L’espace de la sécurité de l’information (infosec) est pour la plupart divisé en deux camps : les acteurs établis qui utilisent une combinaison d’anciennes/nouvelles tactiques pour lutter contre la cybercriminalité, et les entrants sur le marché qui tentent de repenser la sécurité depuis le début. Les méthodes d’attaque sont de plus en plus sophistiquées et nécessitent des approches novatrices en matière de détection et de remédiation. Comme on ne sait pas grand-chose de la prochaine génération de menaces, les opportunités sont nombreuses, tant pour les leaders en place que pour les nouveaux venus. Et avec l’augmentation des attaques ciblées et des menaces persistantes avancées (APT), les nouveaux acteurs ayant des approches innovantes de la sécurité voient de nombreuses opportunités pour supplanter les leaders du marché de longue date et leurs produits de sécurité vieillissants.
Un de ces arrivistes – Carbon Black – adopte une approche différente de la sécurité qui utilise la prévention des menaces sans signature et la liste blanche des applications. Voyons comment la plateforme se compare à l’offre Endpoint Protection du vétéran de la sécurité Symantec.
Bit9 + Carbon Black
Bien que fondée en 2002, Bit9 s’est révélée en 2014 avec l’acquisition de Carbon Black. L’architecture de la plateforme basée sur des agents de Bit9 permet l’application de politiques de liste blanche sur chaque point de terminaison, tandis que Carbon Black permet de surveiller le comportement des fichiers des points de terminaison et de détecter les menaces en temps réel grâce à des capteurs et des enregistreurs de données installés sur les points de terminaison. La fusion des deux entreprises combine efficacement la protection contre les menaces sans signature et basée sur une liste blanche de Bit9 avec les capacités de surveillance continue et de réponse aux incidents de Carbon Black. En 2016, la société a été rebaptisée Carbon Black.
Le modèle de sécurité basé sur la confiance de Carbon Black s’articule fortement autour de sa base de données centrale de listes blanches : un registre de logiciels fiables et connus et de leurs classifications/classements. Ces notes de confiance sont fournies par le Carbon Black Software Reputation Service, réputé être la plus grande base de données de hachage de logiciels au monde. En outre, la plate-forme est complétée par le Threat Intelligence Cloud de la société – un référentiel contenant des attributs étendus pour des milliards d’exécutables logiciels, ainsi que des cotes de menace et de confiance pour les logiciels publiés et malveillants.
Une distinction doit être faite entre les méthodes de sécurité traditionnelles employées par les solutions IDS/IDPS standard et la liste blanche – cette dernière est employée par Carbon Black. Bien que les deux méthodes utilisent des hachages de fichiers pour suivre les changements de fichiers, la liste blanche suppose par défaut une posture de « refus », par opposition à l’approche par défaut « autorisation » utilisée par la plupart des offres IDS/IDPS. Dans le cas de Carbon Black, une liste blanche d’applications contient une liste de bonnes applications connues et leurs privilèges de fichiers. Étant donné que seuls les logiciels de confiance sont autorisés à s’exécuter dans l’environnement informatique, les paquets malveillants sont empêchés d’effectuer des modifications non autorisées. Ceci est particulièrement crucial lorsqu’il s’agit d’attaques de type « zero-day » qui utilisent des logiciels malveillants inconnus ou non identifiables par les outils de sécurité traditionnels. Avec Carbon Black, les fichiers malicieusement modifiés peuvent être facilement empêchés d’être exécutés en vérifiant la liste blanche des applications.
Symantec Endpoint Protection
Nom reconnu de la sécurité informatique, Symantec propose une gamme complète de solutions pour sécuriser et gérer les informations, les identités et les infrastructures. Sa propre réponse à la détection des points d’extrémité s’appelle – de manière appropriée – Symantec Endpoint Protection. Cette plateforme permet une protection complète de l’infrastructure grâce aux composants principaux suivants :
- Endpoint Protection Manager-un serveur qui gère les ordinateurs connectés à un réseau protégé.
- Base de données Endpoint Protection Manager-un entrepôt de données des politiques et des événements de sécurité
- Logiciel Endpoint Protection Client-un logiciel d’extrémité qui protège et analyse les machines pour détecter les virus et les logiciels malveillants.
Un pare-feu et un IDPS sont inclus dans la suite, avec des modules complémentaires payants disponibles pour étendre les capacités de Symantec Endpoint Protection. Par exemple, l’achat de la suite Symantec Protection donne à la plateforme la capacité de filtrer/bloquer les menaces liées au courrier électronique et au Web.
Similaire à Carbon Black, Symantec Endpoint Protection utilise un stock de données de confiance pour identifier les fichiers à analyser – dans ce cas, avec les données fournies par le Symantec Global Intelligence Network (GIN). Ce réseau, qui compte des centaines de millions de capteurs, alimente un gigantesque référentiel de données de sécurité issues de la surveillance, de l’analyse et du traitement de plus de 10 000 milliards d’événements de sécurité par an dans le monde. Selon Symantec, cela donne à sa plateforme des avantages significatifs en termes de vitesse en intégrant l’élimination des scans – au lieu d’analyser chaque fichier, elle élimine et déduplique les tâches d’analyse inutiles pour un fonctionnement plus intelligent et plus rapide.
