De wereld van de informatiebeveiliging (infosec) is voor het grootste deel verdeeld in twee kampen: gevestigde spelers die een combinatie van oude en nieuwe tactieken gebruiken om cybercriminaliteit te bestrijden, en nieuwkomers op de markt die beveiliging vanaf de basis proberen te heroverwegen. De aanvalsmethoden worden steeds geavanceerder en vereisen nieuwe benaderingen voor detectie en herstel. Aangezien er nog maar weinig bekend is over de volgende generatie bedreigingen, liggen er kansen in overvloed voor zowel gevestigde leiders als nieuwkomers. En met gerichte aanvallen en geavanceerde aanhoudende bedreigingen (APT’s) in opkomst, zien nieuwere spelers met innovatieve beveiligingsbenaderingen volop kansen om gevestigde marktleiders en hun verouderende beveiligingsproducten te verdringen.
Een van die nieuwkomers – Carbon Black – hanteert een andere beveiligingsaanpak die gebruikmaakt van dreigingspreventie zonder handtekeningen en whitelisting van toepassingen. Laten we eens kijken hoe het platform zich verhoudt tot het Endpoint Protection-aanbod van beveiligingsveteraan Symantec.
Bit9 + Carbon Black
Hoewel Bit9 al in 2002 werd opgericht, kwam het in 2014 tot zijn recht met de overname van Carbon Black. De agent-gebaseerde platformarchitectuur van Bit9 maakt de handhaving van whitelist-beleidsregels op elk eindpunt mogelijk, terwijl Carbon Black bestandsgedragsmonitoring op eindpunten en realtime detectie van bedreigingen mogelijk maakt via op eindpunten geïnstalleerde sensoren en datarecorders. De samenvoeging van de twee combineert effectief de handtekeningloze, whitelistgebaseerde dreigingsbescherming van Bit9 met de continue monitoring en incidentresponsmogelijkheden van Carbon Black. In 2016 werd het bedrijf omgedoopt tot Carbon Black.
Carbon Black’s op vertrouwen gebaseerde beveiligingsmodel draait sterk rond zijn centrale whitelist-database: een register van vertrouwde, bekende goede software en hun classificaties/ratings. Deze vertrouwensbeoordelingen worden geleverd door de Carbon Black Software Reputation Service – naar verluidt ’s werelds grootste hash-database van software. Daarnaast wordt het platform aangevuld door de Threat Intelligence Cloud van het bedrijf – een repository met uitgebreide attributen voor miljarden software-uitvoerbare bestanden, evenals dreigings- en vertrouwensclassificaties voor gepubliceerde en malafide software.
Er moet onderscheid worden gemaakt tussen traditionele beveiligingsmethoden die worden gebruikt door standaard IDS/IDPS-oplossingen en whitelisting – waarvan de laatste wordt gebruikt door Carbon Black. Hoewel beide methodes gebruik maken van hashes om bestandswijzigingen te traceren, gaat whitelisting standaard uit van een “deny” houding, in tegenstelling tot de standaard “allow” benadering die door de meeste IDS/IDPS oplossingen wordt gebruikt. In het geval van Carbon Black bevat een witte lijst met applicaties een lijst met bekende goede applicaties en hun bestandsrechten. Omdat alleen vertrouwde software in de IT-omgeving mag worden uitgevoerd, wordt voorkomen dat schadelijke pakketten ongeoorloofde wijzigingen kunnen aanbrengen. Dit is met name van cruciaal belang bij zero-day aanvallen waarbij malware wordt gebruikt die onbekend is of niet kan worden geïdentificeerd door traditionele beveiligingsprogramma’s. Met Carbon Black kan eenvoudig worden voorkomen dat schadelijke gewijzigde bestanden worden uitgevoerd door de whitelist van toepassingen te controleren.
Symantec Endpoint Protection
Een erkende naam in IT-beveiliging, Symantec biedt een volledige lijn van oplossingen voor het beveiligen en beheren van informatie, identiteiten, en infrastructuren. Haar eigen antwoord op endpoint detectie heet – toepasselijk genoeg – Symantec Endpoint Protection. Het platform maakt uitgebreide bescherming van de infrastructuur mogelijk door middel van de volgende kerncomponenten:
- Endpoint Protection Manager-een server die computers beheert die zijn aangesloten op een beschermd netwerk.
- Endpoint Protection Manager Database-een datastore van beveiligingsbeleid en gebeurtenissen
- Endpoint Protection Client-eindpuntensoftware die machines beschermt en scant op virussen en malware.
Een firewall en IDPS zijn inbegrepen bij de suite, met betaalde add-ons beschikbaar voor het uitbreiden van de mogelijkheden van Symantec Endpoint Protection. De aanschaf van de Symantec Protection Suite geeft het platform bijvoorbeeld de mogelijkheid om e-mail en webbedreigingen te filteren/blokkeren.
Gelijk aan Carbon Black maakt Symantec Endpoint Protection gebruik van een vertrouwde datastore voor het identificeren van te scannen bestanden – in dit geval met gegevens die worden geleverd door het Symantec Global Intelligence Network (GIN). Dit netwerk van honderden miljoenen sensoren voert gegevens in een enorme opslagplaats van beveiligingsgegevens in, die afkomstig zijn van het monitoren, analyseren en verwerken van meer dan 10 biljoen beveiligingsgebeurtenissen per jaar wereldwijd. Volgens Symantec geeft dit zijn platform aanzienlijke snelheidsvoordelen door scaneliminatie in te bouwen – in plaats van elk bestand te scannen, worden onnodige scantaken geëlimineerd en gededupliceerd voor een slimmere en snellere werking.
