威胁情报平台凭什么让客户掏钱 NSSLabs CAWS持续安全验证平台有两方面印象深刻

威胁情报平台的角度来看,NSS Labs的CAWS持续安全验证平台Continuous Security Validation Platform向前迈进了一大步,它可以向IT团队及安全运营团队展示真正的、能突破他们防御的网络威胁,其公开版本及定制化版本的独特之处就在于,公开版本可以展示威胁突破防御措施的攻击能力,而定制化版本可以镜像实际网络,并下发虚拟补丁。

威胁情报平台TIP做什么?

之前正如Forrester的分析师Rick Holland所描述的,TIP就像组织中负责组织和发号令的角色。TIP支持组织的人员管理安全数据并执行相应过程,例如支持SOC进行安全事件分类,支持事件响应,帮助威胁团队管理情报流程(处理外部情报feed和威胁情报)。为了满足管理者的需求,平台还必能显示安全趋势,提供实时更新,支持跨组织的威胁驱动的针对业务的优先排序,并支持对威胁情报数据的实时响应。TIP应该是可定制的,因为每个组织都有不同的流程和数据定制需求。

TIP通常与SIEM紧密集成。通常,内部安全事件数据的都汇聚在SIEM、日志相关引擎或其它应用或平台中完成。涉及已确认为安全事件或与相关威胁行为可以从SIEM发送到TIP,用于汇聚威胁情报、丰富化和用于知识管理的长期存储。将SIEM或其他内部情报源,与TIP集成,可以将内部事件的上下文与外部威胁情报数据相结合。

但NSS Labs的CAWS持续安全验证平台让这个描述,向前跨越了一大步。

NSS Labs的CAWS持续安全验证平台有2方面让人印象深刻

在攻击者能利用网络防御的限制前就定位并修复这些限制,漏洞管理才能做到最好。很多漏洞管理项目只做到了这个流程的一个方面,要么是管理已知漏洞,要么通过渗透测试来找到漏洞,然后就围绕这个方面开发好的工具。而NSS Labs的CAWS持续安全验证平台覆盖了完整的流程,并且在处理过程中并未增加任何额外的风险或网络资源消耗。

CAWS的核心是一个测试实验室,致力于发现并修复网络威胁。该项目的客户可以选择使用该产品两个服务中的任一个。在计划防御措施和尝试管理漏洞时,两个服务都很有用。

在公开版本中,测试网络具有所有常见防护的措施,从终端防护到安全信息、事件管理(SIEM)端口、下一代防火墙以及其间的所有防护措施。CAWS公开版本的订阅者可以登录并查看关于这些威胁报告,并获取如何修补自身网络、消除漏洞的详细信息。

在定制化版本中,能准确地镜像订阅者的网络环境及防御措施,当真实主机网络上设备或程序发生变化时,这些变化将被自动镜像到测试网络上。在这种场景下不仅仅能识别可以突破真实防御措施的威胁,还可以展示这些威胁如何蔓延并攻破后端的新系统。另外,用户还可以制定网络安全防御虚拟补丁,自动从CAWS发送到真实网络,以防御已发现的漏洞

CAWS公开版本展示威胁突破防御措施的攻击能力 并在报告中提供防御建议

通过自建和租用,NSS Labs在世界各地维护着庞大的目标系统诱饵网络。这些专业受害者系统上安装有能模仿该类设备正常行为的软件,甚至能模仿人类行为,比如浏览网页。

CAWS用来捕获威胁的诱饵网络已建立了7年,包括超过8万的客户端系统。当一个系统被攻破,平台将在诱饵电脑重置前收集攻击威胁相关的信息。

诱饵系统遭到攻击,按设计捕捉关于攻击的所有数据,并在诱饵系统被自动重置并重新启动之前发送回NSS Labs。目前,诱饵网络有超过8万个诱饵系统。通过这个诱饵网络以及一个人工提交威胁的项目,NSS Labs每个月都能发现超过10万个新的网络威胁

