| 摘要:在过去的几个月里,我们一直在就各种最前沿的、能够抵御高级持续性威胁(advanced persistent threats ,APTs)的相关安全工具进行着讨论;这其中包括了从安全威胁情报(Threat intelligence)到虚拟沙盒再到特权身份管理的一切。尽管所有这些程序都相当强大,但当涉及到可用性和定制化方面的问题时,这些工具都有着不同程度的复杂性。 |
先进的威胁防御平台3.3版本将多个安全层结合到了一个易于部署的封装打包中。
在过去的几个月里,我们一直在就各种最前沿的、能够抵御高级持续性威胁(advanced persistent threats ,APTs)的相关安全工具进行着讨论;这其中包括了从安全威胁情报(Threatintelligence)到虚拟沙盒再到特权身份管理的一切。尽管所有这些程序都相当强大,但当涉及到可用性和定制化方面的问题时,这些工具都有着不同程度的复杂性。
而由一家以软件方式解决APT问题的新兴创业安全公司Cyphort所正式推出的其先进的威胁防御平台3.3版本则旨在为企业客户提供深层防护的同时,还兼具操作简单、易于定制的特点,即使是对于那些安全防护经验不足的企业网络安全团队而言亦是如此。该平台结合了多层次的安全,包括沙箱、签名识别、安全威胁情报和机器学习。可以提供端点保护,而不需要在每个系统上都安装代理。为此,我们专门在一款大型测试平台网络上针对这一款全新的防御平台进行了为期大约几个星期的测评。
这款Cyphort公司的高级威胁防御平台的安装可以作为一台虚拟机或硬件设备来完成。核心设备处理管理功能,同时还具备多个被称为collector的传感器,这些传感器被部署在受保护的网络的各个点。传感器负责监控进入网络的边界点的流量,以及任何尝试通过网络传输的流量,因此这些传感器可以同时感测来自外部的安全威胁以及已经网络周边的先进威胁可能的侧向传输。
这款Cyphort平台的其中一个最大特色亮点就是其易于使用,而且其具备自定义的选项。当对该平台进行设置时,用户拥有在重要性方面限定其网络设备到程序的选择权。这可以通过识别各个资源和计算机或通过指定一个IP范围,在该范围内按照优先级来分配一切资源的方式来完成。之后,这一数据将被用来帮助计算的威胁警告,以方便安全专家监控整个网络。例如,企业用户可以指定您企业的高层管理执行人员或数据库服务器拥有最高优先级,同时将承包商或临时员工使用的机器设置为正常或偏低级别。Cyphort公司并没有忽略低优先级的机器,而是使用了他们的一个设计作为报告任何安全威胁危险等级的一个因素。因此,如若出现一个低级别的安全威胁,例如基于广告软件的恶意软件通常会被以黄色中级型警告在主仪表板上显示,但是,如果是在某个CXO级别的高管的高优先级的笔记本电脑上监测到的,其可能会被调整到一个较高的级别。
在我们的测试中,上述该平台设计的报告功能发出过安全威胁优先级警报,但没有真正把它们降低等级。因此,一个可能会潜在的危及到整个网络的APT从未被降级,因为其位于一个终端。其只允许用户指定他们的基础设施的真正关键部分,而在这些真正关键的部分所需要的是对于任何类型的恶意软件的零容忍。
主仪表板非常容易使用。初略一看,我们就可以看到所有的网络安全威胁按照威胁严重程度随着时间的推移的排名。高优先级安全威胁需要快速的响应,在主图表的顶部被标注为红色圆圈,而低优先级的则分别为黄色且排名更靠后。
点击任何一个安全威胁,均会显示出Cyphort公司所收集到的关于该安全威胁的所有信息。这可以让企业用户的安全团队能够很快判断如何处理某个情况,并创建一套相应的缓解计划。某些安全威胁可能不需要解决,如一个基于窗口的安全威胁试图加载到一台Mac机器上。在这种情况下,企业用户的安全团队可以简单地指出,这样的安全威胁将无法安装到目标机器的操作系统上。然后,其可以被从仪表板上移出。
当然,并不是所有的安全威胁的缓解都如此的容易。为了帮助企业用户防御一些现实性的安全威胁攻击,Cyphort展示了一个浓缩版本的杀伤链,以防止APTs到达企业用户实际的资产,并造成危害。例如,在早期阶段,恶意代码可能已被下载,但尚未激活。在这种情况下,删除违规的程序就可能会阻止相应的安全威胁。
评论表单加载中...
