Tanium Protect-Rezension
Das Tanium-Sicherheitssystem ist als Plattform organisiert, die eine Liste optionaler Module unterstützt. Zu diesen Komponenten gehört Tanium Protect, ein Endpunktschutzsystem.
Der Tanium Core-Plattform ist ein Käfigschüttler. Seitdem sich die Nachricht von seiner bahnbrechenden Technologie in der ganzen Welt herumgesprochen hat, wurden die Strukturen von Tanium von anderen Marktteilnehmern übernommen, um eine Anhängerschaft zu schaffen – einen völlig neuen Cybersicherheitssektor.
Das traditionelle AV-Schutzmodell stützte sich auf das Talent eines zentralen Ermittlerteams, das neue Bedrohungen erkannte, ihre Merkmale identifizierte und dann verräterische Kennungen an jede installierte Instanz des weltweit betriebenen AV-Produkts weitergab.
Ein Fortschritt im Kampf gegen Zero-Day-Angriffe war die Integration von Erkennungsmethoden in die Software. Dadurch entstand eine globale Armee von Sensoren, die die Zentrale vor neuen Bedrohungen warnten. Das Labor leitete dann eine Warnung und eine Lösung an alle Instanzen der Software auf der ganzen Welt weiter.
Die Tanium-Innovation nutzte eine modifizierte Skype-ähnliche Peer-to-Peer-Architektur zur Erkennung von Eindringlingen und zur Verteilung von Bedrohungsinformationen. Es implementierte gleichzeitige Verarbeitung und schnelle Reaktionszeiten. Es war erstaunlich und ließ Branchenexperten sich fragen, warum niemand früher daran gedacht hatte.
Inhalt [ verstecken ]
- Die Tanium-Architektur
- Der Tanium-Kult
- Ein mutiges Gesicht aufsetzen
- Der Fehler in Tanium
- Konkurrenten und Alternativen zu Tanium Protect
Über Tanium Inc
Tanium Inc. wurde von einem dynamischen Vater-Sohn-Team gegründetDavidUndOrion Hindawiim Jahr 2007. Hindawi der Ältere gründete ein Technologieunternehmen, verkaufte es und machte ein Vermögen, während das Nachwuchsgenie in Berkeley mühelos an die Spitze seiner Klasse gelangte. David gründete ein zweites IT-Unternehmen, BigFix, das sich auf Computersicherheit konzentrierte, baute es auf und verkaufte es wieder, wodurch er ein weiteres Vermögen einheimste.
Mit Geld und Know-how erstellten die beiden Hindawis einen Entwurf für einen neuen Sicherheitsansatz und gründeten Tanium, um ihn zu entwickeln. Eine beiläufige Demonstration der neuen Software „in Aktion“ führte dazu, dass die Hindawis von Risikokapitalgebern mit Geld beworfen wurden. Die Familie behielt 60 Prozent des Unternehmens, baute einen Entwicklungsfonds auf, stellte ein Team brillanter junger Innovatoren zusammen und wurde Multimilliardäre, bevor sie auch nur ein einziges Exemplar von Tanium verkaufte.
Der zentrale Gründungsmythos von Tanium liegt in der Originaldemo der Software für eifrige Investoren. In nur 15 Sekunden durchsuchte die Software das gesamte IT-System eines Krankenhauses und befreite es von allen Viren und Schwachstellen. Die Investoren konnten nicht glauben, wie schnell die Operation verlief. Die einfache Benutzeroberfläche, die mit einem Eingabefeld wie die Startseite von Google aussah, tickte und reparierte alles, während die Geldmänner und ihre technischen Fachberater plauderten.
In Wahrheit,Für die Entwicklung der Software brauchten zwölf erfahrene Cybersicherheitstechniker fünf Jahre und erhielten viel Input von McAfee. Die Beziehung mit McAfee endete nach zwei Jahren im Jahr 2014 und führte dazu, dass der Anwärter mit dem Vertriebsleiter von McAfee davonzog. Mit einem neuen Unternehmensansatz für den Vertrieb startete das schlanke und bahnbrechende Unternehmen Tanium durch.
Die Tanium-Architektur
Peer-to-Peer-Protokolle erregten erstmals die Aufmerksamkeit von Technologiebegeisterten auf der ganzen Welt, als Napster sie spektakulär als File-Sharing-Anwendung nutzte. BitTorrent übernahm die Führung bei der Entwicklung der Architektur und schaffte Effizienz durch Knotenautonomie und Zusammenarbeit.
