鑒于高級(jí)威脅的潛伏性和復(fù)雜性，無(wú)論部署多少網(wǎng)絡(luò)安全防御措施，任何規(guī)模的公司企業(yè)最終幾乎都逃不脫被黑的命運(yùn)。于是，某種程度上還算新興概念的威脅追捕，就成為了網(wǎng)絡(luò)安全防御中愈趨重要的一部分。

但即便與IT員工和網(wǎng)絡(luò)安全人員短缺的情況相比，真正的威脅獵手也是相當(dāng)稀缺的。威脅獵手具備審查網(wǎng)絡(luò)中諸多因素的能力，從流量和DNS記錄到SIEM報(bào)告，幾乎沒(méi)有東西能逃過(guò)他們的眼睛。最好的獵手通過(guò)審查數(shù)據(jù)可以感知到不正常的東西，然后就能一路追蹤，揭露逃過(guò)其他分析師和安全程序眼睛的網(wǎng)絡(luò)威脅。

過(guò)去的很多威脅追捕程序都只是輔助威脅獵手的工具而已。這就造成公司企業(yè)必須要先招募威脅獵手才能應(yīng)用這些工具。否則就好像讓從未摸過(guò)槍的人拿著新步槍去森林里打野味一樣，等他們弄回晚餐食材是不用想了。

Mantix4平臺(tái)——該名稱源于昆蟲(chóng)世界食物鏈頂端的合掌螳螂：Mantis，就是為了人的問(wèn)題而生的。該平臺(tái)在為客戶提供健壯的威脅追捕工具的同時(shí)，還運(yùn)用專家團(tuán)隊(duì)替客戶追捕威脅，將威脅追捕作為軟件即服務(wù)推出。

Mantix4最初是為加拿大政府的公共安全部門設(shè)計(jì)的，該部門類似于美國(guó)的國(guó)土安全部。在加拿大，Mantix4守護(hù)著涉及關(guān)鍵基礎(chǔ)設(shè)施的10個(gè)產(chǎn)業(yè)的網(wǎng)絡(luò)完全，將可能繞過(guò)傳統(tǒng)防護(hù)的威脅拔除在外。

　　該系統(tǒng)部署時(shí)分為2個(gè)部分：

第一部分由安置在受保護(hù)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)的觀察傳感器組成。要么在路由器旁邊，要么在網(wǎng)關(guān)處——雖然也可以根據(jù)需要部署在網(wǎng)絡(luò)中任意位置。這些傳感器足夠輕便，可以安置在重要機(jī)器內(nèi)部，或者加點(diǎn)帶寬放在網(wǎng)絡(luò)服務(wù)器內(nèi)。不過(guò)，由于觀察傳感器處理并記錄大量流量，最佳部署方案或許是單獨(dú)設(shè)置一個(gè)小設(shè)備（由該公司提供）專門履行觀察任務(wù)。傳感器可以內(nèi)聯(lián)工作，也可以被動(dòng)嗅探網(wǎng)絡(luò)流量。

第二部分是分析服務(wù)器，也就是該系統(tǒng)的大腦，觀察服務(wù)器上報(bào)的對(duì)象。該分析服務(wù)器托管在Mantix4運(yùn)營(yíng)的安全數(shù)據(jù)中心，以便可以保持經(jīng)常性更新，獲取最新功能和補(bǔ)丁，并確保有足夠的能力處理傳感器發(fā)來(lái)的所有數(shù)據(jù)。大多數(shù)情況下，Mantix4在1天之內(nèi)就能部署完畢上線運(yùn)行。政府機(jī)構(gòu)或特別謹(jǐn)慎的公司也可以選擇自行托管該分析服務(wù)器，但需給Mantix4訪問(wèn)權(quán)限，以便利用其SaaS威脅追捕的優(yōu)勢(shì)，并確保服務(wù)器能獲得最新的程序更新和補(bǔ)丁。

大多數(shù)Mantix4部署只需要1到2個(gè)觀察傳感器。Mantix4官方宣稱其最大型的部署安置了約20個(gè)傳感器，是為某分散各地的組織部署的。Mantix4按月收取訂閱費(fèi)用，定價(jià)基于公司員工數(shù)量，再加上每個(gè)傳感器的象征性費(fèi)用。

