Kaspersky Endpoint Security vs CrowdStrike Falcon
Kaspersky Lab je původem z Ruska a stále je většinovým vlastníkem jeho ruský zakladatel. Společnost by však nyní měla být považována spíše za nadnárodní než za ruský podnik. Mateřská společnost skupiny oficiálně sídlí ve Spojeném království a velká část výzkumného týmu původně sídlícího v Rusku byla nyní přesunuta do Švýcarska.
Obchodní úspěch společnosti byl vážně poškozen v roce 2017, kdy ji americké ministerstvo pro vnitřní bezpečnost obvinilo z napomáhání špionážnímu úsilí ruské tajné služby FSB. Tato obvinění nebyla nikdy předložena soudu.
Navzdory tomu, že v posledním desetiletí hrály významnou roli při odhalování případů státem sponzorovaných kybernetických útoků, jsou produkty společnosti nyní na Západě považovány za opovržení. Jeho software byl zakázán ministerstvem vlády USA.
CrowdStrike byla založena jako poradenská společnost v oblasti kybernetické bezpečnosti v roce 2011. Na softwarový trh se přesunula v roce 2013 s vydáním Falconu. Společnost se proslavila odhalováním státem podporovaných kybernetických útoků. Jako společnost se sídlem v USA CrowdStrike prosperuje a její poradenská pobočka stále přitahuje pozitivní mediální pozornost, což její značce dodává podporu.
Obě společnosti jsou dobře známé svými výzkumnými a poradenskými divizemi, ale Kaspersky je pod tlakem, zatímco CrowdStrike prosperuje. Podívejme se na software ochrany koncových bodů každé společnosti.
Kaspersky Endpoint Security
Kaspersky Lab zahájila činnost v roce 1997. Jako první hráč na antivirovém trhu společnost Kaspersky následovala obchodní model úspěšných amerických AV podniků tím, že spojila velké investice do výzkumu identifikace virů s prodejem AV softwaru. Symantec a McAfee mají stejný obchodní model jako Kaspersky a využívají výzkumné laboratoře k poskytování virových databází pro své AV produkty a také k přitahování pozornosti médií a posilování jejich značek.
Historie antivirového softwaru Kaspersky předchází vytvoření společnosti. Eugene Kaspersky vytvořil svůj vlastní antivirový systém v roce 1989, když pracoval pro jinou společnost. Ten systém se vyvinul AntiViral Toolkit Pro (AVP) , který byl vydán v roce 1992. Když Kaspersky vzal software do své vlastní společnosti, přejmenoval AVP na Kaspersky Anti-Virus .
Jakmile se Kaspersky osamostatnil se svou vlastní společností, jeho jméno, které nyní nese společnost a její klíčový produkt, začalo přitahovat pozornost médií mimo jeho rodné Rusko. Společnost Kaspersky se stala největším evropským poskytovatelem softwaru pro kybernetickou bezpečnost. Eugene Kaspersky stále vede společnost.
Obchodní verze Kaspersky Anti-Virus se nazývá Kaspersky Endpoint Security . Společnost vyrábí antivirový software pro malé podniky, který se nazývá Kaspersky Small Office Security. Kaspersky Endpoint Security je zaměřena na středně velké podniky. Software ochrany koncových bodů je třeba nahrát do každého počítače, který je chráněn. Správce systému však může sledovat výkon každé instance prostřednictvím konzoly pro centrální správu, která se nazývá Kaspersky Security Center.
Stejně jako ostatní tradiční výrobci AV přepracovala společnost Kaspersky svůj software tak, aby zahrnoval další ochranná opatření. Výsledkem je, že Kaspersky Endpoint Security je sadou bezpečnostního softwaru, který funguje současně. Procesy sady se specializují na ovládání aplikací, zařízení a webu a také chrání data a soubory protokolů před krádeží nebo manipulací.
Hlavní prvky sady jsou:
- Dynamický Whitelisting – databáze vytvořená centrální výzkumnou laboratoří společnosti, která uvádí schválené aplikace namísto hledání podezřelých programů k blokování. Databáze obsahuje 2,5 miliardy důvěryhodných programů. Snižuje výskyt zero-day útoků tím, že blokuje spuštění neznámého softwaru.
