先进的威胁防御平台3.3版本将多个安全层结合到了一个易于部署的封装打包中。
在过去的几个月里,我们一直在就各种最前沿的、能够抵御高级持续性威胁(advanced persistent threats ,APTs)的相关安全工具进行着讨论;这其中包括了从安全威胁情报(Threatintelligence)到虚拟沙盒再到特权身份管理的一切。尽管所有这些程序都相当强大,但当涉及到可用性和定制化方面的问题时,这些工具都有着不同程度的复杂性。
而由一家以软件方式解决APT问题的新兴创业安全公司Cyphort所正式推出的其先进的威胁防御平台3.3版本则旨在为企业客户提供深层防护的同时,还兼具操作简单、易于定制的特点,即使是对于那些安全防护经验不足的企业网络安全团队而言亦是如此。该平台结合了多层次的安全,包括沙箱、签名识别、安全威胁情报和机器学习。可以提供端点保护,而不需要在每个系统上都安装代理。为此,我们专门在一款大型测试平台网络上针对这一款全新的防御平台进行了为期大约几个星期的测评。
这款Cyphort公司的高级威胁防御平台的安装可以作为一台虚拟机或硬件设备来完成。核心设备处理管理功能,同时还具备多个被称为collector的传感器,这些传感器被部署在受保护的网络的各个点。传感器负责监控进入网络的边界点的流量,以及任何尝试通过网络传输的流量,因此这些传感器可以同时感测来自外部的安全威胁以及已经网络周边的先进威胁可能的侧向传输。
这款Cyphort平台的其中一个最大特色亮点就是其易于使用,而且其具备自定义的选项。当对该平台进行设置时,用户拥有在重要性方面限定其网络设备到程序的选择权。这可以通过识别各个资源和计算机或通过指定一个IP范围,在该范围内按照优先级来分配一切资源的方式来完成。之后,这一数据将被用来帮助计算的威胁警告,以方便安全专家监控整个网络。例如,企业用户可以指定您企业的高层管理执行人员或数据库服务器拥有最高优先级,同时将承包商或临时员工使用的机器设置为正常或偏低级别。Cyphort公司并没有忽略低优先级的机器,而是使用了他们的一个设计作为报告任何安全威胁危险等级的一个因素。因此,如若出现一个低级别的安全威胁,例如基于广告软件的恶意软件通常会被以黄色中级型警告在主仪表板上显示,但是,如果是在某个CXO级别的高管的高优先级的笔记本电脑上监测到的,其可能会被调整到一个较高的级别。
主仪表板提供了随着时间的推移对于网络攻击的所有安全威胁的一个快速但详细的概述。这是完全动态的,使用户可以点击任何安全威胁,以便就如何缓解和处理该问题获得更好的了解。
在我们的测试中,上述该平台设计的报告功能发出过安全威胁优先级警报,但没有真正把它们降低等级。因此,一个可能会潜在的危及到整个网络的APT从未被降级,因为其位于一个终端。其只允许用户指定他们的基础设施的真正关键部分,而在这些真正关键的部分所需要的是对于任何类型的恶意软件的零容忍。
主仪表板非常容易使用。初略一看,我们就可以看到所有的网络安全威胁按照威胁严重程度随着时间的推移的排名。高优先级安全威胁需要快速的响应,在主图表的顶部被标注为红色圆圈,而低优先级的则分别为黄色且排名更靠后。
点击任何一个安全威胁,均会显示出Cyphort公司所收集到的关于该安全威胁的所有信息。这可以让企业用户的安全团队能够很快判断如何处理某个情况,并创建一套相应的缓解计划。某些安全威胁可能不需要解决,如一个基于窗口的安全威胁试图加载到一台Mac机器上。在这种情况下,企业用户的安全团队可以简单地指出,这样的安全威胁将无法安装到目标机器的操作系统上。然后,其可以被从仪表板上移出。
当然,并不是所有的安全威胁的缓解都如此的容易。为了帮助企业用户防御一些现实性的安全威胁攻击,Cyphort展示了一个浓缩版本的杀伤链,以防止APTs到达企业用户实际的资产,并造成危害。例如,在早期阶段,恶意代码可能已被下载,但尚未激活。在这种情况下,删除违规的程序就可能会阻止相应的安全威胁。
摘要:在过去的几个月里,我们一直在就各种最前沿的、能够抵御高级持续性威胁(advanced persistent threats ,APTs)的相关安全工具进行着讨论;这其中包括了从安全威胁情报(Threat intelligence)到虚拟沙盒再到特权身份管理的一切。尽管所有这些程序都相当强大,但当涉及到可用性和定制化方面的问题时,这些工具都有着不同程度的复杂性。
在后期阶段,横向的流量传输以及恶意的外部功能调用可能已经被检测到。这可能需要一个更强有力的反应,如关闭和清除受感染的系统。但Cyphort公司采用相当简单但却高效的图形界面在实时的精确显示安全威胁方面确实发挥得很出色。此外,通过将杀伤链分解成一个简化版本,并通过与一个感染相关的所有事件进行捆绑,其消除了多个警报,使得每次都是移除一个单独的威胁。