Security Ratings
UpGuard’s VendorRisk-platform wordt door honderden bedrijven gebruikt om automatisch hun externe leveranciers te controleren. We hebben een snelle oppervlaktescan uitgevoerd op zowel Carbon Black als Symantec, en vonden dat ze vergelijkbare scores hebben:
- Carbon Black – 656 / 950
- Symantec – 874 / 950
Onze snelle beoordeling toonde aan dat beide bedrijven vergelijkbare risico’s met zich meebrengen, waaronder:
- Verhoogde gevoeligheid voor man-in-the-middle aanvallen door onvolledige ondersteuning voor HTTP Strict Transport Security (HSTS). Hoewel Symantec hier in een zwakkere positie verkeert, omdat zij HSTS niet eens afdwingen.
- Bekendmaking van hun webservergegevens, zoals naam en versienummers. Deze kunnen worden vergeleken met CVE (Common Vulnerability and Exposure)-lijsten door aanvallers die op zoek zijn naar zwakke plekken.
- DNS is vatbaar voor man-in-the-middle-aanvallen, omdat geen van beide DNS Security Extensions (DNSSEC) afdwingt op hun domein.
- Mogelijkheid dat spammers frauduleus e-mails vanaf hun domein versturen, omdat geen van beide bedrijven Domain-based Message Authentication, Reporting and Conformance (DMARC) afdwingt.
Gebaseerd op hun score, heeft Carbon Black Symantec achter zich gelaten. Maar beide bedrijven hebben werk te doen in het handhaven van een goede beveiligingshygiëne en best practices voor zichzelf.
Laat ons automatisch de beveiliging van Carbon Black, Symantec en uw andere externe leveranciers voor u meten en monitoren.
Geef vandaag nog een demo van UpGuard VendorRisk.
Samenvatting
Cyberdreigingen ontwikkelen zich voortdurend en beveiligingstools moeten dat volgen. Dit kat-en-muisspel brengt veel legacy-leveranciers vaak in het nadeel, omdat ze vaak niet de flexibiliteit hebben om verouderde beveiligingsmodellen en -architecturen vanaf de grond opnieuw uit te vinden. Nieuwere beveiligingsbedrijven die geavanceerde methodologieën voor bescherming tegen bedreigingen ontwikkelen, bouwen in wezen oplossingen die niet tegen toekomstige bedreigingen zijn getest. Symantec Endpoint Protection en Carbon Black zijn representatieve voorbeelden van beide. Interessant genoeg maken beide gebruik van geconsolideerde datastores met informatie over bedreigingen als essentiële onderdelen van hun respectieve aanbod. En ondanks de ogenschijnlijke overeenkomsten is GIN van Symantec in feite heel anders dan het whitelisting-mechanisme van Carbon Black. Carbon Black maakt gebruik van een hashdatabase met softwarebeoordelingen (de Carbon Black Software Reputation Service) om te bepalen welke bestanden op whitelisting moeten worden gezet. De GIN datastore wordt gebruikt voor een snelle identificatie van goede en slechte actoren om de efficiëntie van het scannen van bestanden te optimaliseren.
Beide benaderingen hebben hun voor- en nadelen. Symantec Endpoint Protection is uitgebreid, maar mist integratiemogelijkheden met andere beveiligingstools zoals een SIEM. En hoe uitgebreid de mogelijkheden voor het verzamelen van informatie van GIN ook zijn, de oplossing is nog steeds afhankelijk van bekende bedreigingsgegevens om het model voor handhaving van de beveiliging aan te sturen. Ook kunnen niet-Windows gebruikers pech hebben met Symantec, omdat de Manager component een Windows machine vereist om op te draaien.
Carbon Black’s whitelisting technologie lijkt veelbelovend, maar moet verder worden verfijnd-een recente compromis resulteerde in malware die naar verschillende van de klanten van het bedrijf werd gestuurd. En om eerlijk te zijn, Symantec’s aanbod is niet zonder zijn eigen kwetsbaarheden geweest. Het volstaat te zeggen dat geen enkele oplossing de infrastructuur van een organisatie effectief kan beschermen tegen de bedreigingen van vandaag en morgen. Een competente beveiligingsstrategie moet bestaan uit de beste tools die in een doorlopende beveiligingstoolchain zijn samengevoegd, met daar overheen gelaagde monitoring – door diepgaande dekking kunnen organisaties een optimale beveiligingshouding handhaven.
| Carbon Black | Symantec Endpoint Protection | |
| installatie en installatie |
Single endpoint installation is straightforward Supports WIndows, MacOS, Red Hat Linux, en CentOS In een bedrijfsomgeving zijn professionele diensten nodig, die kostbaar kunnen zijn |
Installeert als een standaard Windows applicatie Manager component werkt alleen op Windows platforms |
| Features |
Bouwt volledig op open API’s en biedt eenvoudige integratie met andere tools Gebruikt de Carbon Black Software Reputation Service- ’s werelds grootste hash database van software |
Gedreven door het Symantec Global Intelligence Network (GIN), een grote datarepository van bedreigingsinformatie die is verzameld uit een van de grootste verzamelingen sensoren in de industrie Inclusief een standaardpakket beveiligingshulpmiddelen, waaronder IDPS, firewall en anti-virus/malware. |
| Prijzen | $420/3-jaar licentie | $54/1-jaar licentie |
| Documentatie &Support | Beschikbaar op website | Beschikbaar op website. De steun van de gemeenschap is vrij uitgebreid |