• 关于我们 联系我们
当前位置:安全行业动态 → 正文

评测:Mantix4的“威胁追捕即服务”

责任编辑:editor005 作者:nana |来源:企业网D1Net  2018-01-24 14:17:23 本文摘自:安全牛

鉴于高级威胁的潜伏性和复杂性,无论部署多少网络安全防御措施,任何规模的公司企业最终几乎都逃不脱被黑的命运。于是,某种程度上还算新兴概念的威胁追捕,就成为了网络安全防御中愈趋重要的一部分。

但即便与IT员工和网络安全人员短缺的情况相比,真正的威胁猎手也是相当稀缺的。威胁猎手具备审查网络中诸多因素的能力,从流量和DNS记录到SIEM报告,几乎没有东西能逃过他们的眼睛。最好的猎手通过审查数据可以感知到不正常的东西,然后就能一路追踪,揭露逃过其他分析师和安全程序眼睛的网络威胁。

过去的很多威胁追捕程序都只是辅助威胁猎手的工具而已。这就造成公司企业必须要先招募威胁猎手才能应用这些工具。否则就好像让从未摸过枪的人拿着新步枪去森林里打野味一样,等他们弄回晚餐食材是不用想了。

Mantix4平台——该名称源于昆虫世界食物链顶端的合掌螳螂:Mantis,就是为了人的问题而生的。该平台在为客户提供健壮的威胁追捕工具的同时,还运用专家团队替客户追捕威胁,将威胁追捕作为软件即服务推出。

Mantix4最初是为加拿大政府的公共安全部门设计的,该部门类似于美国的国土安全部。在加拿大,Mantix4守护着涉及关键基础设施的10个产业的网络完全,将可能绕过传统防护的威胁拔除在外。

  该系统部署时分为2个部分:

第一部分由安置在受保护网络关键节点的观察传感器组成。要么在路由器旁边,要么在网关处——虽然也可以根据需要部署在网络中任意位置。这些传感器足够轻便,可以安置在重要机器内部,或者加点带宽放在网络服务器内。不过,由于观察传感器处理并记录大量流量,最佳部署方案或许是单独设置一个小设备(由该公司提供)专门履行观察任务。传感器可以内联工作,也可以被动嗅探网络流量。

第二部分是分析服务器,也就是该系统的大脑,观察服务器上报的对象。该分析服务器托管在Mantix4运营的安全数据中心,以便可以保持经常性更新,获取最新功能和补丁,并确保有足够的能力处理传感器发来的所有数据。大多数情况下,Mantix4在1天之内就能部署完毕上线运行。政府机构或特别谨慎的公司也可以选择自行托管该分析服务器,但需给Mantix4访问权限,以便利用其SaaS威胁追捕的优势,并确保服务器能获得最新的程序更新和补丁。

大多数Mantix4部署只需要1到2个观察传感器。Mantix4官方宣称其最大型的部署安置了约20个传感器,是为某分散各地的组织部署的。Mantix4按月收取订阅费用,定价基于公司员工数量,再加上每个传感器的象征性费用。

对Mantix4的测试既有作为用户使用威胁追捕工具的部分,又有以服务形式利用该公司20人威胁追捕团队发现威胁的部分。Mantix4的每个部署都为用户提供了这两种选择。用户可以从网站门户随时访问威胁数据,每个客户每天都能拥有1小时的威胁追捕服务时间。部分客户还可以选择获取更多的威胁追捕时间。

Mantix4的主界面可视化效果非常好。在最顶层,用户可获得其网络所有入站和出站流量的实时视图。该视图以世界地图和地球仪的形式呈现,看到出入站流量信息的同时亦可看清这些流量的地理位置信息。这看起来有些像《星球大战》里的爆能枪乱射场面,只不过射出的是网络数据包。用户继续深入,就会看到不那么炫目,但同样有很高互动性的重要数据。

Mantix4极大地方便了威胁猎手感知可疑威胁活动。在任意数据类型上右键单击,可获得新的过滤选项。用户可以不断修正过滤条件,直到找出可疑事项。测试过程中,测试人员很快便锁定了本地客户与中国未知服务器的双向通信。该通信利用了似乎没有任何程序使用的高端口(400号以上)。尽管此互动相当短暂,不足以触发其他安全程序报警,但仍然可疑。

