Przestrzeń bezpieczeństwa informacji (infosec) jest w większości podzielona na dwa obozy: graczy o ugruntowanej pozycji, którzy stosują kombinację starych i nowych taktyk w walce z cyberprzestępczością, oraz nowych uczestników rynku, którzy próbują przemyśleć bezpieczeństwo od podstaw. Metody ataków są coraz bardziej wyrafinowane i wymagają nowatorskich podejść do wykrywania i usuwania skutków – ponieważ niewiele wiadomo o zagrożeniach nowej generacji, możliwości pojawiają się zarówno przed liderami, jak i nowicjuszami. Wraz ze wzrostem liczby ataków ukierunkowanych i zaawansowanych, uporczywych zagrożeń (APT), nowi gracze z innowacyjnym podejściem do bezpieczeństwa dostrzegają szerokie możliwości wyparcia wieloletnich liderów rynku i ich starzejących się produktów bezpieczeństwa.
Jeden z takich start-upów – Carbon Black – stosuje inne podejście do bezpieczeństwa, które wykorzystuje zapobieganie zagrożeniom bez sygnatur i białą listę aplikacji. Przyjrzyjmy się, jak platforma wypada w porównaniu z ofertą Endpoint Protection firmy Symantec.
Bit9 + Carbon Black
Pomimo że firma Bit9 została założona w 2002 r., doszła do głosu w 2014 r. wraz z przejęciem Carbon Black. Architektura platformy Bit9 oparta na agentach pozwala na egzekwowanie polityk whitelist na każdym punkcie końcowym, podczas gdy Carbon Black umożliwia monitorowanie zachowania plików w punktach końcowych i wykrywanie zagrożeń w czasie rzeczywistym poprzez zainstalowane w punktach końcowych czujniki i rejestratory danych. Połączenie tych dwóch firm skutecznie łączy bezsygnaturową, opartą na białych listach ochronę przed zagrożeniami Bit9 z ciągłym monitorowaniem i możliwościami Carbon Black w zakresie reagowania na incydenty. W 2016 roku firma została przemianowana na Carbon Black.
Model bezpieczeństwa Carbon Black oparty na zaufaniu w dużej mierze obraca się wokół centralnej bazy danych Whitelist: rejestru zaufanego, znanego dobrego oprogramowania i ich klasyfikacji/oceny. Te oceny zaufania są dostarczane przez Carbon Black Software Reputation Service – rzekomo największą na świecie bazę danych hash oprogramowania. Dodatkowo, platforma jest wzmocniona przez firmę Threat Intelligence Cloud – repozytorium zawierające rozszerzone atrybuty dla miliardów plików wykonywalnych oprogramowania, jak również zagrożenia i oceny zaufania dla opublikowanego i nieuczciwego oprogramowania.
Należy dokonać rozróżnienia między tradycyjnymi metodami bezpieczeństwa stosowanymi przez standardowe rozwiązania IDS/IDPS i whitelisting – ten ostatni jest stosowany przez Carbon Black. Chociaż obie metody wykorzystują hashe plików do śledzenia zmian w plikach, whitelisting domyślnie zakłada postawę „odmowy”, w przeciwieństwie do domyślnego podejścia „allow” stosowanego przez większość IDS / IDPS oferty. W przypadku Carbon Black, biała lista aplikacji zawiera listę znanych, dobrych aplikacji i ich uprawnienia do plików. Ponieważ tylko zaufane oprogramowanie jest dopuszczone do działania w środowisku IT, złośliwe pakiety nie są w stanie wprowadzić żadnych nieautoryzowanych zmian. Jest to szczególnie istotne w przypadku ataków zero-day, które wykorzystują złośliwe oprogramowanie nieznane lub niemożliwe do zidentyfikowania przez tradycyjne narzędzia bezpieczeństwa. Z Carbon Black, złośliwie zmienione pliki mogą być łatwo zapobiec wykonaniu przez sprawdzenie białej listy aplikacji.
