El espacio de la seguridad de la información (infosec) se divide en su mayor parte en dos bandos: los actores establecidos que utilizan una combinación de tácticas antiguas y nuevas para combatir la ciberdelincuencia, y los nuevos participantes en el mercado que intentan replantearse la seguridad desde cero. Los métodos de ataque son cada vez más sofisticados y requieren enfoques novedosos para su detección y corrección. Dado que se sabe muy poco sobre la próxima generación de amenazas, abundan las oportunidades tanto para los líderes establecidos como para los advenedizos. Y con los ataques dirigidos y las amenazas persistentes avanzadas (APT) en aumento, los nuevos actores con enfoques innovadores de la seguridad están viendo amplias oportunidades para suplantar a los líderes del mercado de larga data y sus productos de seguridad obsoletos.
Una de estas empresas emergentes -Carbon Black- adopta un enfoque diferente de la seguridad que utiliza la prevención de amenazas sin firmas y las listas blancas de aplicaciones. Veamos cómo se compara la plataforma con la oferta de Endpoint Protection del veterano de la seguridad Symantec.
Bit9 + Carbon Black
Aunque se fundó en 2002, Bit9 se hizo fuerte en 2014 con la adquisición de Carbon Black. La arquitectura de la plataforma basada en agentes de Bit9 permite la aplicación de políticas de listas blancas en cada punto final, mientras que Carbon Black permite la supervisión del comportamiento de los archivos de los puntos finales y la detección de amenazas en tiempo real a través de sensores y registradores de datos instalados en los puntos finales. La fusión de ambos combina eficazmente la protección contra amenazas sin firmas y basada en listas blancas de Bit9 con las capacidades de monitorización continua y respuesta a incidentes de Carbon Black. En 2016, la empresa pasó a llamarse Carbon Black.
El modelo de seguridad basado en la confianza de Carbon Black gira en gran medida en torno a su base de datos central de listas blancas: un registro de software de confianza y bueno conocido y sus clasificaciones/calificaciones. Estas calificaciones de confianza son proporcionadas por el Servicio de Reputación de Software de Carbon Black, supuestamente la mayor base de datos de hash de software del mundo. Además, la plataforma se complementa con la Nube de Inteligencia de Amenazas de la empresa, un repositorio que contiene atributos ampliados para miles de millones de ejecutables de software, así como calificaciones de amenaza y confianza para el software publicado y no fiable.
Hay que distinguir entre los métodos de seguridad tradicionales empleados por las soluciones IDS/IDPS estándar y las listas blancas, estas últimas empleadas por Carbon Black. Aunque ambos métodos utilizan hashes de archivos para rastrear los cambios en los mismos, las listas blancas asumen por defecto una postura de «denegación», en contraposición al enfoque por defecto de «permiso» utilizado por la mayoría de las ofertas de IDS/IDPS. En el caso de Carbon Black, una lista blanca de aplicaciones contiene una lista de aplicaciones buenas conocidas y sus privilegios de archivo. Como sólo se permite la ejecución de software de confianza en el entorno informático, se impide que los paquetes maliciosos realicen cambios no autorizados. Esto es especialmente crucial cuando se trata de ataques de día cero que utilizan malware desconocido o no identificable por las herramientas de seguridad tradicionales. Con Carbon Black, se puede impedir fácilmente la ejecución de archivos maliciosos mediante la comprobación de la lista blanca de aplicaciones.
Symantec Endpoint Protection
Un nombre reconocido en la seguridad informática, Symantec cuenta con una línea completa de soluciones para proteger y gestionar la información, las identidades y las infraestructuras. Su propia respuesta a la detección de puntos finales se denomina, de forma apropiada, Symantec Endpoint Protection. La plataforma permite una protección integral de la infraestructura a través de los siguientes componentes principales:
- Endpoint Protection Manager: un servidor que gestiona los equipos conectados a una red protegida.
- Endpoint Protection Manager Database-un almacén de datos de políticas y eventos de seguridad
- Endpoint Protection Client-un software de punto final que protege y analiza los equipos en busca de virus y malware.
El paquete incluye un firewall y un IDPS, con complementos de pago disponibles para ampliar las capacidades de Symantec Endpoint Protection. Por ejemplo, la compra de Symantec Protection Suite proporciona a la plataforma la capacidad de filtrar y bloquear el correo electrónico y las amenazas web.
De forma similar a Carbon Black, Symantec Endpoint Protection utiliza un almacén de datos de confianza para identificar los archivos que se van a analizar, en este caso, con los datos proporcionados por Symantec Global Intelligence Network (GIN). Esta red de cientos de millones de sensores alimenta un repositorio masivo de datos de seguridad obtenidos de la supervisión, el análisis y el procesamiento de más de 10 billones de eventos de seguridad al año en todo el mundo. Según Symantec, esto proporciona a su plataforma importantes ventajas de velocidad al incorporar la eliminación de escaneos: en lugar de escanear cada archivo, elimina y deduplica los trabajos de escaneo innecesarios para un funcionamiento más inteligente y rápido.
