Tietoturva (infosec) jakautuu suurimmaksi osaksi kahteen leiriin: vakiintuneisiin toimijoihin, jotka käyttävät vanhojen ja uusien taktiikoiden yhdistelmää tietoverkkorikollisuuden torjumiseksi, ja markkinoille tulijoihin, jotka yrittävät miettiä tietoturvaa uudelleen alusta alkaen. Hyökkäysmenetelmät ovat yhä kehittyneempiä ja vaativat uudenlaisia lähestymistapoja havaitsemiseen ja korjaamiseen. Koska seuraavan sukupolven uhkista tiedetään hyvin vähän, mahdollisuuksia on runsaasti sekä vakiintuneille markkinajohtajille että uusille tulokkaille. Kohdennettujen hyökkäysten ja kehittyneiden pysyvien uhkien (APT) lisääntyessä uudemmat toimijat, joilla on innovatiivisia lähestymistapoja tietoturvaan, näkevät runsaasti mahdollisuuksia syrjäyttää pitkäaikaiset markkinajohtajat ja heidän vanhentuneet tietoturvatuotteensa.
Yksi tällaisista uusista toimijoista, Carbon Black, soveltaa erilaista lähestymistapaa tietoturvaan, jossa hyödynnetään allekirjoituksettomia uhkatorjuntatekniikoita ja sovellusten valkoista listaa. Katsotaanpa, miten alusta vertautuu tietoturvaveteraani Symantecin Endpoint Protection -tarjontaan.
Bit9 + Carbon Black
Bit9 perustettiin jo vuonna 2002, mutta Bit9 tuli omilleen vuonna 2014 Carbon Blackin oston myötä. Bit9:n agenttipohjainen alusta-arkkitehtuuri mahdollistaa whitelist-käytäntöjen täytäntöönpanon jokaisessa päätelaitteessa, kun taas Carbon Black mahdollistaa päätelaitteiden tiedostokäyttäytymisen seurannan ja reaaliaikaisen uhkien havaitsemisen päätelaitteeseen asennettujen sensoreiden ja datatallentimien avulla. Näiden kahden yhdistäminen yhdistää tehokkaasti Bit9:n allekirjoituksettoman, valkoluetteloon perustuvan uhkasuojauksen Carbon Blackin jatkuvaan valvontaan ja vaaratilanteisiin reagoimiseen. Vuonna 2016 yritys nimettiin uudelleen Carbon Blackiksi.
Carbon Blackin luottamukseen perustuva tietoturvamalli pyörii pitkälti sen keskeisen whitelist-tietokannan ympärillä: se on rekisteri luotettavista, tunnetusti hyvistä ohjelmistoista ja niiden luokituksista/luokituksista. Nämä luotettavuusluokitukset tarjoaa Carbon Black Software Reputation Service – tiettävästi maailman suurin ohjelmistojen hash-tietokanta. Lisäksi alustaa täydentää yrityksen Threat Intelligence Cloud -tietokanta, joka sisältää laajennetut attribuutit miljardeille suoritettaville ohjelmille sekä uhka- ja luotettavuusluokitukset julkaistuille ja rogue-ohjelmistoille.
On erotettava toisistaan perinteiset tietoturvamenetelmät, joita käytetään tavanomaisissa IDS/IDPS-ratkaisuissa, ja valkoisen listan (whitelist) – jälkimmäinen on Carbon Blackin käyttämä menetelmä. Vaikka molemmat menetelmät käyttävät tiedostojen hasheja tiedostomuutosten jäljittämiseen, valkoisessa luettelossa oletusarvoisesti oletetaan ”kieltävä” asenne, toisin kuin useimpien IDS/IDPS-ratkaisujen oletusarvoisesti käyttämässä ”sallivassa” lähestymistavassa. Carbon Blackin tapauksessa sovellusten valkoluettelo sisältää luettelon tunnetuista hyvistä sovelluksista ja niiden tiedosto-oikeuksista. Koska vain luotettujen ohjelmistojen suorittaminen IT-ympäristössä on sallittua, haitalliset paketit estetään tekemästä luvattomia muutoksia. Tämä on erityisen tärkeää, kun on kyse nollapäivähyökkäyksistä, joissa käytetään haittaohjelmia, joita perinteiset tietoturvatyökalut eivät tunne tai pysty tunnistamaan. Carbon Blackin avulla voidaan helposti estää pahantahtoisesti muutettujen tiedostojen suorittaminen tarkistamalla sovellusten valkoluettelo.
