先進的威脅防御平臺3.3版本將多個安全層結(jié)合到了一個易于部署的封裝打包中。

在過去的幾個月里，我們一直在就各種最前沿的、能夠抵御高級持續(xù)性威脅(advanced persistent threats ，APTs)的相關(guān)安全工具進行著討論;這其中包括了從安全威脅情報(Threatintelligence)到虛擬沙盒再到特權(quán)身份管理的一切。盡管所有這些程序都相當強大，但當涉及到可用性和定制化方面的問題時，這些工具都有著不同程度的復(fù)雜性。

而由一家以軟件方式解決APT問題的新興創(chuàng)業(yè)安全公司Cyphort所正式推出的其先進的威脅防御平臺3.3版本則旨在為企業(yè)客戶提供深層防護的同時，還兼具操作簡單、易于定制的特點，即使是對于那些安全防護經(jīng)驗不足的企業(yè)網(wǎng)絡(luò)安全團隊而言亦是如此。該平臺結(jié)合了多層次的安全，包括沙箱、簽名識別、安全威脅情報和機器學習?？梢蕴峁┒它c保護，而不需要在每個系統(tǒng)上都安裝代理。為此，我們專門在一款大型測試平臺網(wǎng)絡(luò)上針對這一款全新的防御平臺進行了為期大約幾個星期的測評。

這款Cyphort公司的高級威脅防御平臺的安裝可以作為一臺虛擬機或硬件設(shè)備來完成。核心設(shè)備處理管理功能，同時還具備多個被稱為collector的傳感器，這些傳感器被部署在受保護的網(wǎng)絡(luò)的各個點。傳感器負責監(jiān)控進入網(wǎng)絡(luò)的邊界點的流量，以及任何嘗試通過網(wǎng)絡(luò)傳輸?shù)牧髁?，因此這些傳感器可以同時感測來自外部的安全威脅以及已經(jīng)網(wǎng)絡(luò)周邊的先進威脅可能的側(cè)向傳輸。

這款Cyphort平臺的其中一個最大特色亮點就是其易于使用，而且其具備自定義的選項。當對該平臺進行設(shè)置時，用戶擁有在重要性方面限定其網(wǎng)絡(luò)設(shè)備到程序的選擇權(quán)。這可以通過識別各個資源和計算機或通過指定一個IP范圍，在該范圍內(nèi)按照優(yōu)先級來分配一切資源的方式來完成。之后，這一數(shù)據(jù)將被用來幫助計算的威脅警告，以方便安全專家監(jiān)控整個網(wǎng)絡(luò)。例如，企業(yè)用戶可以指定您企業(yè)的高層管理執(zhí)行人員或數(shù)據(jù)庫服務(wù)器擁有最高優(yōu)先級，同時將承包商或臨時員工使用的機器設(shè)置為正常或偏低級別。Cyphort公司并沒有忽略低優(yōu)先級的機器，而是使用了他們的一個設(shè)計作為報告任何安全威脅危險等級的一個因素。因此，如若出現(xiàn)一個低級別的安全威脅，例如基于廣告軟件的惡意軟件通常會被以黃色中級型警告在主儀表板上顯示，但是，如果是在某個CXO級別的高管的高優(yōu)先級的筆記本電腦上監(jiān)測到的，其可能會被調(diào)整到一個較高的級別。　　

主儀表板提供了隨著時間的推移對于網(wǎng)絡(luò)攻擊的所有安全威脅的一個快速但詳細的概述。這是完全動態(tài)的，使用戶可以點擊任何安全威脅，以便就如何緩解和處理該問題獲得更好的了解。

在我們的測試中，上述該平臺設(shè)計的報告功能發(fā)出過安全威脅優(yōu)先級警報，但沒有真正把它們降低等級。因此，一個可能會潛在的危及到整個網(wǎng)絡(luò)的APT從未被降級，因為其位于一個終端。其只允許用戶指定他們的基礎(chǔ)設(shè)施的真正關(guān)鍵部分，而在這些真正關(guān)鍵的部分所需要的是對于任何類型的惡意軟件的零容忍。

主儀表板非常容易使用。初略一看，我們就可以看到所有的網(wǎng)絡(luò)安全威脅按照威脅嚴重程度隨著時間的推移的排名。高優(yōu)先級安全威脅需要快速的響應(yīng)，在主圖表的頂部被標注為紅色圓圈，而低優(yōu)先級的則分別為黃色且排名更靠后。

