Kaspersky Endpoint Security vs CrowdStrike Falcon
Kaspersky Lab er af russisk oprindelse og er stadig majoritetsejet af dets russiske grundlægger. Men virksomheden skal nu betragtes som en multinational snarere end en russisk virksomhed. Gruppens moderselskab er officielt hjemmehørende i Det Forenede Kongerige, og en stor del af forskerholdet, der oprindeligt var baseret i Rusland, er nu flyttet til Schweiz.
Virksomhedens kommercielle succes blev alvorligt beskadiget i 2017, da det amerikanske ministerium for indenrigssikkerhed anklagede det for at bistå spionagebestræbelserne fra Ruslands efterretningstjeneste, FSB. Disse anklager blev aldrig bragt for retten.
På trods af at have spillet en stor rolle i løbet af det sidste årti i at afsløre tilfælde af statssponsorerede cyberangreb, bliver virksomhedens produkter nu betragtet med foragt i Vesten. Dets software er blevet forbudt fra amerikanske regeringsdepartementer.
CrowdStrike blev grundlagt som et cybersikkerhedskonsulentfirma i 2011. Det rykkede ind på softwaremarkedet i 2013 med udgivelsen af Falcon. Virksomheden har opnået berømmelse ved at afsløre statssponsorerede cyberangreb. Som en amerikansk-baseret virksomhed har CrowdStrike haft fremgang, og dens konsulentafdeling tiltrækker stadig positiv mediebevågenhed, hvilket giver dets brand et løft i omtale.
Begge virksomheder er velkendte for deres forsknings- og rådgivningsafdelinger, men Kaspersky er under pres, mens CrowdStrike trives. Lad os tage et kig på hver virksomheds endpoint-beskyttelsessoftware.
Kaspersky Endpoint Security
Kaspersky Lab startede sin virksomhed i 1997. Som en tidlig spiller på antivirusmarkedet fulgte Kaspersky forretningsmodellen for succesrige amerikanske AV-virksomheder ved at kombinere en stor investering i virusidentifikationsforskning med salg af AV-software. Symantec og McAfee har begge samme forretningsmodel som Kaspersky, der bruger forskningslaboratorier til at levere virusdatabaser til deres AV-produkter og også til at tiltrække medieopmærksomhed og styrke deres brands.
Historien om Kasperskys antivirussoftware går forud for virksomhedens oprettelse. Eugene Kaspersky skabte sit eget antivirussystem i 1989, mens han arbejdede for et andet firma. Det system udviklede sig til AntiViral Toolkit Pro (AVP) , som blev udgivet i 1992. Da Kaspersky tog softwaren ind i sit eget firma, omdøbte han AVP til Kaspersky Anti-Virus .
Engang blev Kaspersky selvstændig med sit eget firma, og hans navn, nu båret af virksomheden og dets nøgleprodukt, begyndte at tiltrække mediernes opmærksomhed uden for hans hjemland Rusland. Kaspersky voksede til at blive Europas største udbyder af cybersikkerhedssoftware. Eugene Kaspersky leder stadig virksomheden.
Forretningsversionen af Kaspersky Anti-Virus kaldes Kaspersky Endpoint Security . Virksomheden producerer antivirussoftware til små virksomheder, som kaldes Kaspersky Small Office Security. Kaspersky Endpoint Security er rettet mod mellemstore virksomheder. Endpoint-beskyttelsessoftwaren skal indlæses på hver computer, der bliver forsvaret. Systemadministratoren er dog i stand til at overvåge ydeevnen af hver instans gennem en central administrationskonsol, som kaldes Kaspersky Security Center.
Ligesom andre traditionelle AV-producenter, gennemgik Kaspersky sin software for at inkorporere ekstra beskyttelsesforanstaltninger. Dette har resulteret i, at Kaspersky Endpoint Security er en suite af sikkerhedssoftware, der fungerer samtidigt. Processerne i suiten er specialiserede i applikations-, enheds- og webkontroller og beskytter også data og logfiler mod tyveri eller manipulation.
Hovedelementerne i suiten er:
- Dynamisk hvidlistning – en database oprettet af virksomhedens centrale forskningslaboratorium, som lister godkendte ansøgninger frem for at lede efter mistænkelige programmer at blokere. Databasen indeholder 2,5 milliarder betroede programmer. Det reducerer forekomsten af zero-day-angreb ved at blokere ukendt software i at blive lanceret.
