Vor kurzem haben eine Welle von dedizierten Incident-Response-Lösungen als "Endpunkt Erkennung und Reaktion" oder "EDR" bekannte Werkzeuge entstanden. Ich schrieb über dieses Phänomen, und versprach, über die verschiedenen Unternehmen zu berichten, die EDR-Tools und Lösungen zu verkaufen.

Heute präsentiere ich die erste meiner Berichte, eine neutrale und objektive Diskussion von Carbon Black, die von wo ich sitze, ein EDR-Kraftpaket ist. Einige Forschung Anmerkungen: 1) I Einsatz tatsächlich Carbon Black im Rahmen eines großen Daten Verletzung Antwort Engagement; und 2) Letzte Woche sprach ich ausführlich mit Ben Johnson, einer der Gründer von Carbon Black (mit dem ich noch nie getroffen oder vorher gesprochen).

Einige Hintergrundinformationen auf EDRs.

Typischerweise innerhalb eines Streifens von IT-Geräten, einschließlich Domänencontrollern installiert, Datenbankserver und Workstations bieten EDR Technologien eine laufende reich und eingehende von verhaltensbasierten Anomalieerkennung und akute Einblick in Bedrohungen aller Sorten, nicht nur Malware. Durch die Bereitstellung von Instant-Aggregat Bedrohungsinformationen und verringert die gezielte Angriffe "Verweilzeit", EDR-Lösungen Unternehmen Erkennbarkeit verbessern und gegen interne Bedrohungen und malfeasance helfen.

Zum Beispiel: Angenommen ein Unternehmensnetzwerk-Scan einen Indikator für Kompromiss oder eine andere Anomalie oder Form von Malware in seinen Systemen zeigt. Natürlich ergeben sich viele sofort Fragen wie: Wie die Datei dort bekommen habe? Wie lange war es da? Wo wurde die Datei, bevor entdeckt zu werden? Welche anderen Computern hat es eröffnet am worden? Wenn es ausgeführt wird, was hat es zu tun?

Für die meisten Organisationen ist die erforderlichen Informationen, um diese Fragen zu beantworten, benötigt nicht aktiv eingefangen werden. Dies ist, warum die meisten internen Datenschutzverletzungen Untersuchungen mit manueller Datenerhalt kick off und Erwerb, Dateisystem-Forensik und Datei-Analyse auf alle Daten anmelden, nachdem der Verdacht auf Verletzung angehäuft und gesammelt - was zu oft ist eine zeitraubende, teure und langwierige IR bohren. Durch eine kontinuierliche Überwachung und Aufzeichnung von Aktivitäten auf Endgeräte und Server, EDR-Tools bewältigen diese Herausforderung frontal.

EDR-Tools reduzieren die Notwendigkeit einer solchen After-the-fact teuer und ermüdende Datensammlungen, während auch: 1) die Identifizierung der Ursachen und Angriffsvektoren von Datenschutzverletzungen zu beschleunigen; und 2) die Verringerung der Kosten, die Komplexität und die Zeit der internen Untersuchungen und regulatorische Antwort.

Die neue EDR Paradigm.

EDR-Tools haben ruhig in einer neuen Generation von Cyber ​​eingeläutet, mehr in Richtung der Cyber-Paradigma der Reaktion darauf ausgerichtet, anstatt Prävention und Erkennung, die weitaus realistischer und wirksam ist. Jedes Unternehmen kann eine Datenschutzverletzung erleben - und wahrscheinlich schon hat. Deshalb Unternehmen Cyber-Praktiken zu verschieben müssen weg von der Prävention und Erkennung und Neukalibrierung Cyber ​​in einer effektiveren Urbild der Reaktion.

Wenn Unternehmen versuchen, Datenmissbrauch zu verhindern, dass zu viel verlassen sich auf übliche Schutz von Intrusion Detection und Firewalls, sind sie ebenso fehl am Platz wie Eltern ihre Kinder versuchen zu verhindern, dass Erkältungen, indem sie sich auf der Hand zu waschen und mehrere Kleidungsschichten zu kontrollieren. Die intelligentere Verfahren für Datenschutzverletzungen Bekämpfung (wie Erkältungen), die Anstrengungen und die Vorbereitung darauf konzentrieren, wie zu enthalten, zu behandeln und zu heilen, das Problem, so schnell und so schmerzlos wie möglich. Die Führungskräfte sollten diesen Realismus, anstatt die Phantasie der ironclad Sicherheit predigen.

