Kaspersky Endpoint Security срещу CrowdStrike Falcon
Kaspersky Lab е руска по произход и все още е мажоритарна собственост на своя руски основател. Сега обаче компанията трябва да се разглежда като мултинационален, а не като руски бизнес. Компанията майка на групата е официално установена в Обединеното кралство и голяма част от изследователския екип, първоначално базиран в Русия, сега е преместен в Швейцария.
Търговският успех на компанията беше сериозно засегнат през 2017 г., когато Министерството на вътрешната сигурност на САЩ я обвини в подпомагане на шпионските усилия на руската тайна служба ФСБ. Тези обвинения така и не бяха изправени пред съда.
Въпреки че изиграха важна роля през последното десетилетие в разкриването на случаи на спонсорирани от държавата кибератаки, продуктите на компанията сега се гледат с презрение на Запад. Неговият софтуер е забранен от американските правителствени отдели.
CrowdStrike е основана като консултантска компания за киберсигурност през 2011 г. Тя се премества на софтуерния пазар през 2013 г. с пускането на Falcon. Компанията постигна слава чрез разкриване на спонсорирани от държавата кибератаки. Като базирана в САЩ компания, CrowdStrike просперира и нейният консултантски клон все още привлича положително медийно внимание, което дава на марката й рекламен тласък.
И двете компании са добре известни със своите изследователски и консултантски отдели, но Kaspersky е под натиск, докато CrowdStrike процъфтява. Нека да разгледаме софтуера за защита на крайната точка на всяка компания.
Kaspersky Endpoint Security
Kaspersky Lab започва работа през 1997 г. Като ранен играч на антивирусния пазар, Kaspersky следва бизнес модела на успешни AV предприятия в САЩ, като комбинира тежки инвестиции в изследвания за идентифициране на вируси с продажбата на AV софтуер. Symantec и McAfee имат същия бизнес модел като Kaspersky, използвайки изследователски лаборатории, за да осигурят бази данни с вируси за своите AV продукти и също така да привлекат вниманието на медиите, укрепвайки своите марки.
Историята на антивирусния софтуер на Kaspersky датира отпреди създаването на компанията. Юджийн Касперски създава своя собствена антивирусна система през 1989 г., докато работи за друга компания. Тази система еволюира в AntiViral Toolkit Pro (AVP) , който беше пуснат през 1992 г. Когато Kaspersky взе софтуера в собствената си компания, той преименува AVP на Kaspersky Anti-Virus .
След като Kaspersky стана независим със собствена компания, името му, което сега се носи от бизнеса и неговия ключов продукт, започна да привлича вниманието на медиите извън родната му Русия. Kaspersky се превърна в най-големия доставчик на софтуер за киберсигурност в Европа. Юджийн Касперски все още ръководи компанията.
Бизнес версията на Kaspersky Anti-Virus се нарича Kaspersky Endpoint Security . Компанията произвежда антивирусен софтуер за малкия бизнес, който се нарича Kaspersky Small Office Security. Kaspersky Endpoint Security е насочен към средния бизнес. Софтуерът за защита на крайната точка трябва да бъде зареден на всеки компютър, който се защитава. Системният администратор обаче може да наблюдава производителността на всеки екземпляр чрез централна конзола за управление, която се нарича Kaspersky Security Center.
Подобно на други традиционни производители на AV, Kaspersky преработи своя софтуер, за да включи допълнителни мерки за защита. Това доведе до това, че Kaspersky Endpoint Security е пакет от софтуер за сигурност, който работи едновременно. Процесите на пакета са специализирани в приложения, устройства и уеб контроли и също така защитават данните и регистрационните файлове от кражба или подправяне.
Основните елементи в апартамента са:
- Динамичен бял списък – база данни, създадена от централната изследователска лаборатория на компанията, която изброява одобрените приложения, вместо да търси подозрителни програми за блокиране. Базата данни включва 2,5 милиарда надеждни програми. Той намалява случаите на атаки от нулевия ден, като блокира стартирането на неизвестен софтуер.