- Værtsbaseret system til forebyggelse af indtrængen – HIPS overvåger logfiler og hændelsesdata gemt på den beskyttede enhed for tegn på indtrængen. Disse søgninger er i stand til at spotte og blokere manuelle hackerangreb, der bruger gyldig software, der allerede findes på enheden til ondsindede formål.
- Opførselsdetektion – bruger AI maskinlæringsteknikker til at reducere risikoen for 'falske positive' fra at forstyrre de normale aktiviteter for slutpunktets brugere.
- Adaptiv anomalikontrol – dette er en variation af Behaviour Detection, den fokuserer på at lære brugernes typiske adfærd. Dette gør det muligt for sikkerhedssystemet at opdage, når en brugerkonto bliver kapret af en hacker.
- Forebyggelse af udnyttelse – overvåger kendte indgangspunkter for virus, såsom fildownloads, inficerede websider og USB-enheder. Forebyggelsessystemet er også opmærksom på programmer, der er kendt som praktiske forklædninger til malware, herunder Adobe Acrobat-filer, Flash-scripts og Microsoft Office-værktøjer, såsom makroer.
- Alarmering og afhjælpning – Kaspersky-systemet opretter rollback-punkter og datasikkerhedskopier, der gør det muligt for det at gendanne slutpunktet til dets ubeskadigede tilstand, når et angreb er blevet opdaget. Remediation Engine er i stand til at suspendere brugerkonti og dræbe processer for at afslutte angrebet.
- Beskyttelse mod netværkstrusler – beskytter mod, at infektion ankommer til slutpunktet over netværket. Dette er en pakke af beskyttelsesprocesser, der omfatter vagter mod spoofing af netværksadresser og andre systemkapringsteknikker, som hackere bruger til at skjule deres indtrængen.
- Tilladelser Hærdning – Kaspersky-systemet beskytter brugernavne og adgangskoder i transit og udrydder forladte konti, der kan hjælpe hackere.
- Endpoint Detection and Response (EDR) – deling af trusselsintelligens rapporteret af endpoint-sikkerhedssoftwaren til en central database. Disse data analyseres gennem automatiserede processer og også menneskelige cybersikkerhedsanalytikere, opsummeres og distribueres derefter som 'indikatorer for kompromis' (IoC'er).
- Sikkerhedsudholdenhed – softwaren er i stand til at beskytte sig selv mod at blive manipuleret med eller lukket ned af ondsindede processer.
- Fuld diskkryptering (FDE) – Muligheden for at sikre en disk med kryptering er en unik funktion på markedet for slutpunktsbeskyttelse. Kaspersky bruger 256-bit AES-kryptering. Dette er en særlig nyttig funktion, når virksomheder bruger mobile enheder, der let kan blive væk eller stjålet.
- Kasperskys filniveaukryptering – en alternativ datasikkerhedsstrategi til FDE. Systemadministratorer kan gennemtvinge automatisk filkryptering i henhold til filtype og placering. Brugere kan også kryptere filer efter behov for overførsel via e-mail eller til USB-hukommelsessticks.
- Endpoint Adgangskontrol – dette er et værktøj i Security Center-konsollen, og det integreres med Active Directory for at beskytte adgangen til slutpunkter.
Kaspersky Endpoint Security er en meget omfattende beskyttelsespakke. Det strækker sig endda til at sikre data, hvilket er en opgave, som de fleste endpoint-beskyttelsesplatforme ikke inkluderer.
