Revisión de Symantec Endpoint Protection
Hay muchos puntos de vulnerabilidad en una red y muchos enfoques diferentes para la seguridad del sistema. En última instancia, los puntos finales que atienden directamente a los usuarios son clave para el éxito de la empresa y deben protegerse. Symantec Endpoint Protection se centra en mantener seguros los dispositivos de estos usuarios.
Symantec Endpoint Protection fue el segundo mayor vendedor en el mercado de seguridad de endpoints en 2019, solo un uno por ciento detrás de Trend Micro, según datos .
El éxito de este software de seguridad se debe a la escala de la corporación Symantec y su fuerte inversión en desarrollo y marketing.
Estrategia de mercado de antivirus y antimalware de Symantec
La estrategia del mercado de la seguridad informática ha cambiado drásticamente en los últimos años. Los productos antivirus y antimalware tradicionales se han quedado obsoletos gracias a los nuevos vectores de ataque creados por los piratas informáticos de todo el mundo. Simplemente comparar los procesos en una computadora con una base de datos de virus conocidos ya no proporciona protección suficiente.
Symantec fue uno de los primeros líderes en la industria antivirus y ha luchado por mantenerse a la vanguardia de los problemas de ciberseguridad. Los productos de firewall para el mercado residencial se han vuelto menos lucrativos desde la expansión del uso de enrutadores Wi-Fi domésticos, que integran firewalls NAT. La inclusión del Windows Defender gratuito en su sistema operativo por parte de Microsoft ha eliminado el interés público en pagar por sistemas antivirus. Symantec necesitaba encontrar nuevos mercados de seguridad antes de que desapareciera toda su rentabilidad.
Historia de Symantec
Symantec Corporation ha estado en el negocio desde 1982. La compañía ha tenido que revisar completamente su familia de productos en varios momentos de su historia y cada vez ha evitado exitosamente quedar atrapada en mercados moribundos y compromisos de hardware sin salida.
Pasar de mainframes y bases de datos a PC
Symantec descubrió el potencial de las PC en 1984 y abandonó su gama de software de mainframe, cambiando por completo su nicho de mercado de productos de bases de datos a sistemas de generación de informes. Hasta 1990, la empresa diversificó su base de productos, produciendo utilidades para hojas de cálculo, una tarjeta de memoria para PC y un programa de compresión. Todos estos productos fueron abandonados una vez que la empresa adquirió Peter Norton Software en 1990.
Symantec ya se había metido en el mundo de los antivirus cuando adquirió la familia de productos Norton. Su sistema de protección era el sistema antivirus líder para Mac. Peter Norton Software también tenía una lista de productos diversificada, pero su sistema antivirus fue el único que se mantuvo.
Symantec desarrolló la marca Norton para productos de seguridad residencial y su propio nombre para sistemas de seguridad empresarial. En 2014, la empresa inició un proyecto de inteligencia artificial para alejarla del modelo antivirus tradicional y adoptar métodos de detección de intrusos basados en inteligencia artificial.
Symantec Endpoint Protection
Symantec lanzó su producto Endpoint Protection en 2007. Al darse cuenta de que los sistemas antivirus sencillos ya no eran tratados con respeto en el campo emergente de la ciberseguridad, la empresa necesitaba reforzar sus credenciales con sistemas más complejos para la seguridad empresarial.
El antivirus seguía siendo el núcleo deSymantec Endpoint Protection, pero el paquete incluía otros productos heredados en un intento de apuntalar las debilidades en el enfoque antivirus.
Se trataba de un enfoque de “conmoción y pavor” a corto plazo para deslumbrar a los clientes potenciales con un conjunto de productos que superaban los paquetes ofrecidos por la competencia. Esto le dio tiempo a la empresa para recodificar todo el producto antivirus, que se consideró lento, difícil de manejar y ocupaba demasiado espacio en el disco. El código simplificado de Endpoint Security ocupaba una quinta parte del espacio en disco de su predecesor.Symantec Edición corporativa 10.0.
Symantec Endpoint Security fue más un triunfo de marketing que un avance tecnológico. Sin embargo, leer el mercado es la mayor fortaleza de Symantec y es la capacidad del directorio de la compañía para detectar tendencias y su disposición a separar productos sin sentimentalismos para nuevos enfoques lo que convirtió a la empresa en líder del mercado.
