Examen de Tanium Protect
Le système de sécurité Tanium est organisé comme une plateforme qui prend en charge une liste de modules optionnels. Parmi ces composants se trouve Tanium Protect, un système de protection des points finaux.
Le Plateforme principale Tanium est un shaker de cage. Depuis que la nouvelle de sa technologie révolutionnaire s’est répandue dans le monde entier, les structures de Tanium ont été adoptées par d’autres acteurs du marché pour créer un tout nouveau secteur de cybersécurité.
Le modèle traditionnel de protection antivirus reposait sur le talent d'une équipe centrale d'enquêteurs qui détectait de nouvelles menaces, identifiait leurs caractéristiques, puis diffusait des identifiants révélateurs à chaque instance installée du produit antivirus opérant dans le monde.
Un grand pas en avant dans la lutte contre les attaques Zero Day a été l’intégration de méthodes de détection dans le logiciel. Cela a créé une armée mondiale de capteurs qui alertaient le bureau central de toute nouvelle menace. Le laboratoire a ensuite transmis une alerte et une solution à toutes les instances du logiciel dans le monde.
L'innovation de Tanium a appliqué une architecture peer-to-peer modifiée de type Skype à la détection des intrusions et à la distribution de renseignements sur les menaces. Il a mis en œuvre un traitement simultané et des temps de réponse rapides. C’était étonnant et les experts de l’industrie se demandaient pourquoi personne n’y avait pensé plus tôt.
Contenu [ cacher ]
- L'architecture Tanium
- Le culte de Tanium
- Avoir un visage courageux
- La faille de Tanium
- Concurrents et alternatives de Tanium Protect
À propos de Tanium Inc.
Tanium Inc a été lancé par une équipe dynamique père-filsDavidetOrion hindouien 2007. Hindawi l'aîné a démarré une entreprise technologique, l'a vendue et a fait fortune tandis que le jeune génie naviguait sans effort vers la tête de sa classe à Berkeley. David a créé, hébergé et vendu une deuxième société informatique, BigFix, axée sur la sécurité informatique, récoltant une autre fortune.
Avec argent et savoir-faire, les deux Hindawis ont élaboré les grandes lignes d'une nouvelle approche de sécurité et ont créé Tanium pour la développer. Une démonstration informelle du nouveau logiciel « en action » a abouti à ce que les Hindawis se soient fait bombarder d’argent par des investisseurs en capital-risque. Conservant 60 % de l'entreprise, la famille a constitué un fonds de développement, constitué une équipe de jeunes innovateurs brillants et est devenue multimilliardaire avant de vendre un seul exemplaire de Tanium.
Le mythe fondateur de Tanium réside dans cette démo originale du logiciel destinée aux investisseurs enthousiastes. En seulement 15 secondes, le logiciel a parcouru l’ensemble du système informatique d’un hôpital et l’a débarrassé de tous les virus et vulnérabilités. Les investisseurs n’arrivaient pas à croire à quelle vitesse l’opération s’était déroulée. L’interface simple qui ressemblait à la page d’accueil de Google avec un seul champ de saisie cochait et réparait tout pendant que les hommes d’argent et leurs conseillers techniques discutaient.
En vérité,le développement du logiciel a pris cinq ans à 12 techniciens experts en cybersécurité et ils ont reçu de nombreuses contributions de McAfee. La relation avec McAfee a pris fin après deux ans en 2014 et a conduit le concurrent à se retirer avec le directeur commercial de McAfee. Grâce à une nouvelle approche commerciale de l'entreprise, la solution allégée et révolutionnaire Tanium a décollé.
L'architecture Tanium
Les protocoles Peer-to-Peer ont d’abord attiré l’attention des passionnés de technologie du monde entier lorsque Napster les a utilisés de manière spectaculaire comme application de partage de fichiers. BitTorrent a pris la tête du développement de l'architecture, créant ainsi une efficacité grâce à l'autonomie et à la coopération des nœuds.
Skype a appliqué le P2P à la téléphonie et c'est le modèle Skype qui semble avoir donné aux Hindawis leur architecture clé. Skype distribue la structure de commande d'un réseau en désignant les nœuds stratégiquement situés comme principaux, les rendant responsables de la coordination de la transmission des paquets via les nœuds subordonnés.
C’est ainsi que fonctionne Tanium et sa structure arborescente est la clé de la vitesse légendaire de Tanium. Un agent est installé sur un point de terminaison par segment de réseau. Chaque agent communique avec une centaine de ses voisins. Il rassemble les données de vulnérabilité, les agrège, puis transmet ses conclusions au gestionnaire central pour la consolidation finale et le reporting.
La vitesse du système découle du traitement simultané par les super-nœuds. L'agrégation des données qu'ils effectuent signifie que la majeure partie du travail d'analyse a déjà été réalisée lors de la phase de collecte des données.
En matière de cybersécurité, la vitesse représente la moitié de la bataille. Cela ne sert à rien d’avoir le meilleur système antivirus ou de détection d’intrusion au monde si toutes vos données ont été volées ou détruites avant que ce logiciel ne déclenche une alerte.