Symantec Endpoint Protection
Uznana nazwa w dziedzinie bezpieczeństwa IT, Symantec oferuje pełną linię rozwiązań do zabezpieczania i zarządzania informacjami, tożsamościami i infrastrukturą. Własną odpowiedź na wykrywanie punktów końcowych firma nazywa – adekwatnie do sytuacji – Symantec Endpoint Protection. Platforma umożliwia kompleksową ochronę infrastruktury dzięki następującym podstawowym komponentom:
- Endpoint Protection Manager – serwer, który zarządza komputerami podłączonymi do chronionej sieci.
- Endpoint Protection Manager Database – magazyn danych zasad zabezpieczeń i zdarzeń
- Endpoint Protection Client – oprogramowanie do punktów końcowych, które chroni i skanuje komputery w poszukiwaniu wirusów i złośliwego oprogramowania.
Zapora ogniowa i IDPS są dołączone do pakietu, a płatne dodatki pozwalają rozszerzyć możliwości programu Symantec Endpoint Protection. Na przykład zakup pakietu Symantec Protection Suite daje platformie możliwość filtrowania/blokowania poczty elektronicznej i zagrożeń internetowych.
Podobnie jak Carbon Black, Symantec Endpoint Protection wykorzystuje zaufany magazyn danych do identyfikowania plików do skanowania – w tym przypadku są to dane dostarczane przez Symantec Global Intelligence Network (GIN). Ta sieć setek milionów czujników dostarcza dane do ogromnego repozytorium danych dotyczących bezpieczeństwa, uzyskanych z monitorowania, analizowania i przetwarzania ponad 10 bilionów zdarzeń związanych z bezpieczeństwem rocznie na całym świecie. Według firmy Symantec, daje to jej platformie znaczące korzyści w zakresie szybkości poprzez włączenie eliminacji skanowania – zamiast skanowania każdego pliku, eliminuje i deduplikuje niepotrzebne zadania skanowania w celu bardziej inteligentnego i szybszego działania.
Security Ratings
Platforma VendorRisk firmy UpGuard jest używana przez setki firm do automatycznego monitorowania ich zewnętrznych dostawców. Przeprowadziliśmy szybkie skanowanie powierzchni zarówno Carbon Black, jak i Symantec, i okazało się, że mają podobne wyniki:
- Carbon Black – 656 / 950
- Symantec – 874 / 950
Nasza szybka ocena wykazała, że obie firmy niosą podobne ryzyko, które obejmuje:
- Większa podatność na ataki man-in-the-middle poprzez niepełne wsparcie dla HTTP Strict Transport Security (HSTS). Chociaż Symantec jest tu na słabszej pozycji, ponieważ nawet nie egzekwuje HSTS.
- Ujawnienie szczegółów dotyczących ich serwera WWW, takich jak nazwa i numery wersji. Mogą one być wykorzystane w listach CVE (Common Vulnerability and Exposure) przez napastników szukających słabych punktów.
- DNS podatny na ataki man-in-the-middle, ponieważ żaden z nich nie egzekwuje DNS Security Extensions (DNSSEC) w swojej domenie.
- Potencjał dla wiadomości e-mail, które mogą być oszukańczo wysyłane z ich domeny przez spamerów, ponieważ żadna z firm nie egzekwuje Domain-based Message Authentication, Reporting and Conformance (DMARC).
Based na ich wynik, Carbon Black edged out Symantec. Ale obie firmy mają pracę do zrobienia w utrzymaniu dobrej higieny bezpieczeństwa i najlepszych praktyk dla siebie.
Pozwól nam automatycznie mierzyć i monitorować bezpieczeństwo Carbon Black, Symantec i innych dostawców zewnętrznych dla Ciebie.
Uzyskaj demo UpGuard VendorRisk już dziś.
