Az információbiztonsági (infosec) terület többnyire két táborra oszlik: a régi/új taktikák kombinációját alkalmazó, a kiberbűnözés elleni küzdelemben már befutott szereplőkre, valamint a piacra lépőkre, akik a biztonságot az alapoktól kezdve próbálják újragondolni. A támadási módszerek egyre kifinomultabbak, és újszerű megközelítéseket igényelnek a felderítéshez és elhárításhoz – mivel nagyon keveset tudunk a fenyegetések következő generációjáról, a lehetőségek bőségesen kínálkoznak mind a meglévő vezetők, mind a feltörekvők számára. A célzott támadások és a fejlett tartós fenyegetések (Advanced Persistent Threats, APT) növekedésével az innovatív biztonsági megközelítésekkel rendelkező újabb szereplők bőséges lehetőséget látnak arra, hogy kiszorítsák a régóta piacvezető cégeket és azok elavult biztonsági termékeit.
Az egyik ilyen feltörekvő cég, a Carbon Black másfajta megközelítést alkalmaz a biztonság terén, amely az aláírás nélküli fenyegetésmegelőzést és az alkalmazások fehérlistázását alkalmazza. Nézzük meg, hogyan viszonyul a platform a biztonsági veterán Symantec Endpoint Protection kínálatához.
Bit9 + Carbon Black
A Bit9-et még 2002-ben alapították, de 2014-ben a Carbon Black felvásárlásával vált önállóvá. A Bit9 ügynökalapú platformarchitektúrája lehetővé teszi a fehérlistás házirendek érvényesítését minden végponton, míg a Carbon Black a végpontra telepített érzékelők és adatrögzítők segítségével lehetővé teszi a végpontok fájlviselkedésének megfigyelését és a valós idejű fenyegetések észlelését. A kettő egyesítése hatékonyan ötvözi a Bit9 aláírás nélküli, fehérlistán alapuló fenyegetésvédelmét a Carbon Black folyamatos felügyeleti és incidensreakciós képességeivel. 2016-ban a vállalatot átnevezték Carbon Blackre.
A Carbon Black bizalomalapú biztonsági modellje nagymértékben a központi fehérlistás adatbázis körül forog: a megbízható, ismert jó szoftverek nyilvántartása és azok besorolása/besorolása. Ezeket a bizalmi minősítéseket a Carbon Black Software Reputation Service szolgáltatja – állítólag ez a világ legnagyobb hash-adatbázisa a szoftverekről. Emellett a platformot a cég Threat Intelligence Cloudja egészíti ki – egy olyan tároló, amely több milliárd futtatható szoftver kiterjesztett attribútumait, valamint a közzétett és hamis szoftverek fenyegetettségi és bizalmi besorolásait tartalmazza.
Egyszerre kell különbséget tenni a hagyományos IDS/IDPS megoldások által alkalmazott hagyományos biztonsági módszerek és a fehérlistázás között – ez utóbbit a Carbon Black is alkalmazza. Bár mindkét módszer fájlhash-eket használ a fájlváltozások nyomon követésére, a fehérlistázás alapértelmezés szerint “elutasító” hozzáállást feltételez, szemben a legtöbb IDS/IDPS-ajánlat által használt alapértelmezett “engedélyező” megközelítéssel. A Carbon Black esetében az alkalmazásfehér lista az ismert jó alkalmazások és azok fájljogosultságainak listáját tartalmazza. Mivel az informatikai környezetben csak a megbízható szoftverek futtatása engedélyezett, a rosszindulatú csomagok megakadályozzák a jogosulatlan változtatásokat. Ez különösen fontos, ha olyan nulladik napi támadásokról van szó, amelyek a hagyományos biztonsági eszközök által ismeretlen vagy nem azonosítható rosszindulatú szoftvereket használnak. A Carbon Black segítségével a rosszindulatúan módosított fájlok könnyen megakadályozhatók a végrehajtásban az alkalmazások fehérlistájának ellenőrzésével.
