Cynet Review：使用真正的安全平台简化安全性

1999年，布鲁斯·施奈尔写道：“复杂性是安全的最大敌人。”那是19年前！从那时起，网络安全只会变得更加复杂。

如今，控制系统的数量大大超过了支持它们的工作人员。美国银行有4亿美元的网络预算，用于雇佣安全人员和实施一系列广泛的产品。

但如果你的预算和复杂程度只是美国银行的一小部分呢？

剩下的99%的组织知道，他们的内部网络没有足够的保护，但他们也意识到，为了获得足够的安全，他们需要购买多个解决方案，并雇佣一个大型团队来维护它；这不是一个选项。

因此，他们要么只使用AV，要么购买点式解决方案，以保护内部环境的特定部分免受特定类型的攻击–；后来才发现这并不能满足他们真正的需求。

Cynet想改变这一切。

塞内特正试图通过一个整合了多种安全功能的平台来改变行业的面貌；网络和端点，同时自动化和简化防守队员的工作。

这就是为什么他们从头到尾构建了一个威胁不可知的平台，将所有技术和能力融合在一起，以满足资源受限组织的可见性、预防、检测和响应需求。这意味着这些组织可以保护其内部网络，Cynet使其变得简单直观，因此不再需要高水平的专业知识。

如果你没有财富500强公司的资源，该公司拥有一支庞大的安全团队和一堆已经到位的安全解决方案；Cynet是一个值得研究的东西。

Cynet构建的平台简单、易于部署和使用；在网络、端点、文件和用户中提供广泛的可视性；抵御范围非常广泛的攻击，包括普通攻击和复杂的多层攻击；并提供一个全天候可用的安全专家团队，以补充您现有的任何专业知识。

入门：部署和可见性

Cynet包括非常灵活的部署方法：内部部署、IAAS、SAAS和混合模式。

我们使用Cynet的SaaS版本对其进行了评估，并在广泛的功能范围内进行了免费试用；部署、可见性、预防、检测和响应。

Cynet安装迅速—；几分钟后。我们在几百个端点上进行了试验。安装的速度和简易性都是惊人的。

在已经部署了许多代理的环境中，额外的代理通常会占用大量资源，降低系统性能并给出误报，造成蓝屏，并阻止人们访问出于业务目的而合法需要的东西。

对一些人来说，代理人需要一定程度的质量保证，以确保没有任何东西被破坏。对于不太复杂的环境，代理就可以了。你如何处理频谱？

Cynet开发了一种独特的“可溶解的exe”方法，用于与无代理的组织合作，以帮助那些拥有太多代理的组织。

它为客户提供了一个基于什么适合他们的基础设施的选择，即在所有情况下，速度快、易于部署且不会产生性能问题。

一旦安装，Cynet就开始映射整个IT DNA架构。Cynet扫描公司资产，包括端点、用户、文件和网络流量。Cynet以其广阔的视角关联和连接行为、证据、指标和异常，以检测攻击。很快，你就会看到Cynet所发现的一切的仪表盘：

图1:Cynet仪表板

几分钟内，我们就可以看到所有直播主机：

图2：资产清单

Cynet提供的直接价值是全面了解组织，包括网络、应用程序、库存、资产管理和漏洞。

Cynet通过将端点连接到网络来创建组织网络的映射。任何有风险的端点都用红色标记，可点击查看：

图3：网络地图

安装后提供的其他见解主要围绕漏洞管理和法规遵从性，涉及4个主要领域：

1.操作系统更新：Cynet检查已安装的Windows修补程序，并提示是否缺少修补程序。此外，Cynet还创建了已安装补丁的清单。

2.未经授权的应用程序：Cynet提供了可定制的黑名单应用程序列表。如果发现任何未经授权的应用程序，Cynet将发出警报。

图4：漏洞管理：未经授权的应用程序

3.过时的应用程序：Cynet检查是否安装了过时的应用程序版本列表，如果安装了–；如果发现任何东西，就会发出警报。

4.安全策略验证：Cynet检查端点上是否存在已安装代理的列表，并且当前正在运行–；如果有什么东西丢失了就提醒。

此外，对于关联功能，可通过“取证”屏幕获取漏洞管理数据，以创建任何类型的报告、查询等。

使用收集到的数据，Cynet的取证屏幕立即允许用户在文件、主机、用户和套接字之间进行搜索。每个对象都可以点击，以便轻松了解其历史。

例如，您可以搜索常见的安全问题，如未替换密码的用户、启动时调用的文件、在端点上运行的应用程序，以及使用网络可见性查找对应用程序的未经授权访问。

图5：在特定时间段内未更新的主机列表。

图6：系统启动时运行的所有文件

图7：在特定时间段内未更改密码并在上周登录的所有用户

图8：将搜索另存为策略以触发警报或供将来使用

作为平台简单性的一部分，每个对象都是可点击的，一旦点击，所有数据都以简单的方式显示在一个时间轴上，以及所有相关的历史和对象：

图9：主机对象–；包括风险评分、相关警报和所有相关数据

成熟的安全团队还可以利用Cynet通过完整的rest API收集的所有数据。

预防

Cynet的预防方法从您希望自动预防的威胁类型的复选框配置开始：

图10：配置预防

对于资源紧张的组织来说，这意味着你可以实现尽可能多的自动化；或者一点点；随你的便。此外，该功能允许您简化繁重的工作，但专注于您独特面临的更具战略性的威胁。这意味着您可以选择并创建自己的自动修复规则。

