一起圍觀以色列安全公司Cynet的安管平臺
前言
Cynet是一家成立於2015年、研發中心位於以色列的安全初創企業。以色列的科技水平全球矚目,今天我們一起來圍觀一下他們研發的安管平臺如何,有興趣的小夥伴還可以下載文中提到的免費試用版進一步瞭解。
業務範圍
從上圖可以看出,他們提供7*24小時的專業服務;防護範圍包括主機、檔案、網路等;防護手段包括終端防護、終端檢測與響應、使用者行為分析、漏洞管理、威脅情報、欺騙(deception)、網路分析;業務範圍包括事件響應、惡意程式分析、威脅發現與取證。
1999年,被譽為“世界十大科技作家之一”的安全巨星——Bruce Schneier曾在他的一篇文章中寫道:“複雜性是安全的最大敵人。”更何況那還是19年前,現在的網路安全行業已經變得更加風雲莫測。
如今,需要人為處理的安全措施數量已經遠超出運維人員能承受的範圍。美國銀行每年撥款4億美元聘用維護各類安全產品的工程師。
99%的單位都已經認識到他們對內網的保護力度都不夠,需要採購多類安全解決按方案並僱傭“足量”的運維人員進行維護。但這樣的“認識”完全不具備可操作性。
最後,他們可能會選擇只採購一款防毒軟體,或抵禦某類攻擊的某個解決方案……
為了解決以上問題, Cynet安管平臺橫空出世。
Cynet的安管平臺實現了網路與終端方面的多種安全功能,通過自動化極大地簡化了防禦者的工作內容,為資源有限的單位提供防禦、檢測、響應和視覺化的服務,極大地簡化了內網保護工作,無需再花費高昂成本聘請高階專家。
一、部署及視覺化
Cynet提供的部署方式非常靈活:預置、IAAS(Infrastructure-as-a- Service)、SAAS(Software-as-a-Service)及混合模式。
Cynet的SaaS版本提供免費試用,且功能全面(部署、視覺化、防禦、檢測與響應)。
在已經部署了很多代理的環境中,更多的代理往往會佔用資源、降低系統性能、產生誤報、導致藍屏,甚至阻止使用者訪問合理內容。
對於那些已經安裝很多代理的單位,使用Cynet的產品無需再安裝代理。
安裝完成後,Cynet就能夠掃描終端、使用情況、檔案及網路流量等使用者單位資產,同時通過對行為、證據、指標的關聯來檢測攻擊活動。很快你就會看到一個Cynet儀表盤:
幾分鐘後,我們就能看到所有實時的主機檔案:
資產列表
Cynet立馬顯現的價值就是整個單位資產的完全視覺化,包括網路、應用、資產清單、漏洞情況等。
Cynet能夠建立一個使用者單位的網路終端拓撲圖,任何存在風險的終端都會被標紅,且可點選,便於工作人員進一步檢視分析:
網路拓撲
安裝時的另一個注意點圍繞的是漏洞管理與合規,包括4個方面:
1.作業系統更新:Cynet會檢測已安裝的Windows補丁(如缺失則發出提醒),另外也會建立一個已安裝的補丁清單。
2.未授權的應用程式:Cynet有一個可定製化的應用程式黑名單,一旦發現任何未授權應用就會發出告警。
漏洞管理:未授權應用
3.未及時更新的應用:Cynet能夠檢測到未作及時更新的應用,一旦發現也會發出相應告警。
4.安全策略驗證:Cynet能過夠檢查終端上是否存在或正在執行的已安裝代理列表——如缺少則發出警報。
此外,針對關聯功能,可通過“Forensic(取證)”介面獲取漏洞管理資料,從而建立各型別的報告等。
Cynet的Forensics頁面利用已收集的資料,為使用者提供搜尋檔案、主機、使用者和socket的服務。每個物件都是可點選的,幫助使用者更好地理解每項內容。
例如,你可以搜尋到未更換密碼的使用者、系統啟動時呼叫的檔案、終端上執行的應用程式以及通過視覺化功能發現應用程式的未授權訪問情況。
