Carbon Black vs Symantec Endpoint Protection

情報セキュリティ (infosec) の分野は、サイバー犯罪と戦うために新旧の戦術を組み合わせている既存のプレーヤーと、セキュリティを根本から見直そうとしている市場参入者の2つにほぼ分かれています。 攻撃方法はますます巧妙になり、検知と修復のための新しいアプローチが必要とされています。次世代の脅威についてはほとんど解明されていないため、既存のリーダー企業にも新興企業にも同様に機会があふれています。 標的型攻撃や高度持続的脅威 (APT) が増加する中、セキュリティに対する革新的なアプローチを持つ新興企業は、長年のマーケットリーダーやその老朽化したセキュリティ製品に取って代わる十分な機会を見出しているのです。 このプラットフォームと、セキュリティのベテランである Symantec の Endpoint Protection 製品との比較を見てみましょう。 Bit9のエージェントベースのプラットフォームアーキテクチャは、すべてのエンドポイントでホワイトリストポリシーの実施を可能にし、Carbon Blackはエンドポイントにインストールされたセンサーやデータレコーダーを通じて、エンドポイントのファイル動作監視やリアルタイムでの脅威検出を可能にします。 両者の統合により、Bit9のシグネチャーレス、ホワイトリストベースの脅威防御とCarbon Blackの継続的な監視およびインシデント対応能力が効果的に組み合わされます。 2016年、同社はCarbon Blackにブランド名を変更しました。

Carbon Blackの信頼ベースのセキュリティモデルは、中央のホワイトリスト・データベース（信頼できる既知の優良ソフトウェアとその分類/評価のレジストリ）を中心に大きく展開されています。 これらの信頼性評価は、世界最大のソフトウェアハッシュデータベースと言われるCarbon Black Software Reputation Serviceによって提供されています。 さらに、このプラットフォームは、数十億のソフトウェア実行可能ファイルの拡張属性、および公開ソフトウェアと不正ソフトウェアの脅威と信頼性評価を含むリポジトリである Threat Intelligence Cloud によって拡張されています。 どちらの方法もファイルの変更を追跡するためにファイル ハッシュを使用しますが、ほとんどの IDS/IDPS 製品がデフォルトで使用する「許可」アプローチとは対照的に、ホワイトリストでは「拒否」姿勢を想定しています。 Carbon Black の場合、アプリケーションホワイトリストには、既知の正常なアプリケーションとそのファイル特権のリストが含まれています。 信頼できるソフトウェアのみがIT環境での実行を許可されるため、悪意のあるパッケージが不正に変更されるのを防ぐことができます。 これは、従来のセキュリティツールでは未知の、あるいは識別できないマルウェアを使用するゼロデイ攻撃に対処する際に特に重要である。 Carbon Black では、アプリケーションのホワイトリストを確認することで、悪意を持って変更されたファイルの実行を簡単に防ぐことができます。

Symantec Endpoint Protection

IT セキュリティで有名な Symantec は、情報、ID、インフラストラクチャのセキュリティと管理のためのフルラインのソリューションを特徴としています。 そのため、このような場合にも、安心してお使いいただけます。 このプラットフォームは、以下のコアコンポーネントを通じて、包括的なインフラ保護を可能にします。

• Endpoint Protection Manager – 保護されたネットワークに接続されたコンピュータを管理するサーバーです。
• Endpoint Protection Manager Database – セキュリティ ポリシーとイベントのデータストア
• Endpoint Protection Client – コンピュータの保護とウイルスおよびマルウェアのスキャンを行うエンドポイント ソフトウェア

Firewall と IDPS はスイートに含まれており、Symantec Endpoint Protection の機能を拡張するための有料アドオンを利用することも可能です。 たとえば、Symantec Protection Suite を購入すると、電子メールおよび Web の脅威をフィルタリング/ブロックする機能が提供されます。

