Kaspersky Endpoint Security vs. CrowdStrike Falcon
Kaspersky Lab hat einen russischen Ursprung und befindet sich immer noch mehrheitlich im Besitz seines russischen Gründers. Allerdings sollte das Unternehmen mittlerweile eher als multinationales als als russisches Unternehmen betrachtet werden. Die Muttergesellschaft der Gruppe hat ihren offiziellen Sitz im Vereinigten Königreich und ein Großteil des ursprünglich in Russland ansässigen Forschungsteams wurde inzwischen in die Schweiz verlegt.
Der kommerzielle Erfolg des Unternehmens wurde 2017 erheblich beeinträchtigt, als das US-Heimatschutzministerium ihm vorwarf, die Spionagebemühungen des russischen Geheimdienstes FSB zu unterstützen. Diese Anschuldigungen wurden nie vor Gericht erhoben.
Obwohl das Unternehmen im letzten Jahrzehnt eine wichtige Rolle bei der Aufdeckung staatlich geförderter Cyber-Angriffe gespielt hat, werden die Produkte des Unternehmens heute im Westen mit Verachtung betrachtet. Seine Software wurde aus US-Regierungsbehörden verbannt.
CrowdStrike wurde 2011 als Beratungsunternehmen für Cybersicherheit gegründet. Mit der Veröffentlichung von Falcon stieg das Unternehmen 2013 in den Softwaremarkt ein. Berühmtheit erlangte das Unternehmen durch die Aufdeckung staatlich geförderter Cyber-Angriffe. Als in den USA ansässiges Unternehmen ist CrowdStrike erfolgreich und seine Beratungsbranche erregt immer noch positive Medienaufmerksamkeit, was seiner Marke einen Bekanntheitsschub verleiht.
Beide Unternehmen sind für ihre Forschungs- und Beratungsabteilungen bekannt, doch Kaspersky steht unter Druck, während CrowdStrike floriert. Werfen wir einen Blick auf die Endpoint-Protection-Software der einzelnen Unternehmen.
Kaspersky Endpoint Security
Kaspersky Lab nahm seinen Betrieb im Jahr 1997 auf. Als einer der ersten Akteure auf dem Antivirenmarkt folgte Kaspersky dem Geschäftsmodell erfolgreicher US-amerikanischer AV-Unternehmen, indem es umfangreiche Investitionen in die Virenerkennungsforschung mit dem Verkauf von AV-Software verband. Symantec und McAfee verfolgen beide das gleiche Geschäftsmodell wie Kaspersky: Sie nutzen Forschungslabore, um Virendatenbanken für ihre AV-Produkte bereitzustellen und auch die Aufmerksamkeit der Medien auf sich zu ziehen und so ihre Marken zu stärken.
Die Geschichte der Antivirensoftware von Kaspersky reicht bis zur Gründung des Unternehmens zurück. Eugen Kaspersky entwickelte 1989 sein eigenes Antivirensystem, während er für ein anderes Unternehmen arbeitete. Aus diesem System entwickelte sich AntiViral Toolkit Pro (AVP) , das 1992 veröffentlicht wurde. Als Kaspersky die Software in sein eigenes Unternehmen übernahm, benannte er AVP in um Kaspersky Anti-Virus .
Nachdem Kaspersky sich mit seinem eigenen Unternehmen selbstständig gemacht hatte, begann sein Name, der nun vom Unternehmen und seinem Schlüsselprodukt getragen wird, auch außerhalb seines Heimatlandes Russland die Aufmerksamkeit der Medien auf sich zu ziehen. Kaspersky entwickelte sich zu Europas größtem Anbieter von Cybersicherheitssoftware. Eugene Kaspersky leitet das Unternehmen weiterhin.