- Хост-базирана система за предотвратяване на проникване – HIPS следи регистрационни файлове и данни за събития, съхранени на защитеното устройство за признаци на проникване. Тези търсения са в състояние да забележат и блокират ръчни хакерски атаки, които използват валиден софтуер, който вече се намира на устройството за злонамерени цели.
- Откриване на поведение – използва техники за машинно обучение с изкуствен интелект, за да намали риска от „фалшиви положителни резултати“ от нарушаване на нормалните дейности на потребителите на крайната точка.
- Адаптивен контрол на аномалиите – това е вариант на откриване на поведение, който се фокусира върху изучаването на типичното поведение на потребителите. Това позволява на системата за сигурност да забележи, когато потребителски акаунт бъде отвлечен от хакер.
- Предотвратяване на експлойт – наблюдава известни входни точки на вируси, като изтегляне на файлове, заразени уеб страници и USB устройства. Системата за превенция също така обръща внимание на приложения, известни като удобни маскировки за зловреден софтуер, включително файлове на Adobe Acrobat, Flash скриптове и помощни програми на Microsoft Office, като макроси.
- Предупреждаване и отстраняване – системата Kaspersky създава точки за връщане назад и архивиране на данни, които й позволяват да възстанови крайната точка до нейното неповредено състояние, след като бъде открита атака. Remediation Engine е в състояние да спре потребителски акаунти и да убие процеси, за да прекрати атаката.
- Защита от мрежови заплахи – предпазва от инфекция от достигане до крайната точка по мрежата. Това е набор от защитни процеси, който включва предпазители срещу подправяне на мрежови адреси и други техники за отвличане на системата, които хакерите използват, за да прикрият своето проникване.
- Втвърдяване на разрешенията – системата Kaspersky защитава потребителски имена и пароли при пренос и изкоренява изоставени акаунти, които могат да помогнат на хакерите.
- Откриване и реакция на крайна точка (EDR) – споделяне на разузнаване за заплахи, докладвано от софтуера за сигурност на крайната точка към централна база данни. Тези данни се анализират чрез автоматизирани процеси и анализатори на човешката киберсигурност, след което се обобщават и разпространяват като „индикатори за компрометиране“ (IoC).
- Устойчивост на сигурността – софтуерът е в състояние да се защити от манипулиране или изключване от злонамерени процеси.
- Пълно дисково криптиране (FDE) – опцията за защита на диск с криптиране е уникална функция на пазара за защита на крайни точки. Kaspersky използва 256-битово AES криптиране. Това е особено полезна функция, когато компаниите използват мобилни устройства, които лесно могат да бъдат изгубени или откраднати.
- Криптиране на ниво файл на Kaspersky – алтернативна стратегия за сигурност на данните на FDE. Системните администратори могат да наложат автоматично криптиране на файлове според типа и местоположението на файла. Потребителите могат също така да криптират файлове при поискване за прехвърляне по имейл или върху USB памети.
- Контрол на достъпа до крайни точки – това е помощна програма в конзолата на Центъра за сигурност и се интегрира с Active Directory за защита на достъпа до крайни точки.
Kaspersky Endpoint Security е много изчерпателен защитен пакет. Той дори се простира до защита на данни, което е задача, която повечето платформи за защита на крайни точки не включват.