點擊任何一個安全威脅，均會顯示出Cyphort公司所收集到的關(guān)于該安全威脅的所有信息。這可以讓企業(yè)用戶的安全團隊能夠很快判斷如何處理某個情況，并創(chuàng)建一套相應(yīng)的緩解計劃。某些安全威脅可能不需要解決，如一個基于窗口的安全威脅試圖加載到一臺Mac機器上。在這種情況下，企業(yè)用戶的安全團隊可以簡單地指出，這樣的安全威脅將無法安裝到目標機器的操作系統(tǒng)上。然后，其可以被從儀表板上移出。

當然，并不是所有的安全威脅的緩解都如此的容易。為了幫助企業(yè)用戶防御一些現(xiàn)實性的安全威脅攻擊，Cyphort展示了一個濃縮版本的殺傷鏈，以防止APTs到達企業(yè)用戶實際的資產(chǎn)，并造成危害。例如，在早期階段，惡意代碼可能已被下載，但尚未激活。在這種情況下，刪除違規(guī)的程序就可能會阻止相應(yīng)的安全威脅。

摘要：在過去的幾個月里，我們一直在就各種最前沿的、能夠抵御高級持續(xù)性威脅(advanced persistent threats ，APTs)的相關(guān)安全工具進行著討論；這其中包括了從安全威脅情報(Threat intelligence)到虛擬沙盒再到特權(quán)身份管理的一切。盡管所有這些程序都相當強大，但當涉及到可用性和定制化方面的問題時，這些工具都有著不同程度的復(fù)雜性。

在后期階段，橫向的流量傳輸以及惡意的外部功能調(diào)用可能已經(jīng)被檢測到。這可能需要一個更強有力的反應(yīng)，如關(guān)閉和清除受感染的系統(tǒng)。但Cyphort公司采用相當簡單但卻高效的圖形界面在實時的精確顯示安全威脅方面確實發(fā)揮得很出色。此外，通過將殺傷鏈分解成一個簡化版本，并通過與一個感染相關(guān)的所有事件進行捆綁，其消除了多個警報，使得每次都是移除一個單獨的威脅。

當一家企業(yè)用戶可能想擁有終端保護，同時又不想在其每個系統(tǒng)上都安裝代理時，其缺點便是借助像Cyphort公司的這樣一款平臺，他們永遠不會真正知道一個安全威脅是否已經(jīng)成功登陸到其終端并造成相應(yīng)問題了。而為了解決這個問題，Cyphort允許企業(yè)用戶在其網(wǎng)絡(luò)上運行的系統(tǒng)設(shè)置“黃金配置(golden profile)”。這些配置文件作為虛擬機而存在，并 最好應(yīng)包含所有的程序、軟件和補充保護，如防病毒，運行在終端上。當檢測到一個安全威脅時，企業(yè)用戶可以對該安全威脅申請“黃金映像”，以查看該安全威脅是否有可能在目標機器上成功著陸，或者，讓防病毒應(yīng)該對其攔截。這可以讓企業(yè)用戶在沒有代理的情況下也能夠近乎100%的了解到一個安全威脅已經(jīng)到達一個終端。

如果安全威脅開始嘗試通過網(wǎng)絡(luò)進行橫向傳輸移動，或發(fā)出命令和控制功能的調(diào)用，其將被Cyphort的collector所發(fā)現(xiàn)。然而，稱職的企業(yè)安全管理人員也想確認是否有任何潛在的安全威脅已經(jīng)以靜默方式扎根了。而要完全確定這一點，單單是部署安全威脅的黃金映像是不太夠。為了消除這些最后的不確定性，Cyphort公司的防御平臺可以生成一個簡單的程序來檢查主機系統(tǒng)上是否存在特定的惡意軟件。運行該程序，便可以確定終端上是否有惡意軟件。

現(xiàn)在，還沒有辦法將該驗證程序推到終端。其并不是設(shè)置用于處理代理的，這本質(zhì)上是一個迷你型的代理，尋找具體威脅的有關(guān)證據(jù)。所以，可能要使用 sneaker net，盡管確認程序十分微小，但其足以使用電子文件傳輸程序甚至是電子郵件移除具體安全威脅。　　

