Informationssikkerhedsområdet (infosec) er for det meste opdelt i to lejre: etablerede spillere, der bruger en kombination af gamle/nye taktikker til at bekæmpe cyberkriminalitet, og nye aktører på markedet, der forsøger at nytænke sikkerheden fra bunden. Angrebsmetoderne er stadig mere sofistikerede og kræver nye metoder til detektion og afhjælpning – da man kun ved meget lidt om den næste generation af trusler, er der masser af muligheder for både etablerede ledere og nybegyndere. Og med målrettede angreb og avancerede vedvarende trusler (APT) i vækst ser nyere aktører med innovative tilgange til sikkerhed rigelige muligheder for at fortrænge de mangeårige markedsledere og deres aldrende sikkerhedsprodukter.
En sådan nybegynder – Carbon Black – har en anderledes tilgang til sikkerhed, der anvender signaturløs trusselsforebyggelse og whitelisting af applikationer. Lad os se på, hvordan platformen kan sammenlignes med sikkerhedsveteranen Symantecs Endpoint Protection-tilbud.
Bit9 + Carbon Black
Bit9 blev grundlagt tilbage i 2002, men kom til sin ret i 2014 med opkøbet af Carbon Black. Bit9’s agentbaserede platformsarkitektur gør det muligt at håndhæve politikker på whitelist-politikker på hvert enkelt slutpunkt, mens Carbon Black muliggør overvågning af filadfærd på slutpunktet og trusselsdetektion i realtid via sensorer og dataoptagere, der er installeret på slutpunkterne. Sammenlægningen af de to kombinerer effektivt Bit9’s signaturløse, whitelist-baserede trusselsbeskyttelse med Carbon Black’s løbende overvågning og muligheder for incidentrespons. I 2016 blev virksomheden omdøbt til Carbon Black.
Carbon Blacks tillidsbaserede sikkerhedsmodel drejer sig i høj grad om den centrale whitelist-database: et register over betroet, kendt god software og deres klassifikationer/bedømmelser. Disse tillidsklassificeringer leveres af Carbon Black Software Reputation Service – angiveligt verdens største hash-database for software. Derudover suppleres platformen af firmaets Threat Intelligence Cloud – et arkiv, der indeholder udvidede attributter for milliarder af eksekverbare softwareprogrammer samt trussels- og tillidsklassifikationer for offentliggjort og uærlig software.
Der bør skelnes mellem traditionelle sikkerhedsmetoder, der anvendes af standard IDS/IDPS-løsninger, og whitelisting – sidstnævnte anvendes af Carbon Black. Selv om begge metoder anvender filhashes til at spore filændringer, antager whitelisting som standard en “benægte”-holdning, i modsætning til standardtilgangen “tillade”, som anvendes af de fleste IDS/IDPS-løsninger. I Carbon Blacks tilfælde indeholder en whitelist for applikationer en liste over kendte gode applikationer og deres filprivilegier. Da kun betroet software har lov til at køre i ens IT-miljø, forhindres skadelige pakker i at foretage uautoriserede ændringer . Dette er især afgørende, når der er tale om zero-day-angreb, som anvender malware, der er ukendt eller uidentificerbar for traditionelle sikkerhedsværktøjer. Med Carbon Black kan ondsindet ændrede filer nemt forhindres i at blive udført ved at kontrollere programwhitelisten.
Symantec Endpoint Protection
Symantec er et anerkendt navn inden for it-sikkerhed og tilbyder et komplet sortiment af løsninger til sikring og styring af oplysninger, identiteter og infrastrukturer. Deres eget svar på endpoint-detektion hedder passende nok Symantec Endpoint Protection. Platformen muliggør omfattende infrastrukturbeskyttelse gennem følgende kernekomponenter:
- Endpoint Protection Manager – en server, der administrerer computere, der er forbundet til et beskyttet netværk.
- Endpoint Protection Manager Database – en database med sikkerhedspolitikker og hændelser
- Endpoint Protection Client – en slutpunktssoftware, der beskytter og scanner maskiner for virus og malware.
En firewall og IDPS er inkluderet i pakken, og der findes betalte add-ons til udvidelse af Symantec Endpoint Protection’s funktioner. Ved at købe Symantec Protection Suite får platformen f.eks. mulighed for at filtrere/blokere e-mail og webtrusler.
Som Carbon Black bruger Symantec Endpoint Protection et betroet datastore til at identificere de filer, der skal scannes – i dette tilfælde med data fra Symantecs Global Intelligence Network (GIN). Dette netværk med hundredvis af millioner af sensorer leverer data til et massivt lager af sikkerhedsdata, der stammer fra overvågning, analyse og behandling af mere end 10 billioner sikkerhedshændelser om året på verdensplan. Ifølge Symantec giver dette platformen betydelige hastighedsfordele ved at inkorporere scanningseliminering – i stedet for at scanne hver enkelt fil, elimineres og deduplikeres unødvendige scanningsjobs for at opnå en smartere og hurtigere drift.
