RSS订阅信息安全技术跟踪与研究:技术、平台、会议、论文、产业
你现在的位置:首页 / 传统安全解决方案存在的挑战以及BIT9 + CARBON BLACK解决方案

传统安全解决方案存在的挑战以及BIT9 + CARBON BLACK解决方案

02014年12月24日
转载申明:本站原创,欢迎转载。但转载时请保留原文地址。
原文地址:http://www.vonwei.com/post/bit9-carbon-black-solution.html

今天的攻击者都是有针对性的、有目的的来获取你终端机器、服务器等设备上的数据和知识产权。传统安全软件(如AntiVirus)等很多是基于签名的机制,无法预测或者阻止一些有目的的攻击,也无法帮你应对或者响应一些事变(incident)。如果仅仅只依赖这些传统的安全方法,无疑是将自己的公司或者组织置于危险的境地。你要做的是,武装你的设备,这样可以很容易看到一些威胁并立即进行阻止。

传统安全方案面临的挑战与应该的解决方案

         1挑战一:面对你的计算设备(终端和服务器等),你往往是盲目不知所措的。你并不知道你的设备正发生着什么,大部分安全团队也没有给出了解设备目前状态的方法。如果你怀疑你的环境中存在恶意软件,你如何确定恶意软件位于哪个机器,是否正在执行,做了哪些操作等。

         解决一可见性Visibility。你需要具备对每个计算设备的实时可见性,这样你可以看见:所有文件的修改、所有注册表的修改、所有文件的执行、所有网络连接、以及这些操作的关系等。可见性必须实时而且能够持续下去,因为大部分恶意软件执行破坏操作的时间很短,然后就出现了变种或者删除了自己。扫描或者快照是不够的,你需要知道当前正存在的程序和运行的代码情况。

         2挑战二:你无法提前知道哪些程序代码是不好的。AntiVirus厂商通过标识恶意软件并将签名发送给你,以便你能识别恶意程序,这是20年前的策略,无法跟上现在恶意软件的浪潮。而且,AntiVirus无法检测专门针对你的攻击,因此你不能仅仅依靠只能防止已知恶意软件的安全技术。

         解决二检测Detection。你需要看见并且记录所有事件,并结合大数据分析和一个威胁情报服务中心进行实时的没有签名的检测。并不是通过签名来检测恶意软件,你需要寻找高级威胁的指示(indicators)。

         3挑战三:应急响应太慢且昂贵。你应该经常假定你在某个点会受到攻击,到时你该怎么办?如果你怀疑一个特定的恶意哈希值位于你的环境中,确定该恶意软件运行的机器、如何传播给该机器的、该恶意软件进行了哪些操作、该恶意软件正向哪里传播等,需要花费多长时间呢?大部分公司可能花费几周甚至几个月。而且你无法承受每次认为有攻击时,都要请求昂贵的第三方服务。

         解决三响应Response。你需要发生在你所有计算设备上事件的历史记录,这样你可以很快的进行响应。对于任何攻击,可以立即看到一个特定的查杀链:它从哪里开始、它做了什么、它现在在哪、你应该怎样针对它进行处理。一旦你已经清楚地标识了这个攻击,你可以立即阻止其在所有机器上的执行,从而达到立即遏制和控制攻击的效果。

         4挑战四:传统终端安全无法阻止高级威胁。如果AntiVirus厂商无法快速的检测到今天的恶意软件,显然也就无法阻止它。传统的终端和服务器保护机制是反应式的(被动的,reactive),只能阻止之前见过的恶意软件。这种方式对于如今的恶意软件不再有效。

         解决四预防Prevention。你需要非基于签名的主动防御技术。而且由于通常存在不同的机器和用户,如服务器、域名控制、固定功能设备、高风险用户、普通用户等,这样你需要不同的预防技术,可以针对每组机器或者用户进行定制(customize)。你需要自己控制和负责自己的预防,不用等到一个AntiVirus厂商来提供。

         5挑战五:你的网络安全并没有与终端安全集成。你如何区分你收到的各种网络安全报警?你如何知道可疑的恶意软件感染了你的终端或者执行了?你如何阻止它?

