Tanium Protect anmeldelse
Tanium-sikkerhedssystemet er organiseret som en platform, der understøtter en liste over valgfrie moduler. Blandt disse komponenter er Tanium Protect, et slutpunktsbeskyttelsessystem.
Det Tanium Core Platform er en burryster. Siden nyheden om dens banebrydende teknologi blev filtreret ud i den bredere verden, er Taniums strukturer blevet adopteret af andre markedsdeltagere for at skabe følgende - en helt ny cybersikkerhedssektor.
Den traditionelle AV-beskyttelsesmodel var afhængig af talentet hos et centralt team af efterforskere, som opdagede nye trusler, identificerede deres karakteristika og derefter spredte afslørende identifikatorer til hver installeret forekomst af AV-produktet, der opererede i verden.
Et spring fremad i kampen mod zero-day-angreb var at indbygge detektionsmetoder i softwaren. Dette skabte en global hær af sensorer, der advarede centralkontoret om eventuelle nye trusler. Laboratoriet videregav derefter en advarsel og en løsning til alle softwarens forekomster rundt om i verden.
Tanium-innovationen anvendte en modificeret Skype-lignende peer-to-peer-arkitektur til indtrængningsdetektion og distribution af trusselsintelligens. Det implementerede samtidig behandling og hurtige svartider. Det var forbløffende og fik industrieksperter til at undre sig over, hvorfor ingen tænkte på det før.
Indhold [ skjule ]
- Tanium-arkitekturen
- Taniumkulten
- Tager et modigt ansigt på
- Fejlen i Tanium
- Tanium Beskyt konkurrenter og alternativer
Om Tanium Inc
Tanium Inc blev startet af et dynamisk far og søn teamDavidogOrion Hindawii 2007. Hindawi den ældste startede en teknologivirksomhed, solgte den og tjente en formue, mens juniorgeniet ubesværet sejlede til toppen af sin klasse i Berkeley. David oprettede, boede og solgte et andet it-firma, BigFix, med fokus på computersikkerhed og høstede endnu en formue.
Med penge og knowhow sammensatte de to hindawier en skitse for en ny sikkerhedstilgang og skabte Tanium til at udvikle den. En tilfældig demonstration af den nye software 'in action' resulterede i, at hindawierne blev slynget med penge af venturekapitalister. Ved at beholde 60 procent af virksomheden opbyggede familien en udviklingsfond, oprettede et team af strålende unge innovatører og blev multimilliardærer, før de solgte et enkelt eksemplar af Tanium.
Nøglefundamentmyten om Tanium ligger i den originale demo af softwaren til ivrige investorer. På kun 15 sekunder gennemsøgte softwaren hele it-systemet på et hospital og rensede det for alle vira og sårbarheder. Investorerne kunne ikke tro, hvor hurtigt operationen kørte. Den enkle grænseflade, der lignede Googles startside med ét inputfelt, tikkede væk og fiksede alt, mens pengemændene og deres tekniske ekspertrådgivere chattede.
I sandhed,softwaren tog 12 eksperter inden for cybersikkerhedsteknikere fem år at udvikle, og de fik en masse input fra McAfee. Forholdet til McAfee sluttede efter to år i 2014 og resulterede i, at kandidaten gik væk med McAfees salgsdirektør. Med en ny virksomhedstilgang til salg tog det slanke og banebrydende Tanium fart.
Tanium-arkitekturen
Peer-to-Peer-protokoller fangede først opmærksomheden hos verdens teknologientusiaster, da Napster satte den i spektakulær brug som en fildelingsapplikation. BitTorrent overtog føringen i udviklingen af arkitekturen, hvilket skabte effektivitet fra nodes autonomi og samarbejde.
Skype anvendte P2P til telefoni, og det er Skype-modellen, der ser ud til at have givet hindawierne deres nøglearkitektur. Skype distribuerer et netværks kommandostruktur ved at nominere strategisk placerede noder som primære, hvilket gør dem ansvarlige for at koordinere transmissionen af pakker gennem underordnede noder.
Sådan fungerer Tanium, og dets træstruktur er nøglen til Taniums legendariske hastighed. En agent er installeret på ét slutpunkt pr. netværkssegment. Hver agent kommunikerer med omkring 100 af sine naboer. Den indsamler sårbarhedsdata, samler dem og sender derefter sine resultater videre til den centrale leder for endelig konsolidering og rapportering.
Systemets hastighed stammer fra den samtidige behandling af supernoder. Den dataaggregering, de udfører, betyder, at det meste af analysearbejdet allerede er afsluttet i dataindsamlingsfasen.
Inden for cybersikkerhed er hastighed halvdelen af kampen. Det nytter ikke noget at have det bedste antivirus- eller indtrængendetektionssystem i verden, hvis alle dine data er blevet stjålet eller ødelagt, før den software giver en alarm.