- Host-based Intrusion Prevention System – HIPS sleduje protokoly a data událostí uložená na chráněném zařízení, zda nevykazuje známky narušení. Tato vyhledávání jsou schopna odhalit a zablokovat ruční útoky hackerů, které používají platný software, který se již nachází v zařízení, pro škodlivé účely.
- Detekce chování – využívá techniky strojového učení AI ke snížení rizika „falešných poplachů“ z narušení běžných činností uživatelů koncového bodu.
- Adaptivní řízení anomálií – toto je variace na Behavior Detection, která se zaměřuje na učení typického chování uživatelů. To umožňuje bezpečnostnímu systému rozpoznat, kdy je uživatelský účet unesen hackerem.
- Prevence zneužití – monitoruje známé vstupní body virů, jako jsou stahování souborů, infikované webové stránky a zařízení USB. Systém prevence také věnuje pozornost aplikacím známým jako pohodlné maskování malwaru, včetně souborů Adobe Acrobat, Flash skriptů a utilit Microsoft Office, jako jsou makra.
- Upozornění a náprava – systém Kaspersky vytváří body vrácení a zálohy dat, které mu umožňují obnovit koncový bod do nepoškozeného stavu, jakmile byl zjištěn útok. Remediation Engine je schopen pozastavit uživatelské účty a zabít procesy za účelem ukončení útoku.
- Ochrana před síťovými hrozbami – chrání před infekcí před příchodem na koncový bod přes síť. Jedná se o sadu ochranných procesů, která zahrnuje ochranu před falšováním síťových adres a dalšími technikami únosu systému, které hackeři používají k zamaskování svého narušení.
- Zpevnění oprávnění – systém Kaspersky chrání uživatelská jména a hesla při přenosu a odstraňuje opuštěné účty, které mohou pomoci hackerům.
- Endpoint Detection and Response (EDR) – sdílení informací o hrozbách hlášených softwarem pro zabezpečení koncových bodů do centrální databáze. Tato data jsou analyzována prostřednictvím automatizovaných procesů a také lidskými analytiky kybernetické bezpečnosti, poté jsou shrnuta a distribuována jako „indikátory kompromisu“ (IoC).
- Stálost zabezpečení – software se dokáže chránit před neoprávněným zásahem nebo vypnutím ze strany škodlivých procesů.
- Full Disk Encryption (FDE) – možnost zabezpečení disku šifrováním je unikátní funkcí na trhu ochrany koncových bodů. Kaspersky používá 256bitové šifrování AES. To je zvláště užitečná funkce, když společnosti používají mobilní zařízení, která by se mohla snadno ztratit nebo odcizit.
- Šifrování na úrovni souborů společnosti Kaspersky – alternativní strategie zabezpečení dat k FDE. Správci systému mohou vynutit automatické šifrování souborů podle typu a umístění souboru. Uživatelé mohou také šifrovat soubory na vyžádání pro přenos e-mailem nebo na USB flash disk.
- Řízení přístupu ke koncovému bodu – jedná se o nástroj v konzole Security Center a integruje se se službou Active Directory pro ochranu přístupu ke koncovým bodům.
Kaspersky Endpoint Security je velmi komplexní balíček ochrany. Rozšiřuje se dokonce i na zabezpečení dat, což je úkol, který většina platforem ochrany koncových bodů nezahrnuje.
Klady:
- Nabízí šifrování na úrovni souborů pro zabezpečení místně uložených dat na koncových bodech
- Integruje se s AD pro řízení přístupu a konfiguraci založenou na zásadách
- Nabízí pokročilé šablony výstrah a místně uložená vrácení zpět
- Využívá analýzu chování k identifikaci dříve neznámých hrozeb
Nevýhody:
- Společnosti se sídlem v USA mohou mít zakázáno používat zahraniční bezpečnostní řešení
CrowdStrike Falcon
CrowdStrike zahájil činnost v roce 2011 jako poradenská společnost v oblasti kybernetické bezpečnosti. Během několika prvních let své existence společnost dosáhla velkého věhlasu tím, že objevila některá z největších bezpečnostních narušení v historii a pomohla obětem zabezpečit jejich systémy. Společnost například objevila velkou událost krádeže dat, ke které došlo v databázi SONY Pictures v roce 2014, a od e-mailového hacku v roce 2016 pracovala pro americkou Demokratickou stranu, aby jim pomohla posílit jejich digitální obranu. Vedoucím konzultační divize společnosti je bývalý vedoucí kybernetické divize FBI Shawn Henry.
