评测:Mantix4的“威胁追捕即服务”

作者:星期三, 一月 24, 20180
分享:

鉴于高级威胁的潜伏性和复杂性,无论部署多少网络安全防御措施,任何规模的公司企业最终几乎都逃不脱被黑的命运。于是,某种程度上还算新兴概念的威胁追捕,就成为了网络安全防御中愈趋重要的一部分。

但即便与IT员工和网络安全人员短缺的情况相比,真正的威胁猎手也是相当稀缺的。威胁猎手具备审查网络中诸多因素的能力,从流量和DNS记录到SIEM报告,几乎没有东西能逃过他们的眼睛。最好的猎手通过审查数据可以感知到不正常的东西,然后就能一路追踪,揭露逃过其他分析师和安全程序眼睛的网络威胁。

过去的很多威胁追捕程序都只是辅助威胁猎手的工具而已。这就造成公司企业必须要先招募威胁猎手才能应用这些工具。否则就好像让从未摸过枪的人拿着新步枪去森林里打野味一样,等他们弄回晚餐食材是不用想了。

Mantix4平台——该名称源于昆虫世界食物链顶端的合掌螳螂:Mantis,就是为了人的问题而生的。该平台在为客户提供健壮的威胁追捕工具的同时,还运用专家团队替客户追捕威胁,将威胁追捕作为软件即服务推出。

Mantix4最初是为加拿大政府的公共安全部门设计的,该部门类似于美国的国土安全部。在加拿大,Mantix4守护着涉及关键基础设施的10个产业的网络完全,将可能绕过传统防护的威胁拔除在外。

该系统部署时分为2个部分:

第一部分由安置在受保护网络关键节点的观察传感器组成。要么在路由器旁边,要么在网关处——虽然也可以根据需要部署在网络中任意位置。这些传感器足够轻便,可以安置在重要机器内部,或者加点带宽放在网络服务器内。不过,由于观察传感器处理并记录大量流量,最佳部署方案或许是单独设置一个小设备(由该公司提供)专门履行观察任务。传感器可以内联工作,也可以被动嗅探网络流量。

第二部分是分析服务器,也就是该系统的大脑,观察服务器上报的对象。该分析服务器托管在Mantix4运营的安全数据中心,以便可以保持经常性更新,获取最新功能和补丁,并确保有足够的能力处理传感器发来的所有数据。大多数情况下,Mantix4在1天之内就能部署完毕上线运行。政府机构或特别谨慎的公司也可以选择自行托管该分析服务器,但需给Mantix4访问权限,以便利用其SaaS威胁追捕的优势,并确保服务器能获得最新的程序更新和补丁。

大多数Mantix4部署只需要1到2个观察传感器。Mantix4官方宣称其最大型的部署安置了约20个传感器,是为某分散各地的组织部署的。Mantix4按月收取订阅费用,定价基于公司员工数量,再加上每个传感器的象征性费用。

对Mantix4的测试既有作为用户使用威胁追捕工具的部分,又有以服务形式利用该公司20人威胁追捕团队发现威胁的部分。Mantix4的每个部署都为用户提供了这两种选择。用户可以从网站门户随时访问威胁数据,每个客户每天都能拥有1小时的威胁追捕服务时间。部分客户还可以选择获取更多的威胁追捕时间。

Mantix4的主界面可视化效果非常好。在最顶层,用户可获得其网络所有入站和出站流量的实时视图。该视图以世界地图和地球仪的形式呈现,看到出入站流量信息的同时亦可看清这些流量的地理位置信息。这看起来有些像《星球大战》里的爆能枪乱射场面,只不过射出的是网络数据包。用户继续深入,就会看到不那么炫目,但同样有很高互动性的重要数据。

Mantix4极大地方便了威胁猎手感知可疑威胁活动。在任意数据类型上右键单击,可获得新的过滤选项。用户可以不断修正过滤条件,直到找出可疑事项。测试过程中,测试人员很快便锁定了本地客户与中国未知服务器的双向通信。该通信利用了似乎没有任何程序使用的高端口(400号以上)。尽管此互动相当短暂,不足以触发其他安全程序报警,但仍然可疑。

利用图形化界面,安全人员可以审查可疑行为的方方面面,甚至可以捕获初看起来并不相关的事件。测试人员首先调查了涉事用户,但并未发现该用户还有其他可疑行为;然后又搜索了与该中国未知服务器通信的其他网络客户端,结果为零;最后查找了该高端口上的通信,这次发现了其他可疑事件:该端口上还有其他突发的通信流量。这些流量通往其他的未知服务器,但所有这些未知服务器都位于中国。

该信息触发了更深入的调查,最终发现网络防御中存在漏洞,并进一步查清了该漏洞是怎么被利用的。与其他网络攻击类似,该端口上发生的可疑通信是更大型的网络攻击行动的预置阶段,或者说是在为未来的攻击准备渗漏点。

在这些信息的帮助下,用户可以补上该漏洞,并采取措施预防同一批黑客发起的类似攻击或预攻击。如果是Matrix4的内部团队先发现了该漏洞利用,客户将会收到该团队的一份报告。报告会十分详细地阐述清楚隐藏攻击是怎么发生的,并指出攻击的潜在目标,提供修复该问题的一些建议。

作为SaaS的一部分,Mantix4的员工会指导客户阅读威胁报告,说明该平台是怎么发现特定事件的。随时间进程,这一指导工作将帮助客户IT团队学会利用这些软件工具自行进行威胁追捕,并将该SaaS威胁追捕当作可靠的专家后援。

无论是用做主要威胁追捕方法,还是当作本地猎手的后援,将关键威胁追捕作为服务提供正是Mantix4区别于其他威胁追捕工具的特色。Mantix4可以是本地威胁猎手的得力工具,也是将该重要安全功能托付给专业猎手的极佳平台。Mantix4的专业威胁猎手们更懂如何捕获最危险、隐藏最深的威胁——那些可能已经潜伏在客户网络中很久的威胁。

相关阅读

关于内部人员威胁追捕 你需要知道这些

威胁追捕有3种技术风格 假设驱动威胁值得关注

迈克菲:人机协作才是有效威胁追捕的关键

 

关键词:
分享:

相关文章

写一条评论

 

 

0条评论