Die Business-Version von Kaspersky Anti-Virus heißt Kaspersky Endpoint Security . Das Unternehmen produziert Antivirensoftware für kleine Unternehmen mit dem Namen Kaspersky Small Office Security. Kaspersky Endpoint Security richtet sich an mittelständische Unternehmen. Die Endpoint Protection-Software muss auf jeden zu schützenden Computer geladen werden. Der Systemadministrator kann jedoch die Leistung jeder Instanz über eine zentrale Verwaltungskonsole namens Kaspersky Security Center überwachen.
Wie andere traditionelle AV-Hersteller hat Kaspersky seine Software überarbeitet und zusätzliche Schutzmaßnahmen integriert. Dies hat dazu geführt, dass Kaspersky Endpoint Security eine Suite gleichzeitig arbeitender Sicherheitssoftware ist. Die Prozesse der Suite sind auf Anwendungs-, Geräte- und Webkontrollen spezialisiert und schützen außerdem Daten und Protokolldateien vor Diebstahl oder Manipulation.
Die Hauptelemente der Suite sind:
- Dynamisches Whitelisting – eine vom zentralen Forschungslabor des Unternehmens erstellte Datenbank, die genehmigte Anwendungen auflistet, anstatt nach verdächtigen Programmen zu suchen, die blockiert werden können. Die Datenbank umfasst 2,5 Milliarden vertrauenswürdige Programme. Es reduziert die Häufigkeit von Zero-Day-Angriffen, indem es den Start unbekannter Software blockiert.
- Hostbasiertes Intrusion Prevention System – Das HIPS überwacht die auf dem geschützten Gerät gespeicherten Protokolldateien und Ereignisdaten auf Anzeichen eines Einbruchs. Diese Suchvorgänge sind in der Lage, manuelle Hackerangriffe zu erkennen und zu blockieren, die gültige, bereits auf dem Gerät installierte Software für böswillige Zwecke nutzen.
- Verhaltenserkennung – nutzt KI-Techniken des maschinellen Lernens, um das Risiko von „Falsch-Positiv-Ergebnissen“ zu verringern, die die normalen Aktivitäten der Endpunktbenutzer stören.
- Adaptive Anomaliekontrolle – Dies ist eine Variante der Verhaltenserkennung, die sich auf das Erlernen des typischen Verhaltens von Benutzern konzentriert. Dadurch kann das Sicherheitssystem erkennen, wenn ein Benutzerkonto von einem Hacker gekapert wird.
- Exploit-Prävention – überwacht bekannte Eintrittspunkte von Viren, wie Datei-Downloads, infizierte Webseiten und USB-Geräte. Das Präventionssystem achtet auch auf Anwendungen, die als praktische Tarnung für Malware gelten, darunter Adobe Acrobat-Dateien, Flash-Skripte und Microsoft Office-Dienstprogramme wie Makros.
- Alarmierung und Abhilfe – Das Kaspersky-System erstellt Rollback-Punkte und Datensicherungen, die es ermöglichen, den Endpoint nach Erkennung eines Angriffs wieder in seinen unbeschädigten Zustand zu versetzen. Die Remediation Engine ist in der Lage, Benutzerkonten zu sperren und Prozesse zu beenden, um den Angriff zu beenden.
- Schutz vor Netzwerkbedrohungen – schützt vor Infektionen, die über das Netzwerk auf den Endpunkt gelangen. Hierbei handelt es sich um eine Reihe von Schutzprozessen, die Schutz vor Netzwerkadressen-Spoofing und anderen System-Hijacking-Techniken bieten, mit denen Hacker ihr Eindringen verschleiern.
- Härtung von Berechtigungen – Das Kaspersky-System schützt Benutzernamen und Passwörter bei der Übertragung und macht verlassene Konten ausfindig, die Hackern helfen können.
- Endpunkterkennung und -reaktion (EDR) – Weitergabe von Bedrohungsinformationen, die von der Endpoint-Sicherheitssoftware an eine zentrale Datenbank gemeldet werden. Diese Daten werden durch automatisierte Prozesse und auch menschliche Cybersicherheitsanalysten analysiert, dann zusammengefasst und als „Indicators of Compromise“ (IoCs) verteilt.
