Ranger, il guardiano della tua Internet of Things

Digitree - Disruptive technologies for secure smart workers / Endpoint Protection  / Ranger, il guardiano della tua Internet of Things
iot medical devices

Ranger, il guardiano della tua Internet of Things

Ranger assicura visibilità nella tua rete usando tecniche di mappaggio distribuito attivo e passico per scoprire i servizi in esecuzione, gli endpoint non gestiti, i dispositivi IoT e quelli mobili

Perché le organizzazioni ne hanno bisogno?

Il numero di dispositivi connessi sulle reti è in aumento poiché le persone portano i loro telefoni, laptop e dispositivi smart in ufficio. Inoltre, sempre più dispositivi Internet of Things, Operational Technology e elettrodomestici intelligenti vengono aggiunti alla rete. Tutti questi dispositivi stanno diventando sempre più intelligenti e complessi. Questa complessità può portare a bachi, e i bachi possono portare vulnerabilità. Ciò significa che diventa sempre più importante per gli amministratori di rete tenere un inventario di che cosa c’è sulla propria rete. Ranger genera questo inventario automaticamente e lo aggiorna nel tempo.

Ranger rende anche semplice trovare gli endpoint non gestiti. Vuoi essere sicuro che ogni dispositivo che viene connesso sia protetto, ma può essere difficile dato il numero crescente di dispositivi e il numero limitato di personale dedicato all’IT. Con Ranger, puoi ottenere una lista di dispositivi non gestiti in pochi click.

Come funziona Ranger?

Ranger trasforma gli attuali agenti di SentinelOne in una rete distribuita di sensori di rete che combina tecniche di riconoscimento attivo e passivo per elaborare una mappa di tutto ciò che si trova sulla rete.

Dal momento che non è sufficiente la semplice conoscenza che un dispositivo si trova in rete, Ranger tenta anche di scoprire il sistema operativo ed il ruolo del dispositivo.  Ciò significa che puoi facilmente vedere tutte le tue stampanti, i tuoi dispositivi mobili, i tuoi server Linux, e così via.

E’ cosa nota che i firewall e i sistemi di intrusion detection rispondono male ai normali tentativi di scansione delle reti e delle vulnerabilità, e molti dispositivi IoT non possono essere scansionati in modo normale. SentinelOne affronta questo problema con differenti metodi. In primo luogo, le tecniche passive funzionano molto bene per trovare tutti gli host sulla stessa subnet. Secondariamente, non viene usato un singolo endpoint per creare l’intero mapping: il lavoro viene diviso in modo intelligente tra tutti gli agenti. Infine, le sonde impiegate sono incredibilmente leggere. Nmap richiede ad 10 a 20 volte più traffico e Nessus richiede da 100 a 500 volte! Ciò perché le sonde di Ranger sono molto targhetizzate e precise.

Che cosa si è provato

Non esiste una soluzione generale per la scansione delle reti. Ciscuna è diversa come un fiocco di neve e può essere di una complessità arbitraria. A causa di ciò, il team di SentinelOne ha voluto provare una diversità di approcci e vedere che cosa funzionava, che cosa no e dove stava il punto dolente. Sapevano dal principio che era essenziale sfruttare l’esistente deployment di agenti. E’ così difficile e costoso per le grandi imprese installare un nuovo agente, e molte imprese cercano di consolidare gli agenti il più possibile.

Prima di creare un agente, gli sviluppatori hanno provato a modificare la rete per ridirigere tutto il traffico attraverso Suricata. Il vantaggio di ciò era la semplicità di raccolta dei dati e non c’era quindi necessità di creare un agente. Tuttavia, si sono presto verificati dei problemi perché il traffico di rete stata sovraccaricando il box Suricata, persino su reti molto piccole. Alla fine, hanno rinunciato a questo approccio e spostato tutto su un agente.

La difficoltà successiva era decidere con quale priorità implementare le tecniche di mapping della rete attive e passive. C’erano migliaia di porte che bisognava testsare e dozzine di protocolli tramite cui un dispositivo era in grado di comunicare. Gli sviluppatori hanno impiegato molto tempo selezionando le porte per scegliere solo quelle che erano più informative e per implementare i protocolli più utili.

In che cosa Ranger è differente?

La principale differenza è che Ranger usa gli agenti già in esecuzione come sensori. Ciò significa che non è necessario installare altri agenti per permettegli di lavorare.

Altre soluzioni sul mercato richiedono di aggiungere appliance fisiche alla rete e dirigere là il traffico. Ciò può essere estremamente fastidioso quando si tratta di scalare, specialmente su reti ampie e trafficate.

Alcuni prodotti richiedono di catturare il traffico e caricare i log su un server perché vengano processati. Questa probabilmente è la soluzione più semplice da implementare ma richiede un grande lavoro da parte dell’utente per raccogliere informazioni sufficienti per avere una chiara visione della rete. Se si hanno differenti siti e reti, è necessario monitorare il traffico su ciascuno di essi.

Conclusione

Ranger apre una finestra sulla tua rete, e questo diventa sempre più importante e prezioso all’aumentare dei dispositivi connessi. E non hai bisogno di installare nulla di nuovo per utilizzare questa funzionalità: fa parte dell’esistente agent di SentinelOne.

SentinelOne Ranger è attualmente alla versione alfa e sarà disponibile per tutti i nostri clienti nel corso dell’estate 2019.

Vuoi vedere in anteprima come funziona Ranger? Contattaci per avere una demo!

 

No Comments
Post a Comment