Gennemgang af Symantec Endpoint Protection
Der er mange sårbarhedspunkter på et netværk og en masse forskellige tilgange til systemsikkerhed. I sidste ende er de endepunkter, der tjener brugerne direkte, nøglen til virksomhedens succes og skal beskyttes. Symantec Endpoint Protection fokuserer på at holde disse brugerenheder sikre.
Symantec Endpoint Protection var den næststørste sælger på endpoint-sikkerhedsmarkedet i 2019, kun én procent efter Trend Micro, ifølge Datanyze .
Succesen med denne sikkerhedssoftware stammer fra omfanget af Symantec-selskabet og dets store investering i udvikling og markedsføring.
Markedsstrategi for Symantec antivirus og anti-malware
Strategien for it-sikkerhedsmarkedet har ændret sig dramatisk i løbet af de seneste år. Traditionelle antivirus- og antimalwareprodukter er blevet forældede takket være nye angrebsvektorer skabt af verdens hackere. Blot at kontrollere processer på en computer mod en database med kendte vira giver ikke længere tilstrækkelig beskyttelse.
Symantec var en af de tidlige ledere i antivirusindustrien og har kæmpet for at være på forkant med cybersikkerhedsproblemer. Firewallprodukter til boligmarkedet er blevet mindre lukrative siden udvidelsen af brugen af hjemme-Wi-Fi-routere, som integrerer NAT-firewalls. Microsofts medtagelse af den gratis Windows Defender i sit operativsystem har fjernet offentlighedens interesse i at betale for antivirussystemer. Symantec havde brug for at finde nye sikkerhedsmarkeder, før al dets rentabilitet forsvandt.
Symantecs historie
Symantec Corporation har eksisteret siden 1982. Virksomheden har været nødt til fuldstændig at revidere sin produktfamilie på flere punkter i sin historie og har hver gang med succes undgået at blive fanget i døende markeder og blindgyde hardwareforpligtelser.
Pivotering fra mainframes og databaser til pc'er
Symantec opdagede pc'ernes potentiale i 1984 og droppede sit udvalg af mainframe-software, og flyttede fuldstændigt sin niche på markedet fra databaseprodukter til rapportgenereringssystemer. Indtil 1990 diversificerede virksomheden sin produktbase ved at producere hjælpeprogrammer til regneark, et hukommelseskort til pc'er og et komprimeringsprogram. Alle disse produkter blev dumpet, da virksomheden købte Peter Norton Software i 1990.
Symantec var allerede gået ind i antivirus, da det erhvervede Norton-produktfamilien. Dets beskyttelsessystem var det førende antivirussystem til Macs. Peter Norton Software havde også en diversificeret produktliste, men dets antivirussystem var det eneste, der gik videre.
Symantec udviklede Norton-mærket for boligsikkerhedsprodukter og sit eget navn for forretningssikkerhedssystemer. I 2014 startede virksomheden et AI-projekt for at flytte virksomheden væk fra den traditionelle antivirusmodel mod AI-drevne indtrængningsdetektionsmetoder.
Symantec Endpoint Protection
Symantec lancerede sit Endpoint Protection-produkt i 2007. Allerede da virksomheden indså, at ligetil antivirussystemer ikke længere blev behandlet med respekt inden for det nye område af cybersikkerhed, var virksomheden nødt til at styrke sine legitimationsoplysninger med mere komplekse systemer til forretningssikkerhed.
Antivirus var stadig kernen iSymantec Endpoint Protection, men pakken inkluderede andre ældre produkter i et forsøg på at afhjælpe svagheder i antivirus-tilgangen.
Dette var en kortsigtet 'chok og ærefrygt' tilgang til at blænde potentielle kunder med et bundt af produkter, der opvejede de pakker, konkurrenterne tilbyder. Dette gav virksomheden tid til at omkode hele antivirusproduktet, som blev anset for at være trægt, uhåndterligt og optager for meget diskplads. Den strippede kode til Endpoint Security optog en femtedel af diskpladsen fra sin forgænger,Symantec Corporate Edition 10.0.
Symantec Endpoint Security var mere en marketingtriumf end et teknologisk fremskridt. At læse markedet er dog Symantecs største styrke, og det er virksomhedens bestyrelses evne til at spotte tendenser og deres vilje til usentimentalt at smide produkter til nye tilgange, der gjorde virksomheden til en markedsleder.