Symantec Endpoint Protection
Tunnettu nimi IT-turvallisuuden alalla, Symantec tarjoaa täyden valikoiman ratkaisuja tietojen, identiteettien ja infrastruktuurien suojaamiseen ja hallintaan. Sen oma vastaus päätelaitteiden tunnistamiseen on nimeltään – sopivasti – Symantec Endpoint Protection. Alusta mahdollistaa kattavan infrastruktuurisuojauksen seuraavien ydinkomponenttien avulla:
- Endpoint Protection Manager – palvelin, joka hallinnoi suojattuun verkkoon liitettyjä tietokoneita.
- Endpoint Protection Manager Database-tietokanta-tietovarasto tietoturvakäytännöistä ja -tapahtumista
- Endpoint Protection Client-loppupisteohjelmisto, joka suojaa ja skannaa koneita virusten ja haittaohjelmien varalta.
Palomuuri ja IDPS sisältyvät pakettiin, ja Symantec Endpoint Protectionin toimintojen laajentamiseen on saatavilla maksullisia lisäosia. Esimerkiksi Symantec Protection Suite -paketin ostaminen antaa alustalle mahdollisuuden suodattaa/estää sähköposti- ja verkkouhkia.
Samoin kuin Carbon Black, Symantec Endpoint Protection käyttää luotettavaa tietovarastoa skannattavien tiedostojen tunnistamiseen – tässä tapauksessa Symantec Global Intelligence Networkin (GIN) tarjoamia tietoja. Tämä satojen miljoonien antureiden verkosto syöttää tietoja massiiviseen tietoturvatietovarastoon, joka on kerätty yli 10 triljoonan tietoturvatapahtuman seurannasta, analysoinnista ja käsittelystä vuosittain maailmanlaajuisesti. Symantecin mukaan tämä antaa sen alustalle merkittäviä nopeushyötyjä, koska se sisältää skannausten eliminoinnin – jokaisen tiedoston skannaamisen sijasta se eliminoi ja deduplikoi tarpeettomat skannaustyöt, mikä mahdollistaa älykkäämmän ja nopeamman toiminnan.
Turvallisuusluokitukset
UpGuardin VendorRisk-alustaa käyttävät sadat yritykset valvomaan automaattisesti kolmannen osapuolen toimittajiaan. Suoritimme nopean pintatarkistuksen sekä Carbon Blackille että Symantecille ja havaitsimme, että niillä on samanlaiset pisteet:
- Carbon Black – 656 / 950
- Symantec – 874 / 950
Pika-arviomme osoitti, että molemmilla yrityksillä on samankaltaisia riskejä, joita ovat mm. seuraavat:
- Lisääntynyt alttius man-in-the-middle-hyökkäyksille, koska HTTP Strict Transport Security (HSTS) -tuki on puutteellinen. Tosin Symantec on tässä heikommassa asemassa, koska se ei edes pakota HSTS:ää.
- Verkkopalvelimen tietojen, kuten nimen ja versionumeron, paljastuminen. Hyökkääjät, jotka etsivät heikkouksia, voivat verrata näitä CVE-luetteloihin (Common Vulnerability and Exposure).
- DNS on altis man-in-the-middle-hyökkäyksille, koska kumpikaan ei käytä DNS Security Extensions (DNSSEC) -standardia toimialueellaan.
- Potentiaalia, että roskapostittajat voivat lähettää sähköposteja vilpillisesti niiden verkkotunnuksesta, koska kumpikaan yhtiö ei valvo DMARC:tä (Domain-based Message Authentication, Reporting and Conformance).
Pisteiden perusteella Carbon Black päihitti Symantecin. Molemmilla yrityksillä on kuitenkin tekemistä hyvän tietoturvahygienian ja parhaiden käytäntöjen ylläpitämisessä.
Lupaa, että mittaamme ja valvomme automaattisesti Carbon Blackin, Symantecin ja muiden kolmansien osapuolten toimittajien tietoturvaa puolestasi.
Hanki esittely UpGuard VendorRiskistä jo tänään.