對(duì)Mantix4的測(cè)試既有作為用戶使用威脅追捕工具的部分，又有以服務(wù)形式利用該公司20人威脅追捕團(tuán)隊(duì)發(fā)現(xiàn)威脅的部分。Mantix4的每個(gè)部署都為用戶提供了這兩種選擇。用戶可以從網(wǎng)站門戶隨時(shí)訪問(wèn)威脅數(shù)據(jù)，每個(gè)客戶每天都能擁有1小時(shí)的威脅追捕服務(wù)時(shí)間。部分客戶還可以選擇獲取更多的威脅追捕時(shí)間。

Mantix4的主界面可視化效果非常好。在最頂層，用戶可獲得其網(wǎng)絡(luò)所有入站和出站流量的實(shí)時(shí)視圖。該視圖以世界地圖和地球儀的形式呈現(xiàn)，看到出入站流量信息的同時(shí)亦可看清這些流量的地理位置信息。這看起來(lái)有些像《星球大戰(zhàn)》里的爆能槍亂射場(chǎng)面，只不過(guò)射出的是網(wǎng)絡(luò)數(shù)據(jù)包。用戶繼續(xù)深入，就會(huì)看到不那么炫目，但同樣有很高互動(dòng)性的重要數(shù)據(jù)。

Mantix4極大地方便了威脅獵手感知可疑威脅活動(dòng)。在任意數(shù)據(jù)類型上右鍵單擊，可獲得新的過(guò)濾選項(xiàng)。用戶可以不斷修正過(guò)濾條件，直到找出可疑事項(xiàng)。測(cè)試過(guò)程中，測(cè)試人員很快便鎖定了本地客戶與中國(guó)未知服務(wù)器的雙向通信。該通信利用了似乎沒(méi)有任何程序使用的高端口（400號(hào)以上）。盡管此互動(dòng)相當(dāng)短暫，不足以觸發(fā)其他安全程序報(bào)警，但仍然可疑。

利用圖形化界面，安全人員可以審查可疑行為的方方面面，甚至可以捕獲初看起來(lái)并不相關(guān)的事件。測(cè)試人員首先調(diào)查了涉事用戶，但并未發(fā)現(xiàn)該用戶還有其他可疑行為；然后又搜索了與該中國(guó)未知服務(wù)器通信的其他網(wǎng)絡(luò)客戶端，結(jié)果為零；最后查找了該高端口上的通信，這次發(fā)現(xiàn)了其他可疑事件：該端口上還有其他突發(fā)的通信流量。這些流量通往其他的未知服務(wù)器，但所有這些未知服務(wù)器都位于中國(guó)。

該信息觸發(fā)了更深入的調(diào)查，最終發(fā)現(xiàn)網(wǎng)絡(luò)防御中存在漏洞，并進(jìn)一步查清了該漏洞是怎么被利用的。與其他網(wǎng)絡(luò)攻擊類似，該端口上發(fā)生的可疑通信是更大型的網(wǎng)絡(luò)攻擊行動(dòng)的預(yù)置階段，或者說(shuō)是在為未來(lái)的攻擊準(zhǔn)備滲漏點(diǎn)。

在這些信息的幫助下，用戶可以補(bǔ)上該漏洞，并采取措施預(yù)防同一批黑客發(fā)起的類似攻擊或預(yù)攻擊。如果是Matrix4的內(nèi)部團(tuán)隊(duì)先發(fā)現(xiàn)了該漏洞利用，客戶將會(huì)收到該團(tuán)隊(duì)的一份報(bào)告。報(bào)告會(huì)十分詳細(xì)地闡述清楚隱藏攻擊是怎么發(fā)生的，并指出攻擊的潛在目標(biāo)，提供修復(fù)該問(wèn)題的一些建議。

作為SaaS的一部分，Mantix4的員工會(huì)指導(dǎo)客戶閱讀威脅報(bào)告，說(shuō)明該平臺(tái)是怎么發(fā)現(xiàn)特定事件的。隨時(shí)間進(jìn)程，這一指導(dǎo)工作將幫助客戶IT團(tuán)隊(duì)學(xué)會(huì)利用這些軟件工具自行進(jìn)行威脅追捕，并將該SaaS威脅追捕當(dāng)作可靠的專家后援。

無(wú)論是用做主要威脅追捕方法，還是當(dāng)作本地獵手的后援，將關(guān)鍵威脅追捕作為服務(wù)提供正是Mantix4區(qū)別于其他威脅追捕工具的特色。Mantix4可以是本地威脅獵手的得力工具，也是將該重要安全功能托付給專業(yè)獵手的極佳平臺(tái)。Mantix4的專業(yè)威脅獵手們更懂如何捕獲最危險(xiǎn)、隱藏最深的威脅——那些可能已經(jīng)潛伏在客戶網(wǎng)絡(luò)中很久的威脅。