Administrador De Red

Revisión de protección de tanio

Revisión de protección de tanio

El sistema de seguridad Tanium está organizado como una plataforma que admite una lista de módulos opcionales. Entre esos componentes se encuentra Tanium Protect, un sistema de protección de terminales.

El Plataforma central de tanio es un agitador de jaulas. Desde que la noticia de su innovadora tecnología se filtró en el resto del mundo, las estructuras de Tanium han sido adoptadas por otros participantes en el mercado para crear seguidores: un sector de ciberseguridad completamente nuevo.

El modelo de protección antivirus tradicional dependía del talento de un equipo central de investigadores que detectaba nuevas amenazas, identificaba sus características y luego difundía identificadores reveladores a cada instancia instalada del producto antivirus que operaba en el mundo.

Un gran paso adelante en la lucha contra los ataques de día cero fue incorporar métodos de detección en el software. Esto creó un ejército global de sensores que alertaron a la oficina central de cualquier nueva amenaza. Luego, el laboratorio transmitió una alerta y una solución a todas las instancias del software en todo el mundo.

La innovación de Tanium aplicó una arquitectura peer-to-peer modificada similar a Skype para la detección de intrusiones y la distribución de inteligencia sobre amenazas. Implementó procesamiento simultáneo y tiempos de respuesta rápidos. Fue sorprendente y dejó a los expertos de la industria preguntándose por qué nadie pensó en ello antes.

Contenido [ esconder ]

Acerca de Tanium Inc.

Tanium Inc fue fundada por un equipo dinámico de padre e hijo.DavidyOrión Hindawien 2007. Hindawi, el mayor, puso en marcha un negocio de tecnología, lo vendió e hizo una fortuna, mientras que el joven genio navegaba sin esfuerzo hasta llegar a lo más alto de su clase en Berkeley. David creó, instaló y vendió una segunda empresa de TI, BigFix, centrada en la seguridad informática, con lo que cosechó otra fortuna.

Con dinero y conocimientos, los dos Hindawis elaboraron un esquema para un nuevo enfoque de seguridad y crearon Tanium para desarrollarlo. Una demostración casual del nuevo software “en acción” resultó en que los capitalistas de riesgo arrojaran dinero a los hindawis. Con el 60 por ciento de la empresa, la familia creó un fondo de desarrollo, creó un equipo de jóvenes innovadores brillantes y se convirtió en multimillonario antes de vender una sola copia de Tanium.

El mito fundamental de Tanium radica en esa demostración original del software para inversores entusiastas. En sólo 15 segundos, el software revisó todo el sistema informático de un hospital y lo limpió de todos los virus y vulnerabilidades. Los inversores no podían creer lo rápido que se desarrolló la operación. La sencilla interfaz que parecía la página de inicio de Google con un campo de entrada funcionaba y arreglaba todo mientras los hombres del dinero y sus asesores técnicos expertos charlaban.

En verdad,12 técnicos expertos en ciberseguridad tardaron cinco años en desarrollar el software y recibieron muchas aportaciones de McAfee.. La relación con McAfee terminó después de dos años en 2014 y resultó en que el contendiente se marchara con el director de ventas de McAfee. Con un nuevo enfoque corporativo de ventas, el ágil e innovador Tanium despegó.

La arquitectura del tanio

Los protocolos peer-to-peer captaron por primera vez la atención de los entusiastas de la tecnología de todo el mundo cuando Napster les dio un uso espectacular como aplicación para compartir archivos. BitTorrent asumió el liderazgo en el desarrollo de la arquitectura, creando eficiencia a partir de la autonomía y la cooperación de los nodos.

Skype aplicó el P2P a la telefonía y es el modelo de Skype el que parece haber dado a los Hindawis su arquitectura clave. Skype distribuye la estructura de comando de una red nombrando nodos ubicados estratégicamente como primarios, haciéndolos responsables de coordinar la transmisión de paquetes a través de nodos subordinados.

Así es como funciona Tanium y su estructura de árbol es la clave de su legendaria velocidad. Se instala un agente en un punto final por segmento de red. Cada agente se comunica con unos 100 de sus vecinos. Recopila datos de vulnerabilidad, los agrega y luego pasa sus hallazgos al administrador central para su consolidación e informes finales.

La velocidad del sistema se deriva del procesamiento simultáneo por parte de los supernodos. La agregación de datos que realizan significa que la mayor parte del trabajo de análisis ya se ha completado durante la fase de recopilación de datos.

En ciberseguridad, la velocidad es la mitad de la batalla. No tiene sentido tener el mejor antivirus o sistema de detección de intrusos del mundo si todos sus datos han sido robados o destruidos antes de que el software genere una alerta.

