Cyphort的平臺使高階威脅保護比以往更容易

行者武松發表於2017-07-03

先進的威脅防禦平臺3.3版本將多個安全層結合到了一個易於部署的封裝打包中。

在過去的幾個月裡,我們一直在就各種最前沿的、能夠抵禦高階持續性威脅(advanced persistent threats
,APTs)的相關安全工具進行著討論;這其中包括了從安全威脅情報(Threatintelligence)到虛擬沙盒再到特權身份管理的一切。儘管所有這些程式都相當強大,但當涉及到可用性和定製化方面的問題時,這些工具都有著不同程度的複雜性。

而由一家以軟體方式解決APT問題的新興創業安全公司Cyphort所正式推出的其先進的威脅防禦平臺3.3版本則旨在為企業客戶提供深層防護的同時,還兼具操作簡單、易於定製的特點,即使是對於那些安全防護經驗不足的企業網路安全團隊而言亦是如此。該平臺結合了多層次的安全,包括沙箱、簽名識別、安全威脅情報和機器學習。可以提供端點保護,而不需要在每個系統上都安裝代理。為此,我們專門在一款大型測試平臺網路上針對這一款全新的防禦平臺進行了為期大約幾個星期的測評。

這款Cyphort公司的高階威脅防禦平臺的安裝可以作為一臺虛擬機器或硬體裝置來完成。核心裝置處理管理功能,同時還具備多個被稱為collector的感測器,這些感測器被部署在受保護的網路的各個點。感測器負責監控進入網路的邊界點的流量,以及任何嘗試通過網路傳輸的流量,因此這些感測器可以同時感測來自外部的安全威脅以及已經網路周邊的先進威脅可能的側向傳輸。

這款Cyphort平臺的其中一個最大特色亮點就是其易於使用,而且其具備自定義的選項。當對該平臺進行設定時,使用者擁有在重要性方面限定其網路裝置到程式的選擇權。這可以通過識別各個資源和計算機或通過指定一個IP範圍,在該範圍內按照優先順序來分配一切資源的方式來完成。之後,這一資料將被用來幫助計算的威脅警告,以方便安全專家監控整個網路。例如,企業使用者可以指定您企業的高層管理執行人員或資料庫伺服器擁有最高優先順序,同時將承包商或臨時員工使用的機器設定為正常或偏低階別。Cyphort公司並沒有忽略低優先順序的機器,而是使用了他們的一個設計作為報告任何安全威脅危險等級的一個因素。因此,如若出現一個低階別的安全威脅,例如基於廣告軟體的惡意軟體通常會被以黃色中級型警告在主儀表板上顯示,但是,如果是在某個CXO級別的高管的高優先順序的膝上型電腦上監測到的,其可能會被調整到一個較高的級別。  

主儀表板提供了隨著時間的推移對於網路攻擊的所有安全威脅的一個快速但詳細的概述。這是完全動態的,使使用者可以點選任何安全威脅,以便就如何緩解和處理該問題獲得更好的瞭解。

在我們的測試中,上述該平臺設計的報告功能發出過安全威脅優先順序警報,但沒有真正把它們降低等級。因此,一個可能會潛在的危及到整個網路的APT從未被降級,因為其位於一個終端。其只允許使用者指定他們的基礎設施的真正關鍵部分,而在這些真正關鍵的部分所需要的是對於任何型別的惡意軟體的零容忍。

主儀表板非常容易使用。初略一看,我們就可以看到所有的網路安全威脅按照威脅嚴重程度隨著時間的推移的排名。高優先順序安全威脅需要快速的響應,在主圖表的頂部被標註為紅色圓圈,而低優先順序的則分別為黃色且排名更靠後。

點選任何一個安全威脅,均會顯示出Cyphort公司所收集到的關於該安全威脅的所有資訊。這可以讓企業使用者的安全團隊能夠很快判斷如何處理某個情況,並建立一套相應的緩解計劃。某些安全威脅可能不需要解決,如一個基於視窗的安全威脅試圖載入到一臺Mac機器上。在這種情況下,企業使用者的安全團隊可以簡單地指出,這樣的安全威脅將無法安裝到目標機器的作業系統上。然後,其可以被從儀表板上移出。

當然,並不是所有的安全威脅的緩解都如此的容易。為了幫助企業使用者防禦一些現實性的安全威脅攻擊,Cyphort展示了一個濃縮版本的殺傷鏈,以防止APTs到達企業使用者實際的資產,並造成危害。例如,在早期階段,惡意程式碼可能已被下載,但尚未啟用。在這種情況下,刪除違規的程式就可能會阻止相應的安全威脅。

摘要:在過去的幾個月裡,我們一直在就各種最前沿的、能夠抵禦高階持續性威脅(advanced persistent threats
,APTs)的相關安全工具進行著討論;這其中包括了從安全威脅情報(Threat
intelligence)到虛擬沙盒再到特權身份管理的一切。儘管所有這些程式都相當強大,但當涉及到可用性和定製化方面的問題時,這些工具都有著不同程度的複雜性。

在後期階段,橫向的流量傳輸以及惡意的外部功能呼叫可能已經被檢測到。這可能需要一個更強有力的反應,如關閉和清除受感染的系統。但Cyphort公司採用相當簡單但卻高效的圖形介面在實時的精確顯示安全威脅方面確實發揮得很出色。此外,通過將殺傷鏈分解成一個簡化版本,並通過與一個感染相關的所有事件進行捆綁,其消除了多個警報,使得每次都是移除一個單獨的威脅。

