Revisão de proteção de tanium
O sistema de segurança Tanium está organizado como uma plataforma que suporta uma lista de módulos opcionais. Entre esses componentes está o Tanium Protect, um sistema de proteção de endpoint.
O Plataforma Central Tanium é um agitador de gaiola. Desde que a notícia da sua tecnologia inovadora se espalhou pelo mundo, as estruturas da Tanium foram adoptadas por outros participantes no mercado para criar seguidores – um sector de segurança cibernética totalmente novo.
O modelo tradicional de proteção antivírus dependia do talento de uma equipe central de investigadores que detectava novas ameaças, identificava suas características e depois disseminava identificadores reveladores para cada instância instalada do produto antivírus em operação no mundo.
Um avanço na luta contra ataques de dia zero foi incorporar métodos de detecção ao software. Isto criou um exército global de sensores que alertavam o escritório central sobre quaisquer novas ameaças. O laboratório então passou um alerta e uma solução para todas as instâncias do software ao redor do mundo.
A inovação do Tanium aplicou uma arquitetura peer-to-peer modificada, semelhante ao Skype, para detecção de invasões e distribuição de inteligência de ameaças. Implementou processamento simultâneo e tempos de resposta rápidos. Foi surpreendente e deixou os especialistas do setor se perguntando por que ninguém pensou nisso antes.
Conteúdo [ esconder ]
- A Arquitetura Tanium
- O Culto do Tânio
- Fazendo uma cara de coragem
- A falha em Tanium
- Concorrentes e alternativas do Tanium Protect
Sobre Tanium
Tanium Inc foi fundada por uma equipe dinâmica de pai e filhoDavieÓrion Hindawiem 2007. Hindawi, o mais velho, iniciou um negócio de tecnologia, vendeu-o e fez fortuna enquanto o gênio júnior navegava sem esforço até o primeiro lugar de sua classe em Berkeley. David criou, instalou e vendeu uma segunda empresa de TI, a BigFix, focada em segurança de computadores, colhendo outra fortuna.
Com dinheiro e conhecimento, os dois Hindawis elaboraram um esboço para uma nova abordagem de segurança e criaram a Tanium para desenvolvê-la. Uma demonstração casual do novo software “em acção” resultou no bombardeamento de dinheiro dos Hindawis por parte de capitalistas de risco. Mantendo 60% da empresa, a família criou um fundo de desenvolvimento, montou uma equipe de jovens inovadores brilhantes e tornou-se multibilionária antes de vender uma única cópia do Tanium.
O principal mito fundamental do Tanium reside na demonstração original do software para investidores ávidos. Em apenas 15 segundos, o software examinou todo o sistema de TI de um hospital e eliminou todos os vírus e vulnerabilidades. Os investidores não conseguiam acreditar na rapidez com que a operação decorreu. A interface simples que parecia a página inicial do Google com um campo de entrada marcava e corrigia tudo enquanto os homens do dinheiro e seus consultores técnicos especializados conversavam.
Em verdade,o software levou cinco anos para ser desenvolvido por 12 técnicos especializados em segurança cibernética e eles receberam muitas contribuições da McAfee. O relacionamento com a McAfee terminou após dois anos em 2014 e resultou na saída do concorrente do diretor de vendas da McAfee. Com uma nova abordagem corporativa de vendas, a Tanium, enxuta e inovadora, decolou.
A Arquitetura Tanium
Os protocolos peer-to-peer chamaram a atenção dos entusiastas da tecnologia do mundo pela primeira vez quando o Napster os utilizou de forma espetacular como um aplicativo de compartilhamento de arquivos. O BitTorrent assumiu a liderança no desenvolvimento da arquitetura, criando eficiência a partir da autonomia e cooperação dos nós.
O Skype aplicou o P2P à telefonia e é o modelo do Skype que parece ter dado aos Hindawis sua arquitetura principal. O Skype distribui a estrutura de comando de uma rede nomeando nós estrategicamente localizados como primários, tornando-os responsáveis pela coordenação da transmissão de pacotes através de nós subordinados.
É assim que o Tanium funciona e sua estrutura em árvore é a chave para a velocidade lendária do Tanium. Um agente é instalado em um terminal por segmento de rede. Cada agente se comunica com cerca de 100 de seus vizinhos. Ele reúne dados de vulnerabilidade, agrega-os e depois repassa suas descobertas ao gerente central para consolidação e relatórios finais.
A velocidade do sistema deriva do processamento simultâneo por supernós. A agregação de dados que realizam significa que a maior parte do trabalho de análise já foi concluída durante a fase de recolha de dados.
Na segurança cibernética, a velocidade é metade da batalha. Não faz sentido ter o melhor antivírus ou sistema de detecção de intrusões do mundo se todos os seus dados foram roubados ou destruídos antes que o software emita um alerta.