CrowdStrike Falconbyl velký posun společnosti na softwarový trh. Systém je „platformou ochrany koncových bodů“ (EPP), což znamená, že se jedná o sadu aplikací.
CrowdStrike inzeruje Falcon jako „dodaný z cloudu“. Ve skutečnosti většinu úkolů, které chrání koncové body, provádějí aplikace umístěné na samotném zařízení. Neobvyklým aspektem systému CrowdStrike Falcon je, že zahrnuje plány, které zahrnují služby lidských analytiků kybernetické bezpečnosti.
Dalším charakteristickým rysem Falconu je, že se prodává v edicích. To umožňuje zákazníkovi vybrat si, které moduly zahrnout do platformy. Tyto moduly jsou:
- Falcon Prevent – Antivirový software nové generace a firewall.
- Falcon Intelligence – Motor zpravodajství o hrozbách.
- Falcon Insight – Detekce a reakce koncových bodů (EDR) pro boj s pokročilými přetrvávajícími hrozbami.
- Falcon Overwatch – Lov hrozeb lidskými odborníky.
- Falcon Discover – Skener zranitelnosti.
- Ovládání zařízení Falcon – Monitorovací systém pro USB flash disky.
Balíčky nabízené CrowdStrike umožňují zákazníkovi zakoupit pouze některé nebo většinu těchto modulů. Vydání CrowdStrike Falcon jsou:
- Falcon Pro – zahrnuje Falcon Prevent a Falcon Intelligence.
- Falcon Enterprise – zahrnuje Falcon Prevent, Falcon Intelligence, Falcon Insight a Falcon Overwatch.
- Falcon Premium – zahrnuje Falcon Prevent, Falcon Intelligence, Falcon Insight, Falcon Overwatch a Falcon Discover.
- Falcon dokončen – Služba zabezpečení spravovaného koncového bodu, která zahrnuje prostředky všech modulů.
Žádný z balíčků neobsahuje Ovládání zařízení Falcon . Toto je doplněk k edicím a řídí přístup udělený k paměťovým USB klíčům. Aplikace blokuje porty USB na chráněném zařízení a zabraňuje připojení jakýchkoli zařízení USB k operačnímu systému počítače. Prostřednictvím konzoly pro správu může správce autorizovat určitá zařízení. Tyto vymazané paměťové karty pak budou moci komunikovat s počítačem, zatímco všechna ostatní zařízení USB zůstanou blokována.
Falcon dokončen je řízená služba. To znamená, že v používání systému CrowdStrike nemusíte školit žádného ze svých zaměstnanců IT podpory. Tým techniků v centrále CrowdStrike monitoruje zabezpečení vašich koncových bodů a v případě potřeby podniká kroky. Poté musí být na každý chráněný počítač nainstalován software agenta. Balíček Falcon Complete zahrnuje použití všech modulů Falcon a také lidských analytiků.
The Falcon Premium vydání je nejvyšší plán, který můžete sami spravovat. Obsahuje všechny moduly kromě Falcon Device Control. Modul Falcon Discover je dostupný pouze v balíčku Premium, což je škoda. Falcon Discover je skener zranitelnosti, který se v kybernetické bezpečnosti stává stále potřebnějším nástrojem. Je možné, že někteří zákazníci budou chtít pouze základní balíček ochrany koncových bodů Falcon Pro plus Falcon Discover, aniž by museli platit za Falcon Insight a Falcon Overwatch.
