Pleins feux sur les fonctionnalités | Annonce de la disponibilité générale (GA) des agents Linux et K8s v22.3 pour la sécurité des charges de travail dans le cloud

SentinelOne a le plaisir d’annoncer la disponibilité générale de la version 22.3 de nos agents Linux et Kubernetes Cloud Workload Security (CWS).

Nos agents Linux et Kubernetes sont conçus spécifiquement pour les besoins uniques des charges de travail cloud. Nos agents s’exécutent entièrement dans l’espace utilisateur, en utilisant des sondes eBPF (Extended Berkeley Packet Filter) pour une visibilité sur le noyau sans les tracas des dépendances du noyau qui compliquent inutilement le déploiement, entravent l’agilité et continueront de causer des temps d’arrêt et des pertes d’activité. continuité des solutions alternatives qui utilisent les modules du noyau.

eBPF est un framework puissant pour surveiller le trafic au niveau du noyau sans la complication des modules du noyau. En tant que tel, eBPF peut être utilisé pour collecter la télémétrie de la charge de travail cloud et la transmettre à un système XDR pour la détection en temps réel des activités suspectes ou malveillantes. Il s’agit de l’approche définitive de SentinelOne en matière de sécurité des charges de travail dans le cloud, complétée par des capacités de réponse à la vitesse du moteur au sein de la plate-forme Singularity XDR.

D’un point de vue architectural, La sélection eBPF est plus robuste, évolutive et performante que celles reposant sur les modules du noyau. De cette façon, les DevOps sont libres d’innover rapidement, en mettant à jour les images du système d’exploitation hôte comme ils l’entendent et sans crainte de conflit entre une version d’agent et une combinaison distribution/version Linux .

De plus, nous avons réalisé plusieurs avancées qui améliorent encore les performances et les spécifications, notamment :

• Efficacité accrue des ressources
• Découvertes minières cryptographiques
• Détection de l’élévation des privilèges locaux
• Détection du cryptage des rançongiciels

Performances exceptionnelles sur la moitié des ressources

Pour tout client SentinelOne exécutant encore Linux ou l’agent K8s v21.x, les gains d’efficacité des ressources constituent à eux seuls une raison impérieuse de mettre à niveau votre agent de protection de la charge de travail cloud vers la v22.1 ou une version supérieure. Nous travaillons avec plusieurs clients dépendants, prenons leurs commentaires et élargissons encore notre efficacité des ressources. Par conséquent, la v22.1 (et supérieure) améliore les performances en 2 dimensions par rapport à la version 21.x : Amélioration de 40 à 50 % de l’utilisation de la mémoire et de 40 à 50 % de l’utilisation du processeur.

Nous serions négligents si nous ne profitions pas de l’occasion pour remercier ces clients pour ce voyage avec nous. Ensemble, nous avons atteint ces résultats sans sacrifier un centimètre de performance de détection. En fait, bien au contraire : nous élevons la barre des découvertes Linux.

L’histoire de l’efficacité des ressources est encore plus convaincante pour les clients de Kubernetes. Un seul agent spécialisé Singularity Cloud Workload Security for Kubernetes protège le système d’exploitation hôte d’un noeud worker K8s, tous ses pods et tous ses conteneurs. Cela se fait sans side-car de conteneur ou en utilisant des modules de noyau, et dispose d’une visibilité complète et d’une sécurité d’exécution pour les charges de travail Kubernetes. Cette approche architecturale est très convaincante pour les natifs du numérique qui exécutent des charges de travail à grande échelle.

À titre d’exemple représentatif, si un agent side-car typique prend 128 Mo de mémoire par conteneur et que chaque nœud de travail a, en moyenne, 30 conteneurs, la surcharge d’une architecture side-car s’élève à environ 4 Go de mémoire supplémentaire par nœud de travail. Multipliez cela par le nombre de nœuds de travail par cluster K8, puis à nouveau par le nombre de clusters exécutant des charges de travail dans vos comptes cloud DEV et PROD, et les frais généraux opérationnels que le client paie rapidement . À l’opposé, SentinelOne offre des performances de pointe avec la moitié de cette mémoire et de ce processeur.

