思科AMP 終端版 | Carbon Black Endpoint Security | CrowdStrike Falcon | CylancePROTECT | |
---|---|---|---|---|
偵測 | ||||
整合偵測技術的數量 |
14
思科 AMP Threat Grid 採用靜態與動態分析,以及行為啟發學習法。此於虛擬機外運作,防止沙箱感知惡意程式入侵。運用多個引擎以確保達成全方位防護或清除,讓每個檔案安全無虞。技術包括 1:1 SHA 比對、模糊式特徵識別 (ETHOS)、機器學習 (SPERO)、IOC、裝置流程關聯、TETRA、ClamAV、指令行捕獲及威脅搜尋。
|
4
Carbon Black 運用白名單、機器學習、行為分析及新世代防毒技術。
|
4
CrowdStrike Falcon 採用攻擊指標(適用於無檔案的惡意程式)、機器學習、黑名單與白名單,以及已知惡意攻擊封鎖技術。
|
1
Cylance 採用演算法作為其唯一的偵測方法。以部署於個別用戶端的數學模型獲得功效。視模型更新而定,某些用戶端可能會偵測到病毒,而有些則不會。
|
持續分析與追溯性偵測 |
是
思科的終端 AMP 解決方案採用超越事件視界(時間點)的持續分析,並可進行回溯性偵測、警示、追蹤、分析及修正起初看似無異狀、或規避初期防禦機制但稍後被識別為具惡意的進階惡意程式。
|
有限
Carbon Black 搭配“CB Defense” 產品提供持續分析,並進行回溯性偵測、警示及修正起初看似無異狀、或規避初期防禦機制但稍後被識別為具惡意的進階惡意程式。
|
是
CrowdStrike Falcon 提供 DVR 功能,最小可到端點 5 秒的可視性。Falcon 採用超越事件視界(時間點)持續分析,並可進行回溯性偵測、警示及修正起初看似無異狀、或規避初期防禦機制但稍後被識別為具惡意的進階惡意程式。
|
是
Cylance 採用持續性分析,並可進行回溯性偵測、警示及修正起初看似無異狀、或規避初期防禦機制但稍後被識別為具惡意的進階惡意程式。
|
裝置軌跡 |
持續性
思科 AMP 在描繪出主機如何在端點環境中與檔案互動,包括惡意程式。系統可查看檔案傳輸作業是否遭封鎖,或檔案是否被隔離。系統可觀測威脅、提供爆發控制,並識別最早被感染的區域。
|
是
程序樹非常豐富,可供調查之用。顯示許多視覺效果,使圖形在視覺上引人入勝。
|
否
CrowdStrike 不提供裝置軌跡,但提供屬性軌跡。我們必須知道是誰開發了此惡意程式,但大多數人寧可阻止此惡意程式,只要別再攻擊,他們就安心了。NSA、CIA 及 CrowdStrike 最近在兩起最大型的公開駭客事件中發生漏報及衝突資訊的缺失,已引起許多人對於屬性功能準確性的質疑。
|
有限
需要 Cylance Optics(個別產品)。
|
偵測措施 |
多個
思科 AMP 採用數種偵測方法,包括模糊式特徵識別 (ETHOS)、機器學習 (SPERO)、動態檔案分析 (Threat Grid) 及 1:1 SHA 比對;Talos 支援上述所有方法。
|
多個
150 種行為,無軌跡。無行為 IoC。事件是以特徵、漏洞及時間點分析為基礎。
|
多個
120 個本機件類型即時串流、雜湊及行為封鎖、憑證竊取與權限提升、開機磁區、程序、堆疊及其他技術。
|
單一
Cylance 主要仰賴採用超過 100 萬筆功能與屬性的的機器學習模式。此會輔以 SHA256 檢查。
|
動態檔案分析 |
Threat Grid
自動化偵測引擎會使用數種方法觀察、解構及分析。此不會受防沙箱感知惡意程式所滲透。
|
否
需與合作夥伴在沙箱技術上有整合點。
|
否
欠缺整合點。不會在機密網路之外的內部部署系統上部署。不會與如 NGIPS、BDS 或 BPS 等支援系統整合。
|
否
欠缺整合點;目前不存在。
|
檔案分析部署模型 |
二者