EDRs sind die Grundlage für das neue Paradigma der Sicherheit im Internet: wo technologische Infrastruktur dramatisch erweitert; wo Datenpunkte befinden sich auf mehreren Plattformen (einschließlich Mitarbeiter-Geräte, Lieferantennetzwerke und der Cloud); und wo Datenschutzverletzungen definieren nicht Opfer Unternehmen; wie sie darauf reagiert. Carbon Black umfasst dieses neue Paradigma.

Carbon Black: Was tut sie?

Anstatt reaktiv Scannen, Carbon Black zeichnet kontinuierlich die kritischen Daten, die mehrere Formen der Bedrohungsabwehr zu nutzen, baut individuelle Bedrohungserkennung und reagiert im Moment des Kompromisses. Das bedeutet, dass Carbon Black, die die Beziehungen der einzelnen Dateiausführung sammelt, Dateiänderung, Änderung an der Registry, Netzwerkverbindung und prozessübergreifende Veranstaltung, während eine Kopie jeder ausgeführten binären für alle gängigen Betriebssysteme (Windows, Mac OS X und Linux) beibehalten wird.

Durch das Ersetzen reaktiv "After-the-fact" manuelle Datenerfassung mit proaktiven kontinuierliche Überwachung und Aufzeichnung aller Aktivitäten auf Endpunkten und Servern, Carbon Black IR-Teams bietet die Möglichkeit, "das Band zurückrollen", um die Ursache eines Angriffs zu identifizieren, das ist einer der kritischsten Aspekte eines IR Untersuchung. Diese retrospection ist, was EDR-Tools so anders macht - und so mächtig. Durch Carbon-Black gapless aufgezeichneten Geschichte und Visualisierung des gesamten Angriffs töten Kette, IR-Teams, ob intern oder extern, kann im Moment der Entdeckung reagieren und sich erholen.

So oft kommt ein IR-Team vor Ort und historische Daten verloren gegangen ist, Stück für Stück oder in anderer Weise unvollständig, was Kritik auslösen kann, nicht nur von Kunden, Lieferanten und Partnern, sondern auch von Aufsichtsbehörden und Strafverfolgungsbehörden. Durch die Aufrechterhaltung Unternehmen ein Daten-Repository von relevanten Verletzung Informationen kann die unvermeidliche Schar von Nörgler vermeiden, die nach vorne nach einer Verletzung kommen (und die außergewöhnliche ziehen auf einem ansonsten untadeligen und hart arbeit Management-Team ausüben kann).

Eine zentrale Daten-Repository beschneidet auch die typischen Rechts von Depot Interviews entstandenen Gebühren. Durch die Aufrechterhaltung einer zentralen Datenablage eines methodisch gespeicherten historischen Daten-Set, gibt es weniger eine Notwendigkeit Hüter über ein Interview, welche Daten befindet sich auf ihren Maschinen.

In der Tat, im Einklang und unterstützt die Carbon Black technologisch Methodik für die Datenerhebung ist wahrscheinlich zuverlässiger, überzeugender und zuverlässiger als Erkenntnisse aus Depot Interviews. Interviews über die auf einem Depot der Workstation gespeicherten Daten sind immer problematisch gewesen; egal wie technisch versierte und erfahrene Anwender (und sogar Administratoren) verstehen selten genau, welche Daten auf ihren eigenen Maschinen wohnt, und sind selten in der Lage, kompetent in diese Richtung zu bezeugen.

Carbon Black: Erkennung und Reaktion.

Carbon Black Drohung Feeds Sicherheitsteams ermöglichen Bedrohungsvektoren über Systeme wie Dateien überwachen und zu prüfen, aus dem Papierkorb, verdächtige Prozessnamen oder Erweiterungen, Backdoor-Installationen, Ransomware, Host-Dateiänderungen ausführt, Firewall, fehlerhafte Dokumente, verdächtigen Angriffsprozesse Manipulation, Geolokalisierung Speer, Phishing-Attacken und vieles mehr.

Nach einer Datenschutzverletzung, beeinflusst Wahlkreise (wie Kunden, Partnern, Lieferanten, Behörden und der Rest) Ruf nach innovativen Lösungen zur Angriffserkennung zu unterstützen und die Reaktion auf Vorfälle zu stärken. Ich habe miterlebt, wie Carbon Black können diese Opfer Wähler beeindrucken, und obwohl kein Allheilmittel oder Silberkugel, kann robuste IR Kompetenz und die nötigen Mittel nachzuweisen.

Ich schlage vor, unter Berücksichtigung Carbon Black für jedes Corporate Unternehmen. Fragen Sie nach einem Demo - wie ich vor langer Zeit gelernt in meinem ersten Jahr in der juristischen Fakultät: res ipsa loquitur (die Umstände sprechen für sich).

Bleiben Sie für weitere Bewertungen gestimmt. . . next up: Tanium.