2018RSA创新沙盒公司解读(一)
RSA大会中的创新沙盒评选活动,是从拥有网络安全前沿技术的10家候选公司中选出一家最具创新力的公司做为优胜者,这一环节旨在鼓励创意及探索可能改变信息安全产业的新技术。每年的RSA大会上,创新沙盒环节都是关注的焦点,每年入选此环节的安全创新公司,都代表了最近一年的安全技术创新方向,和资本关注热点。
2018RSA大会,将于4月16日-4月20日在旧金山莫斯康中心召开,创新沙盒评选活动将于4月16日进行。今年入围创新沙盒前十名的公司分别是(按字母顺序排名):Acalvio Technologies, Awake Security, BigID, BlueVector, CyberGRX, Fortanix, Hysolate, ReFirm Labs, ShieldX Networks and StackRox 。这十家公司的技术涵盖了威胁监测,云安全,网络安全,安全评估,应用程序及数据保护等领域。本次的创新沙盒评选又将是一次激烈的角逐。
接下来,我们将紧跟RSA的脚步,对此次入围的前十名公司进行深度分析和解读,快来跟着我们一起来探索创新沙盒企业背后的秘密吧~
今天分析和解读的是Acalvio Technologies&Awake Security两家公司。
传统企业网络架构通过建立防火墙使内部网络与外部世界分离,外部对于内部应用和设施没有可见性和可访问性,因而防火墙确保了内部服务对于外部威胁的安全。但是现在,BYOD和钓鱼攻击使得内部网络并不可信,当攻击者开始使用了高级或未知威胁,或借助各种复杂的手段,以往依靠规则的被动防护方法已经很难阻挡攻击者窃取企业的数据,或进行进一步破坏。此外,SaaS、PaaS和IaaS正在改变边界的位置,企业网络架构中的固定边界正在变得过时。
主动防御(Active Defense)开始进入人们的视线,目的是假定防守者更熟悉自身的环境和架构,可先攻击者一步构建检测和防护方案,其中欺骗技术是最有代表性的一种技术,被Gartner列为2017年十大新技术[1]。Acalvio Technologies[2]基于欺骗技术的安全防护方案进入RSA 2018大会的创新沙盒角色,也体现了业界在该领域的创新程度。
Acalvio Technologies是一家位于美国加利福尼亚州圣克拉拉的初创高科技公司,成立于2015年1月。公司已经完成B轮融资,累计融资3310万美元,投资方有Accel Partners 、Splunk等知名投资机构和公司。
Acalvio提供基于欺骗、面向企业内部的恶意活动的检测与防护解决方案ShadowPlex,可应用于威胁检测与响应领域。他们将DevOps方法用于高级威胁防护,解放了部署、检测和管理。Acalvio通过从内部和合作伙伴处获得的数据,丰富了威胁情报,使得用户从纵深防御中获益,减少了误报率,为修复导出可操作的情报。
传统蜜罐一般只是一个虚假的主机,安全研究员观察恶意样本在蜜罐中的行为,并没有蜜罐被攻破后攻击者的进一步行为分析和防护。
与之相比,ShadowPlex是下一代分布式欺骗解决方案,提供了面向企业环境的自动化欺骗方法,可动态构建各种交互度的虚假网络和主机系统。
此外,ShadowPlex定位从检测、分析到响应的全生命周期的高级威胁防护。
在检测阶段:ShadowPlex可精确和快速地检测高级、多阶段的攻击
在分析(Engage)阶段:在受控的影子网络(Shadow Network)中欺骗攻击者,理解其攻击模式,同时延误对于真实资产的影响
在响应阶段:识别攻击者轨迹和网络中潜在的脆弱点,生成可表示攻击者特征的IoC(Indicator of Compromise)
该产品有四方面的创新:
将DevOps用于欺骗:已有的欺骗方案涉及大量人工,很费时间,欺骗系统的部署和维护成本很高。而本产品通过DevOps使得欺骗自动化,极大减少了人工成本
流式欺骗(Fluid Deception):已有的欺骗方案面临一个难题 – 规模化(低交互) vs. 深度(高交互)。ShadowPlex结合了全面的动态欺骗从而提高了效率和效果。
攻击者行为分析:ShadowPlex通过探针采集其他企业安全系统(如SIEM、EDR等)的数据来生成威胁情报和提供全面的攻击行为分析
欺骗农场(Deception Farm):可以部署在私有云和公有云(Azure、AWS等)上
产品的一些分析界面截图:
