Viisi syytä päivittää perinteinen virusturva uuteen

Yleinen
Blogi Kyberturva

Päätelaitesuojaus on oleellinen osa tietoturvaa. Miten päätelaitteista sitten tulisi huolehtia? Riittääkö perinteinen virustorjunta vai tuoko modernimpi toteutus oleellista lisäarvoa? Se selviää SentinelOnen ja perinteisen virustorjunnan vertailussa.

SentinelOne on käytössä Virialla ja se on yksi esimerkki markkinoilla olevista uuden ajan päätelaitesuojauspalveluista ja saa nyt kunnian olla edustamassa tässä artikkelissa uudenlaista suojaustapaa. Siinä on perinteiseen antivirustyyppiseen ohjelmaan nähden kattavammin lisämausteita, eli se pitää sisällään monipuolisemmin yleiseen turvallisuuteen ja laitteen toimivuuteen liittyviä tietoja. SentinelOne toimii laitteille asennettavalla agenteilla, jotka keräävät jatkuvasti tietoa – niin prosesseista, laitteista, nettiyhteyksistä, tiedostojen poistamisista kuin rekisterimuutoksista. Eli kaikki se tieto, josta tietoturvatutkija on kiinnostunut tiettyä laitetta ajatellen, on saatavissa.

Monipuolisuus

Moderni virustorjunta, kuten SentinelOne, on huomattavasti perinteisiä edeltäjiään monipuolisempi. Muun muassa tunnistusmoottorit tuovat virustorjuntaan kokonaan uuden ulottuvuuden. Ne etsivät ja havaitsevat myös käyttäytymiseen liittyviä epäilyttäviä toimenpiteitä. Huomiota kiinnitetään muun muassa siihen, jos ohjelma ottaa yhteyttä epäilyttäviin paikkoihin internetissä tai luo paljon uusia tiedostoja tai esimerkiksi muokkaa tai salaa niitä suuria määriä. Tällaisissa tapauksissa heuristiikkamoottori viheltää pelin poikki, kun taas perinteinen virustorjunta olisi todennäköisesti autuaan tietämätön tapahtumista.

Kehittyvyys

SentinelOne ja muut modernit ratkaisut eivät tarvitse ennakkotietoa jostakin haittaohjelmasta tunnistaakseen sen. SentinelOne havaitsee tutkitusti hyvällä prosentilla myös aikaisemmin tunnistamattomia haittaohjelmistoja heuristiikkaan perustuen. Avainasemassa ovat sekä tunnistusmoottorit että SentinelOne Cloud.
Nykyaikaiset toteutukset ovat jatkuvasti itseoppivia. Järjestelmän keräämät opit ja havainnot ovat myös maailmanlaajuisesti käytössä (mm. SentinelOne Cloud). Jos esimerkiksi Yhdysvalloissa on tehty havainto tietynlaisesta haittaohjelmasta, Suomessakin päästään hyödyntämään tätä tietoa.

Helppous ja keveys

Keveys on SentinelOnen keskeinen valtti verrattuna perinteisiin ratkaisuihin. Tämä on tärkeä ominaisuus etenkin päätelaitteilla, joilta vaaditaan paljon prosessitehoa varsinaiseen työhön.
Moderni virustorjunta ei vaadi asiakkaalta toimia eli asiakas voi niin sanotusti asentaa ja unohtaa. Asiakkaan ei asennuksen jälkeen tarvitse esimerkiksi konfiguroida agentteja tai huolehtia haittaohjelmien poistamisista. Tästä huolehtii ohjelmisto itse yhdessä SOC-tiimin kanssa.
Käyttöliittymä on selkeä ja helppokäyttöinen, joten halutessaan asiakas voi myös tutustua järjestelmään. Hän voi esimerkiksi seurata ohjelmistossa olevien hälytyksien kohdalta, mitä toimenpiteitä millekin tapaukselle tehtiin. Asiakkaan omaa osallistumista tarvitaan ainoastaan silloin, jos havaitaan laajempi poikkeama tai jos SentinelOne tekee havainnon ohjelmasta, joka vaikuttaa olevan asiakkaalla käytössä.

Vastatoimien mahdollistaminen

SentinelOne mahdollistaa vastatoimien tekemisen ja tapahtumaketjujen tarkan tutkimisen. Tästä syystä se on SOC-analyytikolle arvokas työkalu.
Havainnoissa on käytössä laadukas aikajana haittaohjelman toteuttamista toimista. Väärät hälytykset saadaan myös whitelistattua globaalisti koko organisaatiossa.

Ja sitten vielä Deep Visibility…

SOC-tiimi pystyy Deep Visibilityn avulla tarkastamaan koko organisaation laitteet uusien tunnistettujen kyberhyökkäysten tai haittaohjelmien varalta, vaikka SentinelOne ei niistä erikseen hälyttäisi.
Deep Visibility tarjoaa näkymän siihen, mistä haittaohjelma on laitteeseen tullut ja mitä sen jälkeen on tapahtunut. Perinteinen virustorjuntaohjelma saattaa kyllä blokata haittaohjelman, mutta tarkempaa tietoa tapahtumaketjuista ei yleensä saada. Deep Visibility on osoittautunut toistuvasti korvaamattomaksi työkaluksi tietoturvapoikkeamien selvittämistilanteissa nimenomaan tilannekuvan ja tapahtumaketjun varmistamisessa, kun kohteena on päätelaite. Tärkeät palvelimet ja palomuuri ovat yleensä muutenkin SOCin valvonnassa, joten niiden tietoturvatapahtumat saadaan tutkittua toista kautta.

 

SOC tarvitsee näkyvyyden näihin kaikkiin kolmeen osa-alueeseen, että asiakkaan tietoturvallisuudesta saadaan mahdollisimman kattava tilannekuva.

=5–0

Vertailu oli varsin yksiselitteisesti modernin päätelaitesuojauksen kenttää edustavan SentinelOnen voittokulkua. Mikäli erilaisten ratkaisujen vertailu kiinnostaa laajemmin, tutustu voittoa tavoittelemattoman Mitren tekemään puolueettomaan arviointiin eri virustorjuntaohjelmistojen ominaisuuksista. SentinelOne on pärjännyt vertailussa vuodesta toiseen hyvin.
Asiantuntijana jutussa on toiminut Virian kyberturvakeskuksen analyytikko Teemu Pätsi.
Tutustu myös Virian Kyberturvakeskukseen!