Administrateur Réseau

Kaspersky Endpoint Security et CrowdStrike Falcon

Kaspersky Endpoint Security et CrowdStrike Falcon

Kaspersky Lab est d'origine russe et est toujours détenu majoritairement par son fondateur russe. Cependant, l’entreprise doit désormais être considérée comme une multinationale plutôt que comme une entreprise russe. La société mère du groupe réside officiellement au Royaume-Uni et une grande partie de l'équipe de recherche initialement basée en Russie a désormais été transférée en Suisse.

Le succès commercial de l’entreprise a été gravement compromis en 2017 lorsque le département américain de la Sécurité intérieure l’a accusée de contribuer aux efforts d’espionnage des services secrets russes, le FSB. Ces accusations n'ont jamais été portées devant les tribunaux.

Bien qu’ils aient joué un rôle majeur au cours de la dernière décennie dans la découverte d’incidents de cyberattaques parrainées par l’État, les produits de l’entreprise sont désormais considérés avec mépris en Occident. Son logiciel a été banni des départements du gouvernement américain.

CrowdStrike a été fondée en tant que cabinet de conseil en cybersécurité en 2011. Elle s'est lancée sur le marché des logiciels en 2013 avec la sortie de Falcon. L’entreprise est devenue célèbre en dévoilant des cyberattaques parrainées par l’État. En tant qu'entreprise basée aux États-Unis, CrowdStrike a prospéré et sa branche de conseil attire toujours l'attention positive des médias, donnant à sa marque un coup de pouce publicitaire.

Les deux sociétés sont bien connues pour leurs divisions de recherche et de conseil, mais Kaspersky est sous pression tandis que CrowdStrike prospère. Jetons un coup d'œil aux logiciels de protection des points finaux de chaque entreprise.

Kaspersky Endpoint Sécurité

Logo Kaspersky

Kaspersky Lab a débuté ses activités en 1997. En tant qu'acteur précoce sur le marché des antivirus, Kaspersky a suivi le modèle commercial des entreprises audiovisuelles américaines prospères en combinant un investissement important dans la recherche sur l'identification des virus avec la vente de logiciels antivirus. Symantec et McAfee ont tous deux le même modèle commercial que Kaspersky, utilisant des laboratoires de recherche pour fournir des bases de données virales pour ses produits antivirus et également pour attirer l'attention des médias, renforçant ainsi leurs marques.

L’histoire du logiciel antivirus de Kaspersky est antérieure à la création de l’entreprise. Eugène Kaspersky a créé son propre système antivirus en 1989 alors qu'il travaillait pour une autre entreprise. Ce système a évolué vers Boîte à outils antivirale Pro (AVP) , sorti en 1992. Lorsque Kaspersky a intégré le logiciel dans sa propre entreprise, il a renommé AVP en Kaspersky Antivirus .

Une fois que Kaspersky est devenu indépendant avec sa propre entreprise, son nom, désormais porté par l'entreprise et son produit clé, a commencé à attirer l'attention des médias en dehors de sa Russie natale. Kaspersky est devenu le plus grand fournisseur de logiciels de cybersécurité en Europe. Eugène Kaspersky dirige toujours l'entreprise.

La version professionnelle de Kaspersky Anti-Virus s'appelle Kaspersky Endpoint Sécurité . La société produit un logiciel antivirus pour les petites entreprises, appelé Kaspersky Small Office Security. Kaspersky Endpoint Security s'adresse aux entreprises de taille moyenne. Le logiciel de protection des points finaux doit être chargé sur chaque ordinateur défendu. Cependant, l'administrateur système est en mesure de surveiller les performances de chaque instance via une console de gestion centrale, appelée Kaspersky Security Center.

Tableau de bord de Kaspersky EP

Comme d'autres producteurs audiovisuels traditionnels, Kaspersky a remanié son logiciel pour intégrer des mesures de protection supplémentaires. Cela a fait de Kaspersky Endpoint Security une suite de logiciels de sécurité fonctionnant simultanément. Les processus de la suite se spécialisent dans les contrôles des applications, des appareils et du Web et protègent également les données et les fichiers journaux contre le vol ou la falsification.