- Sicherheitspersistenz – Die Software ist in der Lage, sich vor Manipulationen oder dem Herunterfahren durch böswillige Prozesse zu schützen.
- Vollständige Festplattenverschlüsselung (FDE) – Die Möglichkeit, eine Festplatte mit Verschlüsselung zu sichern, ist eine einzigartige Funktion auf dem Endpunktschutzmarkt. Kaspersky verwendet eine 256-Bit-AES-Verschlüsselung. Dies ist eine besonders nützliche Funktion, wenn Unternehmen mobile Geräte verwenden, die leicht verloren gehen oder gestohlen werden könnten.
- Kasperskys Verschlüsselung auf Dateiebene – eine alternative Datensicherheitsstrategie zu FDE. Systemadministratoren können eine automatische Dateiverschlüsselung je nach Dateityp und Speicherort erzwingen. Benutzer können Dateien bei Bedarf auch verschlüsseln, um sie per E-Mail oder auf USB-Speichersticks zu übertragen.
- Endpunkt-Zugriffskontrolle – Hierbei handelt es sich um ein Dienstprogramm in der Security Center-Konsole, das in Active Directory integriert ist, um den Zugriff auf Endpunkte zu schützen.
Kaspersky Endpoint Security ist ein sehr umfassendes Schutzpaket. Es erstreckt sich sogar auf die Sicherung von Daten, eine Aufgabe, die die meisten Endpoint-Protection-Plattformen nicht umfassen.
Vorteile:
- Bietet Verschlüsselung auf Dateiebene, um lokal gespeicherte Daten auf Endpunkten zu schützen
- Integriert sich in AD für Zugriffskontrolle und richtlinienbasierte Konfiguration
- Bietet erweiterte Alarmvorlagen und lokal gespeicherte Rollbacks
- Nutzt Verhaltensanalysen, um bisher unbekannte Bedrohungen zu identifizieren
Nachteile:
- In den USA ansässige Unternehmen könnten daran gehindert werden, ausländische Sicherheitslösungen zu nutzen
CrowdStrike Falcon
CrowdStrike wurde 2011 als Beratungsunternehmen für Cybersicherheit gegründet. Bereits in den ersten Jahren seines Bestehens erlangte das Unternehmen großes Ansehen, indem es einige der größten Sicherheitsverstöße der Geschichte aufdeckte und den Opfern bei der Sicherung ihrer Systeme half. Beispielsweise entdeckte das Unternehmen den großen Datendiebstahl in der SONY-Bilderdatenbank im Jahr 2014 und arbeitet seit dem E-Mail-Hack von 2016 für die Demokratische Partei der USA, um sie bei der Stärkung ihrer digitalen Abwehr zu unterstützen. Leiter der Beratungsabteilung des Unternehmens ist der ehemalige Leiter der Cyber-Abteilung des FBI, Shawn Henry.
CrowdStrike Falconwar der große Schritt des Unternehmens in den Softwaremarkt. Das System ist eine „Endpoint Protection Platform“ (EPP), das heißt, es handelt sich um eine Suite von Anwendungen.
CrowdStrike bewirbt Falcon als „aus der Cloud bereitgestellt“. Tatsächlich werden viele der Aufgaben zum Schutz von Endpunkten von Anwendungen ausgeführt, die auf dem Gerät selbst installiert sind. Ein ungewöhnlicher Aspekt des CrowdStrike Falcon-Systems besteht darin, dass es Pläne umfasst, die die Dienste menschlicher Cybersicherheitsanalysten umfassen.
Eine weitere Besonderheit von Falcon ist, dass es in Editionen verkauft wird. Dadurch kann der Kunde auswählen, welche Module er in die Plattform integrieren möchte. Diese Module sind:
- Falcon Prevent – Antivirensoftware und Firewall der nächsten Generation.