Bestyrelsen opdagede stigningen i administrerede tjenester og producerede en administreret version af Symantec Endpoint Protection i 2009. Den markedsførte en udgave målrettet små virksomheder i 2010. I 2011 arbejdede den i de voksende forretningstrends inden for Cloud-tjenester og producerede en virtualiseringsvenlig Endpoint Protection-tjeneste. MSP-tjenesten og den skybaserede signaturdatabase udviklede sig til en automatiseret Software-as-a-Service-version af Symantec Endpoint Protection i 2016.
Introduktionen af AI
På trods af næsten årlige eftersyn af Symantec Endpoint Protection, var systemet lidt mere end en antiviruspakke. I sin kerne brugte produktet stadig den gamle servicemodel fra et centralt forskningslaboratorium, der opdagede nye angreb og identificerede behandlingssignaturer. Disse signaturer blev derefter rullet ud til signaturdatabaserne på stedet på klientcomputere, der leverede kildemateriale til det konstant kørende virusdetektionssystem på hver beskyttet enhed.
Traditionelle antivirusmetoder kræver en central pulje af eksperter. Distributionen af trusselsdatabaseopdateringer over internettet introducerer en potentiel sikkerhedssvaghed. Forsinkelsen mellem hackere opfinder en ny virus, og eksperterne i laboratoriet opdager den, betyder, at antivirusbrugere altid er sårbare. Dette er især tilfældet, da hackerfællesskabet har omorganiseret sig til fuldt administrerede organisationer med deres egne produktpipelines.
Brug af AI til at opnå næsten realtidsbeskyttelse
I det væsentlige kørte Symantec Endpoint Protection på forældet teknologi og stolede på, at virksomhedens marketingafdeling satte en glans på det. Altså indtil version 14, som introducerede AI.
Industrisnak havde peget på behovet for nye tilgange til cybersikkerhed siden begyndelsen af 2010. Forskning på universiteter i USA, Storbritannien, Tyskland og Rusland begyndte at filtrere ud i den bredere verden gennem forskningsartikler og cybersikkerhedskonferencepræsentationer og Symantec hoppet på banen som både en vej frem eller som et minimum, en flot markedsføringskant.
Udgivelsen af Symantec Endpoint Protection 14 i november 2016 var et tidligt udbytte for virksomhedens AI R&D-indsats, som begyndte i 2014. Det reddede produktet fra at blive dampet ind i glemmebogen af de innovative nye konkurrenter på cybersikkerhedsmarkedet, såsom Darktrace, Sophos og Fortinet.
Mens de nye hunde i kampen var slankere og attraktive, havde Symantec et veletableret brand og et meget stort marketingbudget.
Symantec færdiggjorde ikke sin AI-platform, kaldetMålrettet angrebsanalyse, indtil 2018, men smagsprøven på denne maskinlæringstaktik, der var indbygget i Symantec Endpoint Protection 14, skabte masser af presseopmærksomhed og holdt virksomheden i spidsen for markedet.
Symantec Endpoint Protection-metodologi – game-changer
Symantec Endpoint Protection 14er en game-changer i virksomhedens cybersikkerhedsstrategi.
Værktøjet integrerer nye tilgange til endpoint-beskyttelse. Den traditionelle model for et forskningslaboratorium, der sender opdateringer til trusselsdatabasen, har udviklet sig til en hybrid on-premises/cloud-konfiguration. Informationsstrømmen er blevet en tovejskanal.
Hver installation er et forskningscenter. Maskinlæringselementet i softwaren registrerer trusler, undersøger dets tidligere resultater, identificerer nye vira og isolerer dem. Det uploader derefter sine resultater til det centrale system i skyen. Denne nye trusselsopdagelse formidles derefter til alle andre Symantec Endpoint Protection-installationer i hele verden. Der er i øjeblikket 175 millioner af dem.
Denne arkitektur er nærmest en Peer-to-Peer (P2P)-model anvendt til forskning, hvilket er en meget praktisk og effektiv brug af klient- og udbyderressourcer. Den store forskel på denne kommunikationsarkitektur og P2P er, at den centrale server er en mediator, hvilket betyder, at den stadig følger den traditionelle klient-server-model.
Det er stadig uvist, om Symantec kan justere interaktionssikkerheden for at skubbe mod en fuld autonom fællesskabsdrevet sikkerhedshjerne, der registrerer, besejrer og kommunikerer uden indgriben fra Symantec HQ's allestedsnærværende intervention.