Les principaux éléments de la suite sont :

  • Liste blanche dynamique – une base de données créée par le laboratoire de recherche central de l’entreprise qui répertorie les applications approuvées plutôt que de rechercher les programmes suspects à bloquer. La base de données comprend 2,5 milliards de programmes fiables. Il réduit l’incidence des attaques Zero Day en bloquant le lancement de logiciels inconnus.
  • Système de prévention des intrusions basé sur l'hôte – Le HIPS surveille les fichiers journaux et les données d'événements stockés sur l'appareil protégé à la recherche de signes d'intrusion. Ces recherches sont capables de détecter et de bloquer les attaques manuelles de pirates informatiques qui utilisent à des fins malveillantes des logiciels valides déjà présents sur l'appareil.
  • Détection du comportement – utilise des techniques d’apprentissage automatique de l’IA pour réduire le risque de « faux positifs » provenant de perturber les activités normales des utilisateurs du point final.
  • Contrôle adaptatif des anomalies – il s’agit d’une variante de la détection du comportement qui se concentre sur l’apprentissage du comportement typique des utilisateurs. Cela permet au système de sécurité de détecter lorsqu'un compte utilisateur est piraté par un pirate informatique.
  • Prévention des exploits – surveille les points d'entrée connus des virus, tels que les téléchargements de fichiers, les pages Web infectées et les périphériques USB. Le système de prévention prête également attention aux applications connues comme étant des déguisements pratiques pour les logiciels malveillants, notamment les fichiers Adobe Acrobat, les scripts Flash et les utilitaires Microsoft Office, tels que les macros.
  • Alertes et mesures correctives – le système Kaspersky crée des points de restauration et des sauvegardes de données qui lui permettent de restaurer le point final dans son état intact une fois qu'une attaque a été détectée. Le moteur de correction est capable de suspendre les comptes d'utilisateurs et de tuer des processus afin de mettre fin à l'attaque.
  • Protection contre les menaces réseau – protège contre l’arrivée d’infections sur le point final via le réseau. Il s'agit d'une suite de processus de protection qui comprend des protections contre l'usurpation d'adresse réseau et d'autres techniques de piratage du système que les pirates utilisent pour dissimuler leur intrusion.
  • Renforcement des autorisations – le système Kaspersky protège les noms d'utilisateur et les mots de passe en transit et élimine les comptes abandonnés qui peuvent aider les pirates.
  • Détection et réponse des points de terminaison (EDR) – partage de renseignements sur les menaces signalés par le logiciel de sécurité des points finaux à une base de données centrale. Ces données sont analysées via des processus automatisés et également par des analystes humains en cybersécurité, puis résumées et distribuées sous forme d'« indicateurs de compromission » (IoC).
  • Persistance de la sécurité – le logiciel est capable de se protéger contre toute altération ou arrêt par des processus malveillants.
  • Chiffrement complet du disque (FDE) – la possibilité de sécuriser un disque avec cryptage est une fonctionnalité unique sur le marché de la protection des points finaux. Kaspersky utilise le cryptage AES 256 bits. Il s'agit d'une fonctionnalité particulièrement utile lorsque les entreprises utilisent des appareils mobiles qui pourraient facilement être perdus ou volés.
  • Chiffrement au niveau des fichiers de Kaspersky – une stratégie de sécurité des données alternative à FDE. Les administrateurs système peuvent appliquer le cryptage automatique des fichiers en fonction du type et de l'emplacement du fichier. Les utilisateurs peuvent également crypter des fichiers à la demande pour les transférer par courrier électronique ou sur des clés USB.
  • Contrôle d'accès aux points de terminaison – il s'agit d'un utilitaire de la console Security Center qui s'intègre à Active Directory pour protéger l'accès aux points de terminaison.

Kaspersky Endpoint Security est un package de protection très complet. Cela s’étend même à la sécurisation des données, une tâche que la plupart des plateformes de protection des terminaux n’incluent pas.