CIO'er for geniale Silicon Valley-startups var nemme at sælge til. En demo af Taniums imponerende 15-sekunders systemoprydning fik alle de store teknologivirksomheder til at skrive under på den stiplede linje.
Taniumkulten
Tanium er den type projekt, som alle ønsker at tro på. Tilhængere har det godt med sig selv, fordi de støtter det. Ikke mange mennesker forstår meget om, hvordan cybersikkerhedssystemer fungerer, og antallet af mennesker, der forstår det, og de finere sider af distribueret behandling plus Peer-to-Peer-arkitektur er endnu færre.
Men ved at foregive at forstå teknologien bag Tanium og betro sikkerheden af de it-systemer, der understøtter teknologigiganter, måtte disse købere købe ind til myten, der blev skabt af softwarens røg og spejle. Overraskende få CIO'er har krævet en fuldstændig undersøgelse af Taniums effektivitet. Selv det amerikanske militær købte og installerede sikkerhedssoftwaren uden rigtig at forstå implikationerne af dens arkitektur. Visa, Amazon, Best Buy, det amerikanske forsvarsministerium og Nasdaq er nogle af Taniums store navnkunder.
Andre softwarehuse hoppede på P2P-konceptet som en genvej til hastighed. Nye rivaler dukkede op, som alle ønskede den værdiansættelse på flere milliarder dollar, som hindawierne erhvervede for Tanium næsten fra den ene dag til den anden og tilsyneladende uden selv at forsøge at tiltrække investorer.
Tager et modigt ansigt på
McAfee fik det indvendige spor på Taniums metodik tilbage i 2012. I 2014, da hindawierne forlod partnerskabet med McAfee, gik de væk eller blev de skubbet? McAfee har ikke gjort noget forsøg på at anvende distribueret behandling til sine sikkerhedsløsninger, siden de lærte om innovationen for syv år siden. Hvorfor?
Det kræver ikke megen ekspertise at få øje på en stor fejl i Tanium-strategien, men alle eksperter på området har investeret deres troværdighed i Tanium-godkendelser. Ingen vil indrømme, at de blev blændet og narret, så alle tier stille. Tanium identificerer og lukker ikke sårbarheder, det skaber dem.
Problemerne med Tanium kunne løses, men løsningen ville miste softwarens 15 sekunders overskrift og lade sikkerhedssystemet gøre præcis, hvad McAfee og Symantec gør nu uden at have sin egen AV til afhjælpning.
Fejlen i Tanium
En hacker kommer ind i et slutpunkt på et netværk, søger gennem dets filer efter sikkerhedsoplysninger, installerer keyloggere for at få loginoplysninger, udforsker efter værdifulde data og finder derefter indgangspunkter til andre computere på netværket.
Lad os nu se på, hvordan Tanium fungerer. Agentsoftwaren indlæses på et slutpunkt på netværket. Den node kontakter derefter sine naboer og søger hver især efter sårbarheder. Det skraber logdata og profilerer datalagrene og applikationerne på hver computer. Den bringer den information med hjem, lægger den i en fil og sorterer og konsoliderer den derefter. Resuméet af denne undersøgelse sendes derefter til den centrale controller.
Tanium-agenten opfører sig 'som' en hacker. Den foretager al hackerens dataindsamling for ham og gemmer derefter denne information i en fil, klar til at blive hentet. Tanium fremskynder ikke kun sårbarhedsscanning, det fremskynder også datatyveri. Hvordan kommer agenten ind i hvert underordnet endepunkt? Hackere ville elske at vide det, og de kan nemt finde ud af det ved at bryde ind hos agentens vært.
Udviklerne af Tanium skabte ikke deres egne proprietære scannings- og dataindsamlingsværktøjer. De tilegnede sig eksisterende gratis netværks- og systemscanningsværktøjer – primærtNmapogPsExecsammen med7-Ziptil filkomprimering. Systemet ogsåbruger shell-scripts, som er skrevet i almindelig tekst - alle kan få adgang til, læse og udføre dem.
Nmap og PsExec er to værktøjer, der er meget brugt af hackere. Grundlæggende indlæser Tanium et hackerværktøjssæt på én knude på netværket og giver denne knude adgang til 100 andre endepunkter. Hacker siger: 'Det er ligeglad, hvis jeg gør det.' Mens han er der, kan hackeren også lige så godt søge gennem alle de almindelige efterretningsoplysninger, som den sidste kørsel af Tanium-agenten efterlod på værten.
Det er svært at tro, at McAfee's erfarne cybersikkerhedsprofessionelle i løbet af to års møder ikke opdagede fejlene i Tanium-metoden. Ville de ikke have tippet de dimittender, der kører udviklingen af det nye system? Et lille antal cybersikkerhedskonsulenter og pennetestere opdagede først problemet med Taniums opsætning i 2017 og advarede virksomheden med det samme. Tanium hverken svarede eller overhalede sin software. Det er sandsynligt, at de allerede vidste det.