La junta detectó el aumento de los servicios administrados y produjo una versión administrada de Symantec Endpoint Protection en 2009. Comercializó una edición dirigida a pequeñas empresas en 2010. En 2011, trabajó en las crecientes tendencias comerciales de los servicios en la nube y produjo una versión compatible con la virtualización. Servicio de protección de terminales. El servicio MSP y la base de datos de firmas basada en la nube evolucionaron hasta convertirse en una versión automatizada de software como servicio de Symantec Endpoint Protection en 2016.
La introducción de la IA
A pesar de las revisiones casi anuales de Symantec Endpoint Protection, el sistema era poco más que un paquete antivirus. En esencia, el producto todavía utilizaba el antiguo modelo de servicio de un laboratorio de investigación central que detectaba nuevos ataques e identificaba firmas de procesamiento. Luego, esas firmas se implementaron en las bases de datos de firmas en las computadoras cliente que proporcionaban material fuente al sistema de detección de virus en constante ejecución en cada dispositivo protegido.
Los métodos antivirus tradicionales requieren un grupo central de expertos. La distribución de actualizaciones de bases de datos de amenazas a través de Internet introduce una posible debilidad de seguridad. El retraso entre los piratas informáticos que inventan un nuevo virus y el momento en que los expertos del laboratorio lo detectan significa que los usuarios de antivirus siempre son vulnerables. Este es particularmente el caso desde que la comunidad de hackers se ha reorganizado en organizaciones totalmente administradas con sus propios productos.
Uso de IA para lograr protección casi en tiempo real
Básicamente, Symantec Endpoint Protection utilizaba tecnología obsoleta y dependía del departamento de marketing de la empresa para darle brillo. Es decir, hasta la versión 14, que introdujo la IA.
Los rumores de la industria habían estado apuntando hacia la necesidad de nuevos enfoques para la ciberseguridad desde principios de 2010. La investigación en universidades de EE. UU., el Reino Unido, Alemania y Rusia comenzó a filtrarse en el resto del mundo a través de artículos de investigación y presentaciones en conferencias sobre ciberseguridad y Symantec Saltó al campo como un camino a seguir o, como mínimo, como una buena ventaja de marketing.
El lanzamiento de Protección de puntos finales de Symantec 14 en noviembre de 2016 fue una recompensa temprana para el esfuerzo de I+D de IA de la compañía, que comenzó en 2014. Salvó al producto de ser arrastrado al olvido por los nuevos e innovadores contendientes en el mercado de la ciberseguridad, como Darktrace, Sophos y Fortinet.
Si bien los nuevos perros en la pelea eran más delgados y atractivos, Symantec tenía una marca bien establecida y un presupuesto de marketing muy grande.
Symantec no completó su plataforma de IA, llamadaAnálisis de ataques dirigidos, hasta 2018, pero la prueba de esta táctica de aprendizaje automático integrada en Symantec Endpoint Protection 14 generó mucha atención de la prensa y mantuvo a la empresa a la cabeza del mercado.
Metodología de Symantec Endpoint Protection: el punto de inflexión
Protección de puntos finales de Symantec 14es un punto de inflexión en la estrategia de ciberseguridad de la empresa.
La herramienta integra nuevos enfoques para la protección de endpoints. El modelo tradicional de un laboratorio de investigación que envía actualizaciones de bases de datos de amenazas ha evolucionado hacia una configuración híbrida local/en la nube. El flujo de información se ha convertido en un canal de doble dirección.
Cada instalación es un centro de investigación. El elemento de aprendizaje automático del software detecta amenazas, examina sus hallazgos anteriores, identifica nuevos virus y los aísla. Luego carga sus hallazgos en el sistema central en la nube. Este nuevo descubrimiento de amenazas se difunde luego a todas las demás instalaciones de Symantec Endpoint Protection en todo el mundo. Actualmente hay 175 millones de ellos.
Esta arquitectura es casi un modelo Peer-to-Peer (P2P) aplicado a la investigación, lo que supone un uso muy práctico y eficiente de los recursos de clientes y proveedores. La gran diferencia entre esta arquitectura de comunicación y el P2P es que el servidor central es un mediador, lo que significa que sigue el modelo tradicional cliente-servidor.
Queda por ver si Symantec puede modificar la seguridad de la interacción para avanzar hacia un cerebro de seguridad completamente autónomo impulsado por una comunidad que detecte, venza y se comunique sin la intervención omnipresente de Symantec HQ.