Cyphort創(chuàng)造了一個非常易于使用的界面，濃縮了諸如調(diào)查威脅殺傷鏈的復(fù)雜程序，并將其分解成簡單，截斷和動態(tài)的圖形。其也不會在每次一個威脅嘗試執(zhí)行破壞時，都過多的警告安全團隊，而是根據(jù)需要簡單地更新的核心報告的狀態(tài)。

所有這些工具均有一個先決條件的預(yù)先假定，即安全威脅實際上已經(jīng)達到某個終端或在一個受保護的網(wǎng)絡(luò)已經(jīng)得到一個立足據(jù)點。然而，Cyphort公司的高級威脅防御平臺3.3版本在一開始的首要位置使用多種技術(shù)阻止這些安全威脅方面也做得很好。首先，其使用了沙箱，但不是在傳統(tǒng)意義上對沙盤程序的程序行為進行一組規(guī)則設(shè)定，畢竟，那樣的話，攻擊者最終可以學習并嘗試解決。 相反，Cyphort的沙箱使用機器學習來監(jiān)視惡意程序的蛛絲馬跡，多為外部功能的調(diào)用或橫向流量傳輸運動的嘗試。該Cyphort主控制臺不斷地從公司獲得威脅情報流，并如同其在沙箱進行的檢查一樣，也在本地程序一直在尋找新的數(shù)據(jù)和惡意 軟件的模式。因此，其所作的工作基本上仍然是基于規(guī)則的沙盒，但并沒有遵循一套特定的規(guī)則，而是動態(tài)生成，并學習不斷更多。該平臺還使用已知的惡意軟件的簽名。盡管基于簽名的保護很容易被各種先進和持久的攻擊者所攻破，但其仍然可以捕捉到大部分的安全威脅，可以很容易地消除那些較低級別的威脅，進而降低了企業(yè)安全團隊每天所需要處理的警報的數(shù)量。在沙盒、機器學習、簽名和威脅源之間，Cyphort公司的這款平臺可以提供相當強大的防御能力。

其定價也相當獨特，因為其并不將collector的計數(shù)包括在內(nèi)。相反，其每年的訂購費是根據(jù)企業(yè)客戶所需要的對他們的網(wǎng)絡(luò)掃描需求的總的帶寬進行收取的，包括所有的軟件，威脅情報服務(wù)和支持的成本。以這種方式，如果用戶有一個大的網(wǎng)絡(luò)，但低流量，不會被收取過高費用。因為他們只需要根據(jù)檢查的實際流量支付費用。此外，其將允許用戶增加和擴大需求，如果他們的流量需求突然增加的情況下。每年的訂購費用55000美元起價。

該款Cyphort高級威脅防御平臺3.3版本非常容易使用，而且可以防止安全威脅，提供對于先進的威脅良好的洞察。諸如將復(fù)雜的殺傷鏈分解成更小的，圖形化的塊可以讓更小的企業(yè)安全團隊進行安全防御，或讓那些可能只是越來越重視保護，使用諸如安全運營中心來保護他們的網(wǎng)絡(luò)的企業(yè)進行安全防守更加容易。也沒有必要采用終端代理，而且由于起定價是基于帶寬的，對于那些具有大量低級別的員工、而并不產(chǎn)生大量的網(wǎng)絡(luò)流量的企業(yè)可以找到更多的價值。

將Cyphort公司的高級威脅防御平臺3.3版本作為入門級的網(wǎng)絡(luò)安全團隊的程序，以迅速奠定他們防御當今的高級威脅的基礎(chǔ)，對于企業(yè)而言是很有誘惑力的。但單獨調(diào)用它，可能稍微有點埋沒了其強大的功能。相反，企業(yè)用戶應(yīng)該可以考慮以更多的方式借助該平臺來為企業(yè)提供網(wǎng)絡(luò)安全，不管他們在處理他們所面臨的許多安全威脅時會遭遇如何的經(jīng)歷。

本文作者約翰·布里登是一位擁有超過20年的業(yè)界相關(guān)經(jīng)驗、并屢獲殊榮的評論家和演說家。目前，他是Tech Writers Bureau的CEO，該公司擁有一批有影響力的記者和作家寫手，這些撰稿者均供職于政府機構(gòu)和其他各行各業(yè)。各位讀者可以通過jbreeden@techwritersbureau.com聯(lián)系到他。