Der Bereich der Informationssicherheit (Infosec) ist größtenteils in zwei Lager geteilt: etablierte Anbieter, die eine Kombination aus alten und neuen Taktiken zur Bekämpfung der Cyberkriminalität einsetzen, und Marktneulinge, die versuchen, Sicherheit von Grund auf neu zu denken. Die Angriffsmethoden werden immer ausgefeilter und erfordern neuartige Ansätze zur Erkennung und Beseitigung. Da nur sehr wenig über die nächste Generation von Bedrohungen bekannt ist, bieten sich sowohl den etablierten Marktführern als auch den Neueinsteigern zahlreiche Möglichkeiten. Und da gezielte Angriffe und Advanced Persistent Threats (APT) auf dem Vormarsch sind, sehen neuere Anbieter mit innovativen Sicherheitsansätzen gute Chancen, die langjährigen Marktführer und ihre veralteten Sicherheitsprodukte zu verdrängen.
Ein solcher Neueinsteiger – Carbon Black – verfolgt einen anderen Sicherheitsansatz, der auf signaturlose Bedrohungsabwehr und Anwendungs-Whitelisting setzt. Werfen wir einen Blick darauf, wie die Plattform im Vergleich zum Endpoint Protection-Angebot des Sicherheitsveteranen Symantec abschneidet.
Bit9 + Carbon Black
Das 2002 gegründete Unternehmen Bit9 wurde 2014 durch die Übernahme von Carbon Black zu einem eigenständigen Unternehmen. Die agentenbasierte Plattformarchitektur von Bit9 ermöglicht die Durchsetzung von Whitelist-Richtlinien auf jedem Endpunkt, während Carbon Black die Überwachung des Dateiverhaltens von Endpunkten und die Erkennung von Bedrohungen in Echtzeit durch am Endpunkt installierte Sensoren und Datenrekorder ermöglicht. Durch die Zusammenlegung der beiden Unternehmen wird der signaturlose, Whitelist-basierte Bedrohungsschutz von Bit9 mit den kontinuierlichen Überwachungs- und Incident-Response-Funktionen von Carbon Black kombiniert. Im Jahr 2016 wurde das Unternehmen in Carbon Black umbenannt.
Das vertrauensbasierte Sicherheitsmodell von Carbon Black dreht sich stark um seine zentrale Whitelist-Datenbank: ein Verzeichnis vertrauenswürdiger, bekannter guter Software und deren Klassifizierungen/Bewertungen. Diese Vertrauensbewertungen werden vom Carbon Black Software Reputation Service zur Verfügung gestellt, der angeblich die weltweit größte Hash-Datenbank für Software ist. Darüber hinaus wird die Plattform durch die Threat Intelligence Cloud des Unternehmens ergänzt – ein Repository, das erweiterte Attribute für Milliarden von ausführbaren Softwaredateien sowie Bedrohungs- und Vertrauensbewertungen für veröffentlichte und betrügerische Software enthält.
Es sollte zwischen den herkömmlichen Sicherheitsmethoden, die von Standard-IDS/IDPS-Lösungen eingesetzt werden, und dem Whitelisting unterschieden werden – letzteres wird von Carbon Black eingesetzt. Obwohl beide Methoden Datei-Hashes verwenden, um Dateiveränderungen zu verfolgen, geht das Whitelisting standardmäßig von einer „Verweigerungshaltung“ aus, im Gegensatz zum Standardansatz „Zulassen“, der von den meisten IDS/IDPS-Angeboten verwendet wird. Im Fall von Carbon Black enthält eine Anwendungs-Whitelist eine Liste bekannter guter Anwendungen und deren Dateirechte. Da nur vertrauenswürdige Software in einer IT-Umgebung ausgeführt werden darf, werden bösartige Pakete daran gehindert, unerlaubte Änderungen vorzunehmen. Dies ist besonders wichtig bei Zero-Day-Angriffen, bei denen unbekannte oder von herkömmlichen Sicherheitstools nicht identifizierbare Malware zum Einsatz kommt. Mit Carbon Black können böswillig veränderte Dateien ganz einfach an der Ausführung gehindert werden, indem die Whitelist der Anwendungen überprüft wird.
