Vor kurzem haben eine Welle von dedizierten Incident-Response-Lösungen als "Endpunkt Erkennung und Reaktion" oder "EDR" bekannte Werkzeuge entstanden. Ich schrieb über dieses Phänomen, und versprach, über die verschiedenen Unternehmen zu berichten, die EDR-Tools und Lösungen zu verkaufen.

Heute präsentiere ich die erste meiner Berichte, eine neutrale und objektive Diskussion von Carbon Black, die von wo ich sitze, ein EDR-Kraftpaket ist. Einige Forschung Anmerkungen: 1) I Einsatz tatsächlich Carbon Black im Rahmen eines großen Daten Verletzung Antwort Engagement; und 2) Letzte Woche sprach ich ausführlich mit Ben Johnson, einer der Gründer von Carbon Black (mit dem ich noch nie getroffen oder vorher gesprochen).

Einige Hintergrundinformationen auf EDRs.

Typischerweise innerhalb eines Streifens von IT-Geräten, einschließlich Domänencontrollern installiert, Datenbankserver und Workstations bieten EDR Technologien eine laufende reich und eingehende von verhaltensbasierten Anomalieerkennung und akute Einblick in Bedrohungen aller Sorten, nicht nur Malware. Durch die Bereitstellung von Instant-Aggregat Bedrohungsinformationen und verringert die gezielte Angriffe "Verweilzeit", EDR-Lösungen Unternehmen Erkennbarkeit verbessern und gegen interne Bedrohungen und malfeasance helfen.

Zum Beispiel: Angenommen ein Unternehmensnetzwerk-Scan einen Indikator für Kompromiss oder eine andere Anomalie oder Form von Malware in seinen Systemen zeigt. Natürlich ergeben sich viele sofort Fragen wie: Wie die Datei dort bekommen habe? Wie lange war es da? Wo wurde die Datei, bevor entdeckt zu werden? Welche anderen Computern hat es eröffnet am worden? Wenn es ausgeführt wird, was hat es zu tun?

Für die meisten Organisationen ist die erforderlichen Informationen, um diese Fragen zu beantworten, benötigt nicht aktiv eingefangen werden. Dies ist, warum die meisten internen Datenschutzverletzungen Untersuchungen mit manueller Datenerhalt kick off und Erwerb, Dateisystem-Forensik und Datei-Analyse auf alle Daten anmelden, nachdem der Verdacht auf Verletzung angehäuft und gesammelt - was zu oft ist eine zeitraubende, teure und langwierige IR bohren. Durch eine kontinuierliche Überwachung und Aufzeichnung von Aktivitäten auf Endgeräte und Server, EDR-Tools bewältigen diese Herausforderung frontal.

EDR-Tools reduzieren die Notwendigkeit einer solchen After-the-fact teuer und ermüdende Datensammlungen, während auch: 1) die Identifizierung der Ursachen und Angriffsvektoren von Datenschutzverletzungen zu beschleunigen; und 2) die Verringerung der Kosten, die Komplexität und die Zeit der internen Untersuchungen und regulatorische Antwort.

Die neue EDR Paradigm.

EDR-Tools haben ruhig in einer neuen Generation von Cyber ​​eingeläutet, mehr in Richtung der Cyber-Paradigma der Reaktion darauf ausgerichtet, anstatt Prävention und Erkennung, die weitaus realistischer und wirksam ist. Jedes Unternehmen kann eine Datenschutzverletzung erleben - und wahrscheinlich schon hat. Deshalb Unternehmen Cyber-Praktiken zu verschieben müssen weg von der Prävention und Erkennung und Neukalibrierung Cyber ​​in einer effektiveren Urbild der Reaktion.

Wenn Unternehmen versuchen, Datenmissbrauch zu verhindern, dass zu viel verlassen sich auf übliche Schutz von Intrusion Detection und Firewalls, sind sie ebenso fehl am Platz wie Eltern ihre Kinder versuchen zu verhindern, dass Erkältungen, indem sie sich auf der Hand zu waschen und mehrere Kleidungsschichten zu kontrollieren. Die intelligentere Verfahren für Datenschutzverletzungen Bekämpfung (wie Erkältungen), die Anstrengungen und die Vorbereitung darauf konzentrieren, wie zu enthalten, zu behandeln und zu heilen, das Problem, so schnell und so schmerzlos wie möglich. Die Führungskräfte sollten diesen Realismus, anstatt die Phantasie der ironclad Sicherheit predigen.