Threat Grid 沙箱目前在終端解決方案的 AMP 內完全整合。檔案分析也可在內部部署解決方案上。由於 AMP Threat Grid 採用專屬分析機制及其他 100 種防入侵技術,因此幾乎不會為嘗試避開分析與沙箱的惡意程式所偵測到。Threat Grid 採用最廣大的分析技術組合,包括但不限於主機、網路、靜態及動態分析,以及主開機記錄的執行前後分析。
|
否
需與合作夥伴在沙箱技術上有整合點。
|
否
欠缺整合點。宣稱機器學習足以應付所有檔案分析。
|
否
欠缺整合點。
|
API 支援 |
是
使用 REST API 存取提取事件、IOC 及裝置資料。您可以撰寫指令碼及自訂 API,以適合環境使用。
|
是
開啟 API
|
是
Falcon API
|
每日報告
可以匯出以下類別的每日報告(CSV 格式):威脅、裝置、事件、指標、已清除、原則。
|
檔案軌跡 |
是
瞭解入侵範圍(多少終端受到主要惡意程式所影響)。探索最早被感染的區域:惡意程式最早在您環境中的某台電腦上被發現的時間、其來源,以及如何在主機間移動。
|
有限
範圍著重於本機主機處理序,不會從「檔案」層面追蹤及其經過之處。
|
有限
範圍以攻擊指標著重於本機主機處理序,並未從「檔案」層面追蹤及其經過之處。由於與 Linux、Mac 及行動裝置之間存在著可視性落差,因此難以判斷完整面貌。
|
否
目前未提供。Cylance Optics 可能即將推出。
|
|
||||
資料遺失 | ||||
白名單與黑名單 |
是
您可以透過終端的 AMP,將漏判項目加入黑名單,並將誤判項目加入白名單,賦予您覆寫思科 Talos 所設定之處置的權限。
|
是
Bit9 為率先採用白名單與黑名單技術的公司之一。現稱為 Carbon Black Enterprise Protection,此為 Carbon Black 所提供之端點安全架構的基礎。
|
是
CrowdStrike 提供將漏判項目加入黑名單,並將誤判項目加入白名單的功能,賦予系統管理員覆寫 Falcon 所設定之處置的權限。
|
是
Cylance 提供將漏判項目加入黑名單,並將誤判項目加入白名單的功能,賦予系統管理員覆寫 Cylance 所設定之處置的權限。
|
軟體漏洞 |
是
檢視有弱點的應用程式數與嚴重性,以及應用程式已在環境內查看到多少端點。將各應用程式的弱點連結至相關 CVE 項目。
|
否
需與 IBM BigFix 整合,以向主機提供與 CVE 相關的弱點。
|
否
當然不會特別搜尋網路上與主機相關的 CVE。Falcon 採用攻擊指標 (IoA) 偵測系統上的惡意攻擊。CVE 位於系統上的研究資訊內。
|
否
當然不會特別搜尋網路上與主機相關的 CVE。
|
整合進階威脅保護(攻擊偵測) |
是
您可獲得內建沙箱功能及事件關聯、1200 多個 IoC、數十億惡意軟體成品,以及簡單易懂的威脅分數。
|
否
Carbon Black 本身並未提供封閉迴圈 ATP。Carbon Black 可透過個別授權、支援及管理與其他廠商整合,例如 FireEye 與 Palo Alto Networks。
|
有限
CrowdStrike 並無沙箱,而是使用機器學習、惡意攻擊封鎖、攻擊指標 (IoA) 及黑名單和白名單,連同在記憶體內的惡意攻擊一同封鎖。
|
否
Cylance 著重於防毒並以演算法做為其唯一的偵測方法。以部署於個別用戶端的數學模型獲得功效。視模型更新而定,某些用戶端可能會偵測到病毒,而有些則不會。Cylance 無法偵測極難以捉摸且無檔案的惡意軟體。
|
沙箱感知惡意程式 |
是
由於 AMP Threat Grid 採用專屬分析機制及其他 100 種防入侵技術,因此幾乎不會為嘗試避開分析與沙箱的惡意程式所偵測到。
|
有限
Carbon Black 並未採用自己的 ATP 沙箱。Carbon Black 必須與 Palo Alto Networks、FireEye 或其他廠商整合,以提供惡意程式偵測功能。所有第三方整合都無法偵測出 ATP 或沙箱感知惡意程式。