Carbon Black と同様、Symantec Endpoint Protection はスキャンするファイルの識別に信頼できるデータストアを使用します。 このネットワークには何億ものセンサーがあり、世界中で年間 10 兆件を超えるセキュリティイベントの監視、分析、処理から得られたセキュリティデータの巨大なリポジトリにデータを供給しています。 Symantec によれば、これは、スキャン消去を組み込むことによって、そのプラットフォームに大きな速度メリットをもたらします。つまり、すべてのファイルをスキャンする代わりに、不要なスキャン ジョブを消去して重複を排除し、よりスマートで高速な操作を実現します。 私たちは、Carbon BlackとSymantecの両社について簡単な表面検査を行い、両社が同様のスコアを持っていることを発見しました：

• Carbon Black – 656 / 950
• Symantec – 874 / 950

私たちの簡単な評価では、両社には以下のように同様のリスクがあることを発見しました。

• HTTP Strict Transport Security (HSTS) の不完全なサポートによる中間者攻撃への脆弱性。 しかし、Symantec は HSTS を強制していないため、この点では弱い立場にあります。
• 名前やバージョン番号など、Web サーバーの詳細が公開されること。 これらは、弱点を探している攻撃者が CVE (Common Vulnerability and Exposure) リストに対して実行できます。
• DNS は、どちらも DNS Security Extensions (DNSSEC) をドメインで実施していないため、中間者攻撃の影響を受けやすくなっています。
• Domain-based Message Authentication, Reporting and Conformance (DMARC) を両社とも実施していないため、スパマーが自社のドメインからメールを不正に送信する可能性。

スコアに基づいて、カーボンブラックがシマンテックに勝ちました。

私たちは、Carbon Black、Symantec、およびその他のサードパーティベンダーのセキュリティを自動的に測定し、監視することができます。

概要

サイバー脅威は常に進化しており、セキュリティ ツールもそれに追従しなければなりません。 この駆け引きにより、多くのレガシー ベンダーは不利な立場に立たされることが多く、古いセキュリティ モデルやアーキテクチャを一から作り直す敏捷性に欠けることが多いからです。 とはいえ、脅威から身を守るための高度な手法を開発している新興のセキュリティ企業は、基本的に将来の脅威に対して未検証のソリューションを構築しています。 興味深いことに、Symantec Endpoint Protection と Carbon Black は、それぞれの製品の重要なコンポーネントとして統合脅威インテリジェンス・データストアを組み込んでいます。 また、シマンテックの GIN と Carbon Black のホワイトリスト機能は、一見類似しているように見えますが、実は全く異なります。 シマンテックの GIN は、Carbon Black Software Reputation Service というソフトウェアの信頼度に関するハッシュデータベースを使用して、ホワイトリストに登録するファイルを決定します。 GIN データストアは、ファイルのスキャン効率を最適化するために、善玉と悪玉の迅速な識別に使用されます。

両方のアプローチには利点と欠点があります。 Symantec Endpoint Protection は包括的ですが、SIEM のような他のセキュリティ ツールとの統合機能が不足しています。 また、GIN のインテリジェンス収集機能がどれほど拡張されても、このソリューションは、セキュリティ実施モデルの推進を既知の脅威データに依存しています。 また、Manager コンポーネントは Windows マシンで実行する必要があるため、非 Windows ユーザーは Symantec には縁がないかもしれません。

Carbon Black のホワイトリスト技術は有望と思われますが、さらなる改良が必要で、最近の侵害では同社の顧客数社にマルウェアが送られる結果となりました。 また、公平を期すために、Symantec の製品にも脆弱性がないわけではありません。 今日および将来の脅威から組織のインフラを効果的に保護することができるのは、1つのソリューションだけではないことは、言うまでもない。 適切なセキュリティ戦略は、継続的なセキュリティツールチェーンに組み立てられたベストオブブリードのツールで構成されるべきであり、それらの間に監視を重ね、深くカバーすることによって、組織は最適なセキュリティ姿勢を維持することができるのです。