SentinelOne Vs Symantec

エンドポイントとクラウドの防御、脅威検知、インシデント対応で、お客様がBroadcomのSymantecではなくSentinelOneを選ぶ理由とは？

MITRE ATT&CK：
Symantec では、攻撃の進行を止められないかもしれません"

サイバーセキュリティ業界の各社の製品の第三者評価として最も信頼されている2022 MITRE Engenuity ATT＆CK Evaluationにおいて、SentinelOneが記録的な結果を達成しました。すべてのオペレーティングシステムで100％の防御を達成し、最速で脅威を封じ込めて、過去3年間の評価で最も分安バリティック検知のカバレッジが高い結果となりました。109ステップもの攻撃キャンペーンに対して、従来、セキュリティ担当者が行う必要があった膨大な設定作業を行うことなく、SentinelOne Singularityプラットフォームが自動的に相関分析とコンテキスト化を行い、即座にインシデント対応につながる9つのコンソールアラートに統合化しました。

一方Symantecの場合、最新の攻撃に対する防御力に改善が見られません。攻撃シミュレーションにおいて、製品の設定を変更を行わないと検知ができないため、2回も一旦、評価を停止する必要があり、5度も検知の遅延時間を発生させているにもかかわらず、17ものサブステップで脅威を見逃して検知できないままでした。合計で109ステップでアナリティック検知が求められるのに対して、87ステップに対してしかアナリティック検知ができませんでした。

Symantecとの比較でSentinelOneが信頼される3つの理由

レガシー VS

ロングラン

2019年にBroadcomが買収して以降、Symantecの従来型のアンチウィルス製品は、最新のサイバー攻撃のテクニックに追従をできていません。そのため、多くの顧客が新しいソリューションを求めて他製品へ入れ替えてきています。これといった技術革新がなく、コンソールの管理と更新が煩雑で、的確に脅威検知ができず、アラートが多過ぎてアラート疲れを生じさせているといった問題点をお客様が指摘しています。

これとは対照的に、SentinelOneの自律型プラットフォームは、追加経費や手作業によるワークフローを生じさせることなく、最新のサイバー攻撃の防御と脅威検知、修復を可能とする機能において市場をリードしています。 ForresterのTotal Economic Impact レポートによると、SentinelOneのお客様は97％の満足度を報告しており、従来型のアンチウィルス製品からの入れ替えで平均で353％のROIの改善が認められています。 .

従来型の攻撃防御 VS

未知のゼロデイ脅威への対応

他の多くの従来型のアンチウィルス製品ーと同様に、Symantecの防御と脅威検知の機能は、数十年前の製品設計のままであり、既知のウィルスが持つシグニチャーとの照合（パターンマッチング）とクラウド上でのウィルス情報公開サイトにあるウィルスファイルのハッシュ値との照合のみに依存しています。このアプローチは10年前には効果的だったかもしれませんが、最新の攻撃に対してシミュレーションテストを行うとあまり効果がないことが明らかです。その証拠に、 2020年のMITRE ATT＆CK®評価においてSymantecは、SentinelOneが検知できた攻撃者ステップの半数も検知することができず、SentinelOneが自動的に行なった118ステップの相関分析結果と比較すると、遠隔から測定結果であるテレメトリーデータと、MITRE ATT&CKの戦術とテクニックにおいてわずか13ステップしか相関分析をできませんでした。

SentinelOneは、クラウドに接続されているかどうかにかかわらず、堅牢な静的および振る舞いAIを活用した単一のエンドポイントエージェントが、24時間365日、既に知られている攻撃だけでなく、将来に起こりうる未知の脅威からユーザーを保護することが可能です。

より容易に導入と運用が可能な単一のコンソール、単一のエージェントによるEPP + EDR

セキュリティチームのほとんどが人的リソースに制約があるにもかかわらず過度な負担を強いられているため、セキュリティ対策のスピードは1分1秒を争います。Symantecのほとんどのお客様が依然としてオンプレミス環境のみに対応したコンポーネントに頼らざる得ないため、エンドポイント保護（SEP）とEDRコンソールの異なる製品の間で、面倒なデータのコピー＆ペーストが必要となっています。ノートンライフロックのお客様は、情報量の少ない検知結果を手作業で相互に相関分析してコンテキスト化して、更新をプッシュしなければならず、エンドポイントを修復するのにも貴重な時間を割かざるえません。最新の脅威に対応し続けるには、エージェントのアップグレード（シグネチャのバージョン管理を含む）だけでなく、基盤となるインフラストラクチャを変更する必要があります。