EDRs sind die Grundlage für das neue Paradigma der Sicherheit im Internet: wo technologische Infrastruktur dramatisch erweitert; wo Datenpunkte befinden sich auf mehreren Plattformen (einschließlich Mitarbeiter-Geräte, Lieferantennetzwerke und der Cloud); und wo Datenschutzverletzungen definieren nicht Opfer Unternehmen; wie sie darauf reagiert. Carbon Black umfasst dieses neue Paradigma.

Carbon Black: Was tut sie?

Durch die kontinuierliche Aufzeichnung Endpunkt, maßgeschneiderte Erkennung, Live-Reaktion, Sanierung und Bedrohung zu verbieten, macht Carbon Black erweiterte Bedrohungen besser zu erkennen und schneller zu enthalten. Die Carbon Black-Lösung bietet kontinuierliche Echtzeit-Einblick in das, was auf jedem Computer in Echtzeit zur Erkennung von Bedrohungen und Warnungen und eine proaktive und anpassbare Linse in die "Kill Kette" eines Angriffs passiert.

Carbon Black verlässt traditionellen Signaturerkennung, die als berühmte Cyber ​​Blogger Brian Krebs geschrieben hat, "Kurz gesagt, wie ich immer wieder, bemerkt haben, wenn Sie auf Ihrem Antivirus zählen Sie oder Ihre Mitarbeiter vor den neuesten Bedrohungen zu retten, Sie können in die Straße hinunter ein böses Erwachen sein. "

Carbon Black der Datenerfassung ist forensisch einwand und dabei nicht verändert aufgrund der spezifischen Merkmale der Daten sammelt oder Kopien. Carbon Black ist auch aufmerksam von Bedenken hinsichtlich der Privatsphäre von "anonimizing", um die Daten, die sie sammelt (es im Wesentlichen als Metadaten-Rendering).

Insbesondere bietet Carbon Black fünf Kernfähigkeiten: Sichtbarkeit, Erkennung, Reaktion, Schutz und Integration.

Carbon Black: Sichtbarkeit.

Anstatt reaktiv Scannen, Carbon Black zeichnet kontinuierlich die kritischen Daten, die mehrere Formen der Bedrohungsabwehr zu nutzen, baut individuelle Bedrohungserkennung und reagiert im Moment des Kompromisses. Das bedeutet, dass Carbon Black, die die Beziehungen der einzelnen Dateiausführung sammelt, Dateiänderung, Änderung an der Registry, Netzwerkverbindung und prozessübergreifende Veranstaltung, während eine Kopie jeder ausgeführten binären für alle gängigen Betriebssysteme (Windows, Mac OS X und Linux) beibehalten wird.

Anstatt Remote-Verbindungen erfordern, Carbon Black speichert historische Daten in einer zentralen Einrichtung, im Einsatz vor Ort oder in der Cloud als Hosted Service zur schnellen One-Stop-Shopping Remote-Zugriff. Von einer Konsole kann ein Ermittler ein gesamtes Unternehmen zu analysieren. Dies reduziert die anfängliche (und sehr teuer) Phase der Reaktion auf Vorfälle, wo die Erhaltung der Daten und den Zugriff auf Daten kann Wochen dauern.

Durch das Ersetzen reaktiv "After-the-fact" manuelle Datenerfassung mit proaktiven kontinuierliche Überwachung und Aufzeichnung aller Aktivitäten auf Endpunkten und Servern, Carbon Black IR-Teams bietet die Möglichkeit, "das Band zurückrollen", um die Ursache eines Angriffs zu identifizieren, das ist einer der kritischsten Aspekte eines IR Untersuchung. Diese retrospection ist, was EDR-Tools so anders macht - und so mächtig. Durch Carbon-Black gapless aufgezeichneten Geschichte und Visualisierung des gesamten Angriffs töten Kette, IR-Teams, ob intern oder extern, kann im Moment der Entdeckung reagieren und sich erholen.

So oft kommt ein IR-Team vor Ort und historische Daten verloren gegangen ist, Stück für Stück oder in anderer Weise unvollständig, was Kritik auslösen kann, nicht nur von Kunden, Lieferanten und Partnern, sondern auch von Aufsichtsbehörden und Strafverfolgungsbehörden. Durch die Aufrechterhaltung Unternehmen ein Daten-Repository von relevanten Verletzung Informationen kann die unvermeidliche Schar von Nörgler vermeiden, die nach vorne nach einer Verletzung kommen (und die außergewöhnliche ziehen auf einem ansonsten untadeligen und hart arbeit Management-Team ausüben kann).