Les clients font eux-mêmes le calcul des serviettes et tirent leurs propres conclusions. Nous avons même un calculateur de valeur commerciale qui en tient compte, pour aider nos clients potentiels à développer leur propre analyse de rentabilisation spécifique à leurs besoinset à partager avec leur haute direction, car la sécurisation des budgets budgétaires limités dans le contexte économique actuel nécessite une analyse rigoureuse des flux de trésorerie.

Détection et protection améliorées

L’efficacité opérationnelle est importante, mais la tâche principale d’un agent d’exécution est la protection de la charge de travail. Pour emprunter à une analogie de course F1, c’est vraiment là que “le caoutchouc rencontre la route”. L’agent Linux v22.3 apporte des détections améliorées de cryptomining plus tôt dans la chaîne, une élévation des privilèges locaux et des ransomwares. Ces réalisations renforcent notre leadership en matière de performances, comme en témoigne le test de référence MITRE ATT&CK, qui inclut Linux depuis 2 ans.

Définitions de cryptominage

Le malware de cryptominage est une nuisance et une ponction financière, siphonnant discrètement des cycles de calcul coûteux des charges de travail. Nous avons encore amélioré la capacité de Singularity Cloud Workload Security à détecter les logiciels malveillants de cryptominage. Nous avons identifié l’appel de cryptomineurs associés à des portefeuilles et/ou des URL suspects connus.

Dans la v22.3, nous voyons l’activité de configuration du cryptomineur avant même le début de l’exploitation minière. En détectant les activités de configuration et de préparation, l’agent SentinelOne arrête le cryptominage avant qu’il n’atteigne la facture cloud d’une organisation et réduit les opérations de charge de travail.

Élévation locale de privilège

L’agent SentinelOne Linux v22.3 alerte également sur les tentatives suspectes d’élever les privilèges locaux via l’exploit binaire SUID.

Logiciels de rançon

Nous avons constaté une augmentation des tentatives de ransomware ciblant l’infrastructure cloud, mettant en œuvre de nouvelles techniques et méthodes pour compromettre les charges de travail. Pour résoudre ce problème, nous avons amélioré notre détection des rançongiciels, qui identifie l’activité de chiffrement des fichiers via des outils Linux standard tels que OpenSSL. Les attaques de ransomwares sur les charges de travail cloud représentent un risque potentiellement catastrophique pour les entreprises qui dépendent de l’intégrité et de la disponibilité de leurs charges de travail.

L’agent SentinelOne K8s prend désormais en charge Amazon EC2 pris en charge par Graviton

L’agent SentinelOne Kubernetes prend désormais en charge les instances EC2 basées sur AWS Graviton. Notre agent Linux réalise les Désignation de service AWS Graviton Ready en juillet 2022. L’extension de cette prise en charge aux clusters Kubernetes est une prochaine étape logique. L’architecture arm64 de Graviton inclut des gains d’efficacité convaincants qui la rendent très attrayante dans les charges de travail à forte intensité de calcul. Singularity Cloud Workload Security for Kubernetes est prêt à fournir une protection de charge de travail d’exécution à vos clusters basés sur Graviton.

Conclusion

L’agent CWS alimenté par eBPF de SentinelOne est conçu pour les besoins uniques de l’infrastructure cloud. En fonctionnant entièrement dans l’espace utilisateur, les problèmes de dépendance au noyau sont éliminés, simplifiant ainsi le déploiement et la maintenance tout en offrant simultanément une visibilité et une sécurité d’exécution complètes dans l’entreprise de cloud hybride. De plus, DevOps peut mettre à jour l’image de son système d’exploitation hôte sans crainte de conflit d’agents, de sorte que l’agilité de l’entreprise est prise en charge et non entravée.

Pour en savoir plus, visitez la page produit Singularity Cloud Workload Security for Servers/VMs ou Kubernetes. Vous y trouverez des études de cas clients, des informations sur les produits et bien plus encore. Si vous êtes un client CWPP existant, veuillez contacter votre équipe de compte SentinelOne pour discuter d’une mise à niveau prévue vers la dernière version de l’agent Singularity.