Oblast informačního zabezpečení (infosec) se z velké části dělí na dva tábory: na zavedené hráče, kteří používají kombinaci starých a nových taktik boje proti počítačové kriminalitě, a na nové hráče, kteří se snaží přehodnotit zabezpečení od základů. Útočné metody jsou stále sofistikovanější a vyžadují nové přístupy k detekci a nápravě – vzhledem k tomu, že nové generaci hrozeb rozumíme jen velmi málo, příležitostí pro zavedené lídry i nováčky je mnoho. A vzhledem k rostoucímu počtu cílených útoků a pokročilých přetrvávajících hrozeb (APT) vidí noví hráči s inovativními přístupy k zabezpečení dostatek příležitostí, jak nahradit dlouholeté lídry na trhu a jejich stárnoucí bezpečnostní produkty.
Jeden z takových začínajících hráčů – Carbon Black – uplatňuje odlišný přístup k zabezpečení, který využívá prevenci hrozeb bez podpisu a whitelisting aplikací. Podívejme se, jak si tato platforma vede v porovnání s nabídkou Endpoint Protection od bezpečnostního veterána, společnosti Symantec.
Bit9 + Carbon Black
Společnost Bit9 byla založena již v roce 2002, ale v roce 2014 se akvizicí společnosti Carbon Black dostala na vlastní úroveň. Architektura platformy Bit9 založená na agentech umožňuje prosazování zásad whitelistu na každém koncovém bodě, zatímco Carbon Black umožňuje sledování chování souborů na koncovém bodě a detekci hrozeb v reálném čase prostřednictvím senzorů a záznamníků dat instalovaných na koncovém bodě. Spojení těchto dvou systémů účinně kombinuje ochranu proti hrozbám založenou na whitelistech bez podpisu společnosti Bit9 s nepřetržitým monitorováním a možnostmi reakce na incidenty společnosti Carbon Black. V roce 2016 byla společnost přejmenována na Carbon Black.
Zabezpečovací model společnosti Carbon Black založený na důvěře se do značné míry točí kolem centrální databáze whitelistů: registru důvěryhodného, známého dobrého softwaru a jeho klasifikací/hodnocení. Tato hodnocení důvěryhodnosti poskytuje služba Carbon Black Software Reputation Service – údajně největší hash databáze softwaru na světě. Kromě toho je platforma rozšířena o firemní Threat Intelligence Cloud – úložiště obsahující rozšířené atributy pro miliardy spustitelných souborů softwaru a také hodnocení hrozeb a důvěryhodnosti zveřejněného a podvodného softwaru.
Je třeba rozlišovat mezi tradičními metodami zabezpečení používanými standardními řešeními IDS/IDPS a whitelistingem – druhý z nich používá společnost Carbon Black. Ačkoli obě metody používají ke sledování změn souborů hashe, whitelisting ve výchozím nastavení předpokládá postoj „deny“, na rozdíl od výchozího přístupu „allow“ používaného většinou nabídek IDS/IDPS. V případě společnosti Carbon Black obsahuje bílý seznam aplikací seznam známých dobrých aplikací a jejich oprávnění k souborům. Protože je v prostředí IT povoleno spouštět pouze důvěryhodný software, je škodlivým balíčkům zabráněno v provádění jakýchkoli neoprávněných změn . To je obzvláště důležité při řešení útoků typu zero-day, které využívají škodlivý software neznámý nebo neidentifikovatelný tradičními bezpečnostními nástroji. Pomocí aplikace Carbon Black lze snadno zabránit spuštění škodlivě pozměněných souborů kontrolou bílé listiny aplikací.
Symantec Endpoint Protection
Symantec, uznávaná značka v oblasti zabezpečení IT, nabízí celou řadu řešení pro zabezpečení a správu informací, identit a infrastruktur. Její vlastní odpověď na detekci koncových bodů se nazývá – dostatečně vhodně – Symantec Endpoint Protection. Tato platforma umožňuje komplexní ochranu infrastruktury prostřednictvím následujících základních součástí:
- Endpoint Protection Manager – server, který spravuje počítače připojené k chráněné síti.
- Databáze nástroje Endpoint Protection Manager-datové úložiště zásad zabezpečení a událostí
- Klient ochrany koncových bodů-koncový software, který chrání a skenuje počítače na přítomnost virů a škodlivého softwaru.
Součástí sady je brána firewall a IDPS, přičemž jsou k dispozici placené doplňky pro rozšíření možností nástroje Symantec Endpoint Protection. Například zakoupením sady Symantec Protection Suite získá platforma možnost filtrovat/blokovat e-mailové a webové hrozby.
Společnost Symantec Endpoint Protection využívá podobně jako Carbon Black důvěryhodné datové úložiště pro identifikaci souborů, které mají být skenovány – v tomto případě s daty poskytnutými službou Symantec Global Intelligence Network (GIN). Tato síť stovek milionů senzorů dodává data do obrovského úložiště bezpečnostních dat získaných z monitorování, analýzy a zpracování více než 10 bilionů bezpečnostních událostí ročně po celém světě. Podle společnosti Symantec to její platformě přináší významné výhody v oblasti rychlosti, protože zahrnuje eliminaci skenování – namísto skenování každého souboru eliminuje a deduplikuje nepotřebné úlohy skenování pro inteligentnější a rychlejší provoz.
