Rassegna Carbon Black

admin

La suite di prodotti di base di Carbon Black per la sicurezza degli endpoint è ufficialmente conosciuta come VMware Carbon Black Cloud Endpoint Standard. Il lungo nome è indicativo della storia serpeggiante di Carbon Black attraverso gli annali della cybersecurity.

Carbon Black ha iniziato nel 2002 come Bit9, una piattaforma di sicurezza che protegge gli endpoint come desktop e server. Bit9 ha acquisito Carbon Black nel 2014 e ha adottato il nome Carbon Black due anni dopo. VMware ha acquisito l’azienda nel 2019.

I prodotti di sicurezza Carbon Black di VMware proteggono oltre 16.000 aziende. La sua tecnologia di protezione basata sul cloud analizza l’attività degli endpoint, identifica le minacce e automatizza la risposta per bloccare i cyberattacchi in tempo reale.

Questa tecnologia è alla base di VMware Carbon Black Cloud Endpoint Standard, che serve come punto di partenza per le aziende per ottenere una cybersicurezza completa. La piattaforma è ricca di approfondimenti sulla sicurezza, ma non è perfetta. Esaminiamo i suoi pro e i suoi contro per aiutarvi a decidere se è la soluzione giusta per la vostra azienda.

Pubblico

Per chi è Carbon Black?

Il software di sicurezza endpoint di Carbon Black è abbastanza flessibile e potente da soddisfare le esigenze di un’azienda di qualsiasi dimensione. Questo include la soddisfazione dei requisiti normativi e di conformità per il vostro settore. Infatti, VMware Carbon Black Cloud Endpoint Standard comprende il componente di base di ogni pacchetto di sicurezza Carbon Black, anche per le aziende enterprise.

La piattaforma è ricca di funzionalità e dati di sicurezza, e richiede un reparto IT dedicato per implementare e gestire la soluzione. Sfruttare la sua profondità è meglio realizzato da un team IT considerevole, come quelli che si trovano nelle organizzazioni di medie e grandi dimensioni.

Le caratteristiche di indagine lo rendono ideale per le aziende con un centro operativo di sicurezza (SOC). Le aziende più piccole con uno staff IT limitato non avranno la larghezza di banda per utilizzare appieno le capacità del software.

Carbon Black supporta workstation e server Windows, così come macchine Mac e Linux. È anche possibile proteggere gli uffici remoti e i dispositivi mobili attraverso VMware Carbon Black Cloud Endpoint Standard.

La dashboard di Carbon Black visualizza informazioni e grafici che riassumono le principali informazioni sulla sicurezza.

La dashboard di Carbon Black serve come hub della sicurezza. Fonte: VMware Carbon Black software.

Caratteristiche

Le caratteristiche di Carbon Black

Uno dei punti di forza di Carbon Black è che la piattaforma si estende oltre la prevenzione dei cyberattacchi nell’area più avanzata della cybersicurezza chiamata rilevamento e risposta degli endpoint (EDR). La combinazione di EDR con le sue capacità antivirus fornisce alle aziende una soluzione di sicurezza completa.

Questa combinazione è raramente disponibile come opzione standard. È uno dei tanti motivi per cui VMware Carbon Black Cloud Endpoint Standard offre capacità interessanti. Esaminiamo ulteriormente queste caratteristiche.

Antivirus di nuova generazione

Il punto di forza della sicurezza di Carbon Black è la protezione dai malware. Il suo prodotto VMware Carbon Black Cloud Endpoint Standard impiega una classe di antivirus nota come NGAV (next-generation antivirus).

L’NGAV di Carbon Black utilizza tecnologie come l’intelligenza artificiale (AI) per migliorare la sua capacità di catturare il malware. Questo lo distingue dal software antivirus tradizionale, che si basa principalmente su firme di malware basate su file.

I criminali informatici di oggi hanno evoluto i loro attacchi per includere tutti i tipi di tecniche di malware, non solo gli attacchi basati su file. NGAV risponde a questa sfida combinando l’AI con l’analisi comportamentale, la threat intelligence e l’analisi predittiva per identificare le minacce sia conosciute che sconosciute.

NGAV è un approccio potente perché rileva gli attacchi malware avanzati, come le minacce fileless e polimorfe. Questa strategia permette alla tecnologia di rilevamento antivirus di Carbon Black di analizzare i flussi di eventi attraverso file, processi e applicazioni del computer e connessioni di rete. Collegare questi pezzi disparati insieme permette a Carbon Black di identificare un attacco mentre si svolge, in modo che venga fermato non appena inizia.

Come si comporta nel mondo reale? Nei test eseguiti dalla società di test indipendente AV-Test Institute, la piattaforma di protezione endpoint Carbon Black ha bloccato il 100% degli oltre 13.000 campioni di malware che le sono stati lanciati.

Il software non è stato altrettanto efficace contro le minacce zero-day. Questi attacchi sono difficili da difendere, poiché sfruttano le vulnerabilità del software per aggirare la sicurezza. Contro 370 attacchi zero-day, il prodotto di Carbon Black ha fermato il 97,4%. La media del settore era del 98,9%.