Професионалисти:
- Предлага криптиране на ниво файл за защита на локално съхранени данни на крайни точки
- Интегрира се с AD за контрол на достъпа и базирана на политики конфигурация
- Предлага разширени шаблони за предупреждения и локално съхранени връщания назад
- Използва анализ на поведението, за да идентифицира неизвестни преди това заплахи
Минуси:
- Базираните в САЩ компании може да бъдат ограничени да използват чуждестранни решения за сигурност
CrowdStrike Falcon
CrowdStrike започва работа през 2011 г. като консултантска фирма за киберсигурност. През първите няколко години от съществуването си компанията постигна голяма известност, като откри някои от най-големите пробиви в сигурността в историята и помогна на жертвите да защитят своите системи. Например, компанията откри голямото събитие за кражба на данни, което се случи в базата данни на SONY Pictures през 2014 г., и работи за Демократическата партия на САЩ след хакването на имейли от 2016 г., за да им помогне да втвърдят своите цифрови защити. Ръководителят на консултантския отдел на компанията е бившият ръководител на кибер отдела на ФБР Шон Хенри.
CrowdStrike Falconбеше голямото движение на компанията на пазара на софтуер. Системата е „платформа за защита на крайни точки“ (EPP), което означава, че е набор от приложения.
CrowdStrike рекламира Falcon като „доставен от облака“. В действителност голяма част от задачите, които защитават крайните точки, се изпълняват от приложения, разположени на самото устройство. Необичаен аспект на системата CrowdStrike Falcon е, че тя включва планове, които включват услугите на анализатори за човешка киберсигурност.
Друга отличителна черта на Falcon е, че се продава в издания. Това позволява на клиента да избере кои модули да включи в платформата. Тези модули са:
- Falcon Prevent – Антивирусен софтуер и защитна стена от следващо поколение.
- Falcon Intelligence – Механизъм за разузнаване на заплахи.
- Falcon Insight – Откриване и реакция на крайна точка (EDR) за борба с напреднали постоянни заплахи.
- Falcon Overwatch – Лов на заплахи от човешки експерти.
- Falcon Discover – Скенер за уязвимости.
- Falcon Device Control – Система за наблюдение на USB памети.
Пакетите, предлагани от CrowdStrike, позволяват на клиента да закупи само някои или повечето от тези модули. Изданията на CrowdStrike Falcon са:
- Falcon Pro – включва Falcon Prevent и Falcon Intelligence.
- Falcon Enterprise – включва Falcon Prevent, Falcon Intelligence, Falcon Insight и Falcon Overwatch.
- Falcon Premium – включва Falcon Prevent, Falcon Intelligence, Falcon Insight, Falcon Overwatch и Falcon Discover.
- Falcon Complete – Управлявана услуга за сигурност на крайни точки, която включва ресурсите на всички модули.
Нито един от пакетите не включва Falcon Device Control . Това е добавка към изданията и контролира предоставения достъп до USB памети. Приложението блокира USB портовете на защитеното устройство и предотвратява свързването на USB устройства към операционната система на компютъра. Чрез конзолата за управление администраторът може да оторизира определени устройства. Тези изчистени памети ще могат да взаимодействат с компютъра, докато всички други USB устройства остават блокирани.
Falcon Complete е управлявана услуга. Това означава, че не е необходимо да обучавате някой от вашия ИТ обслужващ персонал да използва системата CrowdStrike. Екип от техници в централата на CrowdStrike наблюдава сигурността на вашите крайни точки и предприема действия, когато е необходимо. След това агентският софтуер все още трябва да бъде инсталиран на всеки защитен компютър. Пакетът Falcon Complete включва използването на всички модули на Falcon и човешки анализатори.
The Falcon Premium изданието е най-високият план, който можете да управлявате сами. Той включва всички модули с изключение на Falcon Device Control. Модулът Falcon Discover се предлага само в пакета Premium, което е жалко. Falcon Discover е скенер за уязвимости, който става все по-необходим инструмент в киберсигурността. Възможно е някои клиенти просто да искат основния пакет за защита на крайната точка на Falcon Pro плюс Falcon Discover, без да се налага да плащат и за Falcon Insight и Falcon Overwatch.