Era fácil vender para CIOs de startups geniais do Vale do Silício. Uma demonstração da limpeza de sistema de 15 segundos do Tanium fez com que todas as grandes empresas de tecnologia assinassem na linha pontilhada.
O Culto do Tânio
Tanium é o tipo de projeto em que todos querem acreditar. Os adeptos sentem-se bem consigo mesmos porque o apoiam. Poucas pessoas entendem muito sobre como funcionam os sistemas de segurança cibernética e o número de pessoas que entendem isso e os detalhes do processamento distribuído, além da arquitetura ponto a ponto, é ainda menor.
No entanto, ao fingirem compreender a tecnologia por detrás do Tanium e confiarem na segurança dos sistemas de TI que suportam os gigantes da tecnologia, esses compradores tiveram de aceitar o mito criado pelos fumos e espelhos do software. Surpreendentemente, poucos CIOs exigiram uma investigação completa da eficácia do Tanium. Até os militares dos EUA compraram e instalaram o software de segurança sem realmente compreenderem as implicações da sua arquitectura. Visa, Amazon, Best Buy, Departamento de Defesa dos EUA e Nasdaq são alguns dos clientes renomados da Tanium.
Outras empresas de software adotaram o conceito P2P como um atalho para a velocidade. Surgiram novos rivais, todos querendo aquela avaliação multibilionária que os Hindawis adquiriram para a Tanium quase da noite para o dia e aparentemente sem sequer tentarem atrair investidores.
Fazendo uma cara de coragem
A McAfee ficou por dentro da metodologia da Tanium em 2012. Em 2014, quando os Hindawis deixaram a parceria com a McAfee, eles desistiram ou foram pressionados? A McAfee não fez nenhuma tentativa de aplicar o processamento distribuído às suas soluções de segurança desde que tomou conhecimento da inovação, há sete anos. Por que?
Não é preciso muita experiência para detectar uma falha importante na estratégia do Tanium, mas todos os especialistas na área investiram a sua credibilidade nos endossos do Tanium. Ninguém quer admitir que ficou deslumbrado e enganado, então todos ficam calados. Tanium não identifica e elimina vulnerabilidades, ele as cria.
Os problemas do Tanium poderiam ser resolvidos, mas a solução perderia o título de 15 segundos do software e deixaria o sistema de segurança fazendo exatamente o que a McAfee e a Symantec estão fazendo agora, sem ter seu próprio AV para mitigação.
A falha em Tanium
Um hacker entra em um endpoint de uma rede, pesquisa informações de segurança em seus arquivos, instala keyloggers para obter credenciais de login, explora dados valiosos e, em seguida, encontra pontos de entrada para outros computadores na rede.
Agora, vamos ver como o Tanium funciona. O software do agente é carregado em um terminal na rede. Esse nó então contata seus vizinhos e procura vulnerabilidades em cada um deles. Ele coleta dados de log e cria perfis de armazenamentos de dados e aplicativos em cada computador. Ele traz essas informações para casa, coloca-as em um arquivo e depois as classifica e consolida. O resumo dessa investigação é então encaminhado ao controlador central.
O agente Tanium age ‘como’ um hacker. Ele faz toda a coleta de dados do hacker para ele e depois armazena essas informações em um arquivo, pronto para ser capturado. O Tanium não apenas acelera a verificação de vulnerabilidades, mas também acelera o roubo de dados. Como o agente entra em cada endpoint subordinado? Os hackers adorariam saber e podem descobrir facilmente invadindo o host do agente.
Os desenvolvedores do Tanium não criaram suas próprias ferramentas proprietárias de digitalização e coleta de dados. Eles se apropriaram das ferramentas gratuitas de verificação de rede e sistema existentes – principalmenteNmapePsExecjunto com7-Zippara compactação de arquivos. O sistema tambémusa scripts de shell, que são escritos em texto simples – qualquer pessoa pode acessá-los, lê-los e executá-los.
Nmap e PsExec são duas ferramentas amplamente utilizadas por hackers. Essencialmente, o Tanium carrega um kit de ferramentas de hacker em um nó da rede e dá a esse nó acesso a outros 100 endpoints. Hacker diz: “Não se importe se eu fizer isso”. Enquanto estiver lá, o hacker também pode pesquisar todas as informações de inteligência em texto simples que a última execução do agente Tanium deixou no host.
É difícil acreditar que durante dois anos de reuniões os experientes profissionais de segurança cibernética da McAfee não tenham identificado as falhas na metodologia Tanium. Eles não teriam avisado os graduados que comandavam o desenvolvimento do novo sistema? Um pequeno número de consultores de segurança cibernética e pen testers detectaram pela primeira vez o problema com a configuração do Tanium em 2017 e alertaram a empresa imediatamente. Tanium não respondeu nem revisou seu software. É provável que eles já soubessem.