Symantec Endpoint Protection
A Symantec az IT biztonság elismert neve, az információk, személyazonosságok és infrastruktúrák védelmére és kezelésére szolgáló megoldások teljes skáláját kínálja. Saját válaszát a végpontok felderítésére – eléggé találóan – Symantec Endpoint Protectionnek hívják. A platform átfogó infrastruktúra-védelmet tesz lehetővé a következő alapvető összetevők révén:
- Endpoint Protection Manager – egy kiszolgáló, amely a védett hálózathoz csatlakozó számítógépeket kezeli.
- Endpoint Protection Manager Database – a biztonsági házirendek és események adattára
- Endpoint Protection Client – végponti szoftver, amely védi és vírusok és rosszindulatú programok szempontjából vizsgálja a gépeket.
A csomaghoz tűzfal és IDPS tartozik, a Symantec Endpoint Protection képességeinek bővítéséhez pedig fizetős kiegészítők állnak rendelkezésre. A Symantec Protection Suite megvásárlásával például a platform képes az e-mail és webes fenyegetések szűrésére/blokkolására.
A Carbon Blackhez hasonlóan a Symantec Endpoint Protection is megbízható adattárat használ a vizsgálandó fájlok azonosításához – ebben az esetben a Symantec Global Intelligence Network (GIN) által biztosított adatokkal. Ez a több százmillió érzékelőből álló hálózat a világszerte évente több mint 10 trillió biztonsági esemény megfigyeléséből, elemzéséből és feldolgozásából származó biztonsági adatok hatalmas tárába táplálja az adatokat. A Symantec szerint ez jelentős sebességelőnyöket biztosít a platformjának a szkennelés-elimináció beépítésével – ahelyett, hogy minden fájlt átvizsgálna, kiküszöböli és deduplikálja a felesleges szkennelési feladatokat az okosabb és gyorsabb működés érdekében.
Security Ratings
Az UpGuard VendorRisk platformját több száz vállalat használja a harmadik féltől származó szállítóik automatikus felügyeletére. Gyors felületvizsgálatot végeztünk mind a Carbon Black, mind a Symantec esetében, és hasonló pontszámokat találtunk:
- Carbon Black – 656 / 950
- Symantec – 874 / 950
Gyors értékelésünk szerint mindkét vállalat hasonló kockázatokat hordoz, amelyek a következők:
- A HTTP Strict Transport Security (HSTS) hiányos támogatása miatt a man-in-the-middle támadásokra való fokozott fogékonyság. Bár a Symantec itt gyengébb helyzetben van, mivel ők nem is érvényesítik a HSTS-t.
- A webszerverük adatainak, például nevének és verziószámának felfedése. Ezeket a támadók a CVE (Common Vulnerability and Exposure) listák alapján futtathatják a gyenge pontokat kereső támadók.
- A DNS fogékony a man-in-the-middle támadásokra, mivel egyikük sem érvényesíti a DNS biztonsági kiterjesztéseket (DNSSEC) a domainjükön.
- Potenciális, hogy a spammerek csalárd módon e-maileket küldjenek a domainjükről, mivel egyik vállalat sem érvényesíti a DMARC (Domain-based Message Authentication, Reporting and Conformance) rendszert.
A pontszámuk alapján a Carbon Black megelőzte a Symantecet. De mindkét vállalatnak van még tennivalója a jó biztonsági higiénia és a legjobb gyakorlatok fenntartásában saját maga számára.
Megengedi, hogy automatikusan mérjük és felügyeljük a Carbon Black, a Symantec és más harmadik fél beszállítói biztonságát az Ön számára.
Kérjen bemutatót az UpGuard VendorRiskről még ma.
