Examen de Symantec Endpoint Protection
Il existe de nombreux points de vulnérabilité sur un réseau et de nombreuses approches différentes en matière de sécurité du système. En fin de compte, les points finaux qui servent directement les utilisateurs sont la clé du succès de l’entreprise et doivent être protégés. Symantec Endpoint Protection se concentre sur la sécurité des appareils de ces utilisateurs.
Symantec Endpoint Protection était le deuxième vendeur le plus important sur le marché de la sécurité des points finaux en 2019, seulement 1 % derrière Trend Micro, selon Datanyze .
Le succès de ce logiciel de sécurité vient de la taille de la société Symantec et de ses lourds investissements en développement et en marketing.
Stratégie de marché des antivirus et anti-malware Symantec
La stratégie du marché de la sécurité informatique a radicalement changé ces dernières années. Les produits antivirus et anti-malware traditionnels sont devenus obsolètes, grâce aux nouveaux vecteurs d'attaque créés par les pirates informatiques du monde entier. La simple vérification des processus sur un ordinateur par rapport à une base de données de virus connus n'offre plus une protection suffisante.
Symantec a été l'un des premiers leaders du secteur des antivirus et a eu du mal à garder une longueur d'avance sur les problèmes de cybersécurité. Les produits de pare-feu destinés au marché résidentiel sont devenus moins lucratifs depuis l'expansion de l'utilisation des routeurs Wi-Fi domestiques, qui intègrent des pare-feu NAT. L'inclusion du logiciel gratuit Windows Defender dans son système d'exploitation par Microsoft a supprimé l'intérêt du public à payer pour des systèmes antivirus. Symantec devait trouver de nouveaux marchés de sécurité avant que toute sa rentabilité ne disparaisse.
Histoire de Symantec
Symantec Corporation est en activité depuis 1982. La société a dû revoir complètement sa famille de produits à plusieurs moments de son histoire et a réussi à chaque fois à éviter de se retrouver piégée dans des marchés en voie de disparition et dans des engagements matériels sans issue.
Passer des mainframes et des bases de données aux PC
Symantec a repéré le potentiel des PC en 1984 et a abandonné sa gamme de logiciels mainframe, déplaçant complètement sa niche de marché des produits de bases de données vers les systèmes de génération de rapports. Jusqu'en 1990, l'entreprise a diversifié sa gamme de produits en produisant des utilitaires pour feuilles de calcul, une carte mémoire pour PC et un programme de compression. Tous ces produits ont été abandonnés lorsque la société a acquis Peter Norton Software en 1990.
Symantec s'était déjà lancé dans l'antivirus au moment où il a acquis la famille de produits Norton. Son système de protection était le principal système antivirus pour Mac. Peter Norton Software disposait également d'une liste de produits diversifiée, mais son système antivirus était le seul à être retenu.
Symantec a développé la marque Norton pour les produits de sécurité résidentielle et son propre nom pour les systèmes de sécurité professionnels. En 2014, l'entreprise a lancé un projet d'IA visant à abandonner le modèle antivirus traditionnel pour se tourner vers des méthodes de détection d'intrusion basées sur l'IA.
Protection des points de terminaison Symantec
Symantec a lancé son produit Endpoint Protection en 2007. Consciente déjà que les systèmes antivirus simples n'étaient plus traités avec respect dans le domaine émergent de la cybersécurité, l'entreprise devait renforcer ses références avec des systèmes plus complexes pour la sécurité de son entreprise.
L'antivirus était toujours au cœur deProtection des points de terminaison Symantec, mais le package incluait d'autres produits existants dans le but de combler les faiblesses de l'approche antivirus.
Il s’agissait d’une approche de « choc et d’émerveillement » à court terme visant à éblouir les clients potentiels avec un ensemble de produits qui dépassaient les offres proposées par les concurrents. Cela a permis à l'entreprise de recoder l'intégralité du produit antivirus, qui a été jugé lent, peu maniable et occupant trop d'espace disque. Le code simplifié d'Endpoint Security occupait un cinquième de l'espace disque de son prédécesseur,Symantec Édition Entreprise 10.0.
Symantec Endpoint Security était plus un triomphe marketing qu'une avancée technologique. Cependant, la lecture du marché constitue la plus grande force de Symantec et c'est la capacité du conseil d'administration de l'entreprise à repérer les tendances et sa volonté de trier sans sentimentalité les produits en faveur de nouvelles approches qui ont fait de l'entreprise un leader du marché.
