Machine Learning con un Pizzico di Magia!

machine-learning-with-magic

Machine Learning con un Pizzico di Magia!

In questo post, vediamo in sintesi come l’agente di SentinelOne utilizza molteplici motori. I principali sono:

Deep File Inspection (DFI)

Il motore Deep File Inspection (DFI) di SentinelOne rileva ed evita l’esecuzione delle minacce utilizzando modelli statici di Machine Learning. I modelli statici sono ora utilizzati da molti vendor e vengono addestrati per rilevare minacce considerando vari attributi statici che possono venire estratti da file binari/eseguibili. Questa è una reale tecnologia signature-less molto efficace a rilevare minacce basate su file. La principale differenza tra modelli statici dei diversi vendor sta nel modo in cui vengono calibrati. Maggiore è l’aggressività di un modello e più esso è efficace a bloccare minacce, ma può altresì ottenere un tasso elevato di falsi positivi.

Dynamic Behavioral Tracking (DBT)

Dynamic Behavioral Tracking (DBT) di SentinelOne traccia tutte le attività presenti sul sistema comprese le modifiche dei file di registro, l’arresto o l’attivazione di servizi, la comunicazione tra processi, le attività di rete. Queste informazioni vengono fornite al modello di Machine Learning dinamico che rileva ed ammazza le minacce non catturate da DFI. Dal momento che esso modella il comportamento di tutti i processi, siamo in grado di identificare minacce che sono veramente difficili da rilevare tramite modelli staticil Per esempio, il nostro foglio Excel potrebbe contenere una macro che esegue PowerShell con un payload di rete che non tocca mai il nostro disco. Il motore dinamico di SentinelOne ha trovato persino degli attacchi basati su script su sistemi Mac (vedi figura).

mac_attackStoryLine2

Orchestration Engine

L’orchestration engine di SentinelOne è in grado di isolare computer infetti dalla rete ovvero di effettuare un’azione di ripristino (rollback) in modo automatico. Il rollback è particolarmente utile soprattutto nei primi giorni di una Proof of Concept o all’inizio di una nuova installazione quando l’agente di SentinelOne viene utilizzato assieme all’antivirus del cliente che intende sostituire. Usualmente, l’agente di SentinelOne viene installato in ‘alert mode’ per vedere che cos’altro è in grado di catturare che invece sfugge alla soluzione legacy. Se c’è un’ infezione che non era stata bloccata, possiamo risparmiare al cliente un sacco di tempo semplicemente ripristinando una snapshot precedente come mostrato qui sotto.

Gif-Princess-Evolution-Ransomware

Il ransomware aveva già cifrato 258 file sul computer della vittima, ma è bastato un click del mouse per riportare il sistema allo stato precedente ed eliminare il codice malevolo.

machine-learning-with-magic-2

Questa è un’esperienza che fa restare a bocca aperta e normalmente il cliente si convince in favore di SentinelOnle. Siete pronti per sperimentare il Machine Learning con un pizzico di magia?

In questo video, lo potete vedere in azione. E’ possibile vedere come ogni livello rileva il ransomware ed infine come il malware viene annullato grazie al rollback in modo che l’utente possa continuare a lavorare senza sprecare tempo a causa di attacchi malevoli.

Ti è piaciuto questo articolo e vuoi saperne di più sulla magia di SentinelOne? Contattaci ora!

https://www.digitree.it/contatti

 

No Comments
Post a Comment