Fordele:
- Tilbyder kryptering på filniveau for at sikre lokalt lagrede data på slutpunkter
- Integrerer med AD til adgangskontrol og politikbaseret konfiguration
- Tilbyder avancerede underretningsskabeloner og lokalt gemte roll-backs
- Udnytter adfærdsanalyse til at identificere tidligere ukendte trusler
Ulemper:
- USA-baserede virksomheder kan være begrænset fra at bruge udenlandske sikkerhedsløsninger
CrowdStrike Falcon
CrowdStrike startede sin virksomhed i 2011 som et cybersikkerhedskonsulentfirma. Inden for de første par år af sin eksistens opnåede virksomheden stor berømmelse ved at opdage nogle af de største sikkerhedsbrud i historien og hjælpe ofrene med at sikre deres systemer. For eksempel opdagede virksomheden den store datatyverihændelse, der fandt sted i SONY Pictures-databasen i 2014 og har arbejdet for USA’s Demokratiske Parti siden e-mail-hacket i 2016 for at hjælpe dem med at hærde deres digitale forsvar. Lederen af virksomhedens konsulentafdeling er tidligere leder af FBI-cyberdivisionen, Shawn Henry.
CrowdStrike Falconvar virksomhedens store træk ind på softwaremarkedet. Systemet er en 'endpoint protection platform' (EPP), hvilket betyder, at det er en suite af applikationer.
CrowdStrike annoncerer Falcon som værende 'leveret fra skyen.' I virkeligheden udføres mange af de opgaver, der beskytter endepunkter, af applikationer, der er hjemmehørende på selve enheden. Et usædvanligt aspekt af CrowdStrike Falcon-systemet er, at det inkluderer planer, der inkluderer tjenester fra menneskelige cybersikkerhedsanalytikere.
Et andet kendetegn ved Falcon er, at det sælges i oplag. Dette gør det muligt for kunden at vælge, hvilke moduler der skal inkluderes i platformen. Disse moduler er:
- Falcon Prevent – Næste generations antivirussoftware og firewall.
- Falcon Intelligence – En trusselsefterretningsmotor.
- Falcon Insight – Endpoint detection and response (EDR) for at bekæmpe avancerede vedvarende trusler.
- Falcon Overwatch – Trusseljagt af menneskelige eksperter.
- Falcon Discover – En sårbarhedsscanner.
- Falcon Device Control – Et overvågningssystem til USB memory sticks.
Pakkerne, der tilbydes af CrowdStrike, gør det muligt for kunden at købe kun nogle eller de fleste af disse moduler. Udgaverne af CrowdStrike Falcon er:
- Falcon Pro – omfatter Falcon Prevent og Falcon Intelligence.
- Falcon Enterprise – inkluderer Falcon Prevent, Falcon Intelligence, Falcon Insight og Falcon Overwatch.
- Falcon Premium – inkluderer Falcon Prevent, Falcon Intelligence, Falcon Insight, Falcon Overwatch og Falcon Discover.
- Falcon komplet – En administreret slutpunktssikkerhedstjeneste, der inkluderer ressourcerne fra alle moduler.
Ingen af pakkerne inkluderer Falcon Device Control . Dette er en tilføjelse til udgaverne, og den styrer adgangen til USB-hukommelsessticks. Applikationen blokerer USB-portene på den beskyttede enhed og forhindrer USB-enheder i at tilslutte sig computerens operativsystem. Via en administrationskonsol kan en administrator godkende bestemte enheder. Disse ryddede memory sticks vil derefter være i stand til at interagere med computeren, mens alle andre USB-enheder forbliver blokerede.
Falcon komplet er en administreret tjeneste. Det betyder, at du ikke behøver at træne nogen af dine IT-supportmedarbejdere i at bruge CrowdStrike-systemet. Et team af teknikere på CrowdStrike HQ overvåger sikkerheden af dine endepunkter og skrider til handling, hvor det er nødvendigt. Så skal agentsoftware stadig installeres på hver beskyttet computer. Falcon Complete-pakken inkluderer brugen af alle Falcon-modulerne og også menneskelige analytikere.
Det Falcon Premium udgave er den højeste plan, som du selv kan klare. Det inkluderer alle modulerne undtagen Falcon Device Control. Falcon Discover-modulet er kun tilgængeligt i Premium-pakken, hvilket er en skam. Falcon Discover er en sårbarhedsscanner, som bliver et mere og mere nødvendigt værktøj inden for cybersikkerhed. Det er muligt, at nogle kunder bare vil have den grundlæggende endepunktsbeskyttelsespakke af Falcon Pro plus Falcon Discover uden også at skulle betale for Falcon Insight og Falcon Overwatch.
