端点安全杂谈(二十二)产品试用有感

2024-06-21 329 0

写在前面

没什么可写的了,水平低微,所以开始吐糟。试用时间为2022年,所以内容也是22年的现在什么样我也不知道

简介

中国主机自适应安全开创者、云原生安全领军企业。致力于成为一家富有社会责任感、为用户持续创造价值的世界级安全公司。

产品

基于ATT&CK框架,帮助用户解决安全数据汇集、数据挖掘、事件回溯、安全能力整合等各类问题。该产品提供了上百类ATT&CK攻击场景,用户可直接对数据进行深度挖掘,此外还可以利用青藤自研QSL语言追踪异常活动,及时发现潜在威胁。对于拥有成熟安全运营中心的组织来说,威胁狩猎是一项必不可少的技能。

核心功能

能够在公有云、私有云、混合云、物理机、虚拟机等各种业务环境下实现安全的统一策略管理和快速的入侵响应能力。

Adaptive Security Architecture(ASA)是Gartner提出的面向未来十年的企业安全架构,能够在复杂和变化的环境下有效抵御高级攻击,是整个安全行业的发展方向。其创新之处在于:一方面将安全视角转移到防火墙之后的业务系统内部,强调基于业务、自内而外地构建安全体系,另一方面将安全从传统的安全事件防护变成一项持续安全响应和处理过程,从多个维度持续地保护了企业安全。

产品体系有四大部分组成:

  • 资产清点

资产清点,致力于帮助用户从安全角度自动化构建细粒度资产信息,支持对业务层资产精准识别和动态感知,让保护对象清晰可见。使用Agent-Server 架构,提供10 余类主机关键资产清点,200 余类业务应用自动识别,并拥有良好的扩展能力。

  • 风险发现

风险发现致力于帮助用户精准发现内部风险,帮助安全团队快速定位问题并有效解决安全风险,并提供详细的资产信息、风险信息以供分析和响应。

  • 入侵检测

入侵检测提供多锚点的检测能力,能够实时、准确地感知入侵事件,发现失陷主机,并提供对入侵事件的响应手段。

  • 合规基线

合规基线构建了由国内信息安全等级保护要求和CIS(Center for Internet Security)组成的基准要求,涵盖多个版本的主流操作系统、Web应用、数据库等。结合这些基线内容,一方面,用户可快速进行企业内部风险自测,发现问题并及时修复,以满足监管部门要求的安全条件;另一方面,企业可自行定义基线标准,作为企业内部管理的安全基准。

功能分析

整体框架

优势

目前产品演进主要以三个安全框架为主:零信任、ATT&CK、自适应安全架构ASA。《自适应安全架构的历史和演进》,《ATT&CK框架实践指南》等都体现了对安全架构、框架的看重。

目前的产品框架在业内是比较敏捷高效的,在诸多用户实际环境中反馈相较其他同类产品问题反馈较少。

劣势

无法拓展“自主”领域,改动变更和适配问题外缺少抓手,可能会在后5年左右展现问题(不知道现在有没有)。

部署&兼容性

一直关注的是服务端产品适配,在终端PC和其他智能设备等明显投入不够,产品研发重点是在云、虚拟化、容器安全上,传统终端并不是主要市场方向。

优势

多种linux发行版适配,产品兼容性能够覆盖目前国内用户99%的服务器、虚拟机、云主机操作系统。在最新的版本中支持3个Unix操作系统版本,目前获取资讯中EDR\CWPP产品仅有其Unix适配。

多样化探针安装方式能够简化产品部署过程缩短部署时间,命令行方式能够以邮件、通知等方式让管理员分发用户和方便无人值守部署。

Linux下非root权限运行,此功能具体目的不明,但可以适用于用户无root权限的场景中部署产品。

探针异常离线的检测和状态分类较为细致。

劣势

不支持windows XP、windows 2003和其他32位系统。

探针部署安装时有些组件限制条件,直连主机通过"命令安装"时,需使用PowerShell组件;代理连接的主机确保能连通管理服务器的sock5代理服务;系统安装Curl程序,且版本不低于7.10;(Curl为下载器);openssl版本不低于0.9.8。

部署环境中NAT、DNAT场景考虑欠妥,由于该产品面向的部署环境原因,没有考虑管理中心和探针分别在NAT后的应用场景,配置界面没有很好体现(遇到具体环境时可能有其他手动方式,但测试过程中未见)。

探针缺少自我保护机制,能够轻易干扰探针工作。

呈现&操作

优势

产品采用了国内比较通用的管理页面布局,上导航、左导航方式,整体上以蓝、灰、黑、白的配色,比较清爽。

劣势

以Linux、Windows系统为大分类各功能明确区分操作系统类别,这会大幅降低产品配置使用的操作性和安全事件呈现及后续溯源、处置工作的便捷性。

产品主要功能上Linux同Windows并不能一一对应,有明显的产品功能缺失的感觉,操作界面中有明显的名词描述不统一的情况,实际操作中需要重复确认以免配置错误。分类导致左导航列表过长,重复名称让操作需要更多确认。