SentinelOneなら、すべて単一のコンソールから、あらかじめ自動的に相関分析が行われコンテキスト化された攻撃結果を表示する特許取得済みのStoryline™を使用して、脅威の詳細を容易に調査して、ワンクリックで修復とロールバックを行うことが可能です。お客様の条件に合わせて簡単にエージェントのアップグレードはスケジュールできるのでインフラストラクチャを変更する必要などありません。

SentinelOneとSymantecの比較

Platform Capabilities

単一のコンソール、単一のエージェント：EPP + EDR、クラウドワークロード保護、ネットワークの攻撃対象領域の管理などを一元的に単一のプラットフォームで直感的に操作が可能です。	複数の異なるコンソール：SEPインターフェイスとEDRインターフェイスを切り替える必要があります。Broadcomの買収後に徹底的に制限されてしまった「その他」扱いのエンタープライズセキュリティ製品です。
クラウド接続がなくても動作：オフラインでも、堅牢な静的AI、振る舞いAIエンジンによりクラス最高のEPP + EDRとして機能	クラウドに依存：クラウド接続と従来型のシグニチャの照合（パターンマッチング）に大きく依存しており、基本機能のみの振る舞いAIはOSのイベントに対してのみ機能します。
迅速に導入が可能で管理が容易：お客様は、大規模な設定調整や構成を行わなくても短期間で投資対効果を得ることが可能です。	各機能が複数の異なるコンポーネントに細分化されていて複雑：対象範囲を広げるためには、各コンポーネント（AV、ファイアウォール、デバイス制御など）の大幅なポリシー変更が必要です。
軽量エージェント：パフォーマンスへの影響を最小限に抑えたクラス最高のオフライン保護	システムへの大きな負荷：ディスク上で4GB以上のメモリーが必要で、さらにカスタムで構成を追加すると大きくなります。
「Moderate」レベル以上のFedRAMPに準拠	FedRAMPに準拠していません

自動化とリカバリー

マシン上のAIがリアルタイムで攻撃を相関分析してコンテキスト化：すべてのイベントが自動的に相関分析されコンテキスト化されて操作が容易なStoryline™に表示されます。セキュリティチームのMTTR（平均対応時間）が短縮されます。	手作業による面倒な相関分析とコンテキスト化：原因究明のための調査と脅威ハンティングには、手作業によるイベントの相関分析とコンテキスト化に加えて、誤検知に対する解析も必要です。
完全に自動化されたリカバリー機能：自動化またはワンクリックによる修復と特許取得済みのロールバック機能が利用可能です、	手作業とスクリプトによる煩雑な修復作業が必要で、従来型のシグニチャーの照合（パターンマッチング）で検知した脅威のみ修復が可能です。
修復のためにリモートでシェルのすべての機能が利用可能	一部機能に限定されたリモートシェルが利用可能

EDRの品質と適用範囲

静的AIと振る舞いAIエンジンによる脅威検知：ファイルレス攻撃やメモリ内攻撃など、未知の脅威や最新の攻撃のTTP（テクニック、戦術、プロセス）を検知できる製品設計です。	未成熟の「次世代アンチウィルス」機能を搭載した従来型のシグニチャーベース（パターンマッチング）のアプローチ：ランサムウェアなど、ファイルレス攻撃や高度な攻撃のTTP（テクニック、戦術、プロセス）や、クリプター/パッカーを使用した高度な攻撃の検知ができません。
2020年のMITRE ATT＆CK®評価で検知漏れが最も少なく、最も脅威検知の内容が充実：SentinelOneは、テレメトリ、戦術、テクニックに対してSymantecの9倍（118対13）の件数の相関分析を達成し、検知漏れの件数は半分でした。	データの相関分析の件数が少なく検知漏れの件数が2倍：Symantecは、検知の件数こそ多い結果となりましたが、それぞれのイベントの間の相関分析ができていませんでした。
コンソール上のEDRデータを最大365日保持	クラウド上のEDRデータを最大180日間保持：6か月後か、もしくはデータが一定量を超えるとデータが除外されます。