Базовото издание, Falcon Pro е много добра оферта и предоставя всички функции за защита, които представляват цялата EPP в някои конкурентни системи за защита на крайни точки. Сделката Pro включва net-gen AV, който търси модели на поведение, вместо да сканира за наличие на файлове, които са записани в черен списък. TheFalcon Intelligenceмодулът е базирана на AI система за машинно обучение, която също търси подозрително поведение. Докато Falcon Prevent проверява всеки процес за аномално поведение, Falcon Intelligence проследява поредици от събития, които биха показали хакерско проникване. Falcon Intelligence е система за предотвратяване на проникване. Всички инсталирани екземпляри на приложението по целия свят допринасят за система за разузнаване на заплахи, като качват доклади за инцидентите, с които са се борили.
Falcon Enterprise допълва Falcon Insight и Falcon Overwatch към модулите, налични в изданието Falcon Pro. Falcon Insight търси доказателства за напреднали постоянни заплахи (APT). Тези прониквания са дългосрочни неоторизирани нахлувания в системата, като хакерът създава акаунт за редовен достъп. Falcon Overwatch е модул за подпис. Той прави услугите на добре уважавания анализ на киберсигурността на компанията. Тези експерти претърсват регистрационните данни, качени от Falcon X, за да търсят сигнали за проникване, които автоматизираните ловци на заплахи може да са пропуснали. Можете да проверите CrowdStrike Falcon на 15-дневен безплатен пробен период.
Професионалисти:
- Не разчита само на регистрационни файлове за откриване на заплахи, използва сканиране на процеса, за да открие заплахи веднага
- Действа като HIDS и инструмент за защита на крайни точки в едно
- Може да проследява и предупреждава за необичайно поведение с течение на времето, подобрява се колкото по-дълго следи мрежата
- Може да се инсталира или на място, или директно в облачна архитектура
- Леките агенти няма да забавят сървърите или устройствата на крайните потребители
Минуси:
- Ще има полза от по-дълъг 30-дневен пробен период
Kaspersky Endpoint Security и CrowdStrike Falcon
Kaspersky Endpoint Security и CrowdStrike Falcon имат много общи фактори. И двете системи включват традиционни AV и елементи на защитна стена, но изпълняват задачите за блокиране на зловреден софтуер по иновативни начини. И двете изискват инсталиране на софтуер в крайната точка, като същевременно правят централна конзола за управление достъпна за системните администратори.
Разглеждайки списъците с модули, които всяка платформа включва, е невъзможно да не заключим това системата Kaspersky е по-всеобхватна . Въпреки това обвиненията в „руски шпионаж“, повдигнати от Министерството на вътрешната сигурност на САЩ, означават, че много фирми в САЩ вероятно ще зачеркнат тази опция от списъка си.
Процесът, който задейства предупреждението за сигурност на САЩ, беше EDR модулът на софтуера. Това качи подробности за атаката в глобалната база данни за заплахи на Kaspersky, която също е достъпна за анализаторите на Kaspersky за киберсигурност в Москва. За съжаление, потребителят на тази конкретна крайна точка е служител на Агенцията за национална сигурност (NSA). Това, заедно с неоснователните обвинения, че Касперски тайно поддържа връзка с ФСБ на Русия, може да ви накара изберете софтуера на CrowdStrike въпреки факта, че компанията открито си сътрудничи с американските агенции за национална сигурност. Възползвайте се от 15-дневен безплатен пробен период на Falcon Pro, за да го изпробвате.
Kaspersky продава своя софтуер Endpoint Security като част от Kaspersky Total Security, който се предлага на 30-дневен безплатен пробен период . Предлага се и като Kaspersky Endpoint Security for Business Advanced на 30-дневен безплатен пробен период , Kaspersky Endpoint Security for Business Изберете за 30-дневен безплатен пробен период , и Kaspersky Endpoint Security Cloud с 30-дневен безплатен пробен период .
След като сте тествали тези две системи, оставете съобщение в Коментари раздел по-долу, за да споделите мненията си с общността.