產品簡介
代理國家:臺灣、新加坡、馬來西亞、印尼、澳洲、紐西蘭、香港、中國、印度、菲律賓、泰國、越南、柬埔寨、緬甸、斯里蘭卡
Armis是世上第一個無代理程式企業級安全平台,可應對非託管和物聯網設備的新威脅。 《財富》 1000強公司信任我們獨特的域外傳感技術,以發現和分析所有託管,非託管和IoT設備-從傳統設備(如筆記本電腦和智能手機)到新的非託管智能設備(如智能電視、網絡攝像頭、影印機、HVAC系統、工業設備)機器人、醫療設備等。 Armis可以發現網路上和網路外的設備,持續分析端點行為以識別風險和攻擊,並通過識別可疑或惡意設備並將其隔離來保護關鍵信息和系統。 Armis是一家私有公司,總部位於加利福尼亞的帕洛阿托。
10個選擇Armis的重要理由
1.完善的資源掃描與盤點
完整的軟硬體盤點至關重要,而這正是為什麼包括CIS Critical Security Controls以及NIST Framework在內,有這麼多用於改善基礎架構網路安全的安全性框架都從盤點開始。Armis可在您的企業環境中,自動生成完整的設備盤點表-不論設備在線或是離線。Armis資產盤點的深度、廣度與準確度高於任何其他市面上現有的產品。
2.無須代理程式,無侵入性
Armis是個無須代理程式的安全性平台。我們不需要代理程式或硬體,而這讓Armis得以輕易部署。這也表示Armis能相容於所有類型的設備,甚至是無法安裝代理程式的設備。通常企業中有40%的設備無法安裝代理程式,而這個數字在2020預期提高到60%(詳見下表)。未經管理的裝置包括眾多裝置類型,從印表機到VoIP電話,再到監視攝影機,以及完整的「物聯企業」(Enterprise of Things)等等。
3.未經管理的裝置/物聯網風險正在提高
包括如聯邦調查局(FBI)及美國電腦緊急應變小組(US CERT)在內的多個情資系統、如Gartner的專業分析組織、如Symantec、Check Point及Verizon等的安全性供應商,都確認了針對未受管理設備及物聯網裝置的攻擊,在質與量上都顯著提高。這反映了一個新的現況,未受管理的裝置目前於企業環境中佔據多數。由於沒有定期更新,這些裝置相對於受到管理的電腦而言極易受到攻擊。
位於遠端的攻擊者可以輕易透過如DNS 重新綁定攻擊連上未受管理的設備,而未受管理設備的安全性漏洞隨時間累積龐大且多樣。裝置遭到入侵之後,就可繞過現有的網路管控機制,用以發動針對網路基礎架構的攻擊。
Armis在2018年5月的RSA安全研討會上展示了這個情境,而美國電腦緊急應變小組則提出警告,這些針對企業網路基礎架構的攻擊層出不窮。過往企業僅以網路分段的方式來「保護」未受管理裝置與物聯網裝置,但是在這樣的現況下,這種分段控管並不充分。對未受管理裝置進行持續性的行為監控,加上自動化的威脅回應,並盡可能建立資料加密管道,是建構新式較完整安全管理的條件。
4.完整的環境
Armis可發掘並分析所有端點,無論這些端點為何,或是如何連上您的網路(有線網路、Wi-Fi、點對點連線如藍牙,或是 Zigbee 之類的網狀網路)。Armis 甚至能偵測出在您的領空內進行傳輸的裝置(例如惡意的 Wi-Fi 存取點或 Pineapple 攻擊)並提供相關資訊。捕捉該層級的資訊而無須部署額外的硬體,正是 Armis 的獨門絕技。
5.被動監控
傳統的網路掃描工具是侵入性地掃描你的網路,這種方式可能中斷許多類型的裝置運作,甚至使其當機,特別是操作型科技(OT)。Armis 採用被動的方式監控裝置,因此 Armis 不會影響網路效能、其他裝置或您的使用者。
6.裝置分類