- Falcon Intelligence – Eine Threat-Intelligence-Engine.
- Falcon Insight – Endpoint Detection and Response (EDR) zur Bekämpfung fortgeschrittener hartnäckiger Bedrohungen.
- Falcon Overwatch – Bedrohungssuche durch menschliche Experten.
- Falcon Discover – Ein Schwachstellenscanner.
- Falcon-Gerätesteuerung – Ein Überwachungssystem für USB-Speichersticks.
Die von CrowdStrike angebotenen Pakete ermöglichen es dem Kunden, nur einige oder die meisten dieser Module zu kaufen. Die Editionen von CrowdStrike Falcon sind:
- Falcon Pro – umfasst Falcon Prevent und Falcon Intelligence.
- Falcon Enterprise – umfasst Falcon Prevent, Falcon Intelligence, Falcon Insight und Falcon Overwatch.
- Falcon Premium – umfasst Falcon Prevent, Falcon Intelligence, Falcon Insight, Falcon Overwatch und Falcon Discover.
- Falcon abgeschlossen – Ein verwalteter Endpoint-Sicherheitsdienst, der die Ressourcen aller Module umfasst.
Keines der Pakete beinhaltet Falcon-Gerätesteuerung . Dies ist ein Add-on zu den Editionen und steuert den Zugriff auf USB-Speichersticks. Die Anwendung blockiert die USB-Anschlüsse des geschützten Geräts und verhindert, dass USB-Geräte eine Verbindung zum Betriebssystem des Computers herstellen. Über eine Verwaltungskonsole kann ein Administrator bestimmte Geräte autorisieren. Diese gelöschten Speichersticks können dann mit dem Computer interagieren, während alle anderen USB-Geräte gesperrt bleiben.
Falcon abgeschlossen ist ein verwalteter Dienst. Das bedeutet, dass Sie keinem Ihrer IT-Supportmitarbeiter in der Verwendung des CrowdStrike-Systems schulen müssen. Ein Technikerteam im CrowdStrike-Hauptquartier überwacht die Sicherheit Ihrer Endpunkte und ergreift bei Bedarf Maßnahmen. Anschließend muss auf jedem geschützten Rechner noch eine Agentensoftware installiert werden. Das Falcon Complete-Paket beinhaltet die Nutzung aller Falcon-Module und menschlichen Analysten.
Der Falcon Premium Edition ist der höchste Plan, den Sie selbst verwalten können. Es umfasst alle Module außer der Falcon Device Control. Das Falcon Discover-Modul ist nur im Premium-Paket verfügbar, was schade ist. Falcon Discover ist ein Schwachstellenscanner, der in der Cybersicherheit zu einem immer wichtigeren Werkzeug wird. Es ist möglich, dass einige Kunden nur das Basis-Endpunktschutzpaket Falcon Pro plus Falcon Discover wünschen, ohne auch für Falcon Insight und Falcon Overwatch bezahlen zu müssen.
Die Basisausgabe, Falcon Pro ist ein sehr gutes Angebot und bietet alle Schutzfunktionen, die das gesamte EPP in einigen konkurrierenden Endpoint-Schutzsystemen darstellen. Im Pro-Angebot ist ein Net-Gen-AV enthalten, das nach Verhaltensmustern sucht, anstatt nach Dateien zu suchen, die auf einer Blacklist stehen. DerFalcon IntelligenceModul ist ein KI-basiertes System, das auf maschinellem Lernen basiert und auch nach verdächtigem Verhalten sucht. Während Falcon Prevent jeden Prozess auf anomales Verhalten untersucht, verfolgt Falcon Intelligence Abfolgen von Ereignissen, die auf einen Hackereinbruch hinweisen würden. Falcon Intelligence ist ein Intrusion-Prevention-System. Alle installierten Instanzen der Anwendung auf der ganzen Welt tragen zu einem Threat-Intelligence-System bei, indem sie Berichte über die Vorfälle hochladen, die sie bekämpft haben.