Le conseil d'administration a repéré l'essor des services gérés et a produit une version gérée de Symantec Endpoint Protection en 2009. Il a commercialisé une édition destinée aux petites entreprises en 2010. En 2011, il a travaillé sur les tendances commerciales croissantes des services Cloud et a produit une version conviviale pour la virtualisation. Service de protection des points de terminaison. Le service MSP et la base de données de signatures basée sur le cloud ont évolué vers une version automatisée Software-as-a-Service de Symantec Endpoint Protection en 2016.
L’introduction de l’IA
Malgré les révisions presque annuelles de Symantec Endpoint Protection, le système n'était guère plus qu'un package antivirus. À la base, le produit utilisait toujours l’ancien modèle de service d’un laboratoire de recherche central qui détectait les nouvelles attaques et identifiait les signatures de traitement. Ces signatures ont ensuite été déployées dans les bases de données de signatures sur site sur les ordinateurs clients qui ont fourni des éléments sources au système de détection de virus fonctionnant en permanence sur chaque appareil protégé.
Les méthodes antivirus traditionnelles nécessitent un pool central d’experts. La distribution de mises à jour des bases de données sur les menaces sur Internet introduit une faille de sécurité potentielle. Le délai entre les pirates informatiques qui inventent un nouveau virus et le moment où les experts du laboratoire le détectent signifie que les utilisateurs d'antivirus sont toujours vulnérables. C’est particulièrement vrai depuis que la communauté des hackers s’est réorganisée en organisations entièrement gérées et dotées de leurs propres pipelines de produits.
Utiliser l’IA pour assurer une protection en temps quasi réel
Essentiellement, Symantec Endpoint Protection fonctionnait sur une technologie obsolète et comptait sur le service marketing de l’entreprise pour la mettre en valeur. Autrement dit, jusqu’à la version 14, qui a introduit l’IA.
Depuis le début de l'année 2010, les discussions de l'industrie ont souligné la nécessité de nouvelles approches en matière de cybersécurité. La recherche menée dans des universités aux États-Unis, au Royaume-Uni, en Allemagne et en Russie a commencé à s'étendre au monde entier à travers des documents de recherche, des présentations lors de conférences sur la cybersécurité et Symantec. a sauté sur le terrain comme une voie à suivre ou, au minimum, comme un bel avantage marketing.
La libération de Symantec Endpoint Protection14 en novembre 2016 a été une première récompense pour les efforts de R&D de l’entreprise en matière d’IA, qui ont débuté en 2014. Cela a permis d’éviter que le produit ne tombe dans l’oubli par les nouveaux concurrents innovants sur le marché de la cybersécurité, tels que Darktrace, Sophos et Fortinet.
Alors que les nouveaux chiens en lice étaient plus minces et plus attrayants, Symantec disposait d'une marque bien établie et d'un budget marketing très important.
Symantec n'a pas terminé sa plateforme d'IA, appeléeAnalyse des attaques ciblées, jusqu'en 2018, mais l'avant-goût de cette tactique d'apprentissage automatique intégrée à Symantec Endpoint Protection 14 a suscité beaucoup d'attention dans la presse et a maintenu l'entreprise à la tête du marché.
Méthodologie Symantec Endpoint Protection – qui change la donne
Symantec Endpoint Protection14change la donne dans la stratégie de cybersécurité de l’entreprise.
L'outil intègre de nouvelles approches en matière de protection des points finaux. Le modèle traditionnel d’un laboratoire de recherche envoyant des mises à jour de bases de données sur les menaces a évolué vers une configuration hybride sur site/cloud. Le flux d’informations est devenu un canal bidirectionnel.
Chaque installation est un centre de recherche. L'élément d'apprentissage automatique du logiciel détecte les menaces, examine ses découvertes précédentes, identifie les nouveaux virus et les isole. Il télécharge ensuite ses conclusions sur le système central sur le cloud. Cette nouvelle découverte de menace est ensuite diffusée à toutes les autres installations Symantec Endpoint Protection à travers le monde. Ils sont actuellement 175 millions.
Cette architecture est presque un modèle Peer-to-Peer (P2P) appliqué à la recherche, ce qui constitue une utilisation très pratique et efficace des ressources des clients et des fournisseurs. La grande différence entre cette architecture de communication et le P2P est que le serveur central est un médiateur, ce qui signifie qu'il suit toujours le modèle client-serveur traditionnel.
Il reste à voir si Symantec peut modifier la sécurité des interactions pour évoluer vers un cerveau de sécurité entièrement autonome et piloté par la communauté, capable de détecter, de vaincre et de communiquer sans l'intervention omniprésente du siège de Symantec.