A vantagem inovadora da Tanium Core Platform depende de fornecer a um endpoint acesso irrestrito a centenas de outros. Ele não protege os fluxos de dados entre cada endpoint e o software de controle em um servidor central com criptografia de ponta a ponta. Ele cria um intermediário, fornecendo um veículo hotrod para hackers.
Tanium Protect: Os pontos fracos
A estrela Tanium provavelmente ficaria rapidamente manchada, mesmo sem a descoberta da sua fraqueza fundamental em termos de segurança. O método de comunicação entre o agente e os nós subordinados depende de um processo denominado encadeamento. Isto pressupõe que todos os nós em um segmento de rede receberam endereços IP sequenciais por um servidor DHCP.
As redes hoje são muito mais confusas do que eram em 2007 – de forma aceitável. Isso se deve à complexidade introduzida pela aceitação do BYOD, à ampla integração de dispositivos móveis nas redes empresariais e à necessidade de integrar filiais fisicamente distantes à rede doméstica. Tudo isso significa que as empresas podem não ter sub-redes segmentadas de maneira organizada em blocos gerenciáveis de 100 nós. Isso reduz a velocidade e a eficiência do Tanium.
Concorrentes e alternativas do Tanium Protect
Se você já implantou o Tanium em sua empresa, esperamos que não tenha se gabado muito de quão inteligente você era. Você precisa recuar e encontrar rapidamente um motivo confiável para substituir seu Tanium contaminado. Aqui estão cinco alternativas a serem consideradas.
- Falcão Crowdstrike Obtém assinaturas de ameaças na Internet e vasculha a rede local em busca de correspondências.
- Plataforma de segurança de endpoint Action1 Um sistema baseado em nuvem com descoberta de nós e verificações de vulnerabilidade extremamente rápidas.
- Resposta de negro de fumo O quinto sistema de proteção de endpoint mais vendido no mundo; um slot à frente do BigFix.
- Proteção de endpoint da Symantec Quase, mas não exatamente, ponto a ponto.
- Ponto final Fidelis Inclui detecção e resposta, mas cuidado: isso também usa P2P.
Falcão Crowdstrike
Greve coletiva implanta uma arquitetura baseada em nuvem para aquisição de CVE, mas o software de proteção de endpoint é executado em cada máquina individual como um agente. O serviço funciona bem para dispositivos móveis e também para computadores de escritório tradicionais. Este é um sistema de substituição de AV que integra técnicas de aprendizado de máquina de IA para criar uma solução de proteção muito rápida e com poucos falsos positivos.
Plataforma de segurança de endpoint Action1
Ação1 usa comandos de linguagem natural em sua plataforma Endpoint Security. Este é um serviço baseado em nuvem que elimina o processamento do seu equipamento, tornando-o muito adequado para a proteção de dispositivos móveis. O pacote inclui descoberta de inventário de software, gerenciamento de patches, implementações remotas de software, gerenciamento de ativos de TI e avaliação de vulnerabilidades.
Resposta CB de negro de fumo
Resposta de negro de fumo inclui caça a ameaças e resposta a incidentes. Este é “um pacote muito falado” no momento e está criando muita agitação com sua análise de big data que detecta novas ameaças, da mesma forma que o Crowdstrike faz. Carbon Black foi comprado pela VMWare em outubro de 2019, então espere alguns grandes desenvolvimentos com esta marca.
Proteção de endpoint da Symantec
Proteção de endpoint da Symantec mostra às crianças como se faz. O serviço coordena a descoberta de ameaças entre 175 milhões de instalações em todo o mundo. Isto pode ser pensado como um conceito P2P mediado. A presença do servidor de controle baseado em nuvem elimina a comunicação direta entre pares e reduz o risco de infecção cruzada.
Veja também: Análise do Symantec Endpoint Protection
Ponto final Fidelis
Ponto final Fidelis está incluído aqui apenas para mostrar que o Tanium não é o único sistema de segurança cibernética que utiliza arquitetura P2P. Tenha cuidado ao usar este sistema sem investigar minuciosamente seu comportamento em sua rede com a avaliação gratuita.
Veja nossa amostra de mercado de apenas cinco concorrentes do Tanium para ter uma ideia das alternativas. Essa implementação peer-to-peer acabou sendo um erro de segurança, mas o P2P provará ser uma boa ideia se alguém conseguir criar um plano que não comprometa as credenciais de acesso ao endpoint. É um desafio atraente e Tanium esteve perto de acertar, mas errou o alvo.