Falcon Enterprise fügt hinzu Falcon Insight Und Falcon Overwatch zu den in der Falcon Pro Edition verfügbaren Modulen. Falcon Insight sucht nach Beweisen für Advanced Persistent Threats (APTs). Bei diesen Eingriffen handelt es sich um langfristige unbefugte Eingriffe in das System, bei denen der Hacker ein Konto für den regelmäßigen Zugriff einrichtet. Falcon Overwatch ist ein Signaturmodul. Dabei werden die Dienste der renommierten Cybersicherheitsanalyse des Unternehmens in Anspruch genommen. Diese Experten durchsuchen die von Falcon Sie können CrowdStrike Falcon 15 Tage lang kostenlos testen.
Vorteile:
- Verlässt sich bei der Erkennung von Bedrohungen nicht nur auf Protokolldateien, sondern nutzt Prozessscans, um Bedrohungen sofort zu finden
- Fungiert als HIDS- und Endpoint-Schutz-Tool in einem
- Kann anormales Verhalten im Laufe der Zeit verfolgen und warnen. Je länger das Netzwerk überwacht wird, desto besser
- Kann entweder vor Ort oder direkt in einer cloudbasierten Architektur installiert werden
- Leichte Agenten verlangsamen weder Server noch Endbenutzergeräte
Nachteile:
- Würde von einer längeren Testphase von 30 Tagen profitieren
Kaspersky Endpoint Security und CrowdStrike Falcon
Kaspersky Endpoint Security und CrowdStrike Falcon haben viele Gemeinsamkeiten. Beide Systeme umfassen herkömmliche AV- und Firewall-Elemente, implementieren jedoch die Aufgaben der Blockierung von Malware auf innovative Weise. Beide erfordern die Installation von Software auf dem Endpunkt und stellen gleichzeitig eine zentrale Verwaltungskonsole für Systemadministratoren zur Verfügung.
Wenn man sich die Listen der Module ansieht, die jede Plattform enthält, kann man nicht anders, als zu dem Schluss zu kommen das Kaspersky-System ist umfassender . Dennoch führen die vom US-Heimatschutzministerium erhobenen Vorwürfe der „russischen Spionage“ dazu, dass viele Unternehmen in den USA diese Option wahrscheinlich von ihrer Liste streichen werden.
Der Prozess, der die US-Sicherheitswarnung auslöste, war das EDR-Modul der Software. Dadurch wurden Angriffsdetails in die globale Bedrohungsdatenbank von Kaspersky hochgeladen, auf die auch die Cybersicherheitsanalysten von Kaspersky in Moskau zugreifen können. Leider war der Benutzer dieses speziellen Endpunkts ein Mitarbeiter der National Security Agency (NSA). Dies und die unbegründeten Anschuldigungen, dass Kaspersky heimlich mit dem russischen FSB in Verbindung steht, könnten Sie verunsichern Entscheiden Sie sich für die Software von CrowdStrike trotz der Tatsache, dass das Unternehmen offen mit amerikanischen nationalen Sicherheitsbehörden zusammenarbeitet. Nutzen Sie die 15-tägige kostenlose Testversion von Falcon Pro, um es auf die Probe zu stellen.
Kaspersky verkauft seine Endpoint Security-Software als Teil von Kaspersky Total Security, das unter erhältlich ist eine 30-tägige kostenlose Testversion . Es ist auch erhältlich als Kaspersky Endpoint Security for Business Advanced als 30-tägige kostenlose Testversion , Kaspersky Endpoint Security for Business Wählen Sie eine 30-tägige kostenlose Testversion , Und Kaspersky Endpoint Security Cloud als 30-tägige kostenlose Testversion .
Wenn Sie diese beiden Systeme getestet haben, hinterlassen Sie eine Nachricht im Kommentare Abschnitt unten, um Ihre Meinung mit der Community zu teilen.