Era fácil venderles a los CIO de las geniales startups de Silicon Valley. Una demostración de la espectacular limpieza del sistema de 15 segundos de Tanium hizo que todas las grandes empresas de tecnología firmaran en la línea de puntos.

El culto al tanio

Tanium es el tipo de proyecto en el que todo el mundo quiere creer. Los seguidores se sienten bien consigo mismos porque lo apoyan. No mucha gente entiende mucho sobre cómo funcionan los sistemas de ciberseguridad y la cantidad de personas que entienden eso y los puntos más finos del procesamiento distribuido más la arquitectura Peer-to-Peer es aún menor.

Sin embargo, al pretender comprender la tecnología detrás de Tanium y confiar la seguridad de los sistemas de TI que respaldan a los gigantes tecnológicos, esos compradores tuvieron que aceptar el mito creado por el humo y los espejos del software. Sorprendentemente, pocos CIO han exigido una investigación completa de la eficacia de Tanium. Incluso el ejército estadounidense compró e instaló el software de seguridad sin comprender realmente las implicaciones de su arquitectura. Visa, Amazon, Best Buy, el Departamento de Defensa de EE. UU. y Nasdaq son algunos de los clientes de renombre de Tanium.

Otras casas de software adoptaron el concepto P2P como un atajo hacia la velocidad. Surgieron nuevos rivales, todos queriendo esa valoración multimillonaria que los Hindawis adquirieron para Tanium casi de la noche a la mañana y aparentemente sin siquiera intentar atraer inversores.

Poner cara de valiente

McAfee conoció la metodología de Tanium en 2012. En 2014, cuando los Hindawis abandonaron la asociación con McAfee, ¿se alejaron o fueron empujados? McAfee no ha intentado aplicar el procesamiento distribuido a sus soluciones de seguridad desde que conoció la innovación hace siete años. ¿Por qué?

No se necesita mucha experiencia para detectar un defecto importante en la estrategia de Tanium, pero todos los expertos en el campo han invertido su credibilidad en el respaldo de Tanium. Nadie quiere admitir que fue deslumbrado y engañado, por lo que todos guardan silencio. Tanium no identifica ni cierra vulnerabilidades, sino que las crea.

Los problemas de Tanium podrían solucionarse, pero la solución haría perder al software su título de 15 segundos y dejaría al sistema de seguridad haciendo exactamente lo que McAfee y Symantec están haciendo ahora sin tener su propio antivirus para mitigarlo.

El defecto del tanio

Un pirata informático ingresa a un punto final de una red, busca en sus archivos información de seguridad, instala registradores de pulsaciones de teclas para obtener credenciales de inicio de sesión, explora datos valiosos y luego encuentra puntos de entrada a otras computadoras en la red.

Ahora, veamos cómo funciona Tanium. El software del agente se carga en un punto final de la red. Luego, ese nodo se pone en contacto con sus vecinos y busca vulnerabilidades en cada uno de ellos. Extrae datos de registro y perfila los almacenes de datos y las aplicaciones en cada computadora. Lleva esa información a casa, la guarda en un archivo y luego la clasifica y consolida. El resumen de esa investigación se envía entonces al interventor central.

El agente de Tanium actúa ‘como’ un hacker. Realiza toda la recopilación de datos del hacker por él y luego almacena esa información cómodamente en un archivo, listo para ser capturado. Tanium no sólo acelera el escaneo de vulnerabilidades, sino que también acelera el robo de datos. ¿Cómo llega el agente a cada punto final subordinado? A los piratas informáticos les encantaría saberlo y pueden descubrirlo fácilmente accediendo al servidor del agente.

Los desarrolladores de Tanium no crearon sus propias herramientas patentadas de escaneo y recopilación de datos. Se apropiaron de las herramientas gratuitas de escaneo de redes y sistemas existentes, principalmenteNmapayPsExecJuntos con7 cremalleraspara la compresión de archivos. El sistema tambiénutiliza scripts de shell, que están escritos en texto plano: cualquiera puede acceder a ellos, leerlos y ejecutarlos.

Nmap y PsExec son dos herramientas ampliamente utilizadas por los piratas informáticos. Básicamente, Tanium carga un conjunto de herramientas de piratas informáticos en un nodo de la red y le da a ese nodo acceso a otros 100 puntos finales. El hacker dice: 'No me importa si lo hago'. Mientras está allí, el hacker también podría buscar en toda la información de inteligencia en texto plano que la última ejecución del agente Tanium dejó en el host.

Es difícil creer que durante dos años de reuniones, los experimentados profesionales de ciberseguridad de McAfee no detectaron las fallas en la metodología Tanium. ¿No habrían avisado a los graduados que dirigían el desarrollo del nuevo sistema? Un pequeño número de consultores de ciberseguridad y evaluadores de penetración detectaron por primera vez el problema con la configuración de Tanium en 2017 y alertaron a la empresa de inmediato. Tanium no respondió ni revisó su software. Es probable que ya lo supieran.

