本帖最后由 欧阳宣 于 2017-5-24 12:07 编辑
Part1.CylanceProtect简介
虽然cylance这家公司听起来名气还很小,而且体量也不大,但是这家公司的成立倒是2012年的事了。公司的CEO Stuart McClure在2004年创立了一家安全咨询公司Foundstone,这家公司在2004年被mcafee收购,他本人也进入mcafee开始担任首席技术官。又后来到了2012年,Stuart McClure离开咖啡,联合当时在咖啡的一位病毒技术大牛 Ryan Permeh一起创立了Cylance。有传闻说这个公司还挖走了一批咖啡内部当时在做主防的成员。如今这家公司的估值已经接近独角兽级别,是近几年一批同时宣传机器学习的下一代反病毒方案的厂商中混得不错的一个。
Cylance的拳头产品是CylanceProtect,它是一个本地负责检测威胁的部件,公司其他的服务都是围绕它展开或者为其作补充。从检测机制上来讲,CylanceProtect(以下简称CP)内置一个包含机器学习算法的甄别引擎,这个引擎会根据文件的多个(官方宣称超过两百万个)特征来判定是否有害,如果是则将其隔离。这个甄别引擎有一个离线的版本,这使得CP在断网下的检测率也有足够的保证。这个离线版本每三四个月才会更新一次。云端的部分被称为infinity engine,是一个更大体量的决策模型,负责在联网时提供更准确的判断。
楼主自己拿到的授权其实也不是完全的版本。由于现在CP只有企业级服务,个人用户只能在代{过}{滤}理商那里购买个人授权。通过第三方的授权商(比如楼主所向其购买的MalwareManaged,以下简称MM)购买以后,每一位用户其实就只是这个MM授权商的受控端,很多事没有办法自己调整和确定。比如如果你想要从设备上删除CP,你需要先跟MM发邮件,使得本地端点的权限打开,删除才能继续。其他比如脚本防御策略,漏洞防护策略的调整就更不用想了。不过如果对设置根本不想了解的话,CP确实也是一个装上就可以不管的方案,孰优孰劣,各位需要自己权衡。 从本地来讲CP的界面是很简陋的,和VSE有的一拼。不过所有该有的东西也不缺。
第一个分页threat显示的是所有已经检测的威胁列表。Exploit显示的是所有遭受并拦截的漏洞类攻击列表。Events显示所有事件信息,包括排除的误报,以及本地引擎检测但云端解除检测后恢复到本地的文件。Script和External device分别显示的是脚本类攻击和外部设备(其实主要针对的是USB设备)的攻击,楼主自己在双击时后两个都没有遇到。
右键点击托盘图标,可以看到常见的操作,检测程序更新和策略更新,调整日志级别,删除本地隔离区文件等等。 这里要提到一个CP和其他反病毒很不一样的地方,那就是手动扫描的方式。CP既没有右键扫描,也没有传统意义上的全盘扫描。平常的主动扫描方式是两种。Background detection默认是开启的,CP会在电脑闲置时慢慢自己扫描,扫描的范围和文件类型我自己暂时无法得知。那么想要针对性扫描的话,只能选定runa detection on a specific folder。这样可以选择性扫描某一个文件夹。 然后一个文件会在什么层面被CP检测?实时监控(File watcher),执行时监控(Execution Control),以及上面提到的两种手动扫描。还有一点,CP只检测可执行文件,漏洞攻击,脚本攻击。
本地端很简陋,但是控制台就不是这样了。就算楼主所属的用户组属于普通用户而不是管理员,CP的网页界面也提供了很丰富的信息。 首页显示了按时间轴显示的威胁分布,以及样本被远程分类之后的类别分布(Trojan,ransom,adware,bot等等)。 第二分页是显示了所有被检测的威胁,按时间排序,你可以查看每一个威胁的VT结果,cylance的打分,威胁的优先级(官方有一套自己的判定规则,比如这个威胁如果还停留在内存中,优先级就会变得很高)以及后续处理过后给出的分类。下面可以选择手动排除文件,以及文件详细的信息。 第三分页Zones指的是设备的分组管理,跟咖啡epoCloud里面的workgroup类似。第四分页指的是当前账户下的所有设备,这两个分页的功能和安全关系不大,也有可能是因为楼主的账户权限不是很够。 内存占用我截了两个版本,大家选自己看得懂的那个看吧
CPU和硬盘占用一直是很低的,安装好之后的整机流畅度也十分好,有可能是因为CP除了检测本地威胁之外,其他传统安软的功能,比如
防火墙,防钓鱼,主防,密码管理器,手机助手,摄像头防护,软件管家,主页锁定,勋章墙,随身wifi,某connect,加速球,启动项管理,垃圾清理,沙盒
一概都没有罢。
那么以上就是cylanceprotect的大概情况。
|