O espaço de segurança da informação (infosec) está na sua maioria dividido em dois campos: jogadores estabelecidos usando uma combinação de táticas antigas/novas para combater o crime cibernético, e os participantes do mercado tentando repensar a segurança a partir do zero. Os métodos de ataque são cada vez mais sofisticados e requerem abordagens inovadoras para detecção e remediação – já que muito pouco se entende sobre a próxima geração de ameaças, as oportunidades abundam tanto para os líderes em exercício como para os iniciantes. E com ataques direcionados e ameaças persistentes avançadas (APT) em ascensão, os novos players com abordagens inovadoras de segurança estão vendo amplas oportunidades para suplantar os líderes de mercado de longa data e seus produtos de segurança envelhecidos.
Um desses upstart-Carbon Black-tem uma abordagem diferente de segurança que utiliza a prevenção de ameaças sem assinatura e listas brancas de aplicativos. Vamos dar uma olhada em como a plataforma se compara à oferta de Proteção de Endpoint da Symantec, veterana em segurança.
Bit9 + Carbon Black
Abastecida em 2002, a Bit9 ganhou o seu próprio mercado em 2014 com a aquisição da Carbon Black. A arquitetura de plataforma baseada em agente da Bit9 permite a aplicação de políticas de lista branca em cada ponto final, enquanto o Carbon Black permite o monitoramento do comportamento do arquivo do ponto final e a detecção de ameaças em tempo real através de sensores e gravadores de dados instalados no ponto final. A fusão dos dois combina efetivamente a proteção contra ameaças baseada em whitelist e sem assinatura da Bit9 com os recursos de monitoramento contínuo e resposta a incidentes do Carbon Black. Em 2016, a empresa foi rebatizada para Carbon Black.
O modelo de segurança baseado na confiança do Carbon Black gira fortemente em torno de seu banco de dados central de whitelist: um registro de software confiável e conhecido e suas classificações/ratings. Estas classificações de confiança são fornecidas pelo Carbon Black Software Reputation Service-reputadamente o maior banco de dados de software hash do mundo. Além disso, a plataforma é aumentada pela Threat Intelligence Cloud- um repositório contendo atributos estendidos para bilhões de executáveis de software, bem como classificações de ameaça e confiança para softwares publicados e desonestos.
Deve ser feita uma distinção entre métodos tradicionais de segurança empregados por soluções padrão IDS/IDPS e whitelisting – o último dos quais é empregado pelo Carbon Black. Embora ambos os métodos usem hashes de arquivo para rastrear as mudanças nos arquivos, a whitelisting por padrão assume uma postura de “negar”, ao contrário da abordagem padrão “permitir” usada pela maioria das ofertas IDS/IDPS. No caso do Negro de Fumo, uma lista branca de aplicações contém uma lista de boas aplicações conhecidas e seus privilégios de arquivo. Como apenas software confiável é permitido executar em seu ambiente de TI, pacotes maliciosos são impedidos de fazer quaisquer alterações não autorizadas . Isto é especialmente crucial ao lidar com ataques de dia zero que utilizam malware desconhecido ou não identificável pelas ferramentas de segurança tradicionais. Com o Carbon Black, arquivos maliciosamente alterados podem ser facilmente impedidos de executar, verificando a lista branca do aplicativo.
Symantec Endpoint Protection
Um nome reconhecido em segurança de TI, a Symantec apresenta uma linha completa de soluções para proteger e gerenciar informações, identidades e infra-estruturas. Sua própria resposta à detecção de endpoints é chamada apropriadamente – Proteção de Endpoint da Symantec. A plataforma permite uma proteção abrangente da infra-estrutura através dos seguintes componentes principais:
- Endpoint Protection Manager – um servidor que gerencia computadores conectados a uma rede protegida.
- Endpoint Protection Manager – um banco de dados de políticas e eventos de segurança
- Endpoint Protection Client-endpoint software que protege e examina máquinas em busca de vírus e malware.
Um firewall e IDPS estão incluídos na suíte, com add-ons pagos disponíveis para ampliar os recursos do Symantec Endpoint Protection. Por exemplo, a compra do Symantec Protection Suite dá à plataforma a capacidade de filtrar/bloquear e-mails e ameaças da Web.
Similar ao negro de fumo, o Symantec Endpoint Protection utiliza um datastore confiável para identificar arquivos a serem verificados – neste caso, com dados fornecidos pela Symantec Global Intelligence Network (GIN). Esta rede de centenas de milhões de sensores alimenta dados em um repositório massivo de dados de segurança coletados do monitoramento, análise e processamento de mais de 10 trilhões de eventos de segurança por ano em todo o mundo. De acordo com a Symantec, isto dá à sua plataforma benefícios significativos de velocidade ao incorporar a eliminação de varredura – em vez de varrer cada arquivo, elimina e deduplica trabalhos desnecessários de varredura para uma operação mais inteligente e rápida.
