SentinelOne akquiriert Attivo Networks
Angriffe auf Identitäten abwehren
Der Cyberkriminelle von Welt braucht für Einbrüche keine Malware: Per Phishing oder mittels Kauf von Credentials auf der dunklen Seite des Webs verschafft er sich elegant Zugang zu einem Unternehmensnetz, um dann per Kompromittierung des örtlichen Verzeichnisdienstes höhere Zugriffsrechte zu ergaunern. Um solche Angriffe besser abwehren zu können, schluckt SentinelOne, ein Security-Anbieter aus dem Silicon Valley, nun Attivo Networks, ein ebenfalls kalifornisches Unternehmen für Identitätssicherheit, zum Preis von 616,5 Millionen Dollar.
Die Pointe der Übernahme: Mit dem Schutz von Identitäten, vor allem des Active Directorys und des Azure Active Directorys, ergänzt SentinelOne die KI-gestützten Erkennungs- und Reaktionsfähigkeiten seiner ML-basierten (Machine Learning) XDR-Plattform (Extended Detection and Response) namens Singularity um einen wichtigen Baustein – und um einen naheliegenden: Laut Security-Fachleuten ist die Kompromittierung von AD/Azure AD nach Einbrüchen ins Netzwerk heute meist das nächste Ziel von Angreifern, um ihre Zugriffsrechte zu erweitern und so an wertvolle Interna zu gelangen.
Attivos Technik deckt drei wesentliche Aspekte ab, wie Yonni Shelmerdine, VP Product Management bei SentinelOne, gegenüber LANline erläuterte: Erstens sei Attivo „in der Lage, bösartiges Verhalten zu identifizieren, das auf Credential-Diebstahl oder auf illegitimen Zugang zum Active Directory und Domain Controllers gerichtet ist, und es abzustellen, wo das nötig ist.“ SentinelOne werde hier investieren, um diese Fähigkeiten weiter auszubauen, sei man doch laufend bemüht, das XDR-Leistungsspektrum auszubauen: „Wir haben es um Mobile erweitert, dann um Cloud, und jetzt erweitern wir es um Identitäten.“
Zweitens habe Attivo „eine sehr überzeugende Lösung“ zur Erkennung identitätsbezogener Risiken – sprich: AD-Fehlkonfigurationen, Schwachstellen, ausnutzbare Lücken etc. Diese Funktionalität ergänze das bestehende Portfolio sehr gut. Drittens, so Shelmerdine, sei Attivo führend bei Täuschungstechniken (also Honeypots etc.). Diese dienen dazu, externe wie auch interne Angreifer durch digitale Lockvögel auffliegen zu lassen.
Die Attivo-Lösung umfasst, wie Shelmerdyne gegenüber LANline erläuterte, im Wesentlichen vier Bausteine: erstens einen Agenten, der eine KI-Analyse des Endpunktverhaltens und Täuschungstechniken zum Schutz vor Credential- und identitätsorientierten Angriffen nutzt; zweitens Überwachungsmechanismen für den Domain Controller zum unternehmensweiten Identitätsschutz; drittens ein nicht agentenbasiertes AD-Scanning inklusive Remediation (also Herstellerung des Sollzustands). Die Software könne AD-Risiken sehr schnell identifizieren, scanne das AD automatisch auf Fehlkonfigurationen und führe über 100 Schwachstellen-Assessments durch. Daraus leite sich ein „Health Score“ für das AD ab. Der vierte Baustein ist eine netzwerkbasierte Täuschungstechnik.
Bei einer Akquisition gehe es SentinelOne nicht darum, dem Portfolio lediglich weitere Produkte hinzuzufügen, die der Kunde kaufen soll, betonte Shelmerdyne. Vielmehr liege der Fokus bei SentinelOne auf Integration, wie die Akquisition von Scalyr zeige. SentinelOne hatte den (wieder einmal) kalifornischen Anbieter einer SaaS-basierten Big-Data-Plattform für die automatisierte Einspeisung, Analyse und Orchestrierung von Daten – bei SentinelOne eben Security-Daten – Anfang 2021 für 155 Millionen Dollar übernommen.
„Wir waren seit der Akquisiton von Scalyr vor vierzehn Monaten sehr darauf konzentriert, Scalyr vollständig in unsere Plattform zu integrieren“, sagt Shelmerdyne. Scalyrs Data Engine habe die vorherige ersetzt und sei nun auf technischer wie auch auf Workflow-Ebene in Singularity eingebunden. SentinelOne werde also definitiv nicht zum Portfolio-Unternehmen werden, das „15 verschiedene Produkte mit 15 verschiedenen Interfaces“ vermarktet, so Shelmerdyne.
Die Integration werde in den kommenden Quartalen inkrementell vorangehen, von den Policies bis zu den Agenten, so SentinelOnes Produktchef. Die kritischsten Analysten-Workflows setze man unverzüglich um, dies sei schon in Arbeit. SentinelOne hatte schon vor der Akquisition zwei Jahre lang mit Attivo kooperiert, kann also auf Vorarbeiten aufbauen. Bis Jahresende will man soweit sein, dass keine separate Installation des Attivo-Agenten mehr nötig ist.
Lesen Sie mehr zum Thema
