Carbon Black vs Symantec Endpoint Protection

Spațiul de securitate a informațiilor (infosec) este, în mare parte, împărțit în două tabere: jucători consacrați care folosesc o combinație de tactici vechi și noi pentru combaterea criminalității cibernetice și nou intrați pe piață care încearcă să regândească securitatea de la zero. Metodele de atac sunt din ce în ce mai sofisticate și necesită abordări noi pentru detectare și remediere – din moment ce se cunosc foarte puține lucruri despre următoarea generație de amenințări, oportunitățile abundă atât pentru liderii consacrați, cât și pentru nou-veniți. Și, având în vedere că atacurile cu țintă precisă și amenințările persistente avansate (APT) sunt în creștere, jucătorii mai noi, cu abordări inovatoare în materie de securitate, văd oportunități ample pentru a suplini liderii de piață de lungă durată și produsele lor de securitate învechite.

Un astfel de nou-venit – Carbon Black – are o abordare diferită a securității care utilizează prevenirea amenințărilor fără semnătură și lista albă a aplicațiilor. Să aruncăm o privire la modul în care platforma se compară cu oferta Endpoint Protection a veteranului în materie de securitate Symantec.

Bit9 + Carbon Black

Cu toate că a fost fondată în 2002, Bit9 a intrat pe cont propriu în 2014, odată cu achiziția Carbon Black. Arhitectura platformei Bit9, bazată pe agenți, permite aplicarea de politici de tip whitelist pe fiecare endpoint, în timp ce Carbon Black permite monitorizarea comportamentului fișierelor endpoint și detectarea în timp real a amenințărilor prin intermediul senzorilor și înregistratorilor de date instalați în endpoint. Fuziunea celor două combină în mod eficient protecția împotriva amenințărilor fără semnături, bazată pe liste albe, oferită de Bit9, cu capacitățile de monitorizare continuă și de răspuns la incidente ale Carbon Black. În 2016, compania a fost redenumită Carbon Black.

Modelul de securitate bazat pe încredere al Carbon Black se învârte în mare măsură în jurul bazei sale de date centrale de liste albe: un registru de software de încredere, cunoscut ca fiind bun și clasificările/ratingurile acestora. Aceste clasificări de încredere sunt furnizate de către Carbon Black Software Reputation Service-reputat a fi cea mai mare bază de date hash de software din lume. În plus, platforma este completată de Threat Intelligence Cloud al firmei – un depozit care conține atribute extinse pentru miliarde de executabile software, precum și clasificări de amenințare și de încredere pentru software publicat și necinstit.

Ar trebui făcută o distincție între metodele tradiționale de securitate utilizate de soluțiile IDS/IDPS standard și whitelisting – aceasta din urmă fiind utilizată de Carbon Black. Deși ambele metode utilizează hașuri de fișiere pentru a urmări modificările de fișiere, whitelisting-ul presupune în mod implicit o postură de „refuz”, spre deosebire de abordarea implicită „permite” utilizată de majoritatea ofertelor IDS/IDPS. În cazul Carbon Black, o listă albă de aplicații conține o listă de aplicații bune cunoscute și privilegiile fișierelor acestora. Deoarece numai software-ul de încredere are voie să se execute în mediul IT al cuiva, pachetele malițioase sunt împiedicate să facă modificări neautorizate . Acest lucru este crucial mai ales atunci când este vorba de atacuri de tip zero-day care utilizează programe malware necunoscute sau neidentificabile de către instrumentele de securitate tradiționale. Cu Carbon Black, fișierele modificate în mod malițios pot fi împiedicate cu ușurință să fie executate prin verificarea listei albe a aplicațiilor.

Symantec Endpoint Protection

Un nume recunoscut în domeniul securității IT, Symantec oferă o gamă completă de soluții pentru securizarea și gestionarea informațiilor, identităților și infrastructurilor. Propriul său răspuns la detectarea punctelor finale se numește – în mod corespunzător – Symantec Endpoint Protection. Platforma permite o protecție cuprinzătoare a infrastructurii prin următoarele componente de bază:

• Endpoint Protection Manager-un server care gestionează computerele conectate la o rețea protejată.
• Endpoint Protection Manager Database-un depozit de date cu politici și evenimente de securitate
• Endpoint Protection Client-un software pentru terminale care protejează și scanează mașinile pentru viruși și programe malware.

Un firewall și un IDPS sunt incluse cu suita, cu add-on-uri plătite disponibile pentru extinderea capacităților Symantec Endpoint Protection. De exemplu, achiziționarea Symantec Protection Suite oferă platformei capacitatea de a filtra/bloca amenințările de e-mail și web.