使用几乎所有类型的网络安全防护措施,CAWS项目跟踪针对几乎所有终端的威胁。它能识别有能力突破防御措施的隐藏漏洞。

在公开版本中,这些威胁被扔到一个测试网络上。这个测试网络具有所有常见防护的措施,从终端防护到安全信息、事件管理(SIEM)端口、下一代防火墙以及其间的所有防护措施。如果有威胁突破了上述任一防御措施,包括它们危害下游的能力,都被测试网络识别并展示出来。CAWS公开版本的订阅者可以登录并查看关于这些威胁报告并获取如何修补自身网络、消除漏洞的详细信息。对采用小型网络的中小型企业和组织,CAWS能成为这一级别的宝贵工具,向IT团队提醒真正的、能突破他们防御的威胁。

CAWS收集信息的详细程度,包括如果不修复漏洞的话,数据可能泄漏到哪里,这一点令人印象深刻。

CAWS定制化版本能镜像用户的网络

CAWS定制化版本是更昂贵的服务,但对世界财富500强公司、金融机构、政府组织和拥有大规模或者高价值网络的组织来说,可能是值得的。

CAWS定制化版本的接口与公开版本几乎完全相同。客户端通过安全VPN连接访问其唯一的定制化版本,并且也只有客户端有权限访问。区别在于对私有网络的定制化程度。每一个CAWS定制化版本都被设计为,能准确地镜像订阅者的防御措施,直到用来调整安全设备和程序的设置。实例设置好后,当真实主机网络上设备或程序发生变化时,这些变化将被自动镜像到测试网络上。以这样的方式,客户可以实时地、真实地了解影响他们网络的漏洞。

虽然NSS Labs完成了大部分困难的工作,设置一个CAWS定制化版本不是简单的事情。客户仍需要提供在用安全产品的证书,让NSS能在镜像网络中进行设置。或者,客户可以将真实的硬件镜像到NSS。配置相同的防火墙做一个镜像即可,并不是每个防火墙都需要做。所以,如果一个组织的网络防火墙有三类配置,根据分支机构的位置或者公司的划分,那么有三个防火墙需要被发送到NSS Labs。

除了对前端网络防护做镜像,CAWS还需要设置后端的客户端。为此,定制化版本的订阅者需要向NSS Labs发送系统的黄金镜像。

配置一个CAWS私有化版本平均需要8到10个工作日。一旦配置完成,CAWS为它所保护的真实网络提供一个完美的镜像。NSS Labs也设置了连接器,以便将真实网络上的变化同步到镜像网络上。

一旦完成,就可以在镜像网络上运行威胁攻击了。这些威胁可能具有很高的破坏性,但不必中断它们的运行,毕竟它们只会破坏测试网络。在我们的测试中,CAWS私有网络不仅仅能识别可以突破真实防御措施的威胁,还能通过镜像测试环境来展示这些威胁如何蔓延并攻破后端的新系统。

由于NSS Labs既支持前端防御,也支持后端镜像客户端,CAWS不仅可以显示那些网络可能会破坏网络,还能显示它们如何蔓延。

根据定制化版本订阅者的偏好,网络安全防御补丁可以自动从CAWS发送到真实网络,以防御已发现的漏洞;或者以非常详细的、IT团队可以遵循的报告的形式发送。客户端通过VPN登录到私有化版本之后,也可以看到关于漏洞的所有信息。如果IT团队习惯于检查CAWS,他们可以在日常工作中保持对最新漏洞和威胁的了解。

在发现大多数网络防御措施的威胁和漏洞上,CAWS的公开版本做得非常出色。定制化版本也作为一项订阅服务出售,要贵很多,并需要一定程度的工作量来确保镜像网络能准确复制被保护的实际网络。然而,对高安全需求的网络来说,有一个镜像网络作为替罪羔羊来承受攻击后果、发现漏洞,而不给真实网络带来任何风险,是非常宝贵的。

本文原始链接:https://www.csoonline.com/article/3237424/network-security/how-nss-labs-caws-finds-and-fixes-network-threats.html

CAWS:https://www.nsslabs.com/caws-continuous-security-validation-platform/overview/

发表评论