criterio de éxito?

Capturar APTs y todo tipo de ataques, por ejemplo: Exploits – basados en

Documentos o basado en navegador, malware a base de archivos, perdida

de archivos o memoria.

Ataques en vivo – basados en Scripts (e.g. Powershell)

8

Mitigación Automática / Restauración

Forense

Ease of use

Consolidated Agents

Low footprint

TCO

G. Certificados y Reconocimientos en la Industria

SentinelOne se denomina un "visionario" en el Cuadrante Mágico de Gartner 2016 en

plataformas de protección Endpoint.

⋅ Es una fortaleza clave identificada por Gartner - "SentinelOne es el único proveedor en este análisis que incluye la

funcionalidad completa de tipo EDR en la plataforma central. SentinelOne es un buen candidato para reemplazar o aumentar EPP de soluciones existentes para cualquier empresa en busca de un nuevo EDR integrado ... "

● 2016 Premio Revista SC - Mejor Tecnología Emergente

● Revista de defensa Cibernética Choice Award 2016 Editor - Endpoint Security Solution

Certificaciones

● AV-TEST (junio de 2015) - ha logrado un 98,8% la tasa de detección del día cero en Windows, 100% de detección de malware "generalizado / predomínate". Recibió una puntuación de 5/6 de protección, 5.5 / 6 puntuación de rendimiento, y una puntuación de

6/6 facilidad de uso.

● AV-TEST (diciembre de 2015) - Tasa de detección de 100% en OS X.

9

Conformidad

● SentinelOne ha trabajado directamente con un asesor de 3er Nivel, Tevora, para dar fe de

que nuestra solución cumple con toda la detección, prevención y obligación de

información:

PCI DSS 3.1 Requisito 5.1: Implementa software antivirus en todos los sistemas comúnmente

afectados por software malicioso

Requerimiento 5.1.1: Asegura que todo antivirus se mantienen al día de forma mecánica,

realiza exploraciones periódicas, genera registros de auditoría que son retenidas por PCI

DSS requisito 10.7.

Requisito 5.3: Asegura que los mecanismos antivirus se están ejecutando de forma activa

y no se pueden desactivar o alterar por los usuarios, salvo por autorización explícita de

gestión sobre una base de caso por caso por un período de tiempo limitado.

Regla de seguridad HIPPA

§164.308(a)(5)ii)(B): Los procedimientos para la protección contra, detección y generación de informes de software malicioso

El informe complete se puede encontrar aquí.

H. Precios y posicionamiento de Costo de propiedad de protección para el Endpoint.

Hoy en día, las organizaciones se ven obligadas a implementar varias tecnologías con el fin de

proporcionar una detección, prevención y respuesta a través de los principales vectores de

ataque. Al hablar con la propuesta de valor de SentinelOne es importante destacar la ventaja de

tener un enfoque totalmente integrado cuando se trata del Costo de propiedad de protección

para el Endpoint.

Las siguientes tablas comparan dos enfoques - el despliegue de SentinelOne frente al despliegue de las tecnologías de 4-5 diferentes, con el fin de acercarse a la funcionalidad que proporcionan. Esto incluye antivirus; una solución de control de aplicaciones para las listas blancas y listas negras; una detección de Endpoint y solución de respuesta (EDR) para amenazas desconocidas; soluciones de un anti-exploit; y una herramienta de recogida de medicina forense. El siguiente análisis es sólo una estimación, y va a variar de una cuenta a otra. El objetivo es

proporcionar algunos puntos de discusión que los clientes potenciales puedan comprender toda

la amplitud de la capacidad que proporcionamos. Asegúrese de leer el informe completo

publicado en nuestro Centro de Recursos.

10

TABLA 1: COMPARACIÓN DE DOS ESTRATEGIAS PARA ENDPOINT.

FASE CAPACIDAD CRITICA SENTINELONE EPP ENFOQUE MULTI-SOLUCION

Pre-Ejecución Prevención Tradicional Nube inteligente/ servicios de

reptación Antivirus (1 Agente)

Listas Negras / Listas blancas Control de aplicaciones adaptivo Solución de control de

aplicaciones

Ejecución Detección dinámica de

Malware Monitor de Comportamiento Dinámico EDR Solución (1 Agente)

Detección dinámica de

Exploid

Monitoreo a nivel de núcleo y espacio de usuario

Agente autónomo ligero para Windows,

SO X, y dispositivos Endpoint Linux

Solución Anti-Exploit (1 Agente o

Microsoft EMET)

Después de la

Ejecución Mitigación

Mitigación Automática

Alerta, Elimina o pone en cuarentena

Detiene la contaminación Endpoint

Proceso de Mitigación manual

Rehabilitación

Integra características de

Rehabilitación (Roll back) de

archivos manipulados

Proceso Interno manual o consulta

de herramientas de rehabilitación

externos

Forense

Análisis Forense en tiempo real

(Basado en el monitoreo de las

actividades del sistema sin

disminuir su rendimiento).

Múltiples de herramientas

Forenses (1 Agente)

Requiere servicios adicionales

para lograr un análisis en tiempo

real.

TABLA 2: COMPARACIÓN DE REQUERIMIENTOS DE SOLUCIONES, REQUERIMIENTOS PERSONALES Y LICENCIAS DE COSTO.

SENTINELONE EPP ENFOQUE MULTI-FUNCIONAL

AGENTE ENDPOINT 1 5

ADMINISTRACIÓN DE CONSOLA 1 4-5

RENDIMIENTO DE LOS USUARIOS 2% Avg, uso del CPU 4% a 10% Avg, uso de CPU

REQUERIMIENTOS IT

SentinelOne EPP + EDR =1FTE

TOTAL: 1 FTE

Antivirus = 2 FTE

Anti-exploit = 1 FTE

Control de aplicación = 2 FTE

EDR/forense = 2 FTE

TOTAL: 7 FTE

11

COSTO TOTAL ANUAL

(Solución + Personal)

$ 30 / Endpoint x 25k endpoints = $750k

1 FTE x $90k / year = $90k

$840,000

AV + Anti-exploit + control APP + EDR/Forense: $121/Endpoint x 25k endpoints = $3,025,000

FTE: 7 x $90/years = $630k

$3,655,000