Cynet:全方位一體化安全防護工具
1999年,布魯斯·施奈爾曾說過:“複雜性是安全最大的敵人。”彼時還是19年前,而現在,網路安全已然變得更加繁雜。
近日我在網上衝浪過程中發現了這麼一個平臺性質的軟體,看似具有相當強的防護能力。
根據Cynet的描述,該平臺具備多種安全功能,將網路和端點匯聚在了一起,統一管理,同時將防禦者的工作儘可能的自動化、簡單化。Cynet旨在通過該平臺彙集當前主流的技術和功能,實現預防、檢測和響應等多種需求,並且使其簡單直觀,能夠讓不具備專業知識的人也順暢使用。
部署方式
Cynet使用了多種部署方式,包括內部部署,IAAS(基礎設施即服務),SAAS(軟體即服務)以及混合模式。
當前存在很多安全代理程式會佔據大量的資源,降低系統性能併產生誤報、藍屏的情況,而Cynet會根據使用者的需求進行合理的選擇,以避免類似的情況發生。
該平臺會在安裝後對映整個使用者網路資源架構,並且能夠對目前的資產、資源進行掃描,包括網路內的端點、使用者、檔案和網路流量。Cynet會將這些內容整體關聯起來用於攻擊檢測。
主介面:
掃描後,很快就能看到所有處在同一網路中的主機:
該程式能夠對組織架構的全部內容進行梳理,包括網路、應用程式、資產管理以及存在漏洞。
Cynet通過將不同端點與網路相連線,建立組織網路的對映,在網路中的存在任何風險都會對端點做出標記並著重顯示:
在該程式安裝時會對漏洞管理和系統合規性提供一些建議,主要包括以下四個方面:
1.作業系統更新:Cynet會對已安裝的系統補丁做出檢查,並在系統需要下載、安裝補丁時發出提示,同時會對已安裝的補丁進行歸納,方便使用者操作管理。
2.未經授權的應用程式:Cynet具備可自定義的應用程式列表黑名單,如果發現任何未經授權的應用,則會立即發出警報。
3.舊版的應用程式:Cynet會對系統內是否安裝了老版、舊版的應用程式進行檢測並列出清單,同時發出升級提醒。
4.安全策略驗證:Cynet會對網路內各端點進行檢查,檢視其是否安裝或運行了其他安全代理。
此外,該平臺還可通過“Forensic”獲取漏洞管理資料,能夠即時查詢相應的內容。並且使用者可通過其搜尋檔案、主機、使用者等多種物件。例如程式呼叫過的檔案,各端點上執行的應用程式以及使用網路可見性查詢對應用的未授權訪問等。
作為平臺簡單化的一部分,列表中的每個物件都是可以點選的,並且所有的資料都會以簡單明確的形式呈現在時間軸上,包含所有相關歷史和物件:
Cynet可完整的記錄收集到的所有資料。
防護機制
Cynet的防禦機制包括設定自動阻止威脅:
對於資源相對匱乏的人來說,則可以通過自動化來完成管理。同時,該平臺還能夠設定重點關注物件,以合理的選擇更具威脅的防護,並且建立自己的修復規則。
即使該過程是自動化的,Cynet仍然可以向用戶展示自動防護、修復的內容:
Cynet中同樣具備白名單功能,用以增強端點的保護。能夠僅允許通過批准的檔案、程序和通訊來保護作業系統的重要元件。
特點
關於Cynet平臺的新穎之處,據其自身的表述,關鍵點在於“融合”,也就是說,Cynet不僅是將檢測、關聯和自動化結合在一起,而且還能將網路中的每個端點、使用者、檔案單獨分析並做出相應的安全解決方案。
除了傳統的安全效能之外,Cynet的檢測功能還包括EDR(終端檢測與響應),UBA(使用者行為分析),欺詐和網路分析。這些功能能夠對各類威脅都做出相應的警報:惡意行為、勒索軟體、橫向提權、暴力破解、使用者登陸異常、憑證盜竊等等,多個檢測層的存在確保了系統的安全。
同時Cynet還能夠對警報或威脅進行優先順序排序,使其易於理解和操作:將所有相關物件都關聯至警報介面的檢視中,著重顯示可操作的資訊以及建議。此功能使該軟體有了相對較低的使用門檻:
由於多層檢測機制的存在,因此假警報出現的概率非常低。
響應機制
Cynet具備一系列健全的響應和修復功能。
分析:
若系統遭到了入侵,在攻擊未被組織或需要進一步分析時,Cynet可提供各種分析補救措施。具體過程:
傳送至SOC:將可疑內容傳送至Cynet的安全運營團隊,該團隊將為使用者對檔案進行分析。
傳送至分析模組:將可疑檔案傳送到沙盒內,將其在隔離環境中執行並生成相應報告。
驗證:確認可疑檔案是否還存在於系統內。
獲取記憶體字串/記憶體轉儲:收集作為程序執行的檔案的記憶體字串,以便分析識別記憶體中存在的惡意操作。
移動檔案:將被掃描的檔案從網路內移動到Cynet伺服器,該選項為可選,類似於改進計劃。
響應:
作為安全防禦機制,Cynet同樣會為主機、使用者、檔案以及網路提供先進而全面的防護機制:
查殺、刪除或隔離惡意檔案;
關閉使用者並執行相應命令;
關閉程序或重啟主機;
隔離或阻斷網路流量;
自動化機制:
Cynet具備全面的規則建立機制, 對於主機所受到的每一次安全威脅,使用者都可以建立和自定義相應的自動修復規則。
同時,該平臺還具備全天候的響應機制,針對網路安全威脅,具有取證、分析、搜尋的多種服務。能夠為使用者提供全方位的防護。
*參考來源: ofollow,noindex">thehackernews ,Karunesh91編譯,轉載請註明來自FreeBuf.COM