Skype hat P2P auf die Telefonie angewendet und es ist das Skype-Modell, das den Hindawis offenbar ihre Schlüsselarchitektur gegeben hat. Skype verteilt die Befehlsstruktur eines Netzwerks, indem es strategisch gelegene Knoten als primäre Knoten ernennt und diese für die Koordinierung der Übertragung von Paketen durch untergeordnete Knoten verantwortlich macht.
So funktioniert Tanium und seine Baumstruktur ist der Schlüssel zu Taniums legendärer Geschwindigkeit. Auf einem Endpunkt pro Netzwerksegment wird ein Agent installiert. Jeder Agent kommuniziert mit etwa 100 seiner Nachbarn. Es sammelt Schwachstellendaten, aggregiert sie und leitet die Erkenntnisse dann zur endgültigen Konsolidierung und Berichterstattung an den zentralen Manager weiter.
Die Geschwindigkeit des Systems ergibt sich aus der gleichzeitigen Verarbeitung durch Superknoten. Die von ihnen durchgeführte Datenaggregation bedeutet, dass der Großteil der Analysearbeit bereits während der Datenerfassungsphase abgeschlossen ist.
In der Cybersicherheit ist Geschwindigkeit die halbe Miete. Es hat keinen Sinn, das beste Antiviren- oder Intrusion-Detection-System der Welt zu haben, wenn alle Ihre Daten gestohlen oder zerstört wurden, bevor die Software eine Warnung auslöst.
CIOs genialer Startups aus dem Silicon Valley waren leicht zu verkaufen. Eine Demo der atemberaubenden 15-Sekunden-Systembereinigung von Tanium brachte alle großen Technologieunternehmen dazu, auf der gepunkteten Linie zu unterzeichnen.
Der Tanium-Kult
Tanium ist die Art von Projekt, an die jeder glauben möchte. Die Anhänger fühlen sich gut, weil sie es unterstützen. Nicht viele Menschen verstehen viel darüber, wie Cybersicherheitssysteme funktionieren, und die Zahl der Menschen, die das und die Feinheiten der verteilten Verarbeitung und der Peer-to-Peer-Architektur verstehen, ist noch geringer.
Indem sie jedoch vorgaben, die Technologie hinter Tanium zu verstehen, und die Sicherheit der IT-Systeme anvertrauten, die Technologiegiganten unterstützen, mussten sich diese Käufer dem Mythos anschließen, der durch den Nebel und die Spiegel der Software entstand. Überraschenderweise haben nur wenige CIOs eine umfassende Untersuchung der Wirksamkeit von Tanium gefordert. Sogar das US-Militär kaufte und installierte die Sicherheitssoftware, ohne die Auswirkungen ihrer Architektur wirklich zu verstehen. Visa, Amazon, Best Buy, das US-Verteidigungsministerium und Nasdaq sind einige der namhaften Kunden von Tanium.
Andere Softwarehäuser nutzten das P2P-Konzept als Abkürzung zur Geschwindigkeit. Neue Rivalen tauchten auf, die alle die milliardenschwere Bewertung wollten, die die Hindawis fast über Nacht für Tanium erzielten, und scheinbar ohne auch nur den Versuch zu unternehmen, Investoren anzulocken.
Ein mutiges Gesicht aufsetzen
McAfee erhielt bereits 2012 einen Einblick in die Methodik von Tanium. Als die Hindawis 2014 die Partnerschaft mit McAfee verließen, gingen sie dann weg oder wurden sie gedrängt? McAfee hat keinen Versuch unternommen, verteilte Verarbeitung auf seine Sicherheitslösungen anzuwenden, seit McAfee vor sieben Jahren von der Innovation erfahren hat. Warum?
Es braucht nicht viel Fachwissen, um einen großen Fehler in der Tanium-Strategie zu erkennen, aber alle Experten auf diesem Gebiet haben ihre Glaubwürdigkeit in die Empfehlungen von Tanium investiert. Niemand möchte zugeben, dass er geblendet und getäuscht wurde, also schweigen alle. Tanium identifiziert und schließt Schwachstellen nicht, es schafft sie.
Die Probleme von Tanium könnten behoben werden, aber die Lösung würde dazu führen, dass die Software ihre 15-Sekunden-Schlagzeile verliert und das Sicherheitssystem genau das tut, was McAfee und Symantec jetzt tun, ohne über eine eigene AV-Lösung zur Schadensbegrenzung zu verfügen.