|
有限
CrowdStrike 會在檔案執行時收集靜態檔案資料與行為資料、將此資料傳送至原端,然後透過機器學習給檔案打分數,指出此檔案具有惡意的可能性。若有已知的行為功能,則可預防檔案導致傷害,但不會移除檔案。若無指標(防惡意攻擊),資產可能處於危險之中(未封鎖動作)。若 CrowdStrike 遭到停用或移除,因之前的惡意軟體程式碼仍常駐於資產上,因此資產仍處於風險之中。
|
否
Cylance 著重於防毒並以演算法做為其唯一的偵測方法。以部署於個別用戶端的數學模型獲得功效。視模型更新而定,某些用戶端可能會偵測到病毒,而有些則不會。Cylance 無法偵測極難以捉摸且無檔案的惡意程式。
|
回應 | ||||
惡意程式修正 |
是
自動隔離視為惡意程式的檔案並持續分析活動。若未知檔案的處置變更,將隔離目標檔案。
|
有限
Carbon Black 可以修正惡意程式,但此取決於您是否具備 Cb Defense、Cb Response、Cb Protection 或整個平台。
|
有限
若 CrowdStrike Falcon 會判斷已知的行為功能,此將可預防檔案導致傷害,但不會移除檔案。
|
是
主要著重於預防。Cylance 確實能夠隔離之前由數學模型標示視為「清除」的檔案。
|
惡意程式閘道判斷 |
是
顯示惡意程式與其他軟體的進入點,協助回應程式針對根本原因進行快速評估,並執行適當強制做法,進一步抵擋其他執行個體。
|
有限
僅與協力廠商解決方案的整合觀點。
|
是
Folcon 可用來判斷問題的根源。
|
否
沒有能力判斷根本原因。
|
自訂偵測 |
是
協助管理員快速執行全面保護,根據終端活動,抵禦雙方終端與網路控制板上有問題的檔案和目標性攻擊。
|
是
可透過新增自訂檔案雜湊,進行自訂偵測與封鎖。
|
是
可透過新增自訂檔案雜湊,進行自訂偵測與封鎖。支援 MD5 和 SHA256。
|
是
可透過新增自訂檔案雜湊,進行自訂偵測與封鎖。
|
檔案搜尋與擷取 |
是
讓管理者查看組織內有問題的所有檔案,透過裝機客戶群查看散佈狀況,並從任何終端上取得檔案,供深入調查與分析使用。
|
是
可以從終端搜尋和擷取檔案。
|
有限
可以搜尋檔案,但無法擷取。
|
否
沒有搜尋。
|
易受攻擊的應用程式可視性 |
是
在環境中顯示脆弱的應用程式,幫助管理員和回應方在 Patch Management 過程中進行更好的指示與通知。
|
否
如果漏洞僅存在於終端上,則報告中將不會顯示;需要與 IBM BigFix 整合。
|
否
如果漏洞僅存在於終端上,則報告中將不會顯示。
|
否
如果漏洞僅存在於終端上,則報告中將不會顯示。
|
架構 | ||||
作業系統支援 |
多作業系統
Windows (XP 或更新版本) Mac OS、Linux 及 Android
|
多作業系統
Windows、Mac OS 及 Linux
|
雙作業系統
Windows 與 Mac OS
|
單一作業系統
僅在 Windows 上提供機器學習功能,Mac 使用 SHA256 檢查
|
部署模式 |
二者
以純雲端或內部部署方式提供。
|
二者
根據產品而異,可在內部部署或位於雲端。
|
單一
僅部署在雲端;目前不提供內部磁區的內部部署安裝。
|
單一
僅部署在雲端;不提供內部部署安裝。
|
離線支援 |
是
TERTA 與 ClamAV 提供 rootkit 偵測及離線保護。
|
是
Carbon Black 最近取得的 Confer 提供新一代 AV 功能。
|
是
當主機未連線至網路,Falcon 仍會繼續運行。
|
是
離線時仍保有 85% 的有效率。
|
封閉迴路偵測,與其他平台進行整合 |
是
可與思科 Firepower NGIPS、思科 ISE,和其他 AMP 平台整合,諸如電子郵件和網路安全上的 AMP。
|
有限
