Informationssäkerhetsområdet är till största delen uppdelat i två läger: etablerade aktörer som använder en kombination av gamla och nya taktiker för att bekämpa cyberbrottslighet, och nya aktörer som försöker tänka om i fråga om säkerhet från grunden. Attackmetoderna blir alltmer sofistikerade och kräver nya tillvägagångssätt för upptäckt och åtgärdande – eftersom man inte vet så mycket om nästa generations hot, finns det gott om möjligheter för både etablerade ledare och nykomlingar. Och med målinriktade attacker och avancerade, långlivade hot (APT) på frammarsch ser nyare aktörer med innovativa metoder för säkerhet stora möjligheter att ersätta långvariga marknadsledare och deras åldrande säkerhetsprodukter.
En sådan uppstickare – Carbon Black – har en annorlunda strategi för säkerhet som använder sig av signaturlös hotförebyggande och vitlistning av tillämpningar. Låt oss ta en titt på hur plattformen står sig i jämförelse med säkerhetsveteranen Symantecs Endpoint Protection-erbjudande.
Bit9 + Carbon Black
Bit9 grundades redan 2002, men kom till sin rätt 2014 i och med förvärvet av Carbon Black. Bit9:s agentbaserade plattformsarkitektur gör det möjligt att tillämpa vitlistpolicyer på varje slutpunkt, medan Carbon Black möjliggör övervakning av filbeteende i slutpunkten och hotdetektering i realtid med hjälp av sensorer och dataregistrerare som är installerade i slutpunkten. Sammanslagningen av de två kombinerar effektivt Bit9:s signaturlösa, vitlistbaserade hotskydd med Carbon Blacks kontinuerliga övervakning och incidentresponsfunktioner. År 2016 bytte företaget namn till Carbon Black.
Carbon Blacks förtroendebaserade säkerhetsmodell kretsar i hög grad kring den centrala whitelist-databasen: ett register över betrodda, kända bra programvaror och deras klassificeringar/betyg. Dessa förtroendeklassificeringar tillhandahålls av Carbon Black Software Reputation Service – som sägs vara världens största hash-databas för programvara. Dessutom utökas plattformen med företagets Threat Intelligence Cloud – ett arkiv som innehåller utökade attribut för miljarder exekverbara programvaror, samt hot- och förtroendeklassificeringar för publicerad och oseriös programvara.
Det bör göras en åtskillnad mellan traditionella säkerhetsmetoder som används av vanliga IDS/IDPS-lösningar och vitlistning – den sistnämnda används av Carbon Black. Även om båda metoderna använder filhashar för att spåra filändringar, antar whitelisting som standard en ”nekande” hållning, i motsats till den ”tillåtande” hållning som används av de flesta IDS/IDPS-lösningar. I Carbon Blacks fall innehåller en vitlista över program en lista över kända bra program och deras filprivilegier. Eftersom endast betrodda programvaror tillåts att köras i IT-miljön förhindras skadliga paket från att göra obehöriga ändringar. Detta är särskilt viktigt när man har att göra med zero-day-attacker som använder skadlig kod som är okänd eller oidentifierbar för traditionella säkerhetsverktyg. Med Carbon Black kan skadligt ändrade filer enkelt förhindras från att exekveras genom att kontrollera den vita listan över program.
Symantec Endpoint Protection
Symantec är ett erkänt namn inom IT-säkerhet och erbjuder ett komplett utbud av lösningar för att säkra och hantera information, identiteter och infrastrukturer. Deras egen lösning för upptäckt av slutpunkter kallas passande nog Symantec Endpoint Protection. Plattformen möjliggör ett omfattande infrastrukturskydd genom följande kärnkomponenter:
- Endpoint Protection Manager – en server som hanterar datorer som är anslutna till ett skyddat nätverk.
- Endpoint Protection Manager Database – en databas med säkerhetsprinciper och händelser
- Endpoint Protection Client – en slutpunktsmjukvara som skyddar och skannar maskiner för virus och skadlig kod.
En brandvägg och IDPS ingår i sviten, och det finns betalda tilläggsprogram för att utöka Symantec Endpoint Protections funktioner. Genom att köpa Symantec Protection Suite får plattformen till exempel möjlighet att filtrera/blocka e-post och webbhot.
Likt Carbon Black använder Symantec Endpoint Protection en betrodd datalagring för att identifiera filer som ska skannas – i det här fallet med hjälp av data som tillhandahålls av Symantecs Global Intelligence Network (GIN). Detta nätverk med hundratals miljoner sensorer matar in data till ett massivt arkiv av säkerhetsdata som hämtas från övervakning, analys och bearbetning av mer än 10 biljoner säkerhetshändelser per år över hela världen. Enligt Symantec ger detta plattformen betydande hastighetsfördelar genom att den innehåller eliminering av skanning – i stället för att skanna varje fil elimineras och dedupliceras onödiga skanningsjobb för smartare och snabbare drift.