利用图形化界面,安全人员可以审查可疑行为的方方面面,甚至可以捕获初看起来并不相关的事件。测试人员首先调查了涉事用户,但并未发现该用户还有其他可疑行为;然后又搜索了与该中国未知服务器通信的其他网络客户端,结果为零;最后查找了该高端口上的通信,这次发现了其他可疑事件:该端口上还有其他突发的通信流量。这些流量通往其他的未知服务器,但所有这些未知服务器都位于中国。

该信息触发了更深入的调查,最终发现网络防御中存在漏洞,并进一步查清了该漏洞是怎么被利用的。与其他网络攻击类似,该端口上发生的可疑通信是更大型的网络攻击行动的预置阶段,或者说是在为未来的攻击准备渗漏点。

在这些信息的帮助下,用户可以补上该漏洞,并采取措施预防同一批黑客发起的类似攻击或预攻击。如果是Matrix4的内部团队先发现了该漏洞利用,客户将会收到该团队的一份报告。报告会十分详细地阐述清楚隐藏攻击是怎么发生的,并指出攻击的潜在目标,提供修复该问题的一些建议。

作为SaaS的一部分,Mantix4的员工会指导客户阅读威胁报告,说明该平台是怎么发现特定事件的。随时间进程,这一指导工作将帮助客户IT团队学会利用这些软件工具自行进行威胁追捕,并将该SaaS威胁追捕当作可靠的专家后援。

无论是用做主要威胁追捕方法,还是当作本地猎手的后援,将关键威胁追捕作为服务提供正是Mantix4区别于其他威胁追捕工具的特色。Mantix4可以是本地威胁猎手的得力工具,也是将该重要安全功能托付给专业猎手的极佳平台。Mantix4的专业威胁猎手们更懂如何捕获最危险、隐藏最深的威胁——那些可能已经潜伏在客户网络中很久的威胁。

关键字:追捕MantisSIEM评测单击

本文摘自:安全牛

x 评测:Mantix4的“威胁追捕即服务” 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

评测:Mantix4的“威胁追捕即服务”

责任编辑:editor005 作者:nana |来源:企业网D1Net  2018-01-24 14:17:23 本文摘自:安全牛

鉴于高级威胁的潜伏性和复杂性,无论部署多少网络安全防御措施,任何规模的公司企业最终几乎都逃不脱被黑的命运。于是,某种程度上还算新兴概念的威胁追捕,就成为了网络安全防御中愈趋重要的一部分。

但即便与IT员工和网络安全人员短缺的情况相比,真正的威胁猎手也是相当稀缺的。威胁猎手具备审查网络中诸多因素的能力,从流量和DNS记录到SIEM报告,几乎没有东西能逃过他们的眼睛。最好的猎手通过审查数据可以感知到不正常的东西,然后就能一路追踪,揭露逃过其他分析师和安全程序眼睛的网络威胁。

过去的很多威胁追捕程序都只是辅助威胁猎手的工具而已。这就造成公司企业必须要先招募威胁猎手才能应用这些工具。否则就好像让从未摸过枪的人拿着新步枪去森林里打野味一样,等他们弄回晚餐食材是不用想了。

Mantix4平台——该名称源于昆虫世界食物链顶端的合掌螳螂:Mantis,就是为了人的问题而生的。该平台在为客户提供健壮的威胁追捕工具的同时,还运用专家团队替客户追捕威胁,将威胁追捕作为软件即服务推出。

Mantix4最初是为加拿大政府的公共安全部门设计的,该部门类似于美国的国土安全部。在加拿大,Mantix4守护着涉及关键基础设施的10个产业的网络完全,将可能绕过传统防护的威胁拔除在外。

  该系统部署时分为2个部分:

第一部分由安置在受保护网络关键节点的观察传感器组成。要么在路由器旁边,要么在网关处——虽然也可以根据需要部署在网络中任意位置。这些传感器足够轻便,可以安置在重要机器内部,或者加点带宽放在网络服务器内。不过,由于观察传感器处理并记录大量流量,最佳部署方案或许是单独设置一个小设备(由该公司提供)专门履行观察任务。传感器可以内联工作,也可以被动嗅探网络流量。