Der Fehler in Tanium
Ein Hacker gelangt an einen Endpunkt in einem Netzwerk, durchsucht dessen Dateien nach Sicherheitsinformationen, installiert Keylogger, um an Anmeldeinformationen zu gelangen, sucht nach wertvollen Daten und findet dann Zugangspunkte zu anderen Computern im Netzwerk.
Schauen wir uns nun an, wie Tanium funktioniert. Die Agentensoftware wird auf einen Endpunkt im Netzwerk geladen. Dieser Knoten kontaktiert dann seine Nachbarn und durchsucht diese nach Schwachstellen. Es erfasst Protokolldaten und erstellt ein Profil für die Datenspeicher und Anwendungen auf jedem Computer. Es bringt diese Informationen nach Hause, legt sie in einer Datei ab und sortiert und konsolidiert sie dann. Die Zusammenfassung dieser Untersuchung wird dann an den zentralen Controller weitergeleitet.
Der Tanium-Agent verhält sich „wie“ ein Hacker. Es übernimmt für den Hacker die gesamte Datenerfassung und speichert diese Informationen dann bequem in einer Datei, damit sie abgerufen werden können. Tanium beschleunigt nicht nur das Scannen von Schwachstellen, sondern auch den Datendiebstahl. Wie gelangt der Agent in jeden untergeordneten Endpunkt? Hacker würden es gerne wissen, und sie können es leicht herausfinden, indem sie in den Host des Agenten einbrechen.
Die Entwickler von Tanium haben keine eigenen proprietären Scan- und Datenerfassungstools entwickelt. Sie machten sich in erster Linie bestehende kostenlose Netzwerk- und System-Scan-Tools zu eigenNmapUndPsExeczusammen mit7-Reißverschlusszur Dateikomprimierung. Das System auchverwendet Shell-Skripte, die im Klartext geschrieben sind – jeder kann darauf zugreifen, sie lesen und ausführen.
Nmap und PsExec sind zwei Tools, die von Hackern häufig verwendet werden. Im Wesentlichen lädt Tanium ein Hacker-Toolkit auf einen Knoten im Netzwerk und gewährt diesem Knoten Zugriff auf 100 andere Endpunkte. Hacker sagt: „Es macht mir nichts aus, wenn ich es tue.“ Während er dort ist, könnte der Hacker auch alle Klartext-Informationen durchsuchen, die der letzte Lauf des Tanium-Agenten auf dem Host hinterlassen hat.
Es ist kaum zu glauben, dass die erfahrenen Cybersicherheitsexperten von McAfee bei zweijährigen Treffen die Mängel in der Tanium-Methodik nicht entdeckt haben. Hätten sie den Absolventen, die die Entwicklung des neuen Systems leiteten, nicht einen Tipp gegeben? Eine kleine Anzahl von Cybersicherheitsberatern und Penetrationstestern entdeckten das Problem bei der Einrichtung von Tanium erstmals im Jahr 2017 und alarmierten das Unternehmen sofort. Tanium hat weder geantwortet noch seine Software überarbeitet. Es ist wahrscheinlich, dass sie es bereits wussten.
Der innovative Vorteil der Tanium Core Platform besteht darin, einem Endpunkt uneingeschränkten Zugriff auf hundert andere zu gewähren. Es schützt den Datenfluss zwischen jedem Endpunkt und der Steuerungssoftware auf einem zentralen Server nicht durch Ende-zu-Ende-Verschlüsselung. Es entsteht ein Man-in-the-Middle, der Hackern ein Hotrod-Fahrzeug zur Verfügung stellt.
Tanium Protect: Die Schwächen
Der Tanium-Stern würde wahrscheinlich auch ohne die Entdeckung seiner grundlegenden Sicherheitslücke schnell an Wert verlieren. Die Kommunikationsmethode zwischen dem Agenten und den untergeordneten Knoten basiert auf einem Prozess, der als Verkettung bezeichnet wird. Dies setzt voraus, dass allen Knoten in einem Netzwerksegment von einem DHCP-Server fortlaufende IP-Adressen zugewiesen wurden.
Netzwerke sind heute viel chaotischer als noch im Jahr 2007 – akzeptabel. Dies liegt an der Komplexität, die durch die BYOD-Akzeptanz, der weitreichenden Integration mobiler Geräte in Unternehmensnetzwerke und der Notwendigkeit entsteht, räumlich entfernte Niederlassungen in das Heimnetzwerk zu integrieren. All dies bedeutet, dass Unternehmen ihre Subnetze möglicherweise nicht sauber in überschaubare 100-Knoten-Blöcke segmentiert haben. Das verringert die Geschwindigkeit und Effizienz von Tanium.