Összefoglaló
A kiberfenyegetések folyamatosan fejlődnek, és a biztonsági eszközöknek is követniük kell őket. Ez a macska-egér játék gyakran hátrányos helyzetbe hoz sok régi szállítót, mivel gyakran nincs meg az agilitásuk ahhoz, hogy az elöregedő biztonsági modelleket és architektúrákat az alapoktól kezdve újra feltalálják. Ennek ellenére a fenyegetések elleni védelmet szolgáló fejlett módszereket fejlesztő újabb biztonsági cégek lényegében olyan megoldásokat építenek, amelyek a jövőbeli fenyegetésekkel szemben nem bizonyítottak. A Symantec Endpoint Protection és a Carbon Black reprezentatív példái mindkettőnek – érdekes módon mindkettő konszolidált fenyegetésinformációs adattárakat tartalmaz, amelyek a saját kínálatuk kritikus összetevői. És a látszólagos hasonlóságok ellenére a Symantec GIN-je valójában meglehetősen különbözik a Carbon Black fehérlistázási mechanizmusától. Ez utóbbi a szoftverek bizalmi értékelését tartalmazó hash-adatbázist – a Carbon Black Software Reputation Service-t – használja annak meghatározására, hogy mely fájlokat kell fehérlistára tenni. A GIN-adattárat a jó és rossz szereplők gyors azonosítására használják a fájlellenőrzés hatékonyságának optimalizálása érdekében.
Mindkét megközelítésnek megvannak az előnyei és hátrányai. A Symantec Endpoint Protection átfogó, de nem rendelkezik integrációs képességekkel más biztonsági eszközökkel, például egy SIEM-mel. És függetlenül attól, hogy a GIN intelligenciagyűjtő képességei mennyire kiterjedtek, a megoldás továbbra is az ismert fenyegetési adatokra támaszkodik a biztonsági végrehajtási modelljének működtetéséhez. Emellett a nem Windows-felhasználóknak nincs szerencséjük a Symanteccel, mivel a Manager komponens futtatásához Windows gépre van szükség.
A Carbon Black fehérlistázási technológiája ígéretesnek tűnik, de további finomításra szorul – a közelmúltban történt kompromittálás eredményeként a vállalat több ügyfelének is rosszindulatú programot küldtek. És hogy igazságosak legyünk, a Symantec ajánlata sem volt mentes a saját sebezhetőségeitől. Elég, ha azt mondjuk, hogy egyetlen megoldás sem képes hatékonyan megvédeni egy szervezet infrastruktúráját a mai és a jövőbeli fenyegetésekkel szemben. A kompetens biztonsági stratégiának a legjobb eszközökből kell állnia, amelyeket egy folyamatos biztonsági eszközláncba kell összeállítani, és a felügyeletet rájuk kell rétegezni – a mély lefedettség révén a szervezetek optimális biztonsági helyzetet tudnak fenntartani.
| Carbon Black | Symantec Endpoint Protection | |
| installáció és telepítés |
Egyetlen végponton egyszerű a telepítés Támogatja a WIndows, MacOS, Red Hat Linux és CentOS Vállalati környezetben professzionális szolgáltatásokat igényel, ami költséges lehet |
Szokásos Windows alkalmazásként települ A menedzser komponens csak Windows platformokon működik |
| Jellemzők |
Teljesen nyílt API-kra épül. és könnyen integrálható más eszközökkel A Carbon Black Software Reputation Service-t használja- a világ legnagyobb szoftver hash adatbázisát |
A Symantec Global Intelligence Network (GIN) által támogatott, az iparág egyik legnagyobb szenzorgyűjteményéből felhalmozott fenyegetésekkel kapcsolatos információk nagy adattárát A biztonsági eszközök szabványos csomagját tartalmazza, beleértve az IDPS-t, a tűzfalat és a vírus-/malware-ellenes eszközöket. |
| Árak | 420$/3 éves licenc | 54$/1 éves licenc |
| Dokumentáció & Támogatás | A weboldalon elérhető | A weboldalon elérhető. A közösségi támogatás meglehetősen széles körű |