一起围观以色列安全公司Cynet的安管平台 – 作者:柚子

前言

Cynet是一家成立于2015年、研发中心位于以色列的安全初创企业。以色列的科技水平全球瞩目,今天我们一起来围观一下他们研发的安管平台如何,有兴趣的小伙伴还可以下载文中提到的免费试用版进一步了解。

业务范围

业务范围

从上图可以看出,他们提供7*24小时的专业服务;防护范围包括主机、文件、网络等;防护手段包括终端防护、终端检测与响应、用户行为分析、漏洞管理、威胁情报、欺骗(deception)、网络分析;业务范围包括事件响应、恶意程序分析、威胁发现与取证。

1999年,被誉为“世界十大科技作家之一”的安全巨星——Bruce Schneier曾在他的一篇文章中写道:“复杂性是安全的最大敌人。”更何况那还是19年前,现在的网络安全行业已经变得更加风云莫测。

如今,需要人为处理的安全措施数量已经远超出运维人员能承受的范围。美国银行每年拨款4亿美元聘用维护各类安全产品的工程师。

99%的单位都已经认识到他们对内网的保护力度都不够,需要采购多类安全解决按方案并雇佣“足量”的运维人员进行维护。但这样的“认识”完全不具备可操作性。

最后,他们可能会选择只采购一款杀毒软件,或抵御某类攻击的某个解决方案……

为了解决以上问题, Cynet安管平台横空出世。

Cynet的安管平台实现了网络与终端方面的多种安全功能,通过自动化极大地简化了防御者的工作内容,为资源有限的单位提供防御、检测、响应和可视化的服务,极大地简化了内网保护工作,无需再花费高昂成本聘请高级专家。

一、部署及可视化

Cynet提供的部署方式非常灵活:预置、IAAS(Infrastructure-as-a- Service)、SAAS(Software-as-a-Service)及混合模式。

Cynet的SaaS版本提供免费试用,且功能全面(部署、可视化、防御、检测与响应)。

在已经部署了很多代理的环境中,更多的代理往往会占用资源、降低系统性能、产生误报、导致蓝屏,甚至阻止用户访问合理内容。

对于那些已经安装很多代理的单位,使用Cynet的产品无需再安装代理。

安装完成后,Cynet就能够扫描终端、使用情况、文件及网络流量等用户单位资产,同时通过对行为、证据、指标的关联来检测攻击活动。很快你就会看到一个Cynet仪表盘:

部署及可视化

几分钟后,我们就能看到所有实时的主机文件:

部署及可视化

资产列表

Cynet立马显现的价值就是整个单位资产的完全可视化,包括网络、应用、资产清单、漏洞情况等。

Cynet能够创建一个用户单位的网络终端拓扑图,任何存在风险的终端都会被标红,且可点击,便于工作人员进一步查看分析:

网络拓扑

网络拓扑

安装时的另一个注意点围绕的是漏洞管理与合规,包括4个方面:

1.操作系统更新:Cynet会检测已安装的Windows补丁(如缺失则发出提醒),另外也会创建一个已安装的补丁清单。

2.未授权的应用程序:Cynet有一个可定制化的应用程序黑名单,一旦发现任何未授权应用就会发出告警。

漏洞管理:未授权应用

漏洞管理:未授权应用

3.未及时更新的应用:Cynet能够检测到未作及时更新的应用,一旦发现也会发出相应告警。

4.安全策略验证:Cynet能过够检查终端上是否存在或正在运行的已安装代理列表——如缺少则发出警报。

此外,针对关联功能,可通过“Forensic(取证)”界面获取漏洞管理数据,从而创建各类型的报告等。

Cynet的Forensics页面利用已收集的数据,为用户提供搜索文件、主机、用户和socket的服务。每个对象都是可点击的,帮助用户更好地理解每项内容。

例如,你可以搜索到未更换密码的用户、系统启动时调用的文件、终端上运行的应用程序以及通过可视化功能发现应用程序的未授权访问情况。

在特定时间段内未更新的主机列表

在特定时间段内未更新的主机列表

系统启动时运行的所有文件

系统启动时运行的所有文件

所有未在特定时间段内更改密码并在上周登录的用户

所有未在特定时间段内更改密码并在上周登录的用户

将搜索行为设置为以后使用时的告警触发策略

将搜索行为设置为以后使用时的告警触发策略

作为平台简便性的特点之一,每个对象都是可点击的,点击后,所有数据都以简单的方式呈现在单个时间轴上,包含所有相关的历史和对象:

主机对象——包括风险评分、相关警报和所有数据

主机对象——包括风险评分、相关警报和所有数据

成熟的安全团队还可以通过rest API,将Cynet收集的所有数据更好地利用起来。

二、防御

Cynet的威胁防御方法从希望自动拦截的威胁类型的复选框配置开始:

威胁防御配置

威胁防御配置

对于资源有限的用户单位,这一步操作意味着你可以自定义这款工具的自动化程度。这项功能不但简化了繁琐的工作,还能够让数量有限的工程师将有限的精力全部投入到“策略型”的威胁中。

威胁缓解的过程是自动化的,但用户仍然能够看到威胁警报:

自动修复的威胁警报

自动修复的威胁警报

Cynet中的另一个关键防御功能是创建关键组件白名单。Cynet能够通过关键组件白名单加强终端防护,通过仅允许访问已批准的文件、进程和通信来保护操作系统中的重要组件。

三、检测

Cynet主张的安全方法是“融合”。也就是说,Cynet不仅将检测、关联和自动化结合在一起,而且与单向解决方案不同,Cynet还将端点、用户、文件和网络的分析融合在一起。

除了传统的终端安全防护方式以外,Cynet的检测功能还包括EDR、UBA、欺骗及网络分析。

第一次看到这些功能的现场演示时,多样的警报类型绝对令人印象深刻——恶意行为、漏洞利用、勒索软件、横向移动、暴力破解、用户登录异常、DNS Tunneling、特权升级、证书窃等等,这些全都归功于Cynet多维度的检测层。

Cynet能够对警报进行优先级排序,使其便于理解和操作——将所有相关对象预先关联到警报的单个视图中,突出显示可操作的信息,并通过单击按钮显示其它信息和建议。操作界面简单易懂,技术门槛非常低:

告警页面

告警页面

除了全面检测外,Cynet官方表示,由于采用多维度的检测方法,误报率非常低。

四、Cynet响应

分析功能

分析功能

万一攻击未被拦截或需要进一步分析,Cynet会提供各种分析补救措施:

发送给SOC——将可疑文件发送给Cynet的运维人员,他们会帮助用户完成对该文件的分析;

发送给分析中心——将文件发送至Cynet平台中的分析沙盒,在隔离环境中自动执行并生成分析报告。

文件检测——检测文件仍在设备中还是已被删除。

获取内存字符串/内存转储——收集以进程形式运行的文件内存字符串,帮助分析人员发现在端点内存中执行的恶意操作。

文件留存——将Cynet扫描到的所有文件从端点设备copy至Cynet服务器,以防不时之需,例如用户想用其它安全产品对文件进行分析的情况。

响应功能

响应功能

Cynet提供高级、全方位的响应服务,例如:

粉碎、删除或隔离恶意文件;

禁用用户并运行命令;

关闭进程或重新启动主机;

流量隔离或拦截。

自动响应:

对于Cynet发出的每个警报,用户可以创建满足自身实际需求的自动修复规则,优化事件响应过程并阻止实时威胁。

阻止实时威胁

Cynet提供了一个全面的规则创建机制,允许用户根据自身情况自定义操作,例如哪些情况应用规则,哪些情况则需要排除等。

产品情况就介绍到这里,本文主要目的是欣赏这款产品的功能和界面,最后Cynet关于自己“7*24小时服务blablabla”的自吹自擂,译者就不展开介绍啦。

*参考来源:thehackernews,FB小编柚子编译,转载请注明来自FreeBuf.COM

来源:freebuf.com 2018-11-27 15:00:03 by: 柚子

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论