第二部分是分析服务器,也就是该系统的大脑,观察服务器上报的对象。该分析服务器托管在Mantix4运营的安全数据中心,以便可以保持经常性更新,获取最新功能和补丁,并确保有足够的能力处理传感器发来的所有数据。大多数情况下,Mantix4在1天之内就能部署完毕上线运行。政府机构或特别谨慎的公司也可以选择自行托管该分析服务器,但需给Mantix4访问权限,以便利用其SaaS威胁追捕的优势,并确保服务器能获得最新的程序更新和补丁。

大多数Mantix4部署只需要1到2个观察传感器。Mantix4官方宣称其最大型的部署安置了约20个传感器,是为某分散各地的组织部署的。Mantix4按月收取订阅费用,定价基于公司员工数量,再加上每个传感器的象征性费用。

对Mantix4的测试既有作为用户使用威胁追捕工具的部分,又有以服务形式利用该公司20人威胁追捕团队发现威胁的部分。Mantix4的每个部署都为用户提供了这两种选择。用户可以从网站门户随时访问威胁数据,每个客户每天都能拥有1小时的威胁追捕服务时间。部分客户还可以选择获取更多的威胁追捕时间。

Mantix4的主界面可视化效果非常好。在最顶层,用户可获得其网络所有入站和出站流量的实时视图。该视图以世界地图和地球仪的形式呈现,看到出入站流量信息的同时亦可看清这些流量的地理位置信息。这看起来有些像《星球大战》里的爆能枪乱射场面,只不过射出的是网络数据包。用户继续深入,就会看到不那么炫目,但同样有很高互动性的重要数据。

Mantix4极大地方便了威胁猎手感知可疑威胁活动。在任意数据类型上右键单击,可获得新的过滤选项。用户可以不断修正过滤条件,直到找出可疑事项。测试过程中,测试人员很快便锁定了本地客户与中国未知服务器的双向通信。该通信利用了似乎没有任何程序使用的高端口(400号以上)。尽管此互动相当短暂,不足以触发其他安全程序报警,但仍然可疑。

利用图形化界面,安全人员可以审查可疑行为的方方面面,甚至可以捕获初看起来并不相关的事件。测试人员首先调查了涉事用户,但并未发现该用户还有其他可疑行为;然后又搜索了与该中国未知服务器通信的其他网络客户端,结果为零;最后查找了该高端口上的通信,这次发现了其他可疑事件:该端口上还有其他突发的通信流量。这些流量通往其他的未知服务器,但所有这些未知服务器都位于中国。

该信息触发了更深入的调查,最终发现网络防御中存在漏洞,并进一步查清了该漏洞是怎么被利用的。与其他网络攻击类似,该端口上发生的可疑通信是更大型的网络攻击行动的预置阶段,或者说是在为未来的攻击准备渗漏点。

在这些信息的帮助下,用户可以补上该漏洞,并采取措施预防同一批黑客发起的类似攻击或预攻击。如果是Matrix4的内部团队先发现了该漏洞利用,客户将会收到该团队的一份报告。报告会十分详细地阐述清楚隐藏攻击是怎么发生的,并指出攻击的潜在目标,提供修复该问题的一些建议。

作为SaaS的一部分,Mantix4的员工会指导客户阅读威胁报告,说明该平台是怎么发现特定事件的。随时间进程,这一指导工作将帮助客户IT团队学会利用这些软件工具自行进行威胁追捕,并将该SaaS威胁追捕当作可靠的专家后援。

无论是用做主要威胁追捕方法,还是当作本地猎手的后援,将关键威胁追捕作为服务提供正是Mantix4区别于其他威胁追捕工具的特色。Mantix4可以是本地威胁猎手的得力工具,也是将该重要安全功能托付给专业猎手的极佳平台。Mantix4的专业威胁猎手们更懂如何捕获最危险、隐藏最深的威胁——那些可能已经潜伏在客户网络中很久的威胁。

关键字:追捕MantisSIEM评测单击

本文摘自:安全牛

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^