Il software Carbon Black non è andato bene anche quando è stato valutato in termini di impatto sulle prestazioni del computer.

L’AV-Test Institute ha scoperto che Carbon Black ha rallentato una configurazione standard del computer più della media del settore in diverse aree, tra cui il download e il lancio di applicazioni. Per esempio, Carbon Black ha rallentato la copia dei file localmente sul computer e su una connessione di rete del 38% su più di 9.500 campioni di file, rispetto alla media del settore di appena il 5%.

Il prodotto di Carbon Black ha funzionato meglio nei rilevamenti di falsi positivi. Mentre le soluzioni rivali hanno rilevato falsamente una media di 27 software legittimi come malware durante la valutazione di più di un milione di campioni, Carbon Black ha segnalato solo sei. Questo è ancora più alto di alcuni dei migliori software di sicurezza per endpoint disponibili, ma significativamente migliore della media generale.

La pagina Investigate (Indaga) analizza i dettagli di ogni evento sospetto.

Rivedere i dettagli di ogni evento sospetto per ulteriori indagini. Fonte: VMware Carbon Black software.

Edr integrato

L’integrazione dell’EDR di Carbon Black nella sua soluzione VMware Carbon Black Cloud Endpoint Standard è una manna per gli utenti. Di solito un add-on con servizi rivali, EDR combinato con NGAV crea un approccio olistico alla sicurezza degli endpoint.

Quando le tecniche di prevenzione del malware falliscono, EDR vi aiuta a trovare un attacco nascosto nella vostra rete IT. Carbon Black scompone la catena di attacchi malware in una rappresentazione grafica. Questo diagramma interattivo consente di fare clic su qualsiasi parte della catena per visualizzare i dettagli come le azioni che sta compiendo e su quale indirizzo IP (protocollo internet) di rete.

Carbon Black non fornisce solo informazioni. Fornisce anche strumenti per il rimedio del problema, come la messa in quarantena di un dispositivo infetto o l’aggiunta di uno script software appena sviluppato dal tuo team alla whitelist della piattaforma in modo che non venga segnalato ripetutamente.

Carbon Black visualizza una ripartizione visiva di ogni catena di attacco.

Visualizza un diagramma visivo e i dettagli di ogni attacco e attività sospetta. Fonte: Software VMware Carbon Black.

Funzioni di sicurezza aggiuntive

La sicurezza degli endpoint di Carbon Black si distingue dalla concorrenza per il suo approccio alla fornitura di informazioni sulla sicurezza. Carbon Black utilizza un’unica console di gestione basata sul web per i suoi prodotti. Questa console fornisce una ricchezza di informazioni sulla sicurezza che supera ciò che è disponibile da molti concorrenti.

Il cruscotto della console rivela informazioni chiave sulla sicurezza in un formato succinto e facilmente digeribile di grafici e numeri. Questi includono un elenco di attività sospette su cui indagare, il numero e i tipi di attacchi fermati e la salute complessiva della sicurezza della vostra azienda, rappresentata da un punteggio di Endpoint Health. Fare clic su una qualsiasi di queste aree per approfondire i dettagli.

Un paio di caratteristiche interessanti all’interno della console di Carbon Black sono degne di nota.

  • Fasi del ciclo di vita dell’attacco: Una sezione suddivide gli attacchi in base alle fasi del ciclo di vita degli attacchi di cybersecurity. Il software di Carbon Black raggruppa le minacce rilevate nella fase applicabile, come la fase di ricognizione iniziale di un attacco.
  • Threat intelligence: Una risorsa preziosa è l’elenco dei rapporti sulle minacce della console. Gli esperti di sicurezza di Carbon Black forniscono questi rapporti e vi tengono aggiornati sulle ultime minacce.

L’applicazione supporta i vostri sforzi di sicurezza in altri modi. Una sezione Avvisi ti mostra gli elementi potenzialmente rischiosi su cui concentrarsi. Una sezione Investigate suddivide l’attività sospetta per scavare e verificare se si tratta di una minaccia alla sicurezza.

Ogni evento sospetto include dettagli come l’applicazione coinvolta, cosa stava cercando di fare per segnalarlo come sospetto e gli endpoint interessati. Questi dettagli rendono l’indagine veloce e diretta.

La sezione Threat Reports mostra una finestra popup con informazioni sulle nuove minacce.

La threat intelligence integrata nel dashboard rende facile visualizzare le informazioni sulle minacce più recenti. Fonte: VMware Carbon Black software.

Facilità d’uso

La facilità d’uso di Carbon Black

VMware Carbon Black Cloud Endpoint Standard offre una piattaforma cloud-native e un singolo agente software universale da installare sugli endpoint. Questo rende la configurazione e la manutenzione continua semplici.

La sua console di gestione è uno strumento intuitivo per i professionisti IT, in particolare quelli con un background di sicurezza. L’interfaccia è pulita e facile da navigare. Presenta le informazioni sulla sicurezza in un modo che permette di digerirle rapidamente e senza sforzo. Se avete bisogno di maggiori informazioni, basta fare clic su un punto di dati per approfondire i dettagli.