當一家企業使用者可能想擁有終端保護,同時又不想在其每個系統上都安裝代理時,其缺點便是藉助像Cyphort公司的這樣一款平臺,他們永遠不會真正知道一個安全威脅是否已經成功登陸到其終端並造成相應問題了。而為了解決這個問題,Cyphort允許企業使用者在其網路上執行的系統設定“黃金配置(golden
profile)”。這些配置檔案作為虛擬機器而存在,並
最好應包含所有的程式、軟體和補充保護,如防病毒,執行在終端上。當檢測到一個安全威脅時,企業使用者可以對該安全威脅申請“黃金映像”,以檢視該安全威脅是否有可能在目標機器上成功著陸,或者,讓防病毒應該對其攔截。這可以讓企業使用者在沒有代理的情況下也能夠近乎100%的瞭解到一個安全威脅已經到達一個終端。

如果安全威脅開始嘗試通過網路進行橫向傳輸移動,或發出命令和控制功能的呼叫,其將被Cyphort的collector所發現。然而,稱職的企業安全管理人員也想確認是否有任何潛在的安全威脅已經以靜默方式紮根了。而要完全確定這一點,單單是部署安全威脅的黃金映像是不太夠。為了消除這些最後的不確定性,Cyphort公司的防禦平臺可以生成一個簡單的程式來檢查主機系統上是否存在特定的惡意軟體。執行該程式,便可以確定終端上是否有惡意軟體。

現在,還沒有辦法將該驗證程式推到終端。其並不是設定用於處理代理的,這本質上是一個迷你型的代理,尋找具體威脅的有關證據。所以,可能要使用 sneaker net,儘管確認程式十分微小,但其足以使用電子檔案傳輸程式甚至是電子郵件移除具體安全威脅。  

Cyphort創造了一個非常易於使用的介面,濃縮了諸如調查威脅殺傷鏈的複雜程式,並將其分解成簡單,截斷和動態的圖形。其也不會在每次一個威脅嘗試執行破壞時,都過多的警告安全團隊,而是根據需要簡單地更新的核心報告的狀態。

所有這些工具均有一個先決條件的預先假定,即安全威脅實際上已經達到某個終端或在一個受保護的網路已經得到一個立足據點。然而,Cyphort公司的高階威脅防禦平臺3.3版本在一開始的首要位置使用多種技術阻止這些安全威脅方面也做得很好。首先,其使用了沙箱,但不是在傳統意義上對沙盤程式的程式行為進行一組規則設定,畢竟,那樣的話,攻擊者最終可以學習並嘗試解決。

相反,Cyphort的沙箱使用機器學習來監視惡意程式的蛛絲馬跡,多為外部功能的呼叫或橫向流量傳輸運動的嘗試。該Cyphort主控制檯不斷地從公司獲得威脅情報流,並如同其在沙箱進行的檢查一樣,也在本地程式一直在尋找新的資料和惡意

軟體的模式。因此,其所作的工作基本上仍然是基於規則的沙盒,但並沒有遵循一套特定的規則,而是動態生成,並學習不斷更多。該平臺還使用已知的惡意軟體的簽名。儘管基於簽名的保護很容易被各種先進和持久的攻擊者所攻破,但其仍然可以捕捉到大部分的安全威脅,可以很容易地消除那些較低階別的威脅,進而降低了企業安全團隊每天所需要處理的警報的數量。在沙盒、機器學習、簽名和威脅源之間,Cyphort公司的這款平臺可以提供相當強大的防禦能力。

其定價也相當獨特,因為其並不將collector的計數包括在內。相反,其每年的訂購費是根據企業客戶所需要的對他們的網路掃描需求的總的頻寬進行收取的,包括所有的軟體,威脅情報服務和支援的成本。以這種方式,如果使用者有一個大的網路,但低流量,不會被收取過高費用。因為他們只需要根據檢查的實際流量支付費用。此外,其將允許使用者增加和擴大需求,如果他們的流量需求突然增加的情況下。每年的訂購費用55000美元起價。

該款Cyphort高階威脅防禦平臺3.3版本非常容易使用,而且可以防止安全威脅,提供對於先進的威脅良好的洞察。諸如將複雜的殺傷鏈分解成更小的,圖形化的塊可以讓更小的企業安全團隊進行安全防禦,或讓那些可能只是越來越重視保護,使用諸如安全運營中心來保護他們的網路的企業進行安全防守更加容易。也沒有必要採用終端代理,而且由於起定價是基於頻寬的,對於那些具有大量低階別的員工、而並不產生大量的網路流量的企業可以找到更多的價值。

將Cyphort公司的高階威脅防禦平臺3.3版本作為入門級的網路安全團隊的程式,以迅速奠定他們防禦當今的高階威脅的基礎,對於企業而言是很有誘惑力的。但單獨呼叫它,可能稍微有點埋沒了其強大的功能。相反,企業使用者應該可以考慮以更多的方式藉助該平臺來為企業提供網路安全,不管他們在處理他們所面臨的許多安全威脅時會遭遇如何的經歷。

本文轉自d1net(轉載)


相關文章