Activité des systèmes d’exploitation sur site
Le logiciel sur site pour Symantec Endpoint Protection s'installe sur les hôtes exécutantles fenêtres,macOS, ouLinux. Elle comporte quatre activités principales :
- Identification des vulnérabilités
- Prévention des attaques
- Détection des violations
- Correction des menaces
Chacune de ces stratégies peut ressembler à de nouveaux noms pour d’anciennes méthodes. Cependant, l’utilisation de l’IA dans chaque phase signifie que les opérations sont exécutées avec des méthodes différentes de celles utilisées dans les systèmes audiovisuels traditionnels.
Identification des vulnérabilités
Les tâches « pré-attaque » du système de protection des points de terminaison incluent l'identification des faiblesses de sécurité potentielles sur un point de terminaison. Les cibles évidentes incluent ici les prises USB, les services de communication, les logiciels de communication, tels que les navigateurs, et les services sur l'ordinateur qui fournissent potentiellement des points d'entrée aux logiciels malveillants.
L’évaluation de la vulnérabilité vise à réduire la surface d’attaque. Il s'agit d'un processus continu qui configure et maintient les utilitaires des systèmes de protection contre les logiciels malveillants, tels que l'espace mémoire pour le sandboxing et la quarantaine. La vérification de base de sécurité détecte toute nouvelle vulnérabilité matérielle ou logicielle au fur et à mesure de son ajout à l'appareil.
Prévention des attaques
Les activités de prévention des attaques de Symantec Endpoint Protection sont équivalentes au travail traditionnel des pare-feu. L’objectif ici est d’empêcher tout nouveau virus d’atteindre le point final. Dans la nouvelle méthodologie, le logiciel Symantec bloque les exploits, qui sont des vulnérabilités découvertes dans les logiciels. Il s'agit également d'un système de gestion des correctifs, car les exploits sont généralement supprimés par les fabricants de logiciels avec des mises à jour.
Le logiciel de prévention des attaques protège tous les points d'entrée de l'ordinateur, y compris la carte réseau et les ports USB.
Détection des violations
La détection des violations est l’activité principale d’un système antivirus classique. Il existe un élément de travail de pare-feu dans cette catégorie de tâches. Le système de détection des violations recherche les signatures de codage, les modèles de comportement et les séquences d'activation du programme afin de repérer les menaces. C'est un peu plus que le cas classique d'une vérification par rapport à une base de données de signatures de virus, car elle examine également le comportement. En effet, un intrus peut exécuter des logiciels fiables déjà présents sur le système à des fins malveillantes.
Le système de détection des violations déclenche une réponse et met en œuvre des verrouillages, tue les processus malveillants et met en quarantaine les nouveaux logiciels suspects.
Correction des menaces
Une fois la menace immédiate traitée, le système Symantec Endpoint Protection déclenche des processus pour bloquer définitivement l'attaque détectée. Cette phase comprend le recours à Symantec Targeted Attack Analytics. TAA est l'élément cloud du système de protection et c'est ce service qui propage les nouvelles d'une attaque et sa solution aux 175 autres millions d'utilisateurs de Symantec Endpoint Protection.
Le processus de remédiation trace grâce aux lancements de processus pour identifier l'origine sur l'ordinateur d'une stratégie malveillante. Il vise à cibler et détruire tous les processus de persistance qui tenteront de relancer toute action malveillante tuée sur l'ordinateur. Toutes les tentatives réussies sont signalées au TAA afin que la communauté des instances en cours d'exécution puisse également détruire la suite de logiciels malveillants.
Un élément humain est également impliqué dans la phase de résolution des menaces. Les techniciens du laboratoire de Symantec travaillent sur des rapports recherchant les tendances mondiales en matière de cybermenaces afin de pouvoir mieux adapter l'évolution du logiciel Symantec Endpoint Protection.
Part de marché de Symantec Endpoint Protection
La preuve de la satisfaction de Symantec à l’égard de l’état actuel de la protection des points finaux est attestée par l’inaction de l’entreprise pour remplacer son produit phare. Toutes les versions du logiciel antérieures à la version 14 sont obsolètes et ne sont plus prises en charge. Jusqu'en 2016, la société produisait une nouvelle version du package presque chaque année, mais il n'y a pas eu de nouvelle version depuis et la version 14 a maintenant trois ans.
Cette apparente inactivité pourrait également signifier que l’entreprise ne voit aucune menace de la part de ses concurrents. Bien que l'entreprise soit officiellement numéro deux sur le marché de la protection des terminaux, la part de marché de 1 % qui la sépare du leader du marché, Trend Micro, est presque insignifiante. Une actualité ou une promotion Web bien ciblée pourrait facilement faire basculer cette avance.
