绕过Cylance：第五部分——展望未来

John Strand

我们刚刚完成了一次关于如何在先前的测试中绕过Cylance的演练。为了结束这个激动人心的一周，我想与大家分享一些评论和笔记。

首先，我们是一家渗透测试公司。我们测试客户给我们的内容，而不是供应商希望我们测试的内容。我们测试的是实际场景。

有人指出我们使用的技术很基础。是的，我们使用的许多技术确实非常初级，但它们有效！这本身就质疑了反病毒公司有时做出的营销宣称的有效性。

让我们花点时间谈谈这些营销宣称和NSS报告。为什么像Cylance和CrowdStrike这样的公司对公开测试其产品如此敏感？为什么南达科他州的一家小型测试公司会成为人们了解产品局限性的少数信息来源之一？

我想向Cylance道歉，将他们与CrowdStrike归为同一类别。Cylance尚未威胁提起诉讼。像CrowdStrike一样，他们的最终用户许可协议（EULA）对讨论、审查或独立分析其产品有严格的限制。这就像雪佛兰/福特/丰田威胁起诉《Car & Driver》或《消费者报告》每次发表关于他们车辆的无偏见调查文章一样。这些汽车公司会追捕写博客并在公告板上发布负面体验的车辆客户吗？你能想象如果Cylance/Symantec/Oracle/Microsoft追捕说他们坏话的客户吗？那将是疯狂的——奥威尔式的！

Cylance比大多数传统的黑名单反病毒产品要好得多。当我们测试一家公司时，我们尝试多种类型的恶意软件和命令与控制（C2）。这是为了正确识别终端安全工具能够和无法检测的内容。我们期望在许多情况下被检测到，但传统黑名单反病毒很少能做到。在这次测试中，Cylance在许多情况下比传统反病毒表现出色。Cylance检测到了许多很酷的东西。很难删减这些信息。但相信我……他们比大多数传统反病毒要好。

总是有人正确地指出，白名单未启用，它会阻止我们使用的大多数（如果不是全部）技术。我们对白名单赞不绝口。它是组织可以部署的最好的防御措施之一。但它不是Cylance或任何其他供应商独有的魔法。它可以通过组策略通过Applocker或SRP部署——尽管这需要大量的管理开销。因此，声称安全产品因为未启用白名单而表现不佳是无效的。

关键是，白名单是免费的。它不是，不能，也永远不会是某个产品独有的“功能”。所有供应商都有特殊的选项和配置，这些都很棒，但在现实世界中很少实施。

许多终端安全产品中的功能会关闭大多数攻击。通常，这些功能从未完全启用/部署。是因为产品有缺陷吗？不一定。通常这些功能被禁用是因为它们可能会降低工作效率或产生意外的IT管理成本，从而降低安全解决方案的有效性。

行业希望安全产品只需很少或无需交互即可工作。他们想要简单的按钮。

Cylance对人工智能做出了惊人的宣称，声称他们将使所有其他反病毒过时。甚至能够预测未来的攻击！我想相信这一点，我真的想……但是，从我们所看到的，这些宣称还有很长的路要走。我会说，这个产品有一个 brilliant 的概念，它是朝着正确方向迈出的一步；尽管可能在没有达到最佳状态之前就匆忙上市。

那么我们能从中学到什么？有几件事。

首先，这突出了对安全产品进行更全面、无偏见测试的需求。我们看到了像最近的NSS Labs报告这样的报告，这些报告还有很大的改进空间。

其次，仍然没有银弹。这个行业的营销利用银弹来解决我们对吸血鬼的恐惧，但没有这样简单的解决方案。即使Cylance也不是营销宣称的终极解决方案，至少现在不是——有许多聪明的人在后端努力工作。

总之，如果没有银弹，我们需要什么？架构。我们应该关注应用程序的白名单和出口互联网访问。

在任何情况下，都不要相信转向白名单或高级终端产品会是一个简单的修复。你需要努力正确实施它。你需要有更多的员工来维护这些产品。

每次你按下简单的按钮，上帝就会在你的网络上部署另一个机器人。

停止。按下。简单的。按钮。

来自南达科他州的问候， John

我们所做的许多工作基于Casey Smith和@_TacoRocket的现有研究。阅读Colby Farley的博客这里： https://pwningroot.com/ *以及Casey Smith之前的博客 他们真的很棒，任何时候测试高级终端安全产品时都应该挖掘他们的技巧、窍门和提示。