Il était facile de vendre aux DSI des startups géniales de la Silicon Valley. Une démonstration du nettoyage époustouflant du système de Tanium en 15 secondes a permis à toutes les grandes entreprises technologiques de signer sur la ligne pointillée.
Le culte de Tanium
Tanium est le type de projet auquel tout le monde veut croire. Les adhérents se sentent bien dans leur peau car ils le soutiennent. Peu de gens comprennent grand-chose au fonctionnement des systèmes de cybersécurité et le nombre de personnes qui comprennent cela ainsi que les subtilités du traitement distribué et de l'architecture Peer-to-Peer est encore moins nombreux.
Cependant, en prétendant comprendre la technologie derrière Tanium et en confiant la sécurité des systèmes informatiques qui soutiennent les géants de la technologie, ces acheteurs ont dû adhérer au mythe créé par la fumée et les miroirs du logiciel. Étonnamment, peu de DSI ont exigé une enquête complète sur l’efficacité de Tanium. Même l’armée américaine a acheté et installé le logiciel de sécurité sans vraiment comprendre les implications de son architecture. Visa, Amazon, Best Buy, le département américain de la Défense et le Nasdaq font partie des clients majeurs de Tanium.
D'autres éditeurs de logiciels ont adopté le concept P2P comme raccourci vers la vitesse. De nouveaux rivaux sont apparus, tous voulant cette valorisation de plusieurs milliards de dollars que les Hindawis ont acquise pour Tanium presque du jour au lendemain et apparemment sans même essayer d'attirer les investisseurs.
Avoir un visage courageux
McAfee a découvert la méthodologie de Tanium en 2012. En 2014, lorsque les Hindawis ont quitté le partenariat avec McAfee, ont-ils renoncé ou ont-ils été poussés ? McAfee n'a fait aucune tentative pour appliquer le traitement distribué à ses solutions de sécurité depuis qu'il a découvert cette innovation il y a sept ans. Pourquoi?
Il ne faut pas beaucoup d’expertise pour repérer une faille majeure dans la stratégie de Tanium, mais tous les experts du domaine ont investi leur crédibilité dans les recommandations de Tanium. Personne ne veut admettre qu’il a été ébloui et trompé, alors tout le monde se tait. Tanium n’identifie pas et ne supprime pas les vulnérabilités, il les crée.
Les problèmes de Tanium pourraient être résolus, mais la solution ferait perdre au logiciel son titre de 15 secondes et laisserait le système de sécurité faire exactement ce que McAfee et Symantec font actuellement sans disposer de son propre antivirus pour l'atténuation.
La faille de Tanium
Un pirate informatique pénètre dans un point final d'un réseau, recherche des informations de sécurité dans ses fichiers, installe des enregistreurs de frappe pour obtenir des informations de connexion, explore des données précieuses, puis trouve des points d'entrée vers d'autres ordinateurs du réseau.
Voyons maintenant comment fonctionne Tanium. Le logiciel agent est chargé sur un point final du réseau. Ce nœud contacte ensuite ses voisins et recherche chacun des vulnérabilités. Il récupère les données du journal et profile les magasins de données et les applications sur chaque ordinateur. Il ramène ces informations à la maison, les place dans un fichier, puis les trie et les consolide. Le résumé de cette enquête est ensuite transmis au contrôleur central.
L’agent Tanium agit « comme » un hacker. Il collecte toutes les données du pirate informatique pour lui, puis stocke ces informations dans un fichier, prêt à être récupéré. Tanium n’accélère pas seulement l’analyse des vulnérabilités, il accélère également le vol de données. Comment l’agent accède-t-il à chaque point de terminaison subordonné ? Les pirates adoreraient le savoir, et ils peuvent facilement le découvrir en pénétrant par effraction dans l’hôte de l’agent.
Les développeurs de Tanium n’ont pas créé leurs propres outils propriétaires d’analyse et de collecte de données. Ils se sont appropriés les outils gratuits d’analyse du réseau et du système existants – principalementNmapetPsExecensemble avec7 fermetures éclairpour la compression de fichiers. Le système égalementutilise des scripts shell, qui sont écrits en texte brut – tout le monde peut y accéder, les lire et les exécuter.
Nmap et PsExec sont deux outils largement utilisés par les pirates. Essentiellement, Tanium charge une boîte à outils de piratage sur un nœud du réseau et donne à ce nœud l'accès à 100 autres points de terminaison. Hacker dit : « Cela ne vous dérange pas si je le fais. » Pendant qu’il est là, le pirate informatique pourrait également rechercher toutes les informations de renseignement en texte brut que la dernière exécution de l’agent Tanium a laissées sur l’hôte.
Difficile de croire qu’au cours de deux années de réunions, les professionnels aguerris de la cybersécurité de McAfee n’ont pas repéré les failles de la méthodologie Tanium. N’auraient-ils pas informé les diplômés qui dirigeaient le développement du nouveau système ? Un petit nombre de consultants en cybersécurité et de testeurs d’intrusion ont repéré pour la première fois le problème lié à la configuration de Tanium en 2017 et ont immédiatement alerté l’entreprise. Tanium n'a ni répondu ni révisé son logiciel. Il est probable qu’ils le savaient déjà.