Security Ratings
Platformu VendorRisk společnosti UpGuard používají stovky společností k automatickému monitorování svých dodavatelů třetích stran. Provedli jsme rychlou povrchovou kontrolu společností Carbon Black i Symantec a zjistili jsme, že mají podobné hodnocení:
- Carbon Black – 656 / 950
- Symantec – 874 / 950
Naše rychlé hodnocení ukázalo, že obě společnosti nesou podobná rizika, která zahrnují:
- Zvýšená náchylnost k útokům typu man-in-the-middle díky neúplné podpoře protokolu HTTP Strict Transport Security (HSTS). I když společnost Symantec je v tomto případě ve slabší pozici, protože HSTS ani nevynucuje.
- Odhalení údajů o svém webovém serveru, jako je název a číslo verze. Útočníci, kteří hledají slabá místa, je mohou porovnat se seznamy CVE (Common Vulnerability and Exposure).
- DNS je náchylný k útokům typu man-in-the-middle, protože ani jeden z nich nevynucuje na své doméně rozšíření zabezpečení DNS (DNSSEC).
- Možnost podvodného odesílání e-mailů z jejich domény spammery, protože ani jedna ze společností nevynucuje ověřování, hlášení a shodnost zpráv na základě domény (DMARC).
Na základě jejich skóre společnost Carbon Black předstihla společnost Symantec. Obě společnosti však mají co dělat, aby samy dodržovaly správnou hygienu zabezpečení a osvědčené postupy.
Nechte nás automaticky měřit a monitorovat zabezpečení společností Carbon Black, Symantec a vašich dalších dodavatelů třetích stran.
Získejte ještě dnes demo verzi UpGuard VendorRisk.
Shrnutí
Kybernetické hrozby se neustále vyvíjejí a bezpečnostní nástroje je musí následovat. Tato hra na kočku a myš často znevýhodňuje mnoho starších dodavatelů, protože jim často chybí pružnost, aby mohli od základu přetvářet zastarávající bezpečnostní modely a architektury. To znamená, že novější bezpečnostní firmy vyvíjející pokročilé metodiky ochrany před hrozbami v podstatě vytvářejí řešení, která nejsou vyzkoušená proti budoucím hrozbám. Reprezentativním příkladem jsou společnosti Symantec Endpoint Protection a Carbon Black – zajímavé je, že obě obsahují konsolidované datové sklady pro sledování hrozeb jako kritické součásti své nabídky. A navzdory zdánlivé podobnosti je GIN společnosti Symantec ve skutečnosti zcela odlišný od mechanismu whitelistingu společnosti Carbon Black. Ten používá hashovou databázi hodnocení důvěryhodnosti softwaru – Carbon Black Software Reputation Service – k určení souborů, které mají být zařazeny na bílou listinu. Datové úložiště GIN slouží k rychlé identifikaci dobrých a špatných aktérů s cílem optimalizovat účinnost skenování souborů.
Oba přístupy mají své výhody i nevýhody. Symantec Endpoint Protection je komplexní, ale postrádá možnosti integrace s dalšími nástroji zabezpečení, jako je SIEM. A bez ohledu na to, jak rozsáhlé jsou možnosti shromažďování informací GIN, řešení stále spoléhá na data o známých hrozbách, která řídí jeho model vynucování zabezpečení. Také uživatelé, kteří nepoužívají systém Windows, mohou mít u společnosti Symantec smůlu, protože komponenta Manager vyžaduje ke svému běhu počítač se systémem Windows.
Technologie whitelistingu společnosti Carbon Black se zdá být slibná, ale potřebuje další zdokonalení – nedávná kompromitace vedla k odeslání malwaru několika zákazníkům společnosti. A abychom byli spravedliví, nabídka společnosti Symantec nebyla bez vlastních zranitelností. Stačí říci, že žádné řešení nedokáže účinně chránit infrastrukturu organizace před dnešními a budoucími hrozbami. Kompetentní bezpečnostní strategie by se měla skládat z nejlepších nástrojů sestavených do kontinuálního řetězce bezpečnostních nástrojů, přičemž monitorování je rozvrstveno napříč nimi – díky hloubkovému pokrytí mohou organizace udržovat optimální bezpečnostní pozici.
| Carbon Black | Symantec Endpoint Protection | instalace a nastavení |
Instalace jednoho koncového bodu je jednoduchá Podporuje WIndows, MacOS, Red Hat Linux a CentOS Podnikové prostředí vyžaduje profesionální služby, které mohou být nákladné |
Instaluje se jako standardní aplikace systému Windows Komponenta správce funguje pouze na platformách Windows |
| Funkce |
Postaveno výhradně na otevřených rozhraních API. a vyznačuje se snadnou integrací s dalšími nástroji Využívá službu Carbon Black Software Reputation Service – největší světovou databázi hash softwaru |
Podporovanou sítí Symantec Global Intelligence Network (GIN), velkého datového úložiště informací o hrozbách nashromážděných z jedné z největších sbírek senzorů v oboru Obsahuje standardní sadu bezpečnostních nástrojů včetně IDPS, brány firewall a antiviru/malwaru. |
| Cena | 420 USD/3letá licence | 54 USD/1letá licence |
| Dokumentace &Podpora | K dispozici na webu | K dispozici na webu. Podpora komunity je poměrně rozsáhlá |
.