Interview mit Security Engineer Benjamin Spahr: «Das sind die Vorteile von SentinelOne.»

Als Security Engineer bei Inseya arbeitet Benjamin Spahr oft mit SentinelOne. Im Interview erzählt er, warum er sich persönlich auch für SentinelOne entscheiden würde, hätte er ein eigenes Unternehmen.

Was macht SentinelOne (S1) für Unternehmen attraktiv?

Benjamin Spahr: SentinelOne ist sehr attraktiv, da es einen umfassenden Schutz für alle Endpunkte in der Unternehmung bietet. Seien dies nun Windows Laptops oder FAT-Clients, Linux Server, Mac Notebooks oder mobile Endgeräte wie iOS oder Android. Somit kommt die Lösung für den Schutz aus einer Hand und muss nicht über mehrere Hersteller eingekauft, unterhalten und gewartet werden. So sind die Lösung wie auch die geschützten Geräte immer mit den Sicherheitsstandards vertraut und es müssen nicht mehrere Lösungen auf dem neuesten Stand gehalten werden.

Mit SentinelOne ist es auch möglich z.B. Ransomeware-Angriffe abzuwehren und im Falle einer Verschlüsselung des Betriebssystems wieder auf einen Stand zurückzukehren bevor der Angriff stattgefunden hat. Somit können hohe Lösegeldzahlungen für die Entschlüsselung der Daten und der Betriebssysteme gespart werden.

SentinelOne gehört zu den am schnellsten wachsenden Cybersecurity-Anbietern. Welche Dienste sind besonders interessant?

S1 bietet mehrere interessante Dienste an. Zum einen haben wir den herkömmlichen Agent, der die Endgeräte durch AI/Machine Learning schützt und nicht nur auf Signaturen achtet, sondern auch abnormale Prozesse überwacht, welche auftauchen können, sobald ein Angriff startet.

Weiter ist die Ranger Funktionalität sehr spannend, welche das Netzwerk überwacht und nicht nur die einzelnen Endpunkte. Somit können Angriffe früh erkannt und unterbunden werden.

Die Visibilität dieser Angriffe ist ausserdem sehr übersichtlich dargestellt, da diese einfach nachvollzogen und zurückverfolgt werden können. Dies kann sogar auf die einzelnen Phasen eines Angriffes heruntergebrochen werden und ermöglicht ein einfaches Threat Hunting

Persönlich finde zusätzlich die Ranger AD Funktion sehr interessant und spannend. Mit dieser kann das gesamte Active Directory, sei es noch herkömmlich im Perimeter oder bereits in der Cloud, auf Schwachstellen gescannt werden. Diese werden in einem übersichtlichen Report dargestellt. Zu jeder gefundenen Lücke werden die betroffenen Objekte angezeigt und es gibt eine Schritt-für-Schritt-Anleitung, wie diese Lücken wieder geschlossen werden können.

Welche Dienste rund um SentinelOne bietet Inseya an?

Wir als Inseya bieten die komplette Singularity Complete Suite an. Diese beinhaltet den kompletten und umfassenden Schutz von SentionelOne. Wir begleiten zudem die Kunden bei der Einrichtung des Tenants und unterstützen Sie mit dem entsprechenden Know-How, sobald ein Threat auftaucht.

Zudem arbeiten wir eng mit unseren Kunden zusammen, um die Ranger AD Assessments für das Active Directory durchzuführen. Sei dies nun bei der Einrichtung der Lösung oder dann bei der Analyse und der gemeinsamen Behebung der einzelnen Schwachstellen.

Kannst du einige Beispiele nennen, in denen SentinelOne von Inseya implementiert wurde?

Wir durften bei einem Kunden vor kurzem die Ranger AD Funktionalität implementieren, da es bei besagtem Kunden ein Angriff auf das Active Directory gegeben hatte. Die schnelle Implementierung hat uns die Resultate der betroffenen Schwachstellen innerhalb 45 Minuten geliefert und der Kunde wusste sofort, was die grössten Schwachstellen in seinem Benutzerverzeichnis waren.

Ende März dieses Jahres wurde ein Update eines VOIP Clients mit einem Trojaner versehen, welcher durch dieses Update auf vielen Kundensystemen gelandet ist. Mit SentinelOne wurde dieser sofort erkannt und entsprechende Gegenmassnahmen konnten eingeleitet werden. Durch die einfache Implementierung des Agents bei unseren Kunden konnten wir mit einem schnellen On-Boarding prüfen, ob Kunden von diesem Trojaner befallen wurden bzw. Sie dann darauf hinweisen, dass das Update des Clients noch nicht gemacht werden soll, bis diese Problematik behoben wurde.

Was macht es für dich als Security Engineer besonders spannend mit SentinelOne zu arbeiten?

Ich finde die Visibilität von Sentionel One als eines der spannendsten Features. Diese zeigt mir reale Vulnerabilitäten und wie diese geschlossen werden können auf und ich kann diese einfach nachverfolgen. Zudem ergibt es ein komplettes Bild in der Landschaft, wie effektiv Sicherheitslücken ausgenutzt werden und wie wir dies verhindern können.

SentinelOne wurde von Gartner als Leader im „Magic Quadrant 2022“ für Endpoint-Protection-Plattformen ausgezeichnet. Wie sieht der Blick in die Zukunft aus?

Dienste wie SentinelOne werden in Zukunft immer wichtiger, da es immer wie mehr Angriffe geben wird. Die Angreifer ändern auch Ihre angriffsvektoren und Tools und setzen ebenfalls vermehrt auf künstliche Intelligenz, um Angriffe effizienter und noch punktgenauer auf Schwachstellen einzusetzen. Daher ist es sehr wichtig, dass auch aus der Endkundensicht Tools eingesetzt werden, welche mit Künstlicher Intelligenz arbeiten, da diese in Sekundenbruchteilen Angriffe entdecken und abwehren können, welche nicht nur mit einer herkömmlichen Virensignatur versehen sind.

Zusammengefasst: Hättest du ein eigenes Unternehmen, warum würdest du SentinelOne wählen für den Schutz der Endgeräte?

Ganz klar wegen der Visibilität und der Funktionalität aus einer Hand. Mit SentinelOne ist mein ganzer Gerätepark mit einer Lösung abgesichert und ich erhalte Real-Time Data über Angriffe, kann diese nachvollziehen und nachverfolgen. Somit bleibe ich am Puls der Sicherheit und könnte in der Nacht auch gut schlafen, da die automatischen Remediation-Mechanismen von SentinelOne meine Geräte auch schützen, wenn ich diese nicht aktiv beobachte.