Základní edice, Falcon Pro je velmi dobrá nabídka a poskytuje všechny ochranné funkce, které představují celý EPP v některých konkurenčních systémech ochrany koncových bodů. Nabídka Pro zahrnuje AV net-gen, který spíše než skenuje přítomnost souborů zapsaných na černé listině, hledá vzorce chování. TheFalcon Intelligencemodul je systém založený na strojovém učení AI, který také hledá podezřelé chování. Zatímco Falcon Prevent zkoumá každý proces z hlediska anomálního chování, Falcon Intelligence sleduje sekvence událostí, které by naznačovaly vniknutí hackerů. Falcon Intelligence je systém prevence narušení. Všechny nainstalované instance aplikace po celém světě přispívají k systému zpravodajství o hrozbách nahráváním zpráv o incidentech, se kterými bojovali.
Falcon Enterprise dodává na Falcon Insight a Falcon Overwatch na moduly dostupné v edici Falcon Pro. Falcon Insight hledá důkazy o pokročilých perzistentních hrozbách (APT). Tyto průniky jsou dlouhodobé neoprávněné invaze do systému, kdy si hacker zřídí účet pro pravidelný přístup. Falcon Overwatch je podpisový modul. Vytváří služby dobře hodnocené analýzy kybernetické bezpečnosti společnosti. Tito experti procházejí protokolová data nahraná Falconem X, aby hledali signály narušení, které mohli automatizovaní lovci hrozeb přehlédnout. CrowdStrike Falcon si můžete vyzkoušet v 15denní bezplatné zkušební verzi.
Klady:
- Při detekci hrozeb se nespoléhá pouze na soubory protokolu, k okamžitému nalezení hrozeb používá procesní skenování
- Funguje jako HIDS a nástroj ochrany koncových bodů v jednom
- Dokáže sledovat a upozorňovat na anomální chování v průběhu času, zlepšuje se, čím déle monitoruje síť
- Lze nainstalovat buď on-premise, nebo přímo do cloudové architektury
- Lehčí agenti nezpomalí servery ani zařízení koncových uživatelů
Nevýhody:
- Prospělo by delší 30denní zkušební období
Kaspersky Endpoint Security a CrowdStrike Falcon
Kaspersky Endpoint Security a CrowdStrike Falcon mají mnoho společných faktorů. Oba systémy zahrnují tradiční AV a firewall prvky, ale implementují úlohy blokování malwaru inovativními způsoby. Oba vyžadují instalaci softwaru do koncového bodu a zároveň zpřístupnění konzoly pro centrální správu správcům systému.
Když se podíváme na seznam modulů, které každá platforma obsahuje, nelze to nedospět k závěru systém Kaspersky je komplexnější . Navzdory tomu obvinění z „ruské špionáže“ vznesená ministerstvem vnitřní bezpečnosti USA znamenají, že mnoho podniků v USA pravděpodobně tuto možnost ze svého seznamu vyškrtne.
Proces, který spustil výstrahu zabezpečení USA, byl modul EDR softwaru. Tím byly nahrány podrobnosti o útoku do globální databáze hrozeb společnosti Kaspersky, která je také přístupná pro analýzy kybernetické bezpečnosti společnosti Kaspersky v Moskvě. Bohužel uživatelem tohoto konkrétního koncového bodu byl pracovník Národní bezpečnostní agentury (NSA). To spolu s nepodloženým obviněním, že Kaspersky tajně spolupracuje s ruskou FSB, vás může přimět rozhodnout se pro software CrowdStrike navzdory tomu, že společnost otevřeně spolupracuje s americkými národními bezpečnostními agenturami. Využijte 15denní bezplatnou zkušební verzi Falcon Pro a otestujte jej.
Společnost Kaspersky prodává svůj software Endpoint Security jako součást Kaspersky Total Security, která je k dispozici na 30denní bezplatná zkušební verze . Je k dispozici také jako Kaspersky Endpoint Security for Business Advanced na 30denní bezplatnou zkušební verzi , Kaspersky Endpoint Security for Business Select na 30denní bezplatnou zkušební verzi , a Kaspersky Endpoint Security Cloud na 30denní bezplatnou zkušební verzi .
Jakmile tyto dva systémy otestujete, zanechte zprávu v Komentáře sekce níže, kde můžete sdílet své názory s komunitou.