On-premises operativsystemer aktivitet
Den lokale software til Symantec Endpoint Protection installeres på værter, der kørerWindows,macOS, ellerLinux. Det har fire hovedaktiviteter:
- Sårbarhedsidentifikation
- Angrebsforebyggelse
- Registrering af brud
- Afhjælpning af trusler
Hver af disse strategier kan lyde som nye navne for gamle metoder. Brugen af AI i hver fase betyder dog, at operationer udføres med andre metoder end dem, der bruges i traditionelle AV-systemer.
Sårbarhedsidentifikation
Endpoint-beskyttelsessystemets 'førangrebs'-opgaver omfatter at identificere potentielle sikkerhedssvagheder på et slutpunkt. Oplagte mål her inkluderer USB-stik, kommunikationstjenester, kommunikationssoftware, såsom browsere og tjenester på computeren, der potentielt giver adgangspunkter til malware.
Sårbarhedsvurdering har til formål at reducere angrebsoverfladen. Det er en kontinuerlig proces, der opsætter og vedligeholder værktøjerne til malwarebeskyttelsessystemerne, såsom hukommelsesplads til sandboxing og karantæne. Sikkerhedsbasekontrollen registrerer enhver ny hardware- eller softwaresårbarhed, efterhånden som de føjes til enheden.
Angrebsforebyggelse
De angrebsforebyggende aktiviteter i Symantec Endpoint Protection svarer til det traditionelle arbejde med firewalls. Målet her er at blokere eventuelle nye vira i at komme videre til slutpunktet. I den nye metode blokerer Symantec-softwaren udnyttelser, som opdages sårbarheder i software. Dette er også et patch management system, fordi udnyttelser normalt lukkes ned af softwareproducenter med opdateringer.
Angrebsforebyggelsessoftwaren beskytter alle indgangspunkter til computeren, inklusive netværkskortet og USB-slots.
Registrering af brud
Detektion af brud er hovedaktiviteten i et klassisk antivirussystem. Der er et element af firewall-arbejde i denne kategori af opgaver. Systemet til registrering af brud leder efter kodningssignaturer, adfærdsmønstre og sekvenser af programaktivering for at opdage trusler. Dette er lidt mere end det klassiske tilfælde af kontrol mod en virussignaturdatabase, fordi den også undersøger adfærd. Dette skyldes, at en ubuden gæst kan udføre pålidelig software, der allerede er på systemet til ondsindede formål.
Systemet til registrering af brud udløser et svar og implementerer lockdowns, dræber ondsindede processer og sætter mistænkelig ny software i karantæne.
Afhjælpning af trusler
Når den umiddelbare trussel er blevet håndteret, udløser Symantec Endpoint Protection-systemet processer for permanent at blokere det opdagede angreb. Denne fase omfatter brug af Symantec Targeted Attack Analytics. TAA er det skybaserede element i beskyttelsessystemet, og det er denne tjeneste, der formidler nyheder om et angreb og dets løsning til de andre 175 millioner brugere af Symantec Endpoint Protection.
Afhjælpningsprocessen sporer gennem proceslanceringer for at identificere oprindelsen på computeren af en ondsindet strategi. Det sigter mod at målrette og ødelægge enhver persistensproces, der vil forsøge at genoplive alle dræbte ondsindede handlinger på computeren. Alle vellykkede forsøg rapporteres tilbage til TAA, så fællesskabet af kørende forekomster også kan ødelægge pakken af skadelig software.
Der er også et menneskeligt element involveret i trusselsafhjælpningsfasen. Teknikerne på laboratoriet i Symantec arbejder gennem rapporter, der leder efter globale tendenser til cybertrusler, så de bedre kan skræddersy udviklingen af Symantec Endpoint Protection-softwaren.
Symantec Endpoint Protections markedsandel
Bevis på Symantecs tilfredshed med den nuværende tilstand af Endpoint Protection er bevist af virksomhedens manglende handling for at erstatte sit stjerneprodukt. Alle versioner af softwaren før release 14 er blevet forældet - de understøttes ikke længere. Indtil 2016 producerede virksomheden næsten hvert år en ny version af pakken, men der er ikke kommet nogen ny version siden, og version 14 er nu tre år gammel.
Denne tilsyneladende inaktivitet kan også betyde, at virksomheden ikke ser nogen trussel fra konkurrenterne. Selvom virksomheden officielt er nummer to på markedet for endpoint-beskyttelse, er markedsandelen på én procent mellem den og markedslederen, Trend Micro, næsten ubetydelig. Én nyhed eller en velmålrettet webpromovering kunne nemt give den føring.