Eine zentrale Daten-Repository beschneidet auch die typischen Rechts von Depot Interviews entstandenen Gebühren. Durch die Aufrechterhaltung einer zentralen Datenablage eines methodisch gespeicherten historischen Daten-Set, gibt es weniger eine Notwendigkeit Hüter über ein Interview, welche Daten befindet sich auf ihren Maschinen.

In der Tat, im Einklang und unterstützt die Carbon Black technologisch Methodik für die Datenerhebung ist wahrscheinlich zuverlässiger, überzeugender und zuverlässiger als Erkenntnisse aus Depot Interviews. Interviews über die auf einem Depot der Workstation gespeicherten Daten sind immer problematisch gewesen; egal wie technisch versierte und erfahrene Anwender (und sogar Administratoren) verstehen selten genau, welche Daten auf ihren eigenen Maschinen wohnt, und sind selten in der Lage, kompetent in diese Richtung zu bezeugen.

Carbon Black: Erkennung und Reaktion.

Carbon Black Drohung Feeds Sicherheitsteams ermöglichen Bedrohungsvektoren über Systeme wie Dateien überwachen und zu prüfen, aus dem Papierkorb, verdächtige Prozessnamen oder Erweiterungen, Backdoor-Installationen, Ransomware, Host-Dateiänderungen ausführt, Firewall, fehlerhafte Dokumente, verdächtigen Angriffsprozesse Manipulation, Geolokalisierung Speer, Phishing-Attacken und vieles mehr.

eine Carbon Black Lizenz Einkauf beinhaltet Threat Intelligence Carbon Black aus Millionen von Endpunkten umsetzbare Indikatoren von böswilligen Angriff Verhaltensweisen und des Kompromisses zu entwerfen aggregiert hat und zu veröffentlichen. Viele IR-Firmen unterhalten eigene Bibliotheken von Indikatoren des Kompromisses, aber da Carbon-Black kontinuierliche Datenerfassung, ihre Forschungsteams liefern eine praktische Intelligenz Bibliothek, vielleicht noch umfassender und aktueller als die beste IR-Beratungsunternehmen.

Carbon Black bietet auch ihre eigenen Threat Intelligence Cloud Angriff Classification Service, der bietet weitreich Angriff Kontext und Zuschreibung Unternehmen dabei zu helfen, die Art der Angreifer zu identifizieren, Herkunftsland, im Zusammenhang mit Angriffen, und ihre Taktik, Techniken und Verfahren.

Ich bin immer skeptisch Angreifer Profile. Nach meiner Erfahrung sind Angreifer Profile oft falsch und sie identifizieren zu viel von einer Ablenkung von den wichtigen Aufgaben bei der Hand, wie Eindämmung und Sanierung werden kann. Doch die mehrere Wahlkreise durch eine Datenschutzverletzung betroffen wollen die Identität des Angreifers zu wissen, vor allem, wenn der Täter eine ausländische Regierung ist. Außerdem, wenn ein Unternehmen eine Datenschutzverletzung zu untersuchen nicht zumindest einige der Identifizierung Züge der Angreifer feststellen kann, riskiert das Unternehmen schwach, unbeholfen oder gar unfähig erscheinen.

In diese Richtung Service-Carbon Black-Klassifikations- könnte in beschwichtigende die Anliegen der vielen betroffenen Wahlkreise von Datenschutzverletzungen, vor allem Kunden, Partnern, Lieferanten, Behörden, Strafverfolgung und sogar Mitarbeiter von Nutzen sein - von denen alle erwarten, dass eine Verletzung Opfer einige zu entdecken Intelligenz auf die Angreifer beziehen.

Carbon Black: Schutz.

Wenn die Netzwerksicherheit oder Malware Detonation Lösungen von Malware im Netzwerk erkennen, Carbon Black Datensätze, in denen sich die Malware gelandet, wenn sie ausgeführt und welche anderen Dateien oder Prozesse wurden als Ergebnis hervorgebracht. Carbon Black sieht für jede Art von Anomalie, wie Dateiregistrierungsänderungen; ungewohnt ausführbaren Dateien; Treiber Aktivierungen; Dateisystemänderungen; ungewöhnliche Netzwerkprotokollierung; und andere Abweichungen.

Ebenso Carbon Black braucht nicht in einem gesamten Netzwerk implementiert werden. Carbon Black kann nur auf Schlüsselservern und Kern-Infrastruktursysteme und Benutzergruppen geladen werden, die viel genauere Kontrolle ihrer Systeme benötigen, damit eine einfache Möglichkeit, die Bereitstellung von Administratoren mit unnötigen und / oder gefährliche Werkzeuge zu Key-Server zu halten.