Avantages:

  • Offre un cryptage au niveau des fichiers pour sécuriser les données stockées localement sur les points finaux
  • S'intègre à AD pour le contrôle d'accès et la configuration basée sur des politiques
  • Propose des modèles d'alerte avancés et des restaurations stockées localement
  • Tire parti de l’analyse comportementale pour identifier des menaces jusqu’alors inconnues

Les inconvénients:

  • Les entreprises basées aux États-Unis pourraient se voir interdire d’utiliser des solutions de sécurité étrangères

Faucon CrowdStrike

Logo du Faucon Crowdstrike

CrowdStrike a débuté ses activités en 2011 en tant que cabinet de conseil en cybersécurité. Au cours des premières années de son existence, l’entreprise a acquis une grande renommée en découvrant certaines des plus grandes failles de sécurité de l’histoire et en aidant les victimes à sécuriser leurs systèmes. Par exemple, l’entreprise a découvert l’événement majeur de vol de données survenu dans la base de données SONY Pictures en 2014 et travaille pour le Parti démocrate américain depuis le piratage de la messagerie électronique en 2016 pour l’aider à renforcer ses défenses numériques. Le chef de la division de conseil de l’entreprise est l’ancien chef de la division cyber du FBI, Shawn Henry.

Faucon CrowdStrikea été le grand pas de l’entreprise sur le marché des logiciels. Le système est une « plateforme de protection des points finaux » (EPP), ce qui signifie qu’il s’agit d’une suite d’applications.

CrowdStrike annonce que Falcon est « livré depuis le Cloud ». En réalité, la plupart des tâches qui protègent les points finaux sont effectuées par des applications résidant sur l’appareil lui-même. Un aspect inhabituel du système CrowdStrike Falcon est qu'il comprend des plans incluant les services d'analystes humains en cybersécurité.

Une autre particularité de Falcon est qu'il est vendu en éditions. Cela permet au client de sélectionner les modules à inclure dans la plateforme. Ces modules sont :

  • Faucon Empêcher – Logiciel antivirus et pare-feu de nouvelle génération.
  • Faucon Intelligence – Un moteur de renseignement sur les menaces.
  • Aperçu du faucon – Détection et réponse des points finaux (EDR) pour lutter contre les menaces persistantes avancées.
  • Surveillance du faucon – Chasse aux menaces par des experts humains.
  • Faucon Découvrir – Un scanner de vulnérabilités.
  • Contrôle des appareils Falcon – Un système de surveillance des clés USB.

Les packages proposés par CrowdStrike permettent au client d'acheter seulement certains ou la plupart de ces modules. Les éditions de CrowdStrike Falcon sont :

  • Faucon Pro – inclut Falcon Prevent et Falcon Intelligence.
  • Entreprise Faucon – comprend Falcon Prevent, Falcon Intelligence, Falcon Insight et Falcon Overwatch.
  • Faucon Premium – comprend Falcon Prevent, Falcon Intelligence, Falcon Insight, Falcon Overwatch et Falcon Discover.
  • Faucon terminé – Un service de sécurité des points de terminaison géré qui inclut les ressources de tous les modules.

Aucun des forfaits n'inclut Contrôle des appareils Falcon . Il s'agit d'un module complémentaire aux éditions qui contrôle l'accès accordé aux clés USB. L'application bloque les ports USB de l'appareil protégé et empêche tout périphérique USB de se connecter au système d'exploitation de l'ordinateur. Grâce à une console de gestion, un administrateur peut autoriser certains appareils. Ces clés USB effacées pourront alors interagir avec l'ordinateur tandis que tous les autres périphériques USB resteront bloqués.

Falcon empêche le tableau de bord

Faucon terminé est un service géré. Cela signifie que vous n'avez pas besoin de former votre personnel d'assistance informatique à l'utilisation du système CrowdStrike. Une équipe de techniciens au siège de CrowdStrike surveille la sécurité de vos points de terminaison et prend les mesures nécessaires. Ensuite, le logiciel agent doit encore être installé sur chaque ordinateur protégé. Le package Falcon Complete inclut également l'utilisation de tous les modules Falcon et des analystes humains.

Le Faucon Premium L'édition est le plan le plus élevé que vous puissiez gérer vous-même. Il comprend tous les modules à l'exception du Falcon Device Control. Le module Falcon Discover n'est disponible que dans le forfait Premium, ce qui est dommage. Falcon Discover est un scanner de vulnérabilités, qui devient un outil de plus en plus nécessaire en cybersécurité. Il est possible que certains clients souhaitent simplement l'offre de base de protection des points de terminaison de Falcon Pro plus Falcon Discover sans avoir à payer également pour Falcon Insight et Falcon Overwatch.