Sikkerhedsvurderinger
UpGuards VendorRisk-platform bruges af hundredvis af virksomheder til automatisk at overvåge deres tredjepartsleverandører. Vi kørte en hurtig overfladescanning af både Carbon Black og Symantec og fandt ud af, at de har samme score:
- Carbon Black – 656 / 950
- Symantec – 874 / 950
Vores hurtige vurdering viste, at begge virksomheder bærer lignende risici, som inkluderer:
- Øget modtagelighed for “man-in-the-middle”-angreb på grund af ufuldstændig understøttelse af HTTP Strict Transport Security (HSTS). Selv om Symantec er i en svagere position her, da de ikke engang håndhæver HSTS.
- Eksponering af deres webserveroplysninger, f.eks. navn og versionsnumre. Disse oplysninger kan angribere, der leder efter svagheder, sammenligne dem med CVE-lister (Common Vulnerability and Exposure).
- DNS er modtageligt for man-in-the-middle-angreb, da ingen af dem håndhæver DNS Security Extensions (DNSSEC) på deres domæne.
- Potentiale for, at spammere kan sende e-mails fra deres domæne på bedragerisk vis, da ingen af virksomhederne håndhæver Domain-based Message Authentication, Reporting and Conformance (DMARC).
Baseret på deres score har Carbon Black overhalet Symantec. Men begge virksomheder har et arbejde at gøre med at opretholde god sikkerhedshygiejne og bedste praksis for sig selv.
Lad os automatisk måle og overvåge sikkerheden hos Carbon Black, Symantec og dine andre tredjepartsleverandører for dig.
Få en demo af UpGuard VendorRisk i dag.
Summary
Cybertrusler udvikler sig konstant, og sikkerhedsværktøjer skal følge med. Dette katten-og-musen-spil sætter ofte mange ældre leverandører i en ufordelagtig situation, da de ofte mangler smidighed til at genopfinde aldrende sikkerhedsmodeller og -arkitekturer fra bunden. Når det er sagt, er nyere sikkerhedsfirmaer, der udvikler avancerede metoder til beskyttelse mod trusler, i bund og grund ved at opbygge løsninger, som ikke er gennemprøvet mod fremtidige trusler. Symantec Endpoint Protection og Carbon Black er repræsentative eksempler på hver af dem – interessant nok inkorporerer begge konsoliderede databaser med trusselsoplysninger som kritiske komponenter i deres respektive tilbud. Og på trods af de tilsyneladende ligheder er Symantecs GIN faktisk helt anderledes end Carbon Blacks whitelisting-mekanisme. Sidstnævnte bruger en hash-database med vurderinger af softwaretillid – Carbon Black Software Reputation Service – til at bestemme, hvilke filer der skal whitelistes. GIN-databasen bruges til hurtig identifikation af gode og dårlige aktører for at optimere filscanningseffektiviteten.
Både tilgange har deres fordele og ulemper. Symantec Endpoint Protection er omfattende, men mangler integrationsmuligheder med andre sikkerhedsværktøjer som f.eks. et SIEM. Og uanset hvor omfattende GIN’s muligheder for indsamling af efterretninger er, er løsningen stadig afhængig af kendte trusseldata til at drive sin sikkerhedshåndhævelsesmodel. Desuden kan brugere, der ikke bruger Windows, være uheldige med Symantec, da Manager-komponenten kræver en Windows-maskine at køre på.
Carbon Blacks whitelisting-teknologi virker lovende, men har brug for yderligere finpudsning – et kompromis for nylig resulterede i, at malware blev sendt til flere af virksomhedens kunder. Og bare for at være fair, har Symantecs tilbud ikke været uden sine egne sårbarheder. Det er tilstrækkeligt at sige, at ingen løsning kan beskytte en virksomheds infrastruktur effektivt mod trusler i dag og i morgen. En kompetent sikkerhedsstrategi bør bestå af de bedste værktøjer, der er samlet i en kontinuerlig sikkerhedsværktøjskæde, med overvågning på tværs af dem – ved hjælp af dybdegående dækning kan organisationer opretholde en optimal sikkerhedstilstand.
| Carbon Black | Symantec Endpoint Protection | installation og opsætning |
Single endpoint installation er ligetil Supports WIndows, MacOS, Red Hat Linux og CentOS Enterprise-miljøer kræver professionelle tjenester, hvilket kan være dyrt |
Installeres som en standard Windows-applikation Manager-komponenten fungerer kun på Windows-platforme |
| Funktioner |
Bygger udelukkende på åbne API’er og har nem integration med andre værktøjer Anvender Carbon Black Software Reputation Service – verdens største hash-database for software |
Drevet af Symantec Global Intelligence Network (GIN), et big data-repositorium af trusselsoplysninger, der er akkumuleret fra en af de største samlinger af sensorer i branchen Inkluderer en standardpakke af sikkerhedsværktøjer, herunder IDPS, firewall og anti-virus/malware. |
|
| Priser | 420$/3-års licens | 54$/1-års licens | |
| Dokumentation & Support | Fås på hjemmesiden | Fås på hjemmesiden | Fås på hjemmesiden. Community support er ret omfattende |