Grundudgaven, Falcon Pro er et meget godt tilbud og giver alle de beskyttelsesfunktioner, der repræsenterer hele EPP i nogle konkurrerende endpoint-beskyttelsessystemer. Pro-aftalen inkluderer en net-gen AV, som leder efter adfærdsmønstre i stedet for at scanne for tilstedeværelsen af filer, der er skrevet på en sortliste. DetFalcon Intelligencemodul er et maskinlærings-AI-baseret system, der også leder efter mistænkelig adfærd. Mens Falcon Prevent undersøger hver proces for unormal adfærd, sporer Falcon Intelligence sekvenser af hændelser, hvilket tyder på hackerindtrængen. Falcon Intelligence er et system til forebyggelse af indtrængen. Alle installerede forekomster af applikationen rundt om i verden bidrager til et trusselsefterretningssystem ved at uploade rapporter om de hændelser, de har bekæmpet.
Falcon Enterprise tilføjer Falcon Insight og Falcon Overwatch til de tilgængelige moduler i Falcon Pro-udgaven. Falcon Insight søger efter beviser for avancerede vedvarende trusler (APT'er). Disse indtrængen er langsigtede uautoriserede invasioner af systemet, hvor hackeren har oprettet en konto for regelmæssig adgang. Falcon Overwatch er et signaturmodul. Det gør tjenesterne til virksomhedens velansete cybersikkerhedsanalyse. Disse eksperter finkæmmer logdataene uploadet af Falcon X for at lede efter indtrængen signaler, som de automatiske trusselsjægere måske er gået glip af. Du kan tjekke CrowdStrike Falcon ud på en 15-dages gratis prøveperiode.
Fordele:
- Stoler ikke kun på logfiler til trusselsdetektion, bruger processcanning til at finde trusler med det samme
- Fungerer som et HIDS- og endpoint-beskyttelsesværktøj alt i ét
- Kan spore og advare unormal adfærd over tid, forbedres, jo længere den overvåger netværket
- Kan installeres enten on-premise eller direkte i en cloud-baseret arkitektur
- Letvægtsagenter bremser ikke servere eller slutbrugerenheder
Ulemper:
- Ville have gavn af en længere 30-dages prøveperiode
Kaspersky Endpoint Security og CrowdStrike Falcon
Kaspersky Endpoint Security og CrowdStrike Falcon har mange faktorer til fælles. Begge systemer inkluderer traditionelle AV- og firewall-elementer, men implementerer opgaverne med at blokere malware på innovative måder. Begge kræver software, der skal installeres i slutpunktet, samtidig med at en central administrationskonsol er tilgængelig for systemadministratorer.
Ser man ned på listerne over moduler, som hver platform inkluderer, er det umuligt ikke at konkludere det Kaspersky-systemet er mere omfattende . På trods af dette betyder beskyldningerne om 'russisk spionage' fra det amerikanske ministerium for indenrigssikkerhed, at mange virksomheder i USA sandsynligvis vil krydse denne mulighed af deres liste.
Processen, der udløste den amerikanske sikkerhedsalarm, var softwarens EDR-modul. Dette uploadede angrebsdetaljer til Kasperskys globale trusseldatabase, som også er tilgængelig for Kasperskys cybersikkerhedsanalytikere i Moskva. Desværre var brugeren af det specifikke slutpunkt en medarbejder fra National Security Agency (NSA). Dette sammen med ubegrundede beskyldninger om, at Kaspersky hemmeligt har forbindelse til Ruslands FSB, kan få dig til at vælge CrowdStrikes software på trods af, at virksomheden åbent samarbejder med amerikanske nationale sikkerhedsagenturer. Udnyt en 15-dages gratis prøveversion af Falcon Pro for at prøve det.
Kaspersky sælger sin Endpoint Security-software som en del af Kaspersky Total Security, som er tilgængelig på en 30-dages gratis prøveperiode . Den fås også som Kaspersky Endpoint Security for Business Advanced på en 30-dages gratis prøveperiode , Kaspersky Endpoint Security for Business Vælg på en 30-dages gratis prøveperiode , og Kaspersky Endpoint Security Cloud på en 30-dages gratis prøveperiode .
Når du har testet disse to systemer, skal du efterlade en besked i Kommentarer afsnittet nedenfor for at dele dine meninger med fællesskabet.