当一家企业用户可能想拥有终端保护,同时又不想在其每个系统上都安装代理时,其缺点便是借助像Cyphort公司的这样一款平台,他们永远不会真正知道一个安全威胁是否已经成功登陆到其终端并造成相应问题了。而为了解决这个问题,Cyphort允许企业用户在其网络上运行的系统设置“黄金配置(golden profile)”。这些配置文件作为虚拟机而存在,并 最好应包含所有的程序、软件和补充保护,如防病毒,运行在终端上。当检测到一个安全威胁时,企业用户可以对该安全威胁申请“黄金映像”,以查看该安全威胁是否有可能在目标机器上成功着陆,或者,让防病毒应该对其拦截。这可以让企业用户在没有代理的情况下也能够近乎100%的了解到一个安全威胁已经到达一个终端。
如果安全威胁开始尝试通过网络进行横向传输移动,或发出命令和控制功能的调用,其将被Cyphort的collector所发现。然而,称职的企业安全管理人员也想确认是否有任何潜在的安全威胁已经以静默方式扎根了。而要完全确定这一点,单单是部署安全威胁的黄金映像是不太够。为了消除这些最后的不确定性,Cyphort公司的防御平台可以生成一个简单的程序来检查主机系统上是否存在特定的恶意软件。运行该程序,便可以确定终端上是否有恶意软件。
现在,还没有办法将该验证程序推到终端。其并不是设置用于处理代理的,这本质上是一个迷你型的代理,寻找具体威胁的有关证据。所以,可能要使用 sneaker net,尽管确认程序十分微小,但其足以使用电子文件传输程序甚至是电子邮件移除具体安全威胁。
Cyphort创造了一个非常易于使用的界面,浓缩了诸如调查威胁杀伤链的复杂程序,并将其分解成简单,截断和动态的图形。其也不会在每次一个威胁尝试执行破坏时,都过多的警告安全团队,而是根据需要简单地更新的核心报告的状态。
所有这些工具均有一个先决条件的预先假定,即安全威胁实际上已经达到某个终端或在一个受保护的网络已经得到一个立足据点。然而,Cyphort公司的高级威胁防御平台3.3版本在一开始的首要位置使用多种技术阻止这些安全威胁方面也做得很好。首先,其使用了沙箱,但不是在传统意义上对沙盘程序的程序行为进行一组规则设定,毕竟,那样的话,攻击者最终可以学习并尝试解决。 相反,Cyphort的沙箱使用机器学习来监视恶意程序的蛛丝马迹,多为外部功能的调用或横向流量传输运动的尝试。该Cyphort主控制台不断地从公司获得威胁情报流,并如同其在沙箱进行的检查一样,也在本地程序一直在寻找新的数据和恶意 软件的模式。因此,其所作的工作基本上仍然是基于规则的沙盒,但并没有遵循一套特定的规则,而是动态生成,并学习不断更多。该平台还使用已知的恶意软件的签名。尽管基于签名的保护很容易被各种先进和持久的攻击者所攻破,但其仍然可以捕捉到大部分的安全威胁,可以很容易地消除那些较低级别的威胁,进而降低了企业安全团队每天所需要处理的警报的数量。在沙盒、机器学习、签名和威胁源之间,Cyphort公司的这款平台可以提供相当强大的防御能力。
其定价也相当独特,因为其并不将collector的计数包括在内。相反,其每年的订购费是根据企业客户所需要的对他们的网络扫描需求的总的带宽进行收取的,包括所有的软件,威胁情报服务和支持的成本。以这种方式,如果用户有一个大的网络,但低流量,不会被收取过高费用。因为他们只需要根据检查的实际流量支付费用。此外,其将允许用户增加和扩大需求,如果他们的流量需求突然增加的情况下。每年的订购费用55000美元起价。
该款Cyphort高级威胁防御平台3.3版本非常容易使用,而且可以防止安全威胁,提供对于先进的威胁良好的洞察。诸如将复杂的杀伤链分解成更小的,图形化的块可以让更小的企业安全团队进行安全防御,或让那些可能只是越来越重视保护,使用诸如安全运营中心来保护他们的网络的企业进行安全防守更加容易。也没有必要采用终端代理,而且由于起定价是基于带宽的,对于那些具有大量低级别的员工、而并不产生大量的网络流量的企业可以找到更多的价值。
将Cyphort公司的高级威胁防御平台3.3版本作为入门级的网络安全团队的程序,以迅速奠定他们防御当今的高级威胁的基础,对于企业而言是很有诱惑力的。但单独调用它,可能稍微有点埋没了其强大的功能。相反,企业用户应该可以考虑以更多的方式借助该平台来为企业提供网络安全,不管他们在处理他们所面临的许多安全威胁时会遭遇如何的经历。
本文转自d1net(转载)