開啟 API。可以內嵌通用指令碼語言。可與來自 Palo Alto 網路、Check Pint、Blue Coat、Cyphort、Fidelis、Damballa、Splunk、Red Canary 等等的解決方案進行整合。
|
是
專為協力廠商提供的 Falcon API 和 Falcon 串流 API。
|
是
資料匯出專用的 CylanceProTECT API,以及產品整合專用的 CylanceV。
|
威脅情報 | ||||
每天不重複惡意程式樣本數 |
150 萬
Talos 每天都會處理約 150 萬個不重複的惡意程式樣本。歡迎造訪 talosintel.com 來取得更多資訊。
|
200,000
Cb Collective Defense Cloud 包含超過 80 億個檔案上的評價分數,並以每天約 200,000 個新檔案的速度不斷新增,同時運用來自 20 多個威脅合作夥伴的威脅情報,分辨善意程式與惡意程式間的二進位檔案。
|
不披露
|
不披露
|
每天封鎖的威脅 |
200 億
每天都會檢視成千百億的事件,封鎖其中 200 億個威脅。
|
不披露
|
不披露
CrowdStrike 宣稱每天都必須檢視 300 億個事件(乾淨、未知和惡意事件),封鎖其中數以百萬計的威脅。
|
不披露
|
每天掃描的電子郵件訊息數 |
6,000 億
在 6,000 億受到掃描的電子郵件訊息中,超過 85% 是垃圾郵件。
|
否
Carbon Black 不參與電子郵件向量處理。
|
否
CrowdStrike 不參與電子郵件向量處理。
|
否
Cylance 不參與電子郵件向量處理。
|
每天監視的網站請求數 |
160 億
Google 每天處理 35 億個搜尋請求。有了以上參照,我們就知道 Talos 的網路活動處理量,比 Google 搜尋還要高出 78% 之多。
|
否
Carbon Black 不參與網路向量處理。
|
否
CrowdStrike 不參與網路向量處理。
|
否
Cylance 不參與網路向量處理。
|
每天經檢視並處裡的 URL 數 |
920 億
Talos 與 OpenDNS Umbrella 進行整合,每天能夠過 DNS 要求檢視超過 920 億個網際網路 URL。截至 2017 年 1 月為止,網際網路總共包和 18 億個網站 (Netcraft) 。有了以上參照,我們就知道思科 Talos 和 Umbrella 威脅情報每天都會來回檢視整個活躍的網際網路,次數達 51 次之多。
|
否
Carbon Black 不參與網路向量處理。
|
否
CrowdStrike 不參與網路向量處理。
|
否
Cylance 不參與網路向量處理。
|
自動化情報摘要 |
是
以下技術可以進行設定,並與所有的思科安全性產品相互交換:ATP 閘道、AMP 終端、網路式 ATP、NGFW、NGIPS、電子郵件安全性 + AMP、 網路安全性 + AMP、DNS 安全性、雲端安全性元件、威脅情報監控等等。
|
是
可以進行設定,並與終端產品交換。
|
是
可以進行設定,並與終端產品交換。
|
是
可以進行設定,並與終端產品交換。
|
威脅情報共用 |
是
與超過 100 位來自 Aegis、Crete 和 Aspis 計畫的合作夥伴、顧客和供應商共享資料。在網路威脅的同盟裡,思科絕對是開疆闢土的中流砥柱。
|
否
Carbon Black 不與他人共享其威脅情報。
|
否
CrowdStrike 不與他人共享其威脅情報。
|
否
Cylance 不與他人共享其威脅情報。
|
整合 | ||||
整合 |
是
其他 API
|
有限
開啟 API。可以內嵌通用指令碼語言。可與來自 Palo Alto 網路、Check Pint、Blue Coat、Cyphort、Fidelis、Damballa、Splunk、Red Canary 等等的解決方案進行整合。
|
是
專為協力廠商提供的 Falcon API 和 Falcon 串流 API。
|
有限
A10、Symantec 可執行其引擎。
|
聯絡思科