在特定時間段內未更新的主機列表
系統啟動時執行的所有檔案
所有未在特定時間段內更改密碼並在上週登入的使用者
將搜尋行為設定為以後使用時的告警觸發策略
作為平臺簡便性的特點之一,每個物件都是可點選的,點選後,所有資料都以簡單的方式呈現在單個時間軸上,包含所有相關的歷史和物件:
主機物件——包括風險評分、相關警報和所有資料
成熟的安全團隊還可以通過rest API,將Cynet收集的所有資料更好地利用起來。
二、防禦
Cynet的威脅防禦方法從希望自動攔截的威脅型別的複選框配置開始:
威脅防禦配置
對於資源有限的使用者單位,這一步操作意味著你可以自定義這款工具的自動化程度。這項功能不但簡化了繁瑣的工作,還能夠讓數量有限的工程師將有限的精力全部投入到“策略型”的威脅中。
威脅緩解的過程是自動化的,但使用者仍然能夠看到威脅警報:
自動修復的威脅警報
Cynet中的另一個關鍵防禦功能是建立關鍵元件白名單。Cynet能夠通過關鍵元件白名單加強終端防護,通過僅允許訪問已批准的檔案、程序和通訊來保護作業系統中的重要元件。
三、檢測
Cynet主張的安全方法是“融合”。也就是說,Cynet不僅將檢測、關聯和自動化結合在一起,而且與單向解決方案不同,Cynet還將端點、使用者、檔案和網路的分析融合在一起。
除了傳統的終端安全防護方式以外,Cynet的檢測功能還包括EDR、UBA、欺騙及網路分析。
第一次看到這些功能的現場演示時,多樣的警報型別絕對令人印象深刻——惡意行為、漏洞利用、勒索軟體、橫向移動、暴力破解、使用者登入異常、DNS Tunneling、特權升級、證書竊等等,這些全都歸功於Cynet多維度的檢測層。
Cynet能夠對警報進行優先順序排序,使其便於理解和操作——將所有相關物件預先關聯到警報的單個檢視中,突出顯示可操作的資訊,並通過單擊按鈕顯示其它資訊和建議。操作介面簡單易懂,技術門檻非常低:
告警頁面
除了全面檢測外,Cynet官方表示,由於採用多維度的檢測方法,誤報率非常低。
四、Cynet響應
分析功能
萬一攻擊未被攔截或需要進一步分析,Cynet會提供各種分析補救措施:
傳送給SOC ——將可疑檔案傳送給Cynet的運維人員,他們會幫助使用者完成對該檔案的分析;
傳送給分析中心 ——將檔案傳送至Cynet平臺中的分析沙盒,在隔離環境中自動執行並生成分析報告。
檔案檢測 ——檢測檔案仍在裝置中還是已被刪除。
獲取記憶體字串/記憶體轉儲 ——收集以程序形式執行的檔案記憶體字串,幫助分析人員發現在端點記憶體中執行的惡意操作。
檔案留存 ——將Cynet掃描到的所有檔案從端點裝置copy至Cynet伺服器,以防不時之需,例如使用者想用其它安全產品對檔案進行分析的情況。
響應功能
Cynet提供高階、全方位的響應服務,例如:
粉碎、刪除或隔離惡意檔案;
禁用使用者並執行命令;
關閉程序或重新啟動主機;
流量隔離或攔截。
自動響應:
對於Cynet發出的每個警報,使用者可以建立滿足自身實際需求的自動修復規則,優化事件響應過程並阻止實時威脅。
Cynet提供了一個全面的規則建立機制,允許使用者根據自身情況自定義操作,例如哪些情況應用規則,哪些情況則需要排除等。
產品情況就介紹到這裡,本文主要目的是欣賞這款產品的功能和介面,最後Cynet關於自己“7*24小時服務blablabla”的自吹自擂,譯者就不展開介紹啦。
*參考來源: ofollow,noindex" target="_blank">thehackernews ,FB小編柚子編譯,轉載請註明來自FreeBuf.COM