Carbon Black vs Symantec Endpoint Protection

Lo spazio della sicurezza delle informazioni (infosec) è per la maggior parte diviso in due campi: i giocatori affermati che utilizzano una combinazione di vecchie/nuove tattiche per combattere il crimine informatico, e i nuovi arrivati sul mercato che cercano di ripensare la sicurezza da zero. I metodi di attacco sono sempre più sofisticati e richiedono approcci innovativi per il rilevamento e il rimedio – dato che si capisce molto poco della prossima generazione di minacce, le opportunità abbondano sia per i leader storici che per i nuovi arrivati. E con gli attacchi mirati e le minacce avanzate persistenti (APT) in aumento, i nuovi attori con approcci innovativi alla sicurezza stanno vedendo ampie opportunità per soppiantare i leader di mercato di lunga data e i loro prodotti di sicurezza obsoleti.

Una di queste start-up-Carbon Black adotta un approccio diverso alla sicurezza che utilizza la prevenzione delle minacce senza firma e la whitelist delle applicazioni. Diamo un’occhiata a come la piattaforma si confronta con l’offerta Endpoint Protection del veterano della sicurezza Symantec.

Bit9 + Carbon Black

Anche se fondata nel 2002, Bit9 si è fatta strada nel 2014 con l’acquisizione di Carbon Black. L’architettura della piattaforma basata su agenti di Bit9 permette l’applicazione di politiche di whitelist su ogni endpoint, mentre Carbon Black consente il monitoraggio del comportamento dei file degli endpoint e il rilevamento delle minacce in tempo reale attraverso sensori e registratori di dati installati negli endpoint. La fusione dei due combina efficacemente la protezione dalle minacce senza firma e basata su whitelist di Bit9 con il monitoraggio continuo e le capacità di risposta agli incidenti di Carbon Black. Nel 2016, l’azienda è stata ribattezzata Carbon Black.

Il modello di sicurezza basato sulla fiducia di Carbon Black ruota pesantemente intorno al suo database centrale di whitelist: un registro di software affidabili e conosciuti e le loro classificazioni/valutazioni. Queste valutazioni di fiducia sono fornite dal Carbon Black Software Reputation Service, presumibilmente il più grande database di hash del software al mondo. Inoltre, la piattaforma è aumentata dalla Threat Intelligence Cloud dell’azienda, un repository che contiene attributi estesi per miliardi di software eseguibili, così come la minaccia e le valutazioni di fiducia per il software pubblicato e canaglia.

Si dovrebbe fare una distinzione tra i metodi di sicurezza tradizionali impiegati dalle soluzioni IDS/IDPS standard e la whitelisting, quest’ultima utilizzata da Carbon Black. Anche se entrambi i metodi utilizzano gli hash dei file per tracciare le modifiche ai file, la whitelisting per impostazione predefinita assume una posizione di “negazione”, in contrasto con l’approccio predefinito “consentire” utilizzato dalla maggior parte delle offerte IDS/IDPS. Nel caso di Carbon Black, una whitelist di applicazioni contiene un elenco di buone applicazioni conosciute e i loro privilegi di file. Poiché solo il software di fiducia è autorizzato ad eseguire in un ambiente IT, ai pacchetti maligni viene impedito di apportare modifiche non autorizzate. Questo è particolarmente cruciale quando si tratta di attacchi zero-day che utilizzano malware sconosciuto o non identificabile dagli strumenti di sicurezza tradizionali. Con Carbon Black, i file alterati in modo malevolo possono essere facilmente impediti dall’esecuzione controllando la whitelist delle applicazioni.

Symantec Endpoint Protection

Un nome riconosciuto nella sicurezza IT, Symantec presenta una linea completa di soluzioni per la protezione e la gestione delle informazioni, delle identità e delle infrastrutture. La sua risposta al rilevamento degli endpoint si chiama, in modo appropriato, Symantec Endpoint Protection. La piattaforma consente una protezione completa dell’infrastruttura attraverso i seguenti componenti principali:

• Endpoint Protection Manager, un server che gestisce i computer collegati a una rete protetta.
• Endpoint Protection Manager Database-un datastore di policy di sicurezza ed eventi
• Endpoint Protection Client-endpoint software che protegge e analizza le macchine per virus e malware.

Un firewall e IDPS sono inclusi nella suite, con add-on a pagamento disponibili per estendere le capacità di Symantec Endpoint Protection. Per esempio, l’acquisto di Symantec Protection Suite dà alla piattaforma la capacità di filtrare/bloccare le minacce via e-mail e web.