Symantec Endpoint Protection
Als anerkannter Name im Bereich IT-Sicherheit bietet Symantec eine umfassende Palette von Lösungen für die Sicherung und Verwaltung von Informationen, Identitäten und Infrastrukturen. Die eigene Antwort auf die Erkennung von Endgeräten heißt – passenderweise – Symantec Endpoint Protection. Die Plattform ermöglicht umfassenden Infrastrukturschutz durch die folgenden Kernkomponenten:
- Endpoint Protection Manager – ein Server, der mit einem geschützten Netzwerk verbundene Computer verwaltet.
- Endpoint Protection Manager Database – ein Datenspeicher für Sicherheitsrichtlinien und -ereignisse
- Endpoint Protection Client – eine Endgerätesoftware, die Computer schützt und auf Viren und Malware prüft.
Eine Firewall und IDPS sind im Lieferumfang der Suite enthalten, wobei kostenpflichtige Add-Ons zur Erweiterung der Funktionen von Symantec Endpoint Protection erhältlich sind. Mit dem Erwerb der Symantec Protection Suite kann die Plattform beispielsweise E-Mail- und Internet-Bedrohungen filtern und blockieren.
Ähnlich wie Carbon Black nutzt Symantec Endpoint Protection einen vertrauenswürdigen Datenspeicher zur Identifizierung von zu überprüfenden Dateien – in diesem Fall mit Daten, die vom Symantec Global Intelligence Network (GIN) bereitgestellt werden. Dieses Netzwerk mit Hunderten von Millionen Sensoren speist Daten in ein riesiges Repository von Sicherheitsdaten ein, die aus der Überwachung, Analyse und Verarbeitung von mehr als 10 Billionen Sicherheitsereignissen pro Jahr weltweit gewonnen werden. Nach Angaben von Symantec verschafft dies der Plattform erhebliche Geschwindigkeitsvorteile durch die Eliminierung von Scans – anstatt jede Datei zu scannen, werden unnötige Scan-Aufträge eliminiert und dedupliziert, um einen intelligenteren und schnelleren Betrieb zu ermöglichen.
Sicherheitsbewertungen
Die VendorRisk-Plattform von UpGuard wird von Hunderten von Unternehmen zur automatischen Überwachung ihrer Drittanbieter eingesetzt. Wir haben sowohl Carbon Black als auch Symantec einem schnellen Oberflächenscan unterzogen und festgestellt, dass sie ähnliche Werte aufweisen:
- Carbon Black – 656 / 950
- Symantec – 874 / 950
Unsere schnelle Bewertung hat gezeigt, dass beide Unternehmen ähnliche Risiken aufweisen, darunter:
- Erhöhte Anfälligkeit für Man-in-the-Middle-Angriffe durch unvollständige Unterstützung von HTTP Strict Transport Security (HSTS). Allerdings ist Symantec hier in einer schwächeren Position, da sie HSTS nicht einmal erzwingen.
- Enthüllung ihrer Webserver-Details, wie Name und Versionsnummern. Diese können von Angreifern, die nach Schwachstellen suchen, mit CVE-Listen (Common Vulnerability and Exposure) abgeglichen werden.
- DNS ist anfällig für Man-in-the-Middle-Angriffe, da keiner der beiden Anbieter DNS Security Extensions (DNSSEC) für seine Domäne durchsetzt.
- Potenzial für betrügerische E-Mails, die von ihrer Domäne aus von Spammern versendet werden, da keines der beiden Unternehmen Domain-based Message Authentication, Reporting and Conformance (DMARC) durchsetzt.
Bei der Bewertung liegt Carbon Black vor Symantec. Beide Unternehmen haben jedoch noch viel zu tun, um eine gute Sicherheitshygiene und Best Practices für sich selbst aufrechtzuerhalten.
Lassen Sie uns automatisch die Sicherheit von Carbon Black, Symantec und Ihren anderen Drittanbietern für Sie messen und überwachen.
Holen Sie sich noch heute eine Demo von UpGuard VendorRisk.