         解决五整合集成Integration。你需要将你的终端安全和网络安全集成在一起,进行实时的相应和补救。即时的将网络报警与终端数据联系在一起,可以知道恶意软件在哪,做了什么,和威胁的严重性。这样可以即时的阻止其执行。

BIT9 + CARBON BLACK解决方案

         Bit9Carbon Black本身是两个独立的产品,在各自领域都处于领先地位。结合在一起,可以提供不可匹敌的端点威胁预防、检测和响应功能。

         Bit9安全平台是最全面的端点威胁保护解决方案,主要供IT和安全组来管理桌面平台、服务器和固定功能的设备。其主要特点和优势包含:进行可见性、检测、响应和预防的独立代理(安装在端点设备上);全世界采用最广泛的应用控制(或者白名单)解决方案;基于可信和策略驱动;威胁情报云中心。

         Carbon Black是工业界领先的端点威胁检测和响应解决方案,主要供SOCSecurity Operation Center,安全运营中心)和IRIncident Response,应急中心)组使用。主要特点和优势包含:秒级的检测与响应;快速部署、零管理;可定制的检测;威胁情报云中心。

         分别从最后一个特点可以看出,两个产品都可以和威胁情报云中心(Threat Intelligence Cloud)进行集成,从而最大化威胁检测、响应和预防的作用。

 

Bit9+Carbon Black解决方案的核心技术

         1实时的传感器和实施引擎(Real-time Sensor and Enforcement Engine

         轻量级的传感器不需要配置就可以在一个小时内部署到成千上万的机器上,而且不会造成任何用户影响。一旦传感器位于你的所有端点设备上,你可以获得对每个机器的即时可见性:所有的文件、可执行程序、关键系统资源和网络连接等。传感器总是处于开启状态并在实时的运行,没有扫描或者轮询来拖累你的系统资源,让Windows有时间去发现没有被检测到的恶意软件。

         实时的实施引擎可以让你部署多种不依赖签名的预防机制,你可以根据每组机器和用户进行定制,让你可以控制哪些软件可以在哪些机器上运行,并且全局范围内即时阻止恶意文件。

         2大数据分析(Big Data Analytics

         一直在运行的传感器看到的所有事件会被即时的记录在一个大数据知识库(repository)中,这样你可以即时的拥有你需要的所有信息。你的端点数据将被分析,并且自动与威胁情报云中心的情报源进行关联,这样你可以快速的识别恶意文件、检测威胁并且了解攻击的源头。

         3威胁情报云中心(Threat Intelligence Cloud

         威胁情报云中心通过三种方式为你提供情报,帮助识别威胁:

         1 Attack Attribution (攻击归属)”使用来自第三方的情报源帮助识别恶意软件的类型,以及一个攻击背后的威胁行为分组。

         2 The Threat Indicator Service(威胁指示服务)”提供对ATIsAdvanced Threat Indicators)的更新和增加,Bit9安全解决方案使用这些指示来识别高级威胁和零日攻击。这些ATIs会监控和检查系统的多个方面,包含文件、注册表、进程、网络连接、内存等来识别潜在的威胁和感染。

         3 The Software Reputation ServiceSRS(软件名誉服务)”通过计算一个可信级别(trust rating)来识别恶意或者可疑文件,可信级别的计算基于很多信息,如二进制代码的age、普遍程度(prevalence)、发布者、源头、防病毒扫描情况、以及与恶意软件哈希记录的关联情况等。

 

参考

[1] Bit9 + Carbon Black Security Solution. https://www.bit9.com/solutions/bit9-carbon-black-solution/

[2] Corporate Brochure: Endpoint threat prevention. Detection and response in seconds. https://www.bit9.com/download/data-sheets/2014-Bit9-Corporate-Brochure.pdf



  • ------------------分隔线----------------

  • 如果感兴趣,欢迎关注本站微信号,跟踪最新博文信息,手机微信扫一扫下面的二维码,即可关注!
  • 微月信公众号
  • 请填写你的在线分享代码

    评论列表:

    发表评论

    必填

    选填

    选填

    必填,不填不让过哦,嘻嘻。

    记住我,下次回复时不用重新输入个人信息

    本站介绍
    最近发表
    本年最热文章
    本月最热文章
    网站分类
    文章归档