Similar cu Carbon Black, Symantec Endpoint Protection utilizează un depozit de date de încredere pentru identificarea fișierelor care urmează să fie scanate – în acest caz, cu date furnizate de Symantec Global Intelligence Network (GIN). Această rețea de sute de milioane de senzori alimentează cu date un depozit masiv de date de securitate adunate din monitorizarea, analiza și procesarea a peste 10 trilioane de evenimente de securitate pe an la nivel mondial. Potrivit Symantec, acest lucru conferă platformei sale beneficii semnificative în materie de viteză prin încorporarea eliminării scanărilor – în loc să scaneze fiecare fișier, elimină și deduplică sarcinile de scanare inutile pentru o funcționare mai inteligentă și mai rapidă.

Security Ratings

Platforma VendorRisk de la UpGuard este utilizată de sute de companii pentru a-și monitoriza automat furnizorii terți. Am efectuat o scanare rapidă a suprafeței atât pentru Carbon Black, cât și pentru Symantec și am constatat că au scoruri similare:

• Carbon Black – 656 / 950
• Symantec – 874 / 950

Evaluarea noastră rapidă a arătat că ambele companii prezintă riscuri similare, care includ:

• Susceptibilitate crescută la atacuri man-in-the-middle prin suportul incomplet pentru HTTP Strict Transport Security (HSTS). Deși, Symantec se află într-o poziție mai slabă în acest caz, deoarece nici măcar nu aplică HSTS.
• Expunerea detaliilor serverului lor web, cum ar fi numele și numerele de versiune. Acestea pot fi comparate cu listele CVE (Common Vulnerability and Exposure) de către atacatorii care caută puncte slabe.
• DNS fiind susceptibil la atacuri de tip man-in-the-middle, deoarece niciunul nu aplică DNS Security Extensions (DNSSEC) pe domeniul lor.
• Potențialitatea ca e-mailurile să fie trimise fraudulos din domeniul lor de către spammeri, deoarece niciuna dintre companii nu aplică Domain-based Message Authentication, Reporting and Conformance (DMARC).

Pe baza scorului lor, Carbon Black a devansat Symantec. Dar ambele companii mai au de lucru pentru a menține o bună igienă de securitate și cele mai bune practici pentru ele însele.

Lasă-ne să măsurăm și să monitorizăm automat securitatea Carbon Black, Symantec și a altor furnizori terți pentru dumneavoastră.

Obțineți astăzi o demonstrație a UpGuard VendorRisk.

Rezumat

Amenințările cibernetice evoluează constant, iar instrumentele de securitate trebuie să le urmeze exemplul. Acest joc de-a șoarecele și pisica îi dezavantajează adesea pe mulți furnizori tradiționali, deoarece adesea le lipsește agilitatea de a reinventa de la zero modele și arhitecturi de securitate învechite. Acestea fiind spuse, firmele de securitate mai noi care dezvoltă metodologii avansate de protecție împotriva amenințărilor construiesc, în esență, soluții care nu sunt dovedite împotriva amenințărilor viitoare. Symantec Endpoint Protection și Carbon Black sunt cazuri reprezentative pentru fiecare dintre acestea – destul de interesant este faptul că ambele încorporează depozite de date consolidate de informații despre amenințări ca fiind componente critice ale ofertei lor respective. Și, în ciuda asemănărilor aparente, GIN de la Symantec este de fapt destul de diferit de mecanismul de whitelisting de la Carbon Black. Acesta din urmă utilizează o bază de date hash de evaluări ale încrederii în software – Carbon Black Software Reputation Service – pentru a determina ce fișiere să fie incluse în lista albă. Baza de date GIN este utilizată pentru identificarea rapidă a actorilor buni și răi pentru a optimiza eficiența scanării fișierelor.

Ambele abordări au avantajele și dezavantajele lor. Symantec Endpoint Protection este cuprinzător, dar îi lipsesc capacitățile de integrare cu alte instrumente de securitate, cum ar fi un SIEM. Și, indiferent cât de extinse sunt capacitățile de colectare de informații ale GIN, soluția se bazează în continuare pe datele cunoscute despre amenințări pentru a-și conduce modelul de aplicare a securității. De asemenea, este posibil ca utilizatorii care nu folosesc Windows să nu aibă noroc cu Symantec, deoarece componenta Manager necesită o mașină cu Windows pentru a rula pe ea.

Tehnologia de whitelisting a Carbon Black pare promițătoare, dar are nevoie de mai multe perfecționări – o compromitere recentă a dus la trimiterea de malware către mai mulți clienți ai companiei. Și, ca să fim corecți, oferta Symantec nu a fost lipsită de propriile vulnerabilități. Este suficient să spunem că nicio soluție nu poate proteja eficient infrastructura unei organizații împotriva amenințărilor de astăzi și de mâine. O strategie de securitate competentă ar trebui să fie alcătuită din cele mai bune instrumente de vârf asamblate într-un lanț continuu de instrumente de securitate, cu monitorizare stratificată peste acestea – prin acoperire profundă, organizațiile pot menține o poziție de securitate optimă.

.