Carbon Black: Integration.

Eine große Sorge über jeden Internetsicherheit Lösung ist, ob es erfolgreich in eine IT-Umgebung integriert werden kann und zu einem zuverlässigen und nicht störend, Bestandteil eines Sicherheits Stack des Unternehmens. CISO ist, CIO und CTO auch Sorgen über so genannte "Agenten Müdigkeit", in denen IT-Administratoren müssen überwachen: Agenten Antiviren beziehen; Host-basierte Agent Intrusion-Detection-Systeme; Compliance-Agenten-Software zu verfolgen; und die Liste geht weiter. Darüber hinaus dienen verschiedene Agenten verschiedene Zwecke, zu kommunizieren, um verschiedene Steuerungsservern und sogar von verschiedenen IT-Gruppen verwaltet werden kann, versehentlich eine unzusammenhängende Cyber-Hierarchie zu schaffen.

Carbon Black reduziert Mittel Müdigkeit auf zwei Arten. Erstens, indem sie in einer Funktion kombiniert, was viele diskrete Mittel bereits tun können, reduziert Carbon Black die Anzahl der Agenten in einem System erforderlich. Zweitens wurde Ruß entwickelt und sein geringes Gewicht ausgelegt, minimal-invasive und leicht zu integrieren. Carbon Black-Aktivitäten haben keinen Einfluss auf den Endpunkt und sind "geringe Auswirkungen" insgesamt; seine Arbeit wird von dem Server (zum Beispiel für die Suche: Muster nicht für bestimmte Hash-Suche, IP oder Domain-Informationen, ungewöhnliche Dateien oder seltsames Verhalten) durchgeführt.

Mit anderen Worten, da die Carbon Black in Echtzeit unterhält, immer auf Kommunikation, entfernen Sie ihre Aktivitäten um den Stress aus der Endpunkt von End-Servern nutzen zurück. Keine Scans, keine Notwendigkeit für außerhalb der Geschäftszeiten auf Ergebnisse warten, und Carbon Black Agent sitzt angeblich bei weniger als 1% CPU, ein sehr geringes Gewicht.

Ich habe eine Datenschutzverletzung Antwort gearbeitet, wo Carbon Black schnell installiert wurde (innerhalb weniger Tage), und mit ein wenig Hilfe von Carbon Black-Techniker konnten wir den Kunden zu berichten, die Regulierungsbehörden und Partnern, dass Carbon Black war und läuft. Dies gab Führungskräfte innerhalb des Unternehmens sowie skeptische Wähler außerhalb des Unternehmens, eine sofortige Vertrauen, dass die Datenschutzverletzung Antwort war kräftig, durchdacht und auf dem richtigen Weg.

Assimilation in Netzwerk-Sicherheit, Analytik und SIEM können Herausforderungen für jede IT-Umgebung präsentieren, die geringes Gewicht Genetik des Carbon-Black-Tool zusammen mit ihren jetzt erlebt Integrationsteam, obwohl jedes Systems prophezeit eine schnelle und einfache Umsetzung. Wie ein Haussicherheitssystem beefing, kann es erforderlich sein, ein paar trockene Löcher in die Wand zu schlagen, aber am Ende ist die Störung relativ gering.

Carbon Black Allianzen.

Über 60 IR-Firmen haben bereits Carbon Black eine Kernkomponente ihrer Erkennung und Reaktion Dienste gemacht, darunter zum Beispiel Kroll, die einen Teil der sind. Laut Kroll, stärkt Haltung allgemeine Sicherheit eine IR-Firma mit einem Werkzeug wie Carbon Black kombiniert, beschleunigt die Bereitstellung mal auf und nutzt die Integration zu einem günstigeren Gesamtkosten. "Unsere Expertenteams mit Carbon Black Ausrüsten rationalisiert die Antwort und Recovery-Prozess mehr als je zuvor", sagt Tim Ryan, Kroll Geschäftsführer und Leiter der Cyber-Untersuchungen der Praxis (und ein ehemaliger FBI-Agent, der Supervisory Special Cyber-Angriffe untersucht). "Durch den Beitritt [die Carbon Black-Allianz] Programm kombinieren wir die besten Leute und die besten Technologien auf dem Markt gegen fortschrittliche Angriffe und gezielte Malware zu bekämpfen."

