Cyberbit Range培训和模拟平台新功能New

时间之外沉浮事

发布于 2019-09-17 10:50:14

2.9K0

发布于 2019-09-17 10:50:14

一、Cyberbit介绍

Cyberbit是以色列最大的国防公司ElbitSystems的子公司，该公司的总部位于以色列，专注于保护关键基础设施和其他高价值资产的解决方案。该公司的技术针对端点检测和响应、安全调度和自动化等热门安全领域。Elbit Systems 则是国防和国土安全解决方案的全球提供商。Cyberbit的办公室分布于四大洲，深受公用事业单位、机场、制造商和政府信赖，并与之展开合作，保护其运营网络（OT）的安全。Cyberbit现目前提供的产品组合用于管理IT、OT和物联网系统趋同的从检测到响应的整个事件生命周期。使SOC团队、MSSP和关键基础架构组织能够检测并消除IT和OT网络中的高级攻击。Cyberbit的产品通过大数据、行为分析和机器学习，收集和分析TB级的数据，产生实时分析并大大加快响应速度。Cyberbit的端到端产品组合包括端点保护、SOC管理、ICS/SCADA安全解决方案和CyberRange平台。

1.1. 端点保护（EDR）

端点保护（Endpoint Detection and Response，EDR），下一代端点检测与响应解决方案，通过使用机器学习和行为分析，在几秒内检测未知的威胁和勒索软件，分析并主动寻找大数据的威胁。

Cyberbit EDR提供了在端点级别检测和响应高级威胁的新方法。它基于混合检测引擎，将行为分析与使用统计建模来识别异常活动的机器学习算法相结合。这种独特的这种混合方法被证明能够检测到更广泛的恶意活动，包括以前从未遇到过的威胁，并且更有效地区分正常和异常活动。因此，在不影响高质量检测的情况下，它可以最小化减少误报。

1.2. SOC 3D

SOC 3D是一套安全运维中心解决方案。该方案创建业务驱动和SOC。自动化安全操作，响应速度更快，增加威胁可见性，利用大数据安全分析，并最大限度的提高SOC团队价值。

SOC 3D是自动化和协调SOC操作的单一平台，结合先进的大数据分析，提高了SOC效率和成熟度，从而提高了SOC团队的影响力，并降低了技术水平要求。SOC 3D提供了业务驱动的SOC，它将安全性与业务目标相结合，并将SOC集中在业务风险最重要的方面。智能自动化通过自动化决策、数据丰富和响应过程，加快了分析人员在整个事件响应周期中的工作; 每次事件平均节省12分钟。大数据安全性分析为安全警报添加了前所未有的可见性和上下文，并使用户能够管理一个主动式SOC。

1.3. SCADAShield

SCADAShield是一款工控系统安全解决方案。保护整个网络，包括OT（监控运营）和IT组件。识别有风险的OT/IT接触点，并实时防范安全性、连续性和配置风险。

SCADAShield 是一种分层式解决方案，可以进行全栈ICS监测，增加可见性，进行取证调查并采取应对措施。SCADAShield 可以对 IT 和 OT 组件的整个攻击面进行监控和检测，并通过智能分析来检测安全和运行威胁。

SCADAShield 的分层方法可以使其检测到 IT 对 OT 的攻击向量以及机器对机器 (M2M) 通信。SCADAShield 传感器监控 OT 网络、工业 IT 组件（HMI、SCADA 服务器、Historian 服务器等）以及企业网络中的重要 IT/OT接触点。所有数据都被传输到一个中央大数据存储库中，结合 OT 和 IT 数据，被用于识别异常活动的分析中。并且自动创建了一个实时网络地图，通过它可以观察到整个 OT 网络，同时所有数据都可以用于调查和分析。

1.4. Cyberbit Range

Cyberbit Range旨在训练最终用户的人员并使其具备负责关键组织资产网络安全的资格。Range提供所需基础设施架构，可以在真实的混合网络流量（合法和恶意软件）的网络环境中训练个人、小型和大型团队，从而使受训人员能够遭遇并处置各种网络威胁活动。