La ventaja innovadora de Tanium Core Platform se basa en brindar a un punto final acceso sin restricciones a cientos de otros. No protege los flujos de datos entre cada punto final y el software de control en un servidor central con cifrado de extremo a extremo. Crea un intermediario que proporciona un vehículo deportivo para los piratas informáticos.

Tanium Protect: Las debilidades

Era probable que la estrella Tanium quedara empañada rápidamente incluso sin que se descubriera su debilidad fundamental en materia de seguridad. El método de comunicación entre el agente y los nodos subordinados se basa en un proceso denominado encadenamiento. Esto supone que un servidor DHCP ha asignado direcciones IP secuenciales a todos los nodos de un segmento de red.

Las redes de hoy son mucho más desordenadas que en 2007, lo cual es aceptable. Esto se debe a la complejidad introducida por la aceptación de BYOD, la amplia integración de dispositivos móviles en las redes empresariales y la necesidad de integrar sucursales físicamente distantes en la red doméstica. Todo eso significa que es posible que las empresas no tengan subredes segmentadas ordenadamente en fragmentos manejables de 100 nodos. Eso reduce la velocidad y eficiencia de Tanium.

Competidores y alternativas de Tanium Protect

Si ya implementó Tanium en su empresa, esperemos que no haya alardeado demasiado de lo inteligente que era. Debe dar marcha atrás y encontrar rápidamente una razón creíble para reemplazar su Tanium contaminado. Aquí hay cinco alternativas a considerar.

  1. Halcón de ataque multitudinario Obtiene firmas de amenazas de Internet y busca coincidencias en la red local.
  2. Plataforma de seguridad de terminales Action1 Un sistema basado en la nube con descubrimiento de nodos y comprobaciones de vulnerabilidades ultrarrápidos.
  3. Respuesta del negro de carbón El quinto sistema de protección de endpoints más vendido en el mundo; un puesto por delante de BigFix.
  4. Symantec Endpoint Protection Casi, pero no del todo, peer-to-peer.
  5. Punto final Fidelis Incluye tanto detección como respuesta, pero ojo: esto también utiliza P2P.

Halcón de ataque multitudinario

Multitud implementa una arquitectura basada en la nube para la adquisición de CVE, pero el software de protección de terminales se ejecuta en cada máquina individual como un agente. El servicio funciona bien tanto para dispositivos móviles como para computadoras de oficina tradicionales. Se trata de un sistema de sustitución de AV que integra técnicas de aprendizaje automático de IA para crear una solución de protección muy rápida con pocos falsos positivos.

Plataforma de seguridad de terminales Action1

Acción1 utiliza comandos de lenguaje natural en su plataforma Endpoint Security. Este es un servicio basado en la nube que elimina el procesamiento de su equipo, lo que lo hace muy adecuado para la protección de dispositivos móviles. El paquete incluye descubrimiento de inventario de software, gestión de parches, implementaciones remotas de software, gestión de activos de TI y evaluación de vulnerabilidades.

Respuesta CB de negro de carbón

Respuesta del negro de carbón incluye búsqueda de amenazas y respuesta a incidentes. Este es 'un paquete del que se habla mucho' en este momento y está generando mucho revuelo con su análisis de big data que detecta nuevas amenazas, de manera muy similar a como lo hace Crowdstrike. VMWare compró Carbon Black en octubre de 2019, por lo que se esperan grandes novedades con esta marca.

Symantec Endpoint Protection

Symantec Endpoint Protection muestra a los niños cómo se hace. El servicio coordina el descubrimiento de amenazas entre 175 millones de instalaciones en todo el mundo. Esto puede considerarse como un concepto P2P mediado. La presencia del servidor de control basado en la nube corta la comunicación directa entre pares y reduce el riesgo de infección cruzada.

Ver también: Revisión de Symantec Endpoint Protection

Punto final Fidelis

Punto final Fidelis se incluye aquí solo para mostrar que Tanium no es el único sistema de ciberseguridad que utiliza arquitectura P2P. Tenga cuidado al utilizar este sistema sin investigar a fondo su comportamiento en su red con la prueba gratuita.

Mire nuestra muestra de mercado de solo cinco competidores de Tanium para tener una idea de las alternativas. Esta implementación de igual a igual resultó ser un error de seguridad, pero P2P demostrará ser una buena idea si alguien puede idear un plan que no comprometa las credenciales de acceso a los terminales. Es un desafío atractivo y Tanium estuvo a punto de lograrlo, pero falló.

^