Yhteenveto
Cyberuhat kehittyvät jatkuvasti, ja tietoturvatyökalujen on seurattava perässä. Tämä kissa ja hiiri -leikki asettaa monet perinteiset toimittajat usein epäedulliseen asemaan, sillä niillä ei useinkaan ole ketteryyttä keksiä vanhenevia tietoturvamalleja ja -arkkitehtuureja alusta alkaen uudelleen. Uhkien torjuntaan kehittyneitä menetelmiä kehittävät uudemmat tietoturvayritykset rakentavat kuitenkin ratkaisuja, joita ei ole testattu tulevaisuuden uhkia vastaan. Symantec Endpoint Protection ja Carbon Black ovat edustavia esimerkkitapauksia – mielenkiintoista kyllä, molemmat käyttävät konsolidoituja uhkatiedustelutietokantoja kriittisinä komponentteina omassa tarjonnassaan. Näennäisestä samankaltaisuudesta huolimatta Symantecin GIN on itse asiassa varsin erilainen kuin Carbon Blackin valkoisen luettelon mekanismi. Jälkimmäinen käyttää ohjelmistojen luotettavuusluokitusten hash-tietokantaa – Carbon Black Software Reputation Service – määrittääkseen, mitkä tiedostot merkitään valkoiselle listalle. GIN-tietovarastoa käytetään hyvien ja huonojen toimijoiden nopeaan tunnistamiseen tiedostojen skannauksen tehokkuuden optimoimiseksi.
Kummallakin lähestymistavalla on hyvät ja huonot puolensa. Symantec Endpoint Protection on kattava, mutta siitä puuttuvat integrointiominaisuudet muiden tietoturvatyökalujen, kuten SIEMin, kanssa. Ja riippumatta siitä, kuinka laajoja GIN:n tiedonkeruuominaisuudet ovat, ratkaisu nojaa edelleen tunnettuihin uhkatietoihin tietoturvan täytäntöönpanomallinsa ohjaamiseksi. Myös muut kuin Windows-käyttäjät voivat olla onneton Symantecin kanssa, sillä Manager-komponentti vaatii Windows-koneen.
Carbon Blackin whitelisting-teknologia vaikuttaa lupaavalta, mutta se kaipaa vielä hienosäätöä – äskettäinen tietoturvaloukkaus johti haittaohjelmien lähettämiseen useille yrityksen asiakkaille. Rehellisyyden nimissä todettakoon, että Symantecin tarjouksessa on ollut omat haavoittuvuutensa. Sanottakoon vain, että mikään yksittäinen ratkaisu ei pysty suojaamaan organisaation infrastruktuuria tehokkaasti nykypäivän ja tulevaisuuden uhkia vastaan. Pätevän tietoturvastrategian tulisi koostua parhaista työkaluista, jotka on koottu jatkuvaksi tietoturvatyökaluketjuksi, ja niiden välille on kerrostettu valvontaa – syvällisen kattavuuden avulla organisaatiot voivat ylläpitää optimaalista tietoturva-asennetta.
Carbon Black | Symantec Endpoint Protection | |
asennus ja käyttöönotto |
Yksittäisen päätepisteen asentaminen on suoraviivaista Tukee Windowsia, MacOS, Red Hat Linux ja CentOS Yritysympäristöt vaativat asiantuntijapalveluja, jotka voivat olla kalliita |
Asennetaan tavallisena Windows-sovelluksena Hallintakomponentti toimii vain Windows-alustoilla |
Ominaisuudet |
Rakennettu täysin avoimien API:iden päälle. ja siinä on helppo integrointi muiden työkalujen kanssa Käyttää Carbon Black Software Reputation Servicea – maailman suurinta ohjelmistojen hash-tietokantaa |
Käytössä Symantecin Global Intelligence Network (GIN), uhkatiedustelun big data -tietovarasto, joka on kerätty yhdestä alan suurimmasta sensorikokoelmasta Sisältää vakiomuotoisen tietoturvatyökalupaketin, kuten IDPS:n, palomuurin ja virustorjunnan/haittaohjelmien torjunnan. |
Hinnoittelu | 420$/3-vuosilisenssi | 54$/1-vuosilisenssi |
Dokumentaatio &Tuki | Saatavilla verkkosivuilta | Saatavilla verkkosivuilta. Yhteisön tuki on melko laaja |
.