La facilità d’uso di Carbon Black è un problema misto se siete limitati dal vostro livello di risorse IT e dalla sofisticazione della sicurezza. Per i generalisti IT, il prodotto VMware Carbon Black Cloud Endpoint Standard contiene una profondità di dati e approfondimenti sulla sicurezza che può rivelarsi schiacciante. Ma un SOC troverà la caccia alle minacce molto più facile con le informazioni di risposta agli incidenti di Carbon Black.

La schermata degli avvisi mostra un elenco di attività sospette.

Cerca tra gli avvisi per identificare le tendenze e individuare le minacce. Fonte: VMware Carbon Black software.

Prezzi

I prezzi di Carbon Black

I prodotti Carbon Black sono disponibili solo attraverso terze parti che l’azienda chiama “partner”. Dovrete richiedere preventivi a questi partner per determinare il prezzo di Carbon Black che pagherete.

Il prezzo dipende da fattori quali il numero di endpoint per cui state acquistando la protezione e la durata dell’abbonamento misurata in anni. Gli abbonamenti pluriennali offrono sconti maggiori.

Per esempio, un partner applica 52,99 dollari per endpoint per un abbonamento di un anno a VMware Carbon Black Cloud Endpoint Standard. Il prezzo scende a 38,40 dollari per endpoint per un abbonamento di cinque anni.

Questo livello di prezzi è più alto della maggior parte dei concorrenti, ma VMware Carbon Black Cloud Endpoint Standard include funzioni EDR, che molti non hanno. Tuttavia, alcuni concorrenti sono chiari sui loro costi, facendo sembrare la mancanza di prezzi trasparenti di VMware non al passo con le moderne aziende SaaS (software as a service) di sicurezza.

Supporto

Il supporto di Carbon Black

Il supporto di Carbon Black consiste in telefono, e-mail e un portale self-service online. Il portale contiene una base di conoscenza di articoli e documenti che descrivono in dettaglio come utilizzare il prodotto. Il supporto online include opzioni di formazione Carbon Black dai video on-demand alle lezioni con istruttore.

Un robusto forum della comunità Carbon Black fornisce supporto da altri utenti. A differenza della maggior parte dei forum della comunità, questo richiede un login per visualizzare il contenuto.

Il supporto telefonico è disponibile dodici ore al giorno durante la settimana lavorativa. È necessario passare a un piano Premium per ricevere supporto telefonico 24 ore su 24.

Le opzioni di supporto sono suddivise in tre diversi livelli di servizio.

Il supporto standard limita le ore di copertura telefonica ma è possibile passare a un piano Premium. Fonte: carbonblack.com.

Benefici

Benefici di Carbon Black

La ricchezza di informazioni a portata di mano è uno dei maggiori vantaggi di Carbon Black. È possibile scavare in profondità nei dettagli di qualsiasi attacco o attività sospetta. È un’applicazione potente dal punto di vista della security intelligence.

Dà anche strumenti per affrontare i problemi e rafforzare (o “indurire”, come dicono gli esperti di sicurezza) la difesa della vostra rete IT. È possibile valutare facilmente da dove provengono più frequentemente le minacce – per esempio e-mail o siti web – ed eseguire azioni per affrontare queste aree, come l’aggiunta di nuove politiche di sicurezza.

Le caratteristiche di Carbon Black non solo supportano i vostri sforzi di sicurezza, ma accelerano anche il tempo medio di risoluzione (MTTR) del vostro team IT, che misura il tempo necessario per avere una minaccia sotto controllo. Più velocemente il vostro team può trovare e risolvere un problema, minori saranno i danni e i costi per la vostra organizzazione.

Carbon Black fornisce anche soluzioni di sicurezza aggiuntive, come un team di esperti per il monitoraggio e il triage degli avvisi che può aiutare il vostro gruppo IT ad analizzare, confermare e dare priorità agli avvisi in modo che il vostro staff possa concentrarsi sulle minacce reali. Questi servizi aggiunti vi permettono di evolvere la vostra sicurezza man mano che le vostre esigenze aziendali cambiano nel tempo.

Una solida combinazione di NGAV, EDR e approfondimenti sulla sicurezza

Come piattaforma di sicurezza, Carbon Black fornisce molte caratteristiche preziose. La sua potente intelligence e gli strumenti di sicurezza sono impressionanti.

Una combinazione di capacità antivirus di nuova generazione e EDR non si trova spesso in un unico pacchetto. Quest’ultimo spesso richiede l’acquisto di un aggiornamento separato. Da questo punto di vista, Carbon Black offre una soluzione completa.

Le sue capacità di protezione sono eccellenti contro il malware generale. Le sfide risiedono nella sua capacità di fermare efficacemente gli attacchi zero-day e il suo impatto sulle prestazioni del computer. Nonostante queste carenze, nel complesso, è ancora una soluzione di sicurezza robusta.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.