Simile a Carbon Black, Symantec Endpoint Protection utilizza un datastore di fiducia per identificare i file da scansionare – in questo caso, con i dati forniti dalla Symantec Global Intelligence Network (GIN). Questa rete di centinaia di milioni di sensori alimenta i dati in un enorme repository di dati di sicurezza ricavati dal monitoraggio, dall’analisi e dall’elaborazione di più di 10 trilioni di eventi di sicurezza all’anno in tutto il mondo. Secondo Symantec, questo dà alla sua piattaforma significativi vantaggi di velocità incorporando l’eliminazione delle scansioni: invece di analizzare ogni file, elimina e deduplica i lavori di scansione non necessari per un funzionamento più intelligente e veloce.

Security Ratings

La piattaforma VendorRisk diUpGuard è utilizzata da centinaia di aziende per monitorare automaticamente i loro fornitori di terze parti. Abbiamo eseguito una rapida scansione superficiale sia su Carbon Black che Symantec, e li abbiamo trovati ad avere punteggi simili:

• Carbon Black – 656 / 950
• Symantec – 874 / 950

La nostra rapida valutazione ha mostrato che entrambe le aziende hanno rischi simili che includono:

• Maggiore suscettibilità agli attacchi man-in-the-middle attraverso un supporto incompleto per HTTP Strict Transport Security (HSTS). Anche se Symantec è in una posizione più debole in questo caso, poiché non applica nemmeno HSTS.
• Esposizione dei dettagli del loro server web, come il nome e i numeri di versione. Questi possono essere confrontati con le liste CVE (Common Vulnerability and Exposure) dagli aggressori in cerca di debolezze.
• Il DNS è suscettibile di attacchi man-in-the-middle, poiché nessuno dei due applica le estensioni di sicurezza DNS (DNSSEC) sul proprio dominio.
• Potenziale per l’invio fraudolento di e-mail dal loro dominio da parte di spammer, poiché nessuna delle due aziende applica Domain-based Message Authentication, Reporting and Conformance (DMARC).

In base al loro punteggio, Carbon Black ha superato Symantec. Ma entrambe le aziende hanno del lavoro da fare per mantenere una buona igiene di sicurezza e le migliori pratiche per se stesse.

Lasciate che misuriamo e monitoriamo automaticamente la sicurezza di Carbon Black, Symantec e dei vostri altri fornitori di terze parti per voi.

Ottieni una demo di UpGuard VendorRisk oggi.

Sommario

Le minacce informatiche sono in costante evoluzione e gli strumenti di sicurezza devono seguirle. Questo gioco del gatto e del topo spesso mette molti venditori tradizionali in svantaggio, poiché spesso non hanno l’agilità per reinventare da zero modelli e architetture di sicurezza obsoleti. Detto questo, le aziende di sicurezza più recenti che sviluppano metodologie avanzate per la protezione dalle minacce stanno essenzialmente costruendo soluzioni che non sono provate contro le minacce future. Symantec Endpoint Protection e Carbon Black sono casi rappresentativi di ciascuno di essi – abbastanza interessante, entrambi incorporano datastore consolidati di informazioni sulle minacce come componenti critici delle loro rispettive offerte. E nonostante le apparenti somiglianze, il GIN di Symantec è in realtà molto diverso dal meccanismo di whitelisting di Carbon Black. Quest’ultimo utilizza un database di hash delle valutazioni di fiducia del software – il Carbon Black Software Reputation Service – per determinare quali file inserire in whitelist. Il datastore GIN viene utilizzato per l’identificazione rapida degli attori buoni e cattivi per ottimizzare l’efficienza della scansione dei file.

Entrambi gli approcci hanno i loro vantaggi e svantaggi. Symantec Endpoint Protection è completo, ma manca di capacità di integrazione con altri strumenti di sicurezza come un SIEM. E non importa quanto espansiva sia la capacità di raccolta delle informazioni di GIN, la soluzione si basa ancora sui dati delle minacce conosciute per guidare il suo modello di applicazione della sicurezza. Inoltre, gli utenti non Windows possono essere sfortunati con Symantec, poiché il componente Manager richiede una macchina Windows per l’esecuzione.

La tecnologia di whitelisting di Carbon Black sembra promettente, ma ha bisogno di un ulteriore perfezionamento – un recente compromesso ha portato all’invio di malware a diversi clienti dell’azienda. E per essere giusti, l’offerta di Symantec non è stata priva di vulnerabilità. Basti dire che nessuna soluzione può proteggere efficacemente l’infrastruttura di un’organizzazione contro le minacce di oggi e di domani. Una strategia di sicurezza competente dovrebbe consistere di strumenti best-of-breed assemblati in una catena di strumenti di sicurezza continua, con il monitoraggio stratificato su di essi – attraverso una copertura profonda, le organizzazioni possono mantenere una postura di sicurezza ottimale.