即使该过程是自动化的，Cynet也为您提供了显示自动修复内容的选项：

图11：自动修复的威胁警报

Cynet的另一个关键预防功能是关键组件白名单。Cynet通过关键组件白名单增强了端点保护。Cynet只允许访问经批准的文件、流程和通信，从而保护操作系统的重要组件。它通过创建一个白名单来实现这一点，这样系统就知道应该允许什么进入，以及应该拒绝什么进入。

侦查

Cynet的安全策略是关于融合。也就是说，Cynet不仅集检测、关联和自动化于一体；但与点解决方案不同；Cynet还为用户、文件和网络跨端点聚合其分析。

除了传统的端点安全，Cynet的检测功能还包括EDR、UBA、欺骗和网络分析。

第一次看到这些功能的现场演示时，看到可以生成的各种类型的警报令人印象深刻；例如恶意行为、攻击、勒索软件、横向移动、暴力、用户登录异常、DNS隧道、权限提升、凭证盗窃等，这些都是Cynet包含的多个检测层的结果。

Cynet对警报进行优先级排序，使其易于理解和执行—；通过将所有相关对象预先关联到警报的一个视图中，突出显示可操作的信息，并通过单击按钮显示其他信息和建议。一切都被包装在一个简单、不言自明的界面中，任何人只要具备最低水平的专业知识即可使用：

图12：警报

除了全面的检测，Cynet声称由于采用了多层次的方法，其误报率非常低。

Cynet响应

Cynet提供了一系列令人印象深刻的响应和修复功能。

分析能力：

图13：分析能力

对于无法阻止或需要进一步分析的攻击，Cynet提供了各种分析补救措施，以便向最终用户提供更多详细信息：

• 发送至SOC；将可疑文件发送给Cynet的运营团队，他们将为最终用户对文件进行分类。
• 发送至分析；将文件发送到Cynet平台的沙箱中，它将在隔离环境中动态运行，并生成报告。
• 验证文件；这是为了验证该文件是否仍存在于端点上或已被删除。
• 获取内存字符串/内存转储–；收集作为进程运行的文件的内存字符串，以便分析人员识别在端点内存中执行的恶意操作。
• 拉文件；将Cynet扫描的任何文件从端点拉到Cynet服务器。这是在最终用户希望使用其他安全产品分析文件的情况下，或者在他希望将文件发送给专家的情况下（例如）。

响应能力：

图14：反应能力

Cynet为主机、用户、文件或网络提供先进而全面的响应能力。例如：

• 杀死、删除或隔离恶意文件。
• 禁用用户并运行命令。
• 关闭进程或重新启动主机。
• 隔离或阻断交通。

自动响应：

对于Cynet创建的每个警报，用户可以创建并自定义自己的自动修复规则，以改进事件响应过程和防止实时威胁。

图15：自动响应

作为其中的一部分，Cynet提供了一个全面的规则创建机制，允许用户根据组织的需求定制操作，例如：
该规则适用于哪一群体、排除谁等。

24/7网络特警队

Cynet包括CyOps——一个全天候运营团队，无需额外费用，以补充客户所缺乏的专业知识。你得到了什么？这不是一个淡化的服务，如果你超过一定的门槛，就会产生隐藏的成本。

这是一种主动服务；如果有什么你应该关心的，你错过的威胁，或者如果你需要进行取证或寻找威胁；有人联系你。他们的服务包括：

• 法医学：一旦发生事故，Cynet专家会进行破案验尸。
• 恶意软件分析：Cynet恶意软件逆向工程师分析恶意软件样本，以获得恶意软件的完整攻击生命周期、来源和潜在影响，快速确定威胁因素、动机和可能的目标。
• 威胁搜寻：Cynet从客户生态系统中获取的众包情报提供了无与伦比的能力，可以发现跨用户、端点、文件和网络的高级威胁。

结论

Cynet指望的是一个从分散走向整合的行业。从他们组装的东西的外观来看，他们可能是在做一件大事。

对于那些没有财富500强公司的资源和安全专业知识的组织，我们认为Cynet是理想的解决方案–；它的快速部署、单一的方法和多种技术能力是一个真正的游戏规则改变者。

如果您的组织拥有500个或更少的端点，我们建议您注册Cynet的SaaS免费试用版：https://saas.cynet.com/signup

如果您的组织规模较大，我们建议您申请演示，以获得平台的个人演练：https://www.cynet.com/request-a-demo/