De to virksomheder er reelt hals og hals. Nummer tre på markedet, McAfee Virus Scan, er markant langt bagefter Symantec Endpoint Protection med en markedsandel på 13,61 procent. Nummer fire, Tripwire, har kun en markedsandel på 4 procent, og alle de andre udbydere har hver mindre end 3 procent af markedet.
Så hvor er udfordrerne?
Symantec Endpoint Protections konkurrenter og alternativer
De vigtigste konkurrencemæssige trusler mod Symantec Endpoint Protections markedsandel kommer fra en lang række rivaler:
- Trend Micro Apex One – I øjeblikket markedsleder.
- CrowdStrike Falcon – Bedre til cloud-drevet endpoint-beskyttelse.
- Sophos Intercept X Endpoint – Bedre til at bruge AI til endpoint-beskyttelse.
- Cylance Protect – En innovativ og slank leverandør af slutpunktsbeskyttelse.
- Nessus Vulnerability Scanner et al – Et tidligere gratis system med en kobling af frie imitatorer.
Trend Micro Apex One
Trend Micro er i øjeblikket Symantecs nærmeste rival. Virksomheden har samme ry som Symantec-mærket, og den har en lige så velfinansieret marketingafdeling. Dens løsning er en meget lignende blanding af traditionelle AV- og AI-teknikker, der hjalp Symantec med at klatre op på søkortene.
De største trusler mod Symantecs krone kommer ikke fra sine jævnaldrende. De nye aktører på markedet, der kan overgå Symantec med innovation og bedre systemlevering, vil slå Symantec og Trend Micro ud af toppladserne.
CrowdStrike Falcon
CrowdStrike har udviklet Cloud-elementet, som Symantec udelukkende bruger til trusselskommunikation mellem brugere. DetCrowdStrike Falconstrategi, der flytter al behandling til skyen, er mere velegnet til mobile enheder og IoT-enheder – it-branchens vækstområder. Falcon er tilgængelig på en gratis prøveperiode.
Sophos Intercept X Endpoint
Sophos har en bedre AI-motor i hjertet af sit sikkerhedssystem end den, der er udviklet af Symantec. Sophos marketingbudget er ikke så stort som Symantecs, men konkurrenten tiltrækker store investorer og stiller penge til rådighed.
Cylance Protect
Cylance Protect blev designet omkring AI fra bunden. Cylances mangel på arv gør det agilt på markedet og et attraktivt brand for startups og innovative SMV'er. Hvis virksomheden kan slå igennem på markedet for store virksomheder, vil Symantec kæmpe for at fastholde sine salgsmål.
Nessus Vulnerability Scanner
Det Nessus Vulnerability Scanner blev først udviklet som et open source-projekt, og det var gratis. Selvom dette værktøj nu er et proprietært system med et prisskilt, har tilgængeligheden af dets kildekode gjort det muligt for en pulje af gratis copycats at komme ind på markedet for slutpunktsbeskyttelse. Disse gratis alternativer underminerer den kommercielle levedygtighed af alle betalte endpoint-beskyttelsessystemer.
Innovatorer som f.eksCrowdStrike FalconogCylance Protecthar skabt en markedsbrummer, der gør dem attraktive lige nu. Ser man på Symantecs historie, er der ingen tvivl om, at virksomheden vil løse denne konkurrence ved at revidere sit system igen. Det vil lære af forstyrrende spillere og holde sig foran konkurrenterne.
Ofte stillede spørgsmål om Symantec Endpoint Protection
Er Symantec Endpoint Protection god til hjemmebrug?
Symantec Endpoint Protection er rettet mod virksomheder. Hele Symantec-brandet, som nu ejes af Broadcom, er rettet mod erhvervsbrugere. Det tilsvarende system til hjemmebrug markedsføres under mærket Norton, som er en separat virksomhed.
Er Symantec-slutpunktsbeskyttelse nødvendig?
Mens hjemmecomputerbrugere kan tage risikoen ved ikke at installere endpoint-sikkerhed, kan virksomheder ikke være slappe af IT-aktivers sikkerhed. Datalækager kan være ødelæggende, og tab af brug af endepunkter på grund af malwareinfektion ville kræve, at hele indholdet af computeren tørres og geninstalleres.