Security Ratings
A plataforma VendorRisk do UpGuard é usada por centenas de empresas para monitorar automaticamente seus fornecedores terceirizados. Fizemos uma rápida varredura de superfície tanto em Negro de Fumo quanto na Symantec, e descobrimos que elas têm pontuações semelhantes:
- Negro de Fumo – 656 / 950
- Symantec – 874 / 950
Nossa rápida avaliação mostrou que ambas as empresas carregam riscos semelhantes que incluem:
- Suscetibilidade aumentada a ataques de homem no meio através de suporte incompleto para a Segurança Estrita de Transporte HTTP (HSTS). Embora, a Symantec esteja em uma posição mais fraca aqui, pois eles nem mesmo aplicam HSTS.
- Exposição dos detalhes de seus servidores web, tais como nome e números de versão. Estes podem ser executados contra listas CVE (Common Vulnerability and Exposure) por atacantes à procura de fraquezas.
- DNS sendo suscetíveis a ataques man-in-the-middle, já que nenhum deles impõe extensões de segurança DNS (DNSSEC) em seu domínio.
- Potencial para e-mails a serem enviados fraudulentamente de seu domínio por spammers, já que nenhuma das empresas impõe Autenticação, Relatórios e Conformidade de Mensagens baseada em Domínio (DMARC).
Baseado em sua pontuação, o Negro de Fumo eliminou o Symantec. Mas ambas as empresas têm trabalho a fazer para manter a boa higiene de segurança e as melhores práticas para si.
Deixe-nos medir e monitorar automaticamente a segurança do Negro de Fumo, Symantec e seus outros fornecedores de terceiros para você.
Encontrar uma demonstração do UpGuard VendorRisk hoje.
Sumário
As ameaças cibernéticas estão em constante evolução e as ferramentas de segurança devem seguir o exemplo. Este jogo de gato e rato muitas vezes coloca muitos vendedores legados em desvantagem, pois eles muitas vezes não têm a agilidade para reinventar modelos e arquiteturas de segurança envelhecidos a partir do zero. Dito isto, as novas empresas de segurança que desenvolvem metodologias avançadas para a proteção contra ameaças estão essencialmente construindo soluções que não estão comprovadas contra ameaças futuras. A Symantec Endpoint Protection e o Carbon Black são casos representativos de each-interessantemente, ambos incorporam datastores de inteligência de ameaças consolidadas como componentes críticos de sua respectiva oferta. E apesar das aparentes semelhanças, o GIN da Symantec é na verdade bastante diferente do mecanismo de lista branca do Negro de Fumo. O último utiliza um banco de dados hash de classificações de confiança de software – o Carbon Black Software Reputation Service – para determinar quais arquivos devem ser incluídos na lista branca. O GIN datastore é usado para rápida identificação de bons e maus atores para otimizar a eficiência da varredura de arquivos.
As duas abordagens têm suas vantagens e inconvenientes. O Symantec Endpoint Protection é abrangente, mas carece de recursos de integração com outras ferramentas de segurança, como um SIEM. E não importa quão expansiva seja a capacidade de coleta de inteligência do GIN, a solução ainda depende de dados de ameaças conhecidas para impulsionar seu modelo de aplicação de segurança. Além disso, usuários não Windows podem estar sem sorte com a Symantec, pois o componente Manager requer uma máquina Windows para rodar em.
A tecnologia de lista branca do Carbon Black parece promissora, mas precisa de mais refinamento – um compromisso recente resultou no envio de malware para vários clientes da empresa. E só para ser justo, a oferta da Symantec não tem sido sem as suas próprias vulnerabilidades. Basta dizer que nenhuma solução pode proteger efetivamente a infra-estrutura de uma organização contra as ameaças de hoje e de amanhã. Uma estratégia de segurança competente deve consistir das melhores ferramentas montadas em uma cadeia de ferramentas de segurança contínua, com monitoramento em camadas – através de uma cobertura profunda, as organizações podem manter uma postura de segurança ideal.
| Carbon Black | Symantec Endpoint Protection | instalação e configuração |
A instalação de um único endpoint é simples Suporta WIndows, MacOS, Red Hat Linux, e CentOS Enterprise environment requerem serviços profissionais, que pode ser caro |
Instalações como uma aplicação padrão do Windows Componente Manager só funciona em plataformas Windows |
| Faatures |
Construído inteiramente em APIs abertas e apresenta fácil integração com outras ferramentas Usa o Carbon Black Software Reputation Service- o maior banco de dados de hash de software do mundo |
Powered by the Symantec Global Intelligence Network (GIN), um grande repositório de dados de inteligência de ameaças acumulado de uma das maiores coleções de sensores da indústria Inclui um conjunto padrão de ferramentas de segurança incluindo IDPS, firewall e anti-vírus/malware. |
| Preço | $420/3 anos de licença | $54/1 anos de licença | Documentação & Suporte | Disponível no website | Disponível no website. O apoio comunitário é bastante extenso |