Konkurrenten und Alternativen zu Tanium Protect
Wenn Sie Tanium bereits in Ihrem Unternehmen eingesetzt haben, hoffen wir, dass Sie nicht zu laut damit geprahlt haben, wie clever Sie waren. Sie müssen einen Rückzieher machen und schnell einen glaubwürdigen Grund finden, Ihr verdorbenes Tanium auszutauschen. Hier sind fünf Alternativen, die Sie in Betracht ziehen sollten.
- Crowdstrike Falcon Erfasst Bedrohungssignaturen aus dem gesamten Internet und durchsucht das lokale Netzwerk nach Übereinstimmungen.
- Action1 Endpoint Security-Plattform Ein cloudbasiertes System mit blitzschneller Knotenerkennung und Schwachstellenprüfungen.
- Carbon Black-Reaktion Das fünftgrößte Endpunktschutzsystem der Welt; einen Slot vor BigFix.
- Symantec Endpoint Protection Fast, aber nicht ganz Peer-to-Peer.
- Fidelis-Endpunkt Beinhaltet sowohl Erkennung als auch Reaktion, aber Vorsicht: Hierbei wird auch P2P verwendet.
Crowdstrike Falcon
Massenstreik stellt eine cloudbasierte Architektur für die CVE-Erfassung bereit, die Endpunktschutzsoftware wird jedoch auf jedem einzelnen Computer als Agent ausgeführt. Der Dienst funktioniert sowohl für mobile Geräte als auch für herkömmliche Bürocomputer. Hierbei handelt es sich um ein AV-Ersatzsystem, das KI-Techniken des maschinellen Lernens integriert, um eine sehr schnelle Schutzlösung mit wenigen Fehlalarmen zu schaffen.
Action1 Endpoint Security-Plattform
Aktion1 verwendet in seiner Endpoint Security Platform Befehle in natürlicher Sprache. Hierbei handelt es sich um einen Cloud-basierten Dienst, der die Verarbeitung Ihrer Geräte vereinfacht und sich daher hervorragend für den Schutz mobiler Geräte eignet. Das Paket umfasst Software-Bestandserkennung, Patch-Management, Remote-Software-Rollouts, IT-Asset-Management und Schwachstellenbewertung.
Carbon Black CB-Reaktion
Carbon Black-Reaktion umfasst Threat Hunting und Incident Response. Dies ist derzeit „ein vieldiskutiertes Paket“ und sorgt mit seinen Big-Data-Analysen, die neue Bedrohungen erkennen, für viel Aufsehen, ähnlich wie Crowdstrike. Carbon Black wurde im Oktober 2019 von VMWare aufgekauft. Erwarten Sie also einige große Entwicklungen bei dieser Marke.
Symantec Endpoint Protection
Symantec Endpoint Protection zeigt den Kindern, wie es geht. Der Dienst koordiniert die Bedrohungserkennung zwischen 175 Millionen Installationen weltweit. Dies kann als vermitteltes P2P-Konzept betrachtet werden. Das Vorhandensein des cloudbasierten Steuerungsservers unterbindet die direkte Kommunikation zwischen Kollegen und verringert das Risiko einer Kreuzinfektion.
Siehe auch: Rezension zu Symantec Endpoint Protection
Fidelis-Endpunkt
Fidelis-Endpunkt wird hier nur aufgenommen, um zu zeigen, dass Tanium nicht das einzige Cybersicherheitssystem ist, das P2P-Architektur verwendet. Seien Sie vorsichtig bei der Verwendung dieses Systems, ohne sein Verhalten in Ihrem Netzwerk gründlich mit der kostenlosen Testversion zu untersuchen.
Schauen Sie sich unsere Marktstichprobe von nur fünf Wettbewerbern von Tanium an, um ein Gefühl für die Alternativen zu bekommen. Diese Peer-to-Peer-Implementierung stellte sich als Sicherheitsfehler heraus, aber P2P wird sich als eine gute Idee erweisen, wenn jemand einen Plan entwickeln kann, der die Zugangsdaten des Endpunkts nicht gefährdet. Es ist eine reizvolle Herausforderung und Tanium hätte es beinahe gemeistert, aber das Ziel verfehlt.