Säkerhetsbetyg
UpGuards VendorRisk-plattform används av hundratals företag för att automatiskt övervaka sina tredjepartsleverantörer. Vi gjorde en snabb ytskanning av både Carbon Black och Symantec och fann att de har liknande poäng:
- Carbon Black – 656 / 950
- Symantec – 874 / 950
Vår snabbbedömning visade att båda företagen bär på liknande risker som inkluderar:
- Ökad känslighet för man-in-the-middle-attacker genom ofullständigt stöd för HTTP Strict Transport Security (HSTS). Symantec har dock en svagare ställning här eftersom de inte ens tillämpar HSTS.
- Exponering av uppgifter om deras webbserver, t.ex. namn och versionsnummer. Dessa kan köras mot CVE-listor (Common Vulnerability and Exposure) av angripare som letar efter svagheter.
- DNS är känsligt för man-in-the-middle-attacker, eftersom ingen av dem tillämpar DNS Security Extensions (DNSSEC) på sin domän.
- Möjlighet för spammare att skicka e-post på ett bedrägligt sätt från deras domän, eftersom inget av företagen tillämpar DMARC (Domain-based Message Authentication, Reporting and Conformance).
Baserat på deras poäng var Carbon Black före Symantec. Men båda företagen har arbete att göra för att upprätthålla god säkerhetshygien och bästa praxis för sig själva.
Låt oss automatiskt mäta och övervaka säkerheten hos Carbon Black, Symantec och dina andra tredjepartsleverantörer åt dig.
Få en demo av UpGuard VendorRisk idag.
Sammanfattning
Cyberhot utvecklas ständigt och säkerhetsverktygen måste följa med. Detta katt-och-mus-spel sätter ofta många äldre leverantörer i underläge, eftersom de ofta saknar smidighet för att återuppfinna åldrande säkerhetsmodeller och arkitekturer från grunden. Med detta sagt bygger nyare säkerhetsföretag som utvecklar avancerade metoder för skydd mot hot i huvudsak lösningar som inte är beprövade mot framtida hot. Symantec Endpoint Protection och Carbon Black är representativa exempel på detta – intressant nog har båda två konsoliderade databaser för hotinformation som kritiska komponenter i sina respektive erbjudanden. Trots de uppenbara likheterna är Symantecs GIN faktiskt ganska annorlunda än Carbon Blacks mekanism för vitlistning. Den sistnämnda använder en hash-databas med förtroendesiffror för programvara – Carbon Black Software Reputation Service – för att avgöra vilka filer som ska vitlistas. GIN-databasen används för snabb identifiering av bra och dåliga aktörer för att optimera filskanningseffektiviteten.
Båda tillvägagångssätten har sina för- och nackdelar. Symantec Endpoint Protection är heltäckande men saknar integrationsmöjligheter med andra säkerhetsverktyg som ett SIEM. Och oavsett hur omfattande GIN:s möjligheter till underrättelseinhämtning är, förlitar sig lösningen fortfarande på kända hotdata för att driva sin säkerhetshanteringsmodell. Dessutom kan användare som inte använder Windows ha otur med Symantec, eftersom Manager-komponenten kräver en Windows-maskin att köra på.
Carbon Blacks teknik för vitlistning verkar lovande, men behöver förbättras ytterligare – en nyligen inträffad kompromiss resulterade i att skadlig kod skickades till flera av företagets kunder. Och för att vara rättvis så har Symantecs erbjudande inte varit utan sina egna sårbarheter. Det räcker med att säga att ingen lösning kan effektivt skydda en organisations infrastruktur mot dagens och morgondagens hot. En kompetent säkerhetsstrategi bör bestå av de bästa verktygen som samlas i en kontinuerlig säkerhetsverktygskedja, med övervakning i lager över dem – genom djup täckning kan organisationer upprätthålla en optimal säkerhetsställning.
Carbon Black | Symantec Endpoint Protection | Installation och inställning |
Installation på en enda slutpunkt är okomplicerad Stöder WIndows, MacOS, Red Hat Linux och CentOS Enterprise-miljöer kräver professionella tjänster, vilket kan vara kostsamt |
Installeras som en vanlig Windows-applikation Manager-komponenten fungerar endast på Windows-plattformar |
Funktioner |
Bygger helt på öppna API:er och har enkel integration med andra verktyg Använder Carbon Black Software Reputation Service – världens största hash-databas för programvara |
Drivs av Symantecs Global Intelligence Network (GIN), ett stort dataregister med hotinformation som samlats från en av branschens största samlingar av sensorer Inkluderar en standardsvit av säkerhetsverktyg, inklusive IDPS, brandvägg och anti-virus/malware. |
Prissättning | 420$/3-årslicens | 54$/1-årslicens |
Dokumentation &Support | Tillgänglig på webbplatsen | Tillgänglig på webbplatsen. Gemenskapens stöd är ganska omfattande |
.