Bit9安全平台简介

Bit9安全平台提供实时可见性、检测、响应和主动防御来阻止高级持续性威胁（APT，Advanced Persistent Threats）。使用三种不同形式的应用程序控制方法，Bit9可以为服务器、桌面PC机、笔记本电脑、POS机、固定功能的设备、以及基于云的部署系统等提供保护，防止已知的和未知的威胁。目前，财富一百强公司的25个、很多政府机构、全世界成千上万的组织信任Bit9安全平台，并使用其提供的安全解决方案来保护它们的终端设备、服务器等免受日益增长的高级威胁。 

Bit9支持的平台包含Windows、Mac、Linux（如RHEL和CentOS），主要优势如下：

         1、对高级威胁、恶意软件和零日攻击进行预防、检查和快速的响应

         2、阻止恶意、非法或者非授权的软件运行

         3、对你的系统环境中的所有文件、应用和可执行程序获得实时的可见性

         4、使用文件完整性监控来检测对系统关键文件的改变，包含配置和日志文件

         5、消除与便携式存储设备相关的风险

         6、与领先的网络、SIEM和分析安全平台进行集成（如上图通过Open API连接的左右两边，都是其它的安全平台产品）

Bit9安全平台的应用范围，使用案例：

         1、服务器和数据中心

         2、PoS（Point of Sale）销售终端

         3、高风险和有针对性的用户

         4、ATM机和银行业

         5、ICS/SCADA工业控制系统、数据采集与监控系统

         6、卫生保健系统、医疗系统等

         ......

ATP（Advanced Threat Protection）保护的新方法

         Bit9安全平台的核心是使用一个独有的策略驱动方法进行应用控制，组合一个实时可见性和文件发现代理，拥有IT驱动控制（即由来自Bit9威胁情报云中心的信任等级进行辅助），帮助任何公司或者组织大大简化和自动化一个安全白名单平台的设置和管理。Bit9安全平台带来了一个可定制的应用程序控制解决方法，拥有最高水平的ATP防护，和最小的终端用户影响和管理员开销。

       即时可见性：为了标识和阻止新的高级威胁，对所有连接设备的状态和活动拥有实时的可见性是非常重要的。一旦安装，Bit9代理为管理员提供关于运行在您环境中的所有文件和可执行程序的实时可见性。和Bit9威胁情报云中心一起工作，Bit9代理可以提供关于每个文件的信任等级（trust ratings），这样用户可以很容易的标识、设置可信策略、并且对那些最有可能是恶意软件的程序采取行动。

       可定制且积极的预防：作为NIST支持的一个产品，Bit9安全平台被构想、设计和构建，以便使用需要的工具来武装终端设备，防止高级威胁，阻止零日攻击。一个关键点是需要理解，一个标准并不能适合所有平台，每个组织需要拥有开发一个可定制安全策略的能力。依此，Bit9安全平台是唯一一个配备三个不同形式ATP防护的解决方案，为管理员提供灵活性，使得其保证每个终端在防护和终端用户访问功能之间保持平衡。

      三种不同形式的ATP防护如下：

       1. “Default-Deny”默认拒绝的防护。

     只允许信任的软件运行，其它全部视为可疑。为了减小对终端用户的影响，Bit9开发了三个不同模式的”Default-Deny“防护：

       （1）Low enforcement （低强制、检测不可信），记录所有的设备活动，但是默认允许所有程序不受干扰的运行，不过明确的由IT禁止的除外，IT可以设置警报来通知可疑的活动； 

       （2）Medium enforcement （中强制、提示不可信），任何非授权的应用在运行之前，必须得到终端用户的批准，这种用户驱动的批准仅限于终端用户的机器，IT会记录所有活动和日志；

       （3）High enforcement （高强制、阻止不可信，也称为应用控制或者白名单），只允许IT已经批准的软件运行，所有其它软件的运行都必须得到明确的批准，IT会记录所有活动和日志。“Default-Deny”是工业级防止恶意软件、高级攻击和零日威胁的最好保护方法，对于服务器、POS和固定功能的设备、以及包含敏感信息的PC设备等推荐使用high-enforcement高强制模式。

       2. “Detonate-and-Deny”引爆拒绝的防护。

     这种形式的主动防御使得Bit9自动地将终端的文件发送到检测点、FireEye或者Palo Alto Networks，来引爆这些文件或者评估这些文件的可疑行为，必要时还要得到Bit9的管理批准。使用案例包括：在执行之前，将USB或者其它可移动媒介的所有文件发送出去进行测试；对于离线的设备，一旦重新连接上网络自动发送所有新的可执行程序。这可以保证即便操作在公司外网执行时（如在外开会或者使用共用网络时），你的设备是被保护的，威胁可以被标识出来。

       3.“Detect-and-Deny"检测拒绝的防护。

    第三种形式的防护使用高级威胁指示（advanced threat indicators）来识别危害情形，使得一个安全管理员可以识别恶意文件，并根据需要禁止那些几乎对终端用户没有任何影响的文件。即便恶意程序已经在设备上执行了，这种形式的防护是正确的，因为管理员可以对被感染的设备进行追溯保护。

参考

[1] Data sheet: Bit9 Security Platform v7. https://www.bit9.com/solutions/security-platform/

推荐您阅读更多有关于“ 安全软件  白名单   ”的文章

猜你喜欢

• 警惕Windows驱动开发的雷区2015-5-28 16:28:56
• 命名管道：实现Win7服务与桌面程序的消息交互2015-5-26 18:56:48
• 忘记Mysql密码解决方法（经过测试成功）2015-5-22 11:57:16
• 保护进程不被杀掉的各种方法2015-5-21 20:54:10
• 安全工具推荐：打造最强个人安全工具箱2015-2-5 16:11:40
• GnuPG高级加密软件：介绍和源码编译2015-1-30 21:46:18
• 白名单系统实现：U盘隐藏病毒攻击与防范2015-1-30 21:25:40
• 云存储安全：五种加密云文件的方法2015-1-29 21:8:50
• EncFS加密文件系统：简介、源码编译、与使用2015-1-29 16:19:36
• 2014十大移动安全产品2015-1-20 19:47:6