Den innovative kant af Tanium Core Platform er afhængig af at give ét slutpunkt ubegrænset adgang til hundrede andre. Det beskytter ikke datastrømme mellem hvert slutpunkt og den kontrollerende software på en central server med end-to-end-kryptering. Det skaber en mand-i-midten, hvilket giver et hotrod-køretøj til hackere.
Tanium Protect: Svaghederne
Tanium-stjernen ville sandsynligvis hurtigt blive plettet, selv uden opdagelsen af dens grundlæggende sikkerhedssvaghed. Kommunikationsmetoden mellem agenten og de underordnede knudepunkter er afhængig af en proces, der omtales som kæde. Dette forudsætter, at alle noder i et netværkssegment er blevet tildelt sekventielle IP-adresser af en DHCP-server.
Netværk i dag er meget mere rodet, end de var tilbage i 2007 – acceptabelt. Dette er på grund af kompleksiteten introduceret af BYOD-accept, den omfattende integration af mobile enheder i forretningsnetværk og behovet for at integrere fysisk fjerne grene i hjemmenetværket. Alt dette betyder, at virksomheder måske ikke har pænt segmenterede undernet i håndterbare 100-node bidder. Det reducerer hastigheden og effektiviteten af Tanium.
Tanium Beskyt konkurrenter og alternativer
Hvis du allerede har implementeret Tanium i din virksomhed, så lad os håbe, at du ikke pralede for højt med, hvor klog du var. Du skal træde tilbage og hurtigt finde en troværdig grund til at udskifte din plettede Tanium. Her er fem alternativer at overveje.
- Crowdstrike Falcon Kilder trusselssignaturer fra hele internettet og gennemsøger det lokale netværk for kampe.
- Action1 Endpoint Security Platform Et skybaseret system med lynhurtig nodeopdagelse og sårbarhedstjek.
- Carbon Black Response Det femte mest solgte slutpunktsbeskyttelsessystem i verden; en plads foran BigFix.
- Symantec Endpoint Protection Næsten, men ikke helt Peer-to-Peer.
- Fidelis endepunkt Inkluderer både detektion og respons, men pas på: dette bruger også P2P.
Crowdstrike Falcon
Crowdstrike implementerer en cloud-baseret arkitektur til CVE-opkøb, men endpoint-beskyttelsessoftwaren kører på hver enkelt maskine som en agent. Tjenesten fungerer godt til mobile enheder såvel som til traditionelle kontorcomputere. Dette er et AV-erstatningssystem, der integrerer AI maskinlæringsteknikker for at skabe en meget hurtig beskyttelsesløsning med få falske positiver.
Action1 Endpoint Security Platform
Handling 1 bruger naturlige sprogkommandoer i sin Endpoint Security Platform. Dette er en cloud-baseret tjeneste, der løfter behandlingen af dit udstyr, hvilket gør det meget velegnet til beskyttelse af mobile enheder. Pakken inkluderer opdagelse af softwarebeholdning, patch-administration, fjernudrulning af software, administration af it-aktiver og vurdering af sårbarhed.
Carbon Black CB Response
Carbon Black Response omfatter trusselsjagt og hændelsesbekæmpelse. Dette er 'en meget omtalt pakke' i øjeblikket, og det skaber en masse buzz med sine big data-analyser, der spotter nye trusler, meget på den måde, som Crowdstrike gør. Carbon Black blev købt ud af VMWare i oktober 2019, så forvent nogle store udviklinger med dette mærke.
Symantec Endpoint Protection
Symantec Endpoint Protection viser børnene, hvordan det gøres. Tjenesten koordinerer trusselsopdagelse mellem 175 millioner installationer verden over. Dette kan opfattes som et medieret P2P-koncept. Tilstedeværelsen af den cloud-baserede kontrollerende server afbryder direkte kommunikation mellem peers og reducerer risikoen for krydsinfektion.
Se også: Gennemgang af Symantec Endpoint Protection
Fidelis endepunkt
Fidelis endepunkt er inkluderet her bare for at vise, at Tanium ikke er det eneste cybersikkerhedssystem, der bruger P2P-arkitektur. Vær forsigtig med at bruge dette system uden at undersøge dets adfærd på dit netværk grundigt med den gratis prøveperiode.
Se vores markedsprøve på kun fem konkurrenter af Tanium for at få en fornemmelse af alternativerne. Denne peer-to-peer-implementering viste sig at være en sikkerhedsbommert, men P2P vil vise sig at være en god idé, hvis nogen kan komme med en plan, der ikke kompromitterer adgangsoplysninger til slutpunkt. Det er en tiltalende udfordring, og Tanium var tæt på at nå den, men missede målet.