Actividad de los sistemas operativos locales
El software local para Symantec Endpoint Protection se instala en hosts que ejecutanventanas,Mac OS, olinux. Tiene cuatro actividades principales:
- Identificación de vulnerabilidad
- Prevención de ataques
- Detección de infracciones
- Remediación de amenazas
Cada una de estas estrategias puede parecer nuevos nombres para métodos antiguos. Sin embargo, el uso de IA en cada fase significa que las operaciones se ejecutan con métodos diferentes a los utilizados en los sistemas AV tradicionales.
Identificación de vulnerabilidad
Las tareas “previas al ataque” del sistema de protección de terminales incluyen identificar posibles debilidades de seguridad en un terminal. Los objetivos obvios aquí incluyen enchufes USB, servicios de comunicación, software de comunicación, como navegadores, y servicios en el ordenador que potencialmente proporcionan puntos de entrada para malware.
La evaluación de vulnerabilidad tiene como objetivo reducir la superficie de ataque. Es un proceso continuo que configura y mantiene las utilidades de los sistemas de protección contra malware, como el espacio de memoria para el sandboxing y la cuarentena. La verificación de la base de seguridad detecta nuevas vulnerabilidades de hardware o software a medida que se agregan al dispositivo.
Prevención de ataques
Las actividades de prevención de ataques de Symantec Endpoint Protection equivalen al trabajo tradicional de los firewalls. El objetivo aquí es impedir que cualquier virus nuevo llegue al punto final. En la nueva metodología, el software de Symantec bloquea los exploits, que son vulnerabilidades descubiertas en el software. Este también es un sistema de administración de parches porque los fabricantes de software generalmente cierran los exploits con actualizaciones.
El software de prevención de ataques protege todos los puntos de entrada a la computadora, incluida la tarjeta de red y las ranuras USB.
Detección de infracciones
La detección de infracciones es la actividad principal de un sistema antivirus clásico. Hay un elemento de trabajo de firewall en esta categoría de tareas. El sistema de detección de infracciones busca firmas de codificación, patrones de comportamiento y secuencias de activación de programas para detectar amenazas. Este es un poco más que el caso clásico de verificar con una base de datos de firmas de virus porque también examina el comportamiento. Esto se debe a que un intruso puede ejecutar software confiable que ya está en el sistema con fines maliciosos.
El sistema de detección de infracciones desencadena una respuesta e implementa bloqueos, elimina procesos maliciosos y pone en cuarentena software nuevo sospechoso.
Remediación de amenazas
Una vez que se ha abordado la amenaza inmediata, el sistema Symantec Endpoint Protection activa procesos para bloquear permanentemente el ataque detectado. Esta fase incluye el recurso a Symantec Targeted Attack Analytics. TAA es el elemento del sistema de protección basado en la nube y es este servicio el que propaga noticias de un ataque y su solución a los otros 175 millones de usuarios de Symantec Endpoint Protection.
El proceso de corrección rastrea los inicios de procesos para identificar el origen en la computadora de una estrategia maliciosa. Su objetivo es apuntar y destruir cualquier proceso de persistencia que intente revivir cualquier acción maliciosa eliminada en la computadora. Todos los intentos exitosos se informan a TAA para que la comunidad de instancias en ejecución pueda destruir también el conjunto de software malicioso.
También hay un elemento humano involucrado en la fase de remediación de amenazas. Los técnicos del laboratorio de Symantec trabajan en informes que buscan tendencias globales de ciberamenazas para poder adaptar mejor la evolución del software Symantec Endpoint Protection.
Cuota de mercado de Symantec Endpoint Protection
La evidencia de la satisfacción de Symantec con el estado actual de Endpoint Protection se evidencia en la falta de acción de la compañía para reemplazar su producto estrella. Todas las versiones del software anteriores a la versión 14 han quedado obsoletas; ya no son compatibles. Hasta 2016, la compañía producía una nueva versión del paquete casi todos los años, pero no ha habido ninguna nueva versión desde entonces y la versión 14 ya tiene tres años.
Esta aparente inactividad también podría significar que la empresa no ve ninguna amenaza por parte de los competidores. Aunque la empresa es oficialmente el número dos en el mercado de protección de endpoints, la cuota de mercado del uno por ciento entre ella y el líder del mercado, Trend Micro, es casi insignificante. Una noticia o una promoción web bien orientada podrían fácilmente cambiar esa ventaja.