L’avantage innovant de Tanium Core Platform repose sur l’octroi à un point final d’un accès illimité à une centaine d’autres. Il ne protège pas les flux de données entre chaque point final et le logiciel de contrôle sur un serveur central avec un cryptage de bout en bout. Cela crée un homme du milieu, fournissant un véhicule hotrod aux pirates informatiques.
Tanium Protect : Les faiblesses
L’étoile Tanium risquait de se ternir rapidement, même sans la découverte de sa faiblesse fondamentale en matière de sécurité. La méthode de communication entre l'agent et les nœuds subordonnés repose sur un processus appelé chaînage. Cela suppose que tous les nœuds d'un segment de réseau se sont vu attribuer des adresses IP séquentielles par un serveur DHCP.
Les réseaux d’aujourd’hui sont bien plus compliqués qu’ils ne l’étaient en 2007 – et c’est tout à fait acceptable. Cela est dû à la complexité introduite par l'acceptation du BYOD, à l'intégration poussée des appareils mobiles dans les réseaux d'entreprise et à la nécessité d'intégrer des succursales physiquement distantes dans le réseau domestique. Tout cela signifie que les entreprises ne disposent peut-être pas de sous-réseaux clairement segmentés en blocs gérables de 100 nœuds. Cela réduit la vitesse et l’efficacité de Tanium.
Concurrents et alternatives de Tanium Protect
Si vous avez déjà déployé Tanium dans votre entreprise, espérons que vous ne vous êtes pas trop vanté de votre intelligence. Vous devez faire marche arrière et trouver rapidement une raison crédible pour remplacer votre Tanium contaminé. Voici cinq alternatives à considérer.
- Faucon de frappe de foule Les sources menacent les signatures sur Internet et parcourent le réseau local à la recherche de correspondances.
- Plateforme de sécurité des points de terminaison Action1 Un système basé sur le cloud avec une découverte de nœuds et des contrôles de vulnérabilité ultra-rapides.
- Réponse au noir de carbone Le cinquième système de protection des terminaux le plus vendu au monde ; un emplacement devant BigFix.
- Protection des points de terminaison Symantec Presque mais pas tout à fait Peer-to-Peer.
- Point de terminaison Fidelis Inclut à la fois la détection et la réponse, mais attention : cela utilise également le P2P.
Faucon de frappe de foule
Grève de foule déploie une architecture basée sur le cloud pour l'acquisition CVE, mais le logiciel de protection des points finaux s'exécute sur chaque machine individuelle en tant qu'agent. Le service fonctionne bien pour les appareils mobiles ainsi que pour les ordinateurs de bureau traditionnels. Il s'agit d'un système de remplacement AV qui intègre des techniques d'apprentissage automatique IA pour créer une solution de protection très rapide avec peu de faux positifs.
Plateforme de sécurité des points de terminaison Action1
Action1 utilise des commandes en langage naturel dans sa plateforme Endpoint Security. Il s'agit d'un service basé sur le cloud qui supprime le traitement de votre équipement, ce qui le rend très approprié pour la protection des appareils mobiles. Le package comprend la découverte de l'inventaire logiciel, la gestion des correctifs, les déploiements de logiciels à distance, la gestion des actifs informatiques et l'évaluation des vulnérabilités.
Réponse CB en noir de carbone
Réponse au noir de carbone comprend la chasse aux menaces et la réponse aux incidents. Il s’agit d’un « package dont on parle beaucoup » en ce moment et il crée beaucoup de buzz avec ses analyses Big Data qui détectent de nouvelles menaces, à l’instar de Crowdstrike. Carbon Black a été racheté par VMWare en octobre 2019 alors attendez-vous à de gros développements avec cette marque.
Protection des points de terminaison Symantec
Protection des points de terminaison Symantec montre aux enfants comment procéder. Le service coordonne la découverte des menaces entre 175 millions d'installations dans le monde. Cela peut être considéré comme un concept P2P médiatisé. La présence du serveur de contrôle basé sur le cloud supprime la communication directe entre les pairs et réduit le risque d'infection croisée.
Voir également: Examen de Symantec Endpoint Protection
Point de terminaison Fidelis
Point de terminaison Fidelis est inclus ici juste pour montrer que Tanium n'est pas le seul système de cybersécurité à utiliser l'architecture P2P. Soyez prudent lorsque vous utilisez ce système sans étudier minutieusement son comportement sur votre réseau grâce à l'essai gratuit.
Examinez notre échantillon de marché de seulement cinq concurrents de Tanium pour avoir une idée des alternatives. Cette implémentation peer-to-peer s'est avérée être une erreur de sécurité, mais le P2P s'avérera être une bonne idée si quelqu'un peut proposer un plan qui ne compromet pas les informations d'identification d'accès aux points finaux. C’est un défi attrayant et Tanium a failli le relever mais a raté la cible.