有研究表明,一旦攻击者成功渗透到企业内部,平均约200天后其才被检测出来。而Acalvio将这一检测时间降低到小时级甚至是分钟级。Gartner也预测,在安全市场中,防护类产品和检测&响应类产品的比重将由90%和10%变为60%和40%。笔者认为这类产品的价值很大,即便企业边界被突破,通过设置各种诱骗点,也能极大增加发现入侵者的概率。
1公司简介
Awake Security是来自加利福尼亚州桑尼维尔的威胁检测厂商,创立于2014年,在2017年被评为Gartner酷潮厂商(Cool Vendor),其安全调查平台(Security Investigation Platform)入围了RSA 2018创新沙盒决赛。
2产品信息
安全调查平台(Security Investigation Platform)是Awake Security提供基于机器学习的安全分析平台,结合网络流量等数据,为安全分析人员提供了一个上下文丰富、可以持续进行追踪的高级分析功能系统。
根据Awake官方网站介绍,该产品使用网络数据来识别环境中的所有实际实体(如设备,用户和域名),然后构建一个独特的安全知识图谱(Security Knowledge Graph)数据模型,里面包含了实体间详细的映射关系,以及每个实体诸如设备类型,操作系统、应用软件版本和行为活动等信息。
平台的检测和响应引擎,就像专业分析人员一样,自动显示值得安全分析人员注意的实体和行为,识别具有类似行为的相关实体,为给定的实体提取安全相关的活动,并建立一个调查时间线。安全分析人员通过丰富的响应式用户界面,可在几秒钟内搜索出实体的行为和属性。
Awake的安全调查平台主要有以下功能:
1. 现代威胁检测
可识别无文件恶意软件、内部恶意行为、凭证滥用和内网横向移动等恶意行为。
2. 攻击行为分析
通过集成SIEM或威胁情报平台,对攻击活动进行有效的分析和分类。
3. 自动化安全知识图谱构建
利用机器学习技术处理网络数据,自动化创建一个可用于关联、解析并追踪各类设备、用户及域名的“安全知识图谱”(The Security Knowledge Graph)。
安全调查平台分析界面的一些截图:
仪表盘界面
资产信息界面
设备追踪界面
威胁行为查询界面
平台整体架构图
核心系统架构图
核心组件介绍
1.解析器
用专家调查推断法提取完整的特征属性,比如软件版本、用户行为、硬件特点和业务功能等等。
2. 实体预备关联引擎
实时处理输入数据,识别和跟踪实体,构建的基础安全知识图谱。
3. 多模型数据存储模块
存储结构化和非结构化数据,例如原始数据包(非结构化)、提取信号(结构化)、推导出图结构和安全知识图谱数据等。
4. 查询引擎
使用自定义索引和作业共享技术来实现大型多模型数据集查询场景下的低延迟查询,同时提供交互式响应和时间序列查询。
5. 智能分析
通过数据挖掘技术和可扩展的无监督机器学习来整合图谱数据和预先关联的批量数据。
Awake 的安全调查平台主要优点如下:
1.通过在源和目标实体上自动构建上下文来全面分析网络流量。
2.使用人工智能对实体进行评分,并标记出最高风险的设备,用户或域名。
3.检测无文件恶意软件等最具威胁性的行为,暴露指挥和控制基础设施的攻击者。
4.将机构知识与人工智能结合起来,对安全威胁作出确凿的回应
5.不需要代理商,也不需要繁杂的手动配置,上手简单,不需要过多的培训
基于传统SOC的安全事件调查是繁琐低效的。现有的解决方案不会去主动构建一个描绘真实网络环境的实体数据模型,而是需要分析人员手动的重原始的数据中去提取信息实体。Awake的目标就是解放安全分析人员的双手,主动预测安全分析人员要处理的事件,极大的减少安全事件响应时间,使得防守者的响应速度赶上攻击者的行动,及时阻断恶意攻击。
以上就是今天为大家带来的创新沙盒企业的解读,后续我们将会继续探秘其他公司,敬请期待。
参考文献:
[1] https://www.gartner.com/newsroom/id/3744917
[2] https://www.acalvio.com/
内容编辑:创新中心 张星 邓新程 责任编辑:肖晴
往期回顾
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。
关于我们
绿盟科技研究通讯由绿盟科技创新中心负责运营,绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。
我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。
长按上方二维码,即可关注我们