Las dos empresas están efectivamente codo a codo. El número tres del mercado, McAfee Virus Scan, está muy por detrás de Symantec Endpoint Protection con una cuota de mercado del 13,61 por ciento. El número cuatro, Tripwire, sólo tiene una cuota de mercado del 4 por ciento y todos los demás proveedores tienen cada uno menos del 3 por ciento del mercado.
Entonces, ¿dónde están los retadores?
Competidores y alternativas de Symantec Endpoint Protection
Las principales amenazas competitivas a la participación de mercado de Symantec Endpoint Protection provienen de una amplia gama de rivales:
- Tendencia Micro Apex Uno – Actualmente líder del mercado.
- Halcón CrowdStrike – Mejor en protección de endpoints basada en la nube.
- Punto final de Sophos Intercept X – Mejor en el uso de IA para la protección de terminales.
- Proteger Cylance – Un proveedor de protección de terminales innovador y eficiente.
- Nessus Vulnerability Scanner y otros – Un sistema anteriormente libre con un grupo de imitadores libres.
Tendencia Micro Apex Uno
Tendencia Micro Es actualmente el rival más cercano de Symantec. La empresa tiene la misma reputación que la marca Symantec y cuenta con un departamento de marketing igualmente bien financiado. Su solución es una combinación muy similar de técnicas tradicionales de AV e IA que ayudaron a Symantec a ascender en las listas.
Las mayores amenazas a la corona de Symantec no provienen de sus pares. Los nuevos participantes en el mercado que puedan superar a Symantec en innovación y mejor entrega de sistemas desbancarán a Symantec y Trend Micro de los primeros puestos.
Halcón CrowdStrike
Multitud de huelga ha evolucionado el elemento de la nube que Symantec utiliza únicamente para la comunicación de amenazas entre usuarios. ElHalcón CrowdStrikeLa estrategia que traslada todo el procesamiento a la nube es más adecuada para dispositivos móviles y dispositivos IoT, las áreas de crecimiento de la industria de TI. Falcon está disponible en una prueba gratuita.
Terminal Sophos Intercept X
Sofos tiene un mejor motor de IA en el corazón de su sistema de seguridad que el desarrollado por Symantec. El presupuesto de marketing de Sophos no es tan grande como el de Symantec, pero el competidor está atrayendo a grandes inversores y poniendo dinero a disposición.
Proteger Cylance
Proteger Cylance fue diseñado en torno a la IA desde cero. La falta de herencia de Cylance la hace ágil en el mercado y una marca atractiva para las empresas emergentes y las PYME innovadoras. Si la empresa logra entrar en el mercado de las grandes empresas, Symantec tendrá dificultades para mantener sus objetivos de ventas.
Escáner de vulnerabilidades Nessus
El Escáner de vulnerabilidades Nessus se desarrolló por primera vez como un proyecto de código abierto y era gratuito. Aunque esta herramienta es ahora un sistema propietario con un precio, la disponibilidad de su código fuente permitió que un grupo de imitadores gratuitos ingresaran al mercado de protección de terminales. Esas alternativas gratuitas socavan la viabilidad comercial de todos los sistemas pagos de protección de terminales.
Innovadores comoHalcón CrowdStrikeyProteger Cylancehan generado un revuelo en el mercado que los hace atractivos en este momento. Si analizamos la historia de Symantec, no hay duda de que la empresa afrontará esta competencia renovando su sistema nuevamente. Aprenderá de los jugadores disruptivos y se mantendrá por delante de la competencia.
Preguntas frecuentes sobre Symantec Endpoint Protection
¿Symantec Endpoint Protection es bueno para uso doméstico?
Symantec Endpoint Protection está dirigido a empresas. Toda la marca Symantec, que ahora es propiedad de Broadcom, está dirigida a usuarios empresariales. El sistema equivalente para uso doméstico se comercializa bajo la marca Norton, que es una empresa independiente.
¿Es necesaria la protección de endpoints de Symantec?
Si bien los usuarios de computadoras domésticas pueden correr el riesgo de no instalar seguridad en sus terminales, las empresas no pueden ser negligentes con respecto a la seguridad de los activos de TI. Las fugas de datos pueden ser desastrosas y la pérdida de uso de los puntos finales debido a una infección de malware requeriría que se borre y reinstale todo el contenido de la computadora.