Cotes de sécurité
La plateforme VendorRisk de UpGuard est utilisée par des centaines d’entreprises pour surveiller automatiquement leurs fournisseurs tiers. Nous avons effectué une analyse de surface rapide sur Carbon Black et Symantec, et nous avons constaté qu’ils avaient des scores similaires :
- Carbon Black – 656 / 950
- Symantec – 874 / 950
Notre évaluation rapide a montré que les deux entreprises présentent des risques similaires qui comprennent :
- Sensibilité accrue aux attaques de type man-in-the-middle par une prise en charge incomplète de HTTP Strict Transport Security (HSTS). Bien que, Symantec soit dans une position plus faible ici car ils n’appliquent même pas HSTS.
- Exposition de leurs détails de serveur web, tels que le nom et les numéros de version. Ceux-ci peuvent être comparés aux listes CVE (Common Vulnerability and Exposure) par les attaquants à la recherche de faiblesses.
- DNS étant sensible aux attaques man-in-the-middle, car aucun des deux n’applique les extensions de sécurité DNS (DNSSEC) sur leur domaine.
- Possibilité que des courriels soient frauduleusement envoyés à partir de leur domaine par des spammeurs, car aucune des deux entreprises n’applique la norme DMARC (Domain-based Message Authentication, Reporting and Conformance).
Sur la base de leur score, Carbon Black a devancé Symantec. Mais les deux entreprises ont du travail à faire pour maintenir une bonne hygiène de sécurité et les meilleures pratiques pour elles-mêmes.
Laissez-nous mesurer et surveiller automatiquement la sécurité de Carbon Black, Symantec et de vos autres fournisseurs tiers pour vous.
Demandez une démo de UpGuard VendorRisk aujourd’hui.
Summary
Les cybermenaces évoluent constamment et les outils de sécurité doivent suivre le mouvement. Ce jeu du chat et de la souris désavantage souvent de nombreux fournisseurs historiques, car ils manquent souvent d’agilité pour réinventer des modèles et des architectures de sécurité vieillissants à partir de zéro. Cela dit, les entreprises de sécurité plus récentes qui développent des méthodologies avancées pour la protection contre les menaces construisent essentiellement des solutions qui n’ont pas fait leurs preuves contre les menaces futures. Symantec Endpoint Protection et Carbon Black en sont des exemples représentatifs – il est intéressant de noter qu’elles intègrent toutes deux des bases de données consolidées de renseignements sur les menaces comme composants essentiels de leurs offres respectives. Et malgré les similitudes apparentes, le GIN de Symantec est en fait assez différent du mécanisme de liste blanche de Carbon Black. Ce dernier utilise une base de données de hachage des évaluations de confiance des logiciels – le Carbon Black Software Reputation Service – pour déterminer les fichiers à mettre sur liste blanche. La base de données GIN est utilisée pour identifier rapidement les bons et les mauvais acteurs afin d’optimiser l’efficacité de l’analyse des fichiers.
Les deux approches ont leurs avantages et leurs inconvénients. Symantec Endpoint Protection est complet mais manque de capacités d’intégration avec d’autres outils de sécurité comme un SIEM. Et quelle que soit l’étendue des capacités de collecte de renseignements de GIN, la solution s’appuie toujours sur des données de menaces connues pour piloter son modèle d’application de la sécurité. En outre, les utilisateurs non Windows risquent de ne pas avoir de chance avec Symantec, car le composant Manager nécessite une machine Windows pour fonctionner.
La technologie de liste blanche de Carbon Black semble prometteuse, mais doit être affinée – une compromission récente a entraîné l’envoi de logiciels malveillants à plusieurs clients de l’entreprise. Et pour être juste, l’offre de Symantec n’a pas été sans ses propres vulnérabilités. Il suffit de dire qu’aucune solution unique ne peut protéger efficacement l’infrastructure d’une entreprise contre les menaces d’aujourd’hui et de demain. Une stratégie de sécurité compétente devrait se composer des meilleurs outils assemblés dans une chaîne d’outils de sécurité continue, avec une surveillance superposée à ces outils – grâce à une couverture approfondie, les organisations peuvent maintenir une posture de sécurité optimale.
| Carbon Black | Symantec Endpoint Protection | |
| installation et configuration |
L’installation sur un seul point d’extrémité est simple Support de WIndows, MacOS, Red Hat Linux, et CentOS Les environnements d’entreprise nécessitent des services professionnels, ce qui peut être coûteux |
Installe comme une application Windows standard Le composant gestionnaire ne fonctionne que sur les plateformes Windows |
| Caractéristiques |
Construit entièrement sur des API ouvertes. et présente une intégration facile avec d’autres outils Utilise le Carbon Black Software Reputation Service- la plus grande base de données de hachage de logiciels au monde |
Propulsé par le Symantec Global Intelligence Network (GIN), un référentiel big data de renseignements sur les menaces accumulés à partir de l’une des plus grandes collections de capteurs du secteur Comprend une suite standard d’outils de sécurité, notamment IDPS, pare-feu et antivirus/malware. |
| Tarification | 420$/3 ans de licence | 54$/1 an de licence |
| Documentation&Support | Disponible sur le site web | Disponible sur le site web. Le support communautaire est assez étendu |
.