L'édition de base, Faucon Pro est une très bonne offre et fournit toutes les fonctionnalités de protection qui représentent l’ensemble de l’EPP dans certains systèmes de protection des terminaux concurrents. L'offre Pro comprend un AV net-gen, qui recherche des modèles de comportement plutôt que de rechercher la présence de fichiers écrits sur une liste noire. LeFaucon IntelligenceLe module est un système d'apprentissage automatique basé sur l'IA qui recherche également les comportements suspects. Tandis que Falcon Prevent examine chaque processus à la recherche d'un comportement anormal, Falcon Intelligence suit les séquences d'événements qui pourraient indiquer une intrusion de pirate informatique. Falcon Intelligence est un système de prévention des intrusions. Toutes les instances installées de l'application dans le monde contribuent à un système de renseignement sur les menaces en téléchargeant des rapports sur les incidents qu'elles ont combattus.

Entreprise Faucon ajoute Aperçu du faucon et Surveillance du faucon aux modules disponibles dans l'édition Falcon Pro. Falcon Insight recherche des preuves de menaces persistantes avancées (APT). Ces intrusions sont des invasions non autorisées à long terme du système, le pirate informatique créant un compte pour un accès régulier. Falcon Overwatch est un module signature. Il propose les services d’analyse de cybersécurité réputés de l’entreprise. Ces experts parcourent les données de journal téléchargées par Falcon X pour rechercher des signaux d'intrusion que les chasseurs de menaces automatisés auraient pu manquer. Vous pouvez consulter CrowdStrike Falcon avec un essai gratuit de 15 jours.

Avantages:

  • Ne s'appuie pas uniquement sur les fichiers journaux pour détecter les menaces, utilise l'analyse des processus pour détecter immédiatement les menaces.
  • Agit comme un outil HIDS et de protection des points finaux tout en un
  • Peut suivre et alerter un comportement anormal au fil du temps, s'améliore plus il surveille le réseau
  • Peut être installé sur site ou directement dans une architecture basée sur le cloud
  • Les agents légers ne ralentiront pas les serveurs ou les appareils des utilisateurs finaux

Les inconvénients:

  • Bénéficierait d’une période d’essai plus longue de 30 jours

Kaspersky Endpoint Security et CrowdStrike Falcon

Kaspersky Endpoint Security et CrowdStrike Falcon ont de nombreux points communs. Les deux systèmes incluent des éléments antivirus et de pare-feu traditionnels, mais mettent en œuvre les tâches de blocage des logiciels malveillants de manière innovante. Les deux nécessitent l’installation d’un logiciel sur le point final tout en mettant une console de gestion centrale à la disposition des administrateurs système.

En parcourant les listes de modules que comprend chaque plateforme, il est impossible de ne pas conclure que le système Kaspersky est plus complet . Malgré cela, les accusations d’« espionnage russe » portées par le Département américain de la Sécurité intérieure signifient que de nombreuses entreprises aux États-Unis risquent de rayer cette option de leur liste.

Le processus qui a déclenché l'alerte de sécurité américaine était le module EDR du logiciel. Les détails de l’attaque ont été téléchargés dans la base de données mondiale des menaces de Kaspersky, qui est également accessible aux analystes de cybersécurité de Kaspersky à Moscou. Malheureusement, l’utilisateur de ce point de terminaison spécifique était un agent de la National Security Agency (NSA). Ceci, ajouté aux accusations infondées selon lesquelles Kaspersky serait en liaison secrète avec le FSB russe, pourrait vous inciter à optez pour le logiciel CrowdStrike malgré le fait que l'entreprise collabore ouvertement avec les agences de sécurité nationale américaines. Profitez d'un essai gratuit de 15 jours de Falcon Pro pour le tester.

Kaspersky vend son logiciel Endpoint Security dans le cadre de Kaspersky Total Security, disponible sur un essai gratuit de 30 jours . Il est également disponible sous forme Kaspersky Endpoint Security for Business Advanced avec un essai gratuit de 30 jours , Kaspersky Endpoint Security for Business Select avec un essai gratuit de 30 jours , et Kaspersky Endpoint Security Cloud avec un essai gratuit de 30 jours .

Une fois que vous aurez testé ces deux systèmes, laissez un message dans le commentaires ci-dessous pour partager vos opinions avec la communauté.

^