Zusammenfassung
Cyber-Bedrohungen entwickeln sich ständig weiter, und die Sicherheitstools müssen mitziehen. Dieses Katz-und-Maus-Spiel bringt viele alteingesessene Anbieter in Bedrängnis, da ihnen oft die Flexibilität fehlt, veraltete Sicherheitsmodelle und -architekturen von Grund auf neu zu erfinden. Neuere Sicherheitsunternehmen, die fortschrittliche Methoden zum Schutz vor Bedrohungen entwickeln, bauen im Grunde Lösungen, die sich gegen künftige Bedrohungen noch nicht bewährt haben. Symantec Endpoint Protection und Carbon Black sind repräsentative Beispiele für diese beiden Unternehmen – interessanterweise enthalten beide konsolidierte Datenspeicher für Bedrohungsdaten als wichtige Komponenten ihres jeweiligen Angebots. Und trotz der offensichtlichen Ähnlichkeiten unterscheidet sich Symantecs GIN von Carbon Blacks Whitelisting-Mechanismus. Letzterer verwendet eine Hash-Datenbank mit Software-Vertrauensbewertungen – den Carbon Black Software Reputation Service -, um zu bestimmen, welche Dateien auf die Whitelist gesetzt werden sollen. Der GIN-Datenspeicher wird zur schnellen Identifizierung von guten und schlechten Akteuren verwendet, um die Effizienz der Dateisuche zu optimieren.
Beide Ansätze haben ihre Vor- und Nachteile. Symantec Endpoint Protection ist zwar umfassend, verfügt aber nicht über Integrationsmöglichkeiten mit anderen Sicherheits-Tools wie einem SIEM. Und egal, wie umfangreich die Fähigkeiten von GIN zum Sammeln von Informationen sind, die Lösung verlässt sich immer noch auf bekannte Bedrohungsdaten, um ihr Sicherheitsdurchsetzungsmodell zu steuern. Außerdem haben Nicht-Windows-Benutzer möglicherweise Pech mit Symantec, da die Manager-Komponente nur auf einem Windows-Rechner ausgeführt werden kann.
Die Whitelisting-Technologie von Carbon Black scheint vielversprechend zu sein, muss aber noch weiter verfeinert werden – bei einem kürzlich erfolgten Angriff wurde Malware an mehrere Kunden des Unternehmens gesendet. Und um fair zu sein, ist auch das Angebot von Symantec nicht ohne Schwachstellen geblieben. Es genügt zu sagen, dass keine einzelne Lösung die Infrastruktur eines Unternehmens wirksam vor den Bedrohungen von heute und morgen schützen kann. Eine kompetente Sicherheitsstrategie sollte aus Best-of-Breed-Tools bestehen, die in einer kontinuierlichen Sicherheitstoolkette zusammengeführt werden, wobei die Überwachung auf mehreren Ebenen erfolgt – durch eine umfassende Abdeckung können Unternehmen eine optimale Sicherheitslage aufrechterhalten.
| Carbon Black | Symantec Endpoint Protection | |
| Installation und Einrichtung |
Die Installation auf einem einzelnen Endgerät ist unkompliziert Unterstützt WIndows, MacOS, Red Hat Linux und CentOS Enterprise-Umgebungen erfordern professionelle Dienstleistungen, was kostspielig sein kann |
Installation als Standard-Windows-Anwendung Manager-Komponente funktioniert nur auf Windows-Plattformen |
| Merkmale |
Ganz auf offenen APIs aufgebaut und bietet eine einfache Integration mit anderen Tools Nutzt den Carbon Black Software Reputation Service – die weltweit größte Hash-Datenbank für Software |
Gestützt durch das Symantec Global Intelligence Network (GIN), einem großen Datenspeicher für Bedrohungsdaten, die von einer der größten Sensorensammlungen der Branche zusammengetragen werden Enthält eine Standardsuite von Sicherheits-Tools, einschließlich IDPS, Firewall und Viren-/Malware-Schutz. |
| Preise | $420/3-Jahreslizenz | $54/1-Jahreslizenz |
| Dokumentation &Support | Verfügbar auf der Website | Verfügbar auf der Website. Die Unterstützung der Gemeinschaft ist ziemlich umfangreich |