ИТ Блог. Администрирование серверов на основе Linux (Ubuntu, Debian, CentOS, openSUSE)
Информационная безопасность (infosec) пространство по большей части разделено на два лагеря: признанные игроки, использующие комбинацию старой/новой тактики борьбы с киберпреступностью, и участники рынка, пытающиеся переосмыслить безопасность с нуля. Методы атак становятся все более изощренными и требуют новых подходов для обнаружения и устранения—поскольку очень мало известно об угрозах следующего поколения, возможностей предостаточно как для действующих лидеров, так и для начинающих. А с ростом целенаправленных атак и передовых постоянных угроз (APT) новые игроки с инновационными подходами к безопасности видят широкие возможности для вытеснения давних лидеров рынка и их устаревающих продуктов безопасности.
Один из таких — Carbon Black —использует другой подход к безопасности, который использует предотвращение угроз без подписи и белый список приложений. Давайте посмотрим, как эта платформа соотносится с предложением ветерана безопасности Symantec Endpoint Protection.
Хотя Bit9 была основана еще в 2002 году, она вступила в свои права в 2014 году с приобретением технического углерода. Архитектура платформы на основе агентов Bit9 позволяет применять политики белого списка на каждой конечной точке, в то время как Carbon Black обеспечивает мониторинг поведения файлов конечных точек и обнаружение угроз в режиме реального времени с помощью установленных на конечной точке датчиков и регистраторов данных. Слияние этих двух технологий эффективно сочетает в себе защиту от угроз на основе белых списков без подписи Bit9 с возможностями непрерывного мониторинга и реагирования на инциденты с использованием Carbon Black. В 2016 году компания была переименована в Carbon Black.
Модель безопасности Carbon Black, основанная на доверии, в значительной степени основана на ее центральной базе данных белого списка: реестре надежного, известного хорошего программного обеспечения и их классификаций/рейтингов. Эти рейтинги доверия предоставляются Службой репутации программного обеспечения Carbon Black — по общему мнению, крупнейшей в мире хэш-базой данных программного обеспечения. Кроме того, платформа дополнена облаком аналитики угроз фирмы — хранилищем, содержащим расширенные атрибуты для миллиардов исполняемых файлов программного обеспечения, а также рейтинги угроз и доверия для опубликованного и вредоносного программного обеспечения.
Следует проводить различие между традиционными методами обеспечения безопасности, используемыми стандартными решениями IDS/IDPS, и внесением в белый список—последний из которых используется Carbon. Хотя оба метода используют хэши файлов для отслеживания изменений файлов, белый список по умолчанию предполагает положение “запретить”, в отличие от подхода “разрешить” по умолчанию, используемого большинством предложений IDS/IDL. В случае с Carbon Black белый список приложений содержит список известных хороших приложений и их права доступа к файлам. Поскольку в ИТ-среде разрешено выполнять только доверенное программное обеспечение, вредоносные пакеты не могут вносить какие-либо несанкционированные изменения . Это особенно важно при работе с атаками нулевого дня, в которых используются вредоносные программы, неизвестные или не идентифицируемые традиционными средствами безопасности. С помощью Carbon Black злонамеренно измененные файлы можно легко предотвратить от выполнения, проверив белый список приложений.
Признанное имя в области ИТ-безопасности, Symantec предлагает полную линейку решений для защиты и управления информацией, удостоверениями личности и инфраструктурами. Его собственный ответ на обнаружение конечных точек называется—достаточно уместно—Symantec Endpoint Protection. Платформа обеспечивает комплексную защиту инфраструктуры с помощью следующих основных компонентов:
В комплект входят брандмауэр и IPL, а также платные дополнения, доступные для расширения возможностей Symantec Endpoint Protection. Например, покупка пакета защиты Symantec предоставляет платформе возможность фильтровать/блокировать электронную почту и веб-угрозы.
Как и в случае с Carbon Black, Symantec Endpoint Protection использует надежное хранилище данных для идентификации файлов, подлежащих сканированию,—в данном случае с данными, предоставленными Глобальной разведывательной сетью Symantec (GIN). Эта сеть из сотен миллионов датчиков передает данные в массивное хранилище данных о безопасности, собранных в результате мониторинга, анализа и обработки более 10 триллионов событий безопасности в год по всему миру. По словам Symantec, это дает ее платформе значительные преимущества в скорости за счет исключения сканирования—вместо сканирования каждого файла она устраняет и дедуплицирует ненужные задания сканирования для более эффективной и быстрой работы.
Платформа UpGuard VendorRisk используется сотнями компаний для автоматического мониторинга своих сторонних поставщиков. Мы провели быстрое сканирование поверхности как для Carbon Black, так и для Symantec и обнаружили, что у них одинаковые результаты:
Наша быстрая оценка показала, что обе компании несут схожие риски, которые включают:
Основываясь на их результатах, Carbon Black обошла Symantec. Но обеим компаниям предстоит проделать большую работу по поддержанию надлежащей гигиены безопасности и передового опыта для себя.
Киберугрозы постоянно развиваются, и инструменты безопасности должны следовать их примеру. Эта игра в кошки-мышки часто ставит многих устаревших поставщиков в невыгодное положение, поскольку им часто не хватает гибкости, чтобы заново изобретать устаревшие модели и архитектуры безопасности с нуля. Тем не менее, новые охранные фирмы, разрабатывающие передовые методологии защиты от угроз, по сути, разрабатывают решения, которые не являются проверенными в отношении будущих угроз. Symantec Endpoint Protection и Carbon Black являются репрезентативными примерами каждого из них—что интересно, оба включают консолидированную информацию об угрозах хранилища данных как важнейшие компоненты их соответствующего предложения. И, несмотря на очевидное сходство, ДЖИН Symantec на самом деле сильно отличается от механизма белого списка Carbon Black. Последний использует хэш— базу данных рейтингов доверия к программному обеспечению—службу репутации программного обеспечения Carbon Black-для определения того, какие файлы следует включить в белый список. Хранилище данных GIN используется для быстрой идентификации хороших и плохих участников для оптимизации эффективности сканирования файлов.
Оба подхода имеют свои преимущества и недостатки. Symantec Endpoint Protection является комплексной, но ей не хватает возможностей интеграции с другими инструментами безопасности, такими как SIEM. И независимо от того, насколько широки возможности GIN по сбору разведданных, решение по-прежнему опирается на известные данные об угрозах для управления своей моделью обеспечения безопасности. Кроме того, пользователям, не являющимся пользователями Windows, может не повезти с Symantec, поскольку для работы компонента Manager требуется компьютер с Windows.
Технология занесения в белый список Carbon Black кажется многообещающей, но нуждается в дальнейшей доработке—недавний компромисс привел к отправке вредоносного ПО нескольким клиентам компании. И, справедливости ради, предложение Symantec не обошлось без собственных уязвимостей. Достаточно сказать, что ни одно решение не может эффективно защитить инфраструктуру организации от сегодняшних и завтрашних угроз. Компетентная стратегия безопасности должна состоять из лучших в своем роде инструментов, собранных в непрерывную цепочку инструментов безопасности, с многоуровневым мониторингом-благодаря глубокому охвату организации могут поддерживать оптимальную систему безопасности.
(1 оценок, среднее: 5,00 из 5)
Загрузка...