整体产品目录结构中没有明确的产品使用逻辑,资产清点-风险发现-入侵检测-安全响应——能够体现,但微蜜罐此功能应该同病毒查杀一起列入入侵检测或安全防护中使相应的告警信息能够与其他信息一同显示画出入侵链路,协助关联性分析,合规性基线此功能模块同风险发现部分内容有交集,并且部分用户的需求会扩大基线检查范围涉及风险发现中的相关功能,完全独立二级目录很突兀。

没有集中的策略配置界面,所有的安全策略配置都分散在各个功能模块中,虽然此方式能灵活部署功能,但功能累计会使产品操作过于繁琐,配置修改和服用相对会过于复杂。

资产清点

优势

资产识别内容在国内同类厂商中属于识别种类较多、较全面,内容也较为准确。

在界面操作和数据查看时能够在不同界面中跳转,概览和分级视图能让不同习惯的管理员有更多选择。

劣势

未提供整体资产清单的表格类操作界面,不同分类相对独立存在,无法整体操作缺少实时感,此方式相对能够减少系统开销和操作,但部分用户会有较为复杂的资产管理需求(导入、导出,统一操作等)。

未识别资产检测系统中有简单配置页面但并未在资产界面中显示。资产清单同主机管理、主机发现功能脱离只是单一的展示,会使管理员阅读更多重复信息和重复操作。

主机资产清点对主机详细信息的显示,Linux系统主机采用的是打开新标签页显示,而Windows主机详情则是采用的窗口弹窗显示,两种操作系统的风格不一致。而且Linux系统使用新标签页打开会造成在使用管理平台是浏览器会打开很多标签页,查看主机详情后需要再逐个关闭,如果要查看多个Linux主机详情时,使用体验较差。通过资产清点、风险总览、入侵总览的查找主机的“查看”按钮弹窗出的主机详情信息界面,无法执行返回操作。

风险发现

优势

独立的风险总览界面,没有什么具体的应用但是便于查看分析,风险检测中既包括安全补丁还有漏洞检测。可以针对单个主机或者主机组创建漏洞检测任务,在具有大量主机的情况下,方面对风险较高的主机进行快速风险检测。

劣势

漏洞检测、安全补丁,检测内容丰富但管理员实际操作时不是很便捷,漏洞修复和检测无法在一个周期内完成,列出的问题很多能解决的有限。对Windows系统的检测中,没有设置漏洞检测、账号风险、系统风险等关键性检测,如果添加对系统安全配置信息的检查、账号安全策略配置的检测,则在Windows系统更有风险防范竞争力。

风险发现中无论是安全补丁还是漏洞检测都给出了相应的修复建议,但是没有从管理平台上无法对主机进行安全加固,也没有提供安装的补丁安装包,如果可以在平台上可以实现对安全补丁和漏洞修复的功能推送,可增加平台竞争力。

弱密码的检测在Linux系统上只检测支持的应用,不会检查系统用户的密码是否为弱密码,在系统用户安全上有功能缺失。

漏洞检测项总计437项项,检测方式和类别有限。

弱密码目前只支持以下应用口令检查。Weblogic、MySQL、Jenkins、PPTP、Tomcat VNC、OpenLDAP、SSH、InfluxDB、OpenVPN、ProFTPD、rsync、SVN、Redis、 vsftpd

应用风险只检测应用的安全配置目前支持:JDWP、Jboss、Tomcat、CVS、ElasticSearch、VNC、SVN、redis、apache、apache2、mysql、ssh、ntp、rsync、nginx、mongoDB、Squid、openVPN、Bind、vsftp、NFS、NTP、Memcache、ssh

入侵检测

优势

对主机在遭受入侵攻击时,设定了自动响应机制,当主机被暴力破解、异常登陆、黑客渗透等攻击时,可以自动触发网络封停、文件隔离、进程阻断等一系列操作,而不是在发现攻击时只是给管理员发出告警通知,这在主机信息泄露上具有一定的防护作用。同时对于各种入侵类型可以设置白名单规则,方便在系统内进行相应的安全操作。