當Armis平台偵測到有裝置位於或接近您的企業網路時,會就該裝置的行為運用所捕捉到的資訊,將之與超過600萬筆儲存於Armis設備資料庫(Armis Device Knowledgebase)中的已知裝置檔案做比對。這種比對讓該平台能以高準確度辨識裝置,包括裝置的廠牌、型號、位置及預期行為。以下是Armis平台在企業環境中偵測到的裝置實例,以及符合Armis 設備資料庫的裝置特點與行為特性。
裝置 | 偵測到的關鍵行為特點 |
Samsung 60” Class J6200 Full LED Smart TV (連網電視) | l 發出 DNS 請求,隨後嘗試連線至ypu.samsungelectronics.com—連續嘗試 10 次,每次間隔 5 分鐘,接著在 45 分鐘後再度嘗試 l 介面:BT、Wi-Fi l 固定式,並未連線至網路中的其他裝置 l Tizen OS l 具備預設應用程式,例如Netflix 以及 Amazon Instant Video |
Nest Thermostat 3rd Gen (智能恆溫調節器) | l 定期發出連線至 transport.home.nest.com 和transport.home.ft.nest.com 的 DNS 請求 l 每日凌晨 4 點有至多 1GB 的資料傳輸 l 介面:Wi-Fi l 固定式,與其他相同網路上的 Nests 無其他路由協定 l 未連線至其他裝置,亦無其他裝置與之連線 |
Nest Cam (網路攝影機) | l 定期的 DNS 請求並連線至api.nest.com l 每日連線至api.nest.com l IP 電視流量(串流資料)至:oculus10-vir.nest.com l 介面:Wi-Fi l 固定式,無其他協定,未連線至其他裝置,亦無其他裝置與之連線 |
Baxter Sigma Spectrum Infusion Pump (點滴幫浦) | l Sigma 的 OUI l 於連接埠 51244 從裝置到靜態伺服器(Bayer 幫浦伺服器)的持續性定期連線 l 於連接埠 51243 從靜態伺服器(Baxter 幫浦伺服器)到裝置的定期連線 l 僅限 Wi-Fi 2.4GHz(12dBm—18dBm,取決於位元速率) l 非固定式 l 沒有其他裝置與之連線(除了我方無法偵測到的直接序列連線外) |
7.即時運作
Armis採即時運作,這表示能偵測並追蹤暫態裝置,而為時短暫的事件則會由 Armis 在雲端上的風險管理引擎處理(Risk Analysis Engine)。
8.主動風險分析
安全性專業人士知道光是意識到裝置的存在是不夠的,您需要知道這些裝置是否有風險。在一一發掘及分類過各項裝置後,Armis會計算其風險分數。此風險分數的計算是根據多個風險因素,包括軟體弱點、已知攻擊模式、連線安全性,以及已觀察到的各裝置行為(請見下圖)。該風險分數可有效幫助您的安全團隊採取主動的措施,限縮您受攻擊的範圍,並建立您風險辨識及等級排定的安全規範及架構。
9.威脅偵測
Armis風險分析引擎會根據我們對每種裝置類型所知的正常行為,比較觀察到的裝置的特點與行為。Armis 設備資料庫包括我們已經在您的環境中觀察到的裝置,以及超過600萬筆我們在其他客戶環境中觀察到的獨特裝置資料。
10.自動防護
Armis不只會生成警報,也會觸發自動化的動作阻止攻擊。Armis可與您現有的安全性政策執行點(例如 Cisco 和 Palo Alto Networks 防火牆、網路權限控管產品、您的交換器與無線區域網路控制器)整合,藉此限制存取或隔離可疑或惡意的裝置。這種自動化使您可以放心,即使您的安全性團隊正忙於其他優先事項,任何設備的攻擊都將被即時阻止。Armis 也能與您的安全管理系統整合(例如您的SIEM、工單系統、資產管理資料庫等),讓這些系統與事故回應者能運用 Armis 所提供的豐富資訊。