Podsumowanie
Zagrożenia cybernetyczne stale ewoluują, a narzędzia bezpieczeństwa muszą za nimi nadążać. Ta gra w kotka i myszkę często stawia wielu starszych producentów w niekorzystnej sytuacji, ponieważ często brakuje im sprawności, aby wymyślić od podstaw przestarzałe modele i architektury bezpieczeństwa. Niemniej jednak, nowsze firmy zajmujące się bezpieczeństwem, rozwijające zaawansowane metodologie ochrony przed zagrożeniami, zasadniczo budują rozwiązania, które nie są sprawdzone pod kątem przyszłych zagrożeń. Symantec Endpoint Protection i Carbon Black są reprezentatywnymi przykładami każdego z nich – co ciekawe, oba zawierają skonsolidowane magazyny danych o zagrożeniach jako krytyczne komponenty swoich ofert. Pomimo pozornych podobieństw, GIN firmy Symantec jest w rzeczywistości zupełnie inny niż mechanizm białej listy firmy Carbon Black. Ten ostatni wykorzystuje bazę danych hash ratingów zaufania oprogramowania – Carbon Black Software Reputation Service – do określania, które pliki należy umieścić na białej liście. Magazyn danych GIN służy do szybkiej identyfikacji dobrych i złych podmiotów w celu optymalizacji wydajności skanowania plików.
Oba podejścia mają swoje zalety i wady. Rozwiązanie Symantec Endpoint Protection jest wszechstronne, ale brakuje mu możliwości integracji z innymi narzędziami zabezpieczającymi, takimi jak SIEM. Niezależnie od tego, jak szerokie są możliwości GIN w zakresie gromadzenia informacji, rozwiązanie to nadal opiera się na znanych danych o zagrożeniach, które stanowią podstawę modelu egzekwowania bezpieczeństwa. Również użytkownicy systemów innych niż Windows mogą mieć pecha do firmy Symantec, ponieważ komponent Manager wymaga maszyny z systemem Windows do działania.
Technologia Whitelisting firmy Carbon Black wydaje się obiecująca, ale wymaga dalszego dopracowania – niedawny kompromis spowodował wysłanie złośliwego oprogramowania do kilku klientów firmy. Aby być uczciwym, oferta firmy Symantec nie jest pozbawiona własnych słabych punktów. Wystarczy powiedzieć, że żadne jedno rozwiązanie nie jest w stanie skutecznie chronić infrastruktury organizacji przed dzisiejszymi i przyszłymi zagrożeniami. Kompetentna strategia bezpieczeństwa powinna składać się z najlepszych w swojej klasie narzędzi połączonych w ciągły łańcuch bezpieczeństwa, z nałożonym na nie monitoringiem – dzięki głębokiemu pokryciu, organizacje mogą utrzymać optymalną postawę bezpieczeństwa.
Carbon Black | Symantec Endpoint Protection | |
instalacja i konfiguracja |
Instalacja na pojedynczym punkcie końcowym jest prosta Obsługuje systemy WIndows, MacOS, Red Hat Linux, i CentOS Środowisko Enterprise wymaga profesjonalnych usług, co może być kosztowne |
Instaluje się jako standardowa aplikacja Windows Komponent menedżera działa tylko na platformach Windows |
Właściwości |
Zbudowany całkowicie na otwartych interfejsach API i charakteryzuje się łatwą integracją z innymi narzędziami Używa Carbon Black Software Reputation Service- największej na świecie bazy danych hash oprogramowania |
Zasilany przez Symantec Global Intelligence Network (GIN), repozytorium big data informacji o zagrożeniach zgromadzonych z jednej z największych kolekcji czujników w branży Zawiera standardowy pakiet narzędzi zabezpieczających, w tym IDPS, zaporę sieciową i oprogramowanie antywirusowe/malware. |
Ceny | $420/3-letnia licencja | $54/1-letnia licencja |
Dokumentacja &Wsparcie | Dostępne na stronie internetowej | Dostępne na stronie internetowej. Wsparcie społeczności jest dość szerokie |
.