Calificación de la seguridad
La plataforma VendorRisk de UpGuard es utilizada por cientos de empresas para supervisar automáticamente a sus proveedores externos. Realizamos un rápido escaneo superficial tanto de Carbon Black como de Symantec, y descubrimos que tienen puntuaciones similares:
- Carbon Black – 656 / 950
- Symantec – 874 / 950
Nuestra rápida evaluación mostró que ambas empresas tienen riesgos similares que incluyen:
- Incremento de la susceptibilidad a los ataques man-in-the-middle a través de un soporte incompleto para HTTP Strict Transport Security (HSTS). Aunque, Symantec está en una posición más débil aquí, ya que ni siquiera aplican HSTS.
- Exposición de los detalles de su servidor web, como el nombre y los números de versión. Los atacantes pueden cotejarlos con las listas CVE (Common Vulnerability and Exposure) en busca de puntos débiles.
- El DNS es susceptible de ataques man-in-the-middle, ya que ninguno de los dos aplica las extensiones de seguridad DNS (DNSSEC) en su dominio.
- Posibilidad de que los spammers envíen correos electrónicos de forma fraudulenta desde su dominio, ya que ninguna de las dos empresas aplica la autenticación, notificación y conformidad de mensajes basada en el dominio (DMARC).
Según su puntuación, Carbon Black superó a Symantec. Pero ambas compañías tienen trabajo que hacer para mantener una buena higiene de seguridad y las mejores prácticas para sí mismas.
Déjenos medir y monitorear automáticamente la seguridad de Carbon Black, Symantec y sus otros proveedores de terceros para usted.
Obtenga una demostración de UpGuard VendorRisk hoy.
Resumen
Las amenazas cibernéticas evolucionan constantemente y las herramientas de seguridad deben seguirlas. Este juego del gato y el ratón suele poner en desventaja a muchos proveedores heredados, ya que a menudo carecen de la agilidad necesaria para reinventar modelos y arquitecturas de seguridad anticuados desde cero. Dicho esto, las empresas de seguridad más recientes que desarrollan metodologías avanzadas para la protección contra las amenazas están construyendo esencialmente soluciones que no están probadas contra las amenazas futuras. Symantec Endpoint Protection y Carbon Black son casos representativos de cada uno de ellos; curiosamente, ambos incorporan almacenes de datos de inteligencia de amenazas consolidados como componentes críticos de sus respectivas ofertas. Y a pesar de las aparentes similitudes, la GIN de Symantec es en realidad bastante diferente del mecanismo de listas blancas de Carbon Black. Este último utiliza una base de datos de hash de calificaciones de confianza de software -el Servicio de Reputación de Software de Carbon Black- para determinar qué archivos deben incluirse en la lista blanca. El almacén de datos de GIN se utiliza para identificar rápidamente a los actores buenos y malos para optimizar la eficacia del análisis de archivos.
Ambos enfoques tienen sus ventajas e inconvenientes. Symantec Endpoint Protection es muy completo, pero carece de capacidades de integración con otras herramientas de seguridad, como un SIEM. Y por muy amplias que sean las capacidades de recopilación de inteligencia de GIN, la solución sigue dependiendo de los datos de amenazas conocidas para impulsar su modelo de aplicación de la seguridad. Además, los usuarios que no son de Windows pueden no tener suerte con Symantec, ya que el componente Manager requiere una máquina Windows para ejecutarse.
La tecnología de listas blancas de Carbon Black parece prometedora, pero necesita más refinamiento -un compromiso reciente resultó en el envío de malware a varios de los clientes de la compañía. Y para ser justos, la oferta de Symantec no ha estado exenta de vulnerabilidades. Basta con decir que ninguna solución puede proteger eficazmente la infraestructura de una organización contra las amenazas actuales y futuras. Una estrategia de seguridad competente debería consistir en las mejores herramientas de su clase reunidas en una cadena de herramientas de seguridad continua, con supervisión en capas a través de ellas -a través de una cobertura profunda, las organizaciones pueden mantener una postura de seguridad óptima.
| Carbon Black | Symantec Endpoint Protection | |
| Instalación y configuración |
La instalación en un solo punto final es sencilla Soporta WIndows, MacOS, Red Hat Linux y CentOS Los entornos empresariales requieren servicios profesionales que pueden ser costosos |
Se instala como una aplicación estándar de Windows El componente del gestor sólo funciona en plataformas Windows |
| Características |
Construido enteramente sobre APIs abiertas y cuenta con una fácil integración con otras herramientas Utiliza el Servicio de Reputación de Software de Carbon Black, la mayor base de datos de hash de software del mundo |
Potenciada por Symantec Global Intelligence Network (GIN), un repositorio de big data de inteligencia sobre amenazas acumulada a partir de una de las mayores colecciones de sensores de la industria Incluye una suite estándar de herramientas de seguridad que incluye IDPS, firewall y antivirus/malware. |
| Precios | 420$/3 años de licencia | 54$/1 año de licencia |
| Documentación &Soporte | Disponible en el sitio web | . El apoyo de la comunidad es bastante amplio |