Cyberbit Range中集成了训练管理系统，该系统中可查看并管理多个工具和应用程序, 诸如创建训练，运行时间，学员评估与报告等。

训练管理系统基于虚拟化技术，由先进的网络管理模块提供支持。该架构便于自动且无缝地设置训练网络。此外，训练管理系统还内置攻击模拟引擎和流量生成器，攻击模拟引擎使用许多不同的攻击向量来生成现实和更新的网络攻击场景，模拟训练网络遭受到广泛的攻击损害，包括：数据完整性，服务可用性，机密丢失等。流量生成器会生成自然背景流量和恶意网络流量，管理员可以根据学员的经验级别对其量身定制模拟流量以增加训练难度。

训练管理系统将会记录训练期间的所有学员活动，并将其保存到可长期保存的存储容器中用于评估和分析学员训练概况。

二、Cyberbit Range What's New

在最近，Cyberbit Range做了最新的版本更新，主要改进的新功能主要包括：

引入虚拟教练功能，旨在补充人类教练的不足以及添加新的培训内容，增加新的攻击场景和培训模式。

Cyberbit Range是目前已知的“网络靶场”系列产品化做得做好的公司之一，其Cyberbit Range在全球范围内广泛销售。由于价格昂贵且在全世界用于数十家客户，被视为Cyberbit的旗舰产品。Cyberbit Range主要提供了以下主要功能：

虚拟化网络 - 模仿真实网络的副本，包括主机节点、交换机、路由器、数据库、服务器和最终用户设备，以及公共互联网等。
攻击引擎 - 以自动化和可重复的方式向虚拟化网络发起各种网络攻击，攻击引擎模拟DdoS、勒索软件、网络钓鱼、数据泄露和网络破坏等攻击场景。（即红队自动化工具，也可人工手动进行攻击）
流量生成器 - 模仿普通企业网络的自然背景流量和“威胁流量”，目前该组件可生成电子邮件和Web浏览流量。
虚拟SOC - 为学员提供检测、调查和响应网络攻击所需的工具。

由于Cyberbit Range率先在业界提供明晰的培训流程，因此其在新兴产品解决方案中占据大部分购买力市场。从企业角度来说，企业购买Cyberbit Range主要用它来改变企业自身的网络安全培训方式；从服务提供商角度来说，购买Cyberbit Range主要用它来提供培训服务；此外，大学也是CyberbitRange的主要购买力客户。

2.1. AI虚拟教练

Cyberbit Range的新版本增加了两个主要的新功能。第一个是VirtualInstructor，一个AI驱动的虚拟教练，在整个事件响应过程中评估受训者的表现。在Cyberbit Range之前的3.5及更早版本上，针对受训者的表现评估是通过比较简单的特定几个维度的星级评价来实现的，这些评价通常情况下是由Cyberbit Range的教练来完成的。在CyberbitRange的教练控制台中，Cyberbit Range能够通过虚拟桌面重影来实现对受训者的操作界面进行实时监控，通过人为的方式来对受训者的操作技能及熟练度进行打分评价。在引入虚拟教练后，虚拟教练根据学员完成任务，比如在检测，响应和修复威胁方面的进展，以及红队的完成进度，虚拟教练自动化进行数据采集和分析，并根据指标进行自动化评估评价。虚拟教练添加了一些自动化的操作过程反馈和自动化评价功能，并部分的解放了训练管理教练的控制管理压力。从这个方面来看，虚拟教练是人类教练的补充，是人类教练的人工智能助手。

2.2.新的场景及训练模式

另外一个新功能是：增加了十几种反映最新威胁的新攻击场景，以及新的训练模式，包括CTF、网络安全游戏化和自由式攻击模式。在CTF当中，Cyberbit Range支持基于虚拟化网络场景的CTF竞赛，比如网络安全夺旗赛、红蓝对抗、红队vs红队，蓝队vs蓝队等，并出具竞赛排名及成绩分析。在网络安全游戏化方面，根据目前市面上最新的网络安全培训游戏化理念而改进或新增的功能，主要是通过游戏化的方式增加学习和训练网络安全技能的趣味性。