劣势

分类内容不够全面,图形化程度太低。安全事件呈现过于平淡,事件起因、影响、范围都没有体现。

缺少溯源追踪能力,响应手段方式简单。

安全响应

优势

对主机上发生的安全事件具有自动处理的能力,在一定程度上可防范主机被入侵。

劣势

响应手段、途径简单,作为二级菜单功能项没有实质配置、操作。

网络封停的只是从封停攻击源,未提供封停主机网络的方式,当主机遭受到密集的网络攻击时或者DDos攻击时,封停攻击源并不是最优选择,封停主机的网络链接是最好的。

文件隔离只是显示出哪个文件被隔离了,并未提示隔离的文件触发了什么样的操作,因为什么原因被隔离,管理员无法对隔离文件进行追踪溯源。进程阻断相似。

微蜜罐

优势

诱捕方式能够检测APT攻击,早期的渗透攻击。轻量级的蜜罐沙箱很低的系统消耗能够检测未知入侵行为性价比很高。类似功能有开源的捕蝇草产品。

劣势

没有针对蜜罐设定安全防护措施,对端口或者文件进行监听,主机存在一定被攻破的风险,给网络环境带来一定程度的风险。

病毒查杀

优势

多个杀毒引擎可选配置。

劣势

此产品功能并不满足网络版杀毒软件的测评要求,是简化的防病毒功能模块,并不能替代杀软。在功能进行测试时发现,病毒查杀并不是对主机系统上所有文件进行查杀,而是对主机系统上正在运行的进程程序进行查杀,不会对系统中存在的文件进行检查,由此病毒查杀功能有限。

合规基线

优势

将合规基线功能作为独立二级目录功能菜单,在内容编排和操作、呈现上是较为领先国内其他厂商产品的。

劣势

自该功能推出以来并未对其进行进一步的开发,功能项和基线检查内容都未进行过更新。平台中目前存在基线规则少,没有应用基线,且针对Windows系统没有基线规则,判断合规基线功能不完善。

系统设置

优势

Agent安装界面中包含探针安装记录清单,此功能非常有效的让管理员了解探针安装情况,虽然目前功能简单也并未与其他信息关联,但十分有效。在大批量安装部署过程中和探针异常情况下能够有原始记录进行比对。

劣势

系统设置中混杂主机管理功能,资产和系统在一类目录下存在比较突兀。Linux、Windows分别配置的设计使界面操作十分繁琐。

主机发现

优势

通过一台已安装的主机对局域网内的联网主机进行扫描,发现未安装Agent客户端程序的主机,便于在批量部署的情况下,查看哪些主机未安装成功或统计网络内哪些主机未被纳入管理。该功能制作较为完善,辅助功能较为齐备。

劣势

配置操作较为困难不看说明书很难一次性有效实施,且发起扫描的主机必须要已安装Agent的Linux操作系统。

报表系统

优势

对被纳入管理的所有主机系统进行安全信息进行统计整体,提供了Word和Html两个格式的巡检报表,也可创建下载主机合规基线的报表内容,通过报表内容对整个系统中所有被管理的主机进行风险统计风险,让管理员对整个网络中存在的风险项及风险发生趋势有一定的掌握,在功能设计上具有一定的优势。

劣势

导出报告内容太过简单,导出格式也不够丰富,内容也差强人意,报表中设置的部门章节没有内容。

文件完整性

 优势

多数同类产品对此功能理解很不相同,处理方式和功能覆盖较为全面。可自定义文件完整性检查时间,自定义要检查的文件或目录,对特定文件或目录可单独设置要监控的变更内容,对于不用的文件或目录可同时设置检查内容,且检查内容和检查时间可不相同。具有快速模式和全局模式两种不同的检查模式。对于检查到的文件变化,可将新文件属性更新为基准。

劣势

实时性较差,最小检查间隔为1小时,检测有效性待考察。

权限管理

优势

在账号权限方面形成了分权分域的方式,使管理员能够分配特定负责人管理不同分组主机并分配不同权限。管理员可将管理平台的功能拆分给不同的人员进行管理,实现权限细致划分,在大规模场景下管理方便。

劣势

三员不清晰,还有超级管理员,新建角色没有默认继承的角色。

服务工具

优势

对agent监控有很明确的功能项和配置,可以有效的管理离线的agent,可设置自动删除主机,释放License。

劣势

不明显,没有操作手册很难找到配置项,只包含一个agent管理项,此项内容应与agent安装放置在一起,便于管理员操作,单独列出引起不具备删除agent的功能。

探针的运行报告可读性较差,只是收集的程序的运行日志,需要专业人员进行解读,用户无法自行判断问题。

系统审计

优势

无。

劣势

系统日志、安全日志和探针日志分布在不同的菜单目录操作繁琐难找。记录的是用户所有在管理页面的操作记录信息,包含了太多的查看条目,查看操作不具有审计意义。审计内容无法进行配置。


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

办事处网络安全监控与事件响应;国外员工终端安全性怎么保障 | FB甲方群话题讨论
拿不下总统之位,那就用热加载拿下验证码识别与爆破好了!
Sooty:一款SoC分析一体化与自动化CLI工具
shiro CVE-2016-6802 路径绕过(越权)
Apache Solr 身份验证绕过漏洞(CVE-2024-45216)详解
llama_index的CVE-2024-4181漏洞根因分析

发布评论