Carbon Black-Clients und Kosten.

Carbon Black hat sich in den letzten Jahren stark gewachsen und hat heute über 450 Mitarbeiter und 800 bestehende Kunden (2000 Kunden, wenn Sie ihre Bit9 Produkt enthält, die ein ähnliches Produkt-Angebot ist), mit Lizenzen an Unternehmen zugeschrieben mit so viele wie Hunderte von tausende von Endpunkten, so wenig wie 50 Abonnement Kosten für eine Lizenz sind in der Regel für ein bis drei Jahre, mit einem Standardpreis von $ 30 ein Endpunkt für ein Jahr (ein Endpunkt kann als Computer oder Laptop oder so dynamisch wie ein so einfach sein Linux-Server High-Power - und irgendetwas dazwischen). Carbon Black bietet eine 30-Tage-Evaluierungszeitraum für seine Kunden sowie Schulungen und Vor-Ort-technische Unterstützung.

Carbon Black ermöglicht auch Kunden auf "Drossel", die Daten sammelt und Aggregate, und bauen eine maßgeschneiderte Daten-Repository in einzigartiger Weise geeignet für eine Client-Fähigkeiten und Anforderungen, entweder in einem Datensatz oder einzelne Untergruppen (und, falls gewünscht, die jeweils mit unterschiedlichen Lebensdauern).

Carbon Black die Kosten können mehr als die Lizenzgebühr sein, weil Kunden Zahl hinzufügen müssen den Zustrom von intelligenter und umfassendere Informationen zu handhaben. Aber die Kosteneinsparungen werden auch im Laufe der Zeit exponentiell sein, angesichts der schnellen Reaktionsfähigkeit des Werkzeugs und die Reduktion der typischen Erhaltung und "" digitale Forensik der meisten Datenschutzverletzungen Antwort Workflow. Carbon Black speziell behauptet, dass Carbon Black nach der Installation, die Kunden mit weniger mehr tun, während sie wahrgenommen wird mehr Mitarbeiterzahl zu verlangen, dass ist in der Regel nicht der Fall. Having said that, Carbon Black, eine langfristige Beziehung zu seinen Kunden sucht, weil Carbon Black-Kunden bei Carbon Black suchen "wirklich sie ihr Programm erneuern und Cyber-Sicherheit Rockstars werden zu helfen."

Schlussfolgerung.

Traditionelle Cyber-Technologie Steuerungen wie signaturbasierte Technologie und Antivirus werden durch maßgeschneiderte gezielte Malware-Angriff Toolkits und Fortgeschrittene, organisiert, hartnäckig Angreifer absichtlich umgangen. Entlang dieser Linien, haben viele Organisationen eingeräumt bereits, dass ihre traditionellen Anti-Malware-Abwehr versagt haben und dass eine Endpunktdetektion Strategie ist die beste Lösung.

Einige haben eingeräumt, dass auch die Echtzeit "Intelligenz Fütterung" von EDR-Tools bald ein Corporate Cyber ​​zum Standard wird, Antivirus als Eckpfeiler des typischen Cybersicherheits Stack übertraf; Ich bin fest in ihrem Lager. Aus meiner Sicht wird EDR in Sicherheit Mandate wie PCI und andere Regelung basierte Sicherheitsanforderungen festgelegt werden (die bereits vage sind und werden ständig weiterentwickelt).

Kurz gesagt, ist Carbon Black eine starke Lösung. Es ist ein leistungsfähiges IR-Tool, nicht nur gekonnt und elegant entworfen, sondern auch von einem bewährten, erfahrenen, motivierten und talentierten Corporate-Team betreut.

Nach einer Datenschutzverletzung, beeinflusst Wahlkreise (wie Kunden, Partnern, Lieferanten, Behörden und der Rest) Ruf nach innovativen Lösungen zur Angriffserkennung zu unterstützen und die Reaktion auf Vorfälle zu stärken. Ich habe miterlebt, wie Carbon Black können diese Opfer Wähler beeindrucken, und obwohl kein Allheilmittel oder Silberkugel, kann robuste IR Kompetenz und die nötigen Mittel nachzuweisen.

Ich schlage vor, unter Berücksichtigung Carbon Black für jedes Corporate Unternehmen. Fragen Sie nach einem Demo - wie ich vor langer Zeit gelernt in meinem ersten Jahr in der juristischen Fakultät: res ipsa loquitur (die Umstände sprechen für sich).

Bleiben Sie für weitere Bewertungen gestimmt. . . next up: Tanium.