Les deux sociétés sont effectivement au coude à coude. Le numéro trois du marché, McAfee Virus Scan, est loin derrière Symantec Endpoint Protection avec une part de marché de 13,61 pour cent. Le numéro quatre, Tripwire, ne détient qu'une part de marché de 4 pour cent et tous les autres fournisseurs détiennent chacun moins de 3 pour cent du marché.
Alors, où sont les challengers ?
Concurrents et alternatives de Symantec Endpoint Protection
Les principales menaces concurrentielles pesant sur la part de marché de Symantec Endpoint Protection proviennent d'un large éventail de concurrents :
- Tendance Micro Apex One – Actuellement leader du marché.
- Faucon CrowdStrike – Meilleure protection des points de terminaison basée sur le cloud.
- Point de terminaison Sophos Intercept X – Mieux utiliser l’IA pour la protection des points finaux.
- Cylance Protéger – Un fournisseur de protection des terminaux innovant et allégé.
- Scanner de vulnérabilité Nessus et al. – Un système autrefois libre avec une poignée d’imitateurs libres.
Tendance Micro Apex One
Tendance Micro est actuellement le plus proche rival de Symantec. La société a une réputation égale à celle de la marque Symantec et dispose d'un service marketing tout aussi bien financé. Sa solution est un mélange très similaire de techniques AV et IA traditionnelles qui ont aidé Symantec à grimper dans les classements.
Les plus grandes menaces qui pèsent sur la couronne de Symantec ne viennent pas de ses pairs. Les nouveaux entrants sur le marché, capables de devancer Symantec en matière d'innovation et de meilleure fourniture de systèmes, feront sortir Symantec et Trend Micro des premières places.
Faucon CrowdStrike
Grève de foule a fait évoluer l'élément Cloud que Symantec utilise uniquement pour la communication des menaces entre les utilisateurs. LeFaucon CrowdStrikeLa stratégie qui déplace tous les traitements vers le cloud est plus adaptée aux appareils mobiles et aux appareils IoT – les domaines de croissance du secteur informatique. Falcon est disponible avec un essai gratuit.
Point de terminaison Sophos Intercept X
Sophos dispose d'un meilleur moteur d'IA au cœur de son système de sécurité que celui développé par Symantec. Le budget marketing de Sophos n'est pas aussi important que celui de Symantec, mais le concurrent attire de gros investisseurs et libère de l'argent.
Cylance Protéger
Cylance Protéger a été conçu autour de l’IA à partir de zéro. Le manque d’héritage de Cylance la rend agile sur le marché et constitue une marque attractive pour les startups et les PME innovantes. Si l'entreprise parvient à percer sur le marché des grandes entreprises, Symantec aura du mal à maintenir ses objectifs de vente.
Scanner de vulnérabilité Nessus
Le Scanner de vulnérabilité Nessus a d'abord été développé en tant que projet open source et il était gratuit. Bien que cet outil soit désormais un système propriétaire doté d’un prix, la disponibilité de son code source a permis à un pool de copieurs gratuits d’entrer sur le marché de la protection des terminaux. Ces alternatives gratuites compromettent la viabilité commerciale de tous les systèmes payants de protection des terminaux.
Des innovateurs tels queFaucon CrowdStrikeetCylance Protégeront généré un buzz sur le marché qui les rend actuellement attractifs. Au vu de l’histoire de Symantec, il ne fait aucun doute que l’entreprise s’attaquera à cette concurrence en remaniant à nouveau son système. Elle apprendra des acteurs perturbateurs et gardera une longueur d’avance sur la concurrence.
FAQ sur Symantec Endpoint Protection
Symantec Endpoint Protection convient-il à un usage domestique ?
Symantec Endpoint Protection s'adresse aux entreprises. L'ensemble de la marque Symantec, désormais détenue par Broadcom, s'adresse aux utilisateurs professionnels. Le système équivalent à usage domestique est commercialisé sous la marque Norton, qui est une société distincte.
La protection des points finaux Symantec est-elle nécessaire ?
Même si les utilisateurs d’ordinateurs personnels peuvent prendre le risque de ne pas installer de sécurité sur leurs points finaux, les entreprises ne peuvent pas faire preuve de laxisme en matière de sécurité des actifs informatiques. Les fuites de données peuvent être désastreuses et la perte d’utilisation des points finaux en raison d’une infection par un logiciel malveillant nécessiterait l’effacement et la réinstallation de l’intégralité du contenu de l’ordinateur.