2018RSA创新沙盒公司解读(二)
2018RSA大会召开在即,每年的RSA大会上,创新沙盒环节都是关注的焦点。今年入围创新沙盒前十名的公司分别是(按字母顺序排名):Acalvio Technologies, Awake Security, BigID, BlueVector, CyberGRX, Fortanix, Hysolate, ReFirm Labs, ShieldX Networks and StackRox 。
我们已经在2018RSA创新沙盒公司解读(一)中对Acalvio Technologies&Awake Security两家公司进行了揭秘,今天将继续探秘解读BlueVector&BigID两家公司。
BluVector专注于使用最新的AI技术解决网络安全的问题,以达到对复杂的网络威胁进行实时的检测和响应。其优势在于,BluVector与美国情报体系合作长达8年之久,充分利用了美国情报体系的威胁数据,因此能够对新的威胁进行迅速有效的防护。
1公司产品
BluVector Cortex是一个AI驱动的网络安全检测和响应平台。该平台主要为大中型公司设计,能够实时精确有效的检测,分析复杂的网络威胁,包括无文件恶意软件(fileless malware),0day恶意软件(zero-day malware)和勒索软件(ransomware)。因此,BluVector Cortex可以被视为基于AI、机器学习和推测性代码执行引擎的下一代NIDS(Network Intrusion Detection Systems)。
具体来说,BluVector Cortex主要包括以下三个部分:
基于AI的检测引擎,通过网络流量来检测基于文件的和无文件的网络威胁。首先是一个机器学习引擎,基于8年的情报、国防和商业部门的数据进行训练,可以精确的发现0day和多态的恶意软件。其次是一个推测性代码执行引擎,用来实时检测网络中的无文件恶意软件。
智能决策支持,通过可视化的方式为威胁安全团队提供经过预先关联的与高优先级安全事件相关的安全日志条目,用于进行分析。
一个可扩展的连接器框架,可以自动执行搜索过程,协调对威胁的响应,并可轻松集成其他安全解决方案。
BluVector Cortex的技术优势如下:
灵活部署
BluVector Cortex提供多种形式和性能供选择。如图 1所示,它通常通过网络TAP或跨越传统网络安全设备(如下一代防火墙和Web网关)进行部署。一个可扩展的连接框架用于支持BluVector Cortex进行接收和关联多种威胁情报源的数据,向SIEMs(例如Splunk 和QRadar)发送事件,并与终端监测响应系统进行集成,对威胁进行阻断。
可扩展的检测架构
BluVector Cortex并行运行多种检测引擎,以确保对复杂网络攻击的检测。同时,对于高级用户,Docker化的系统使用户可以快捷的添加自定义分析引擎到BluVector的威胁检测生态系统中。
高性能和可扩展性
为了支持国防,情报和商业部门对检测速度和性能要求,BluVector Cortex的线速分析功能可以满足不同规模的公司的要求。
图 1. BluVector Cortex的部署方式
在企业中,管理,监视,更新和调整安全设备的过程需要消耗很多时间。为了更高效的对网络攻击进行检测,分析和响应,BluVector通过BluVector Pulse为BluVector Cortex平台提供了24x7x365的健康度和可用性的管理与监控。
BluVector Pulse的特性如表1所示。
表1. BluVector Pulse的特性
特征 | 描述 | 运行时间 |
健康度和心跳监控 | 监控系统的资源和进程,以主动响应系统发生的问题或者潜在的问题。 | 24 x 7 x 365 |
高危问题维护 | 远程对系统的严重问题进行及时的维护 | 24 x 7 x 365 |
通常的配置和调整 | 主动维护系统和资源以优化产品性能 | 星期一至星期五 08:00 - 18:00 |
配置和调整请求 | 根据客户要求,可以对系统配置进行更改,以集成新的第三方产品,导入情报或执行其他系统调整 | 星期一至星期五 08:00 - 18:00 |
系统更新和升级 | 如果有新的软件发布,BluVector会与客户协作对BluVector Cortex系统进行升级 | 星期一至星期五 08:00 - 18:00 |
2关键技术
通过结合与关联多个恶意软件检测与分析引擎,BluVector为客户提供了全面的网络安全解决方案。其关键技术如下:
BluVector的机器学习引擎是一种监督式学习的引擎。该引擎拥有35个文件分类器,基于美国情报体系的威胁数据进行预先的训练,用来评估所有文件的是恶意的概率,从“正常”到“未知”到“恶意”。同时,该引擎可以检测多种恶意软件,包括办公文档,可执行文件,文档中包含的宏,嵌入式JavaScript以及看似合法的系统更新,检测精度高达99.1%以上。
BluVector的推测性代码执行引擎是安全市场上第一款专为分析与检测无文件恶意软件而开发的系统。该引擎能够模拟代码在内存中执行时的行为方式,以及这些行为可能在多大程度上引发安全问题。通过覆盖所有潜在的执行链并专注于恶意容量而不是恶意行为,该技术大大减少了执行环境的数量和必须调查的分析结果的数量,同时对无文件恶意软件具有超过99%的检测精度。
Targeted Logger是一个网络取证工具,负责向安全团队提供可视化的经过预先分析的日志条目,旨在实现网络狩猎活动的自动化。当某个事件被机器学习引擎或推测性代码执行引擎标记为可疑或恶意时,Targeted Logger将开始扫描此事件,以查找事件发生前后15分钟内的事件条目。通过匹配准则(主机IP,域名等)将与事件相关的条目收集起来并与该事件一起存储。
综上所述,BluVector强大的机器学习和推测性代码执行技术使企业能够准确识别高级恶意软件攻击,将网络安全事件风险降至最低。
1BigID公司情况
BigID公司是一家位于以色列特拉维夫和美国纽约的一家初创高科技公司,成立于2016年。在2016年的融资中该公司原计划融资210万美元,结果获得了高达1610万美元的首轮融资。在2018年,考虑到公司的解决方案可以帮助企业应对GDPR法规的需求,BigID公司开展了1400万美元的A轮融资。截止2018年3月份,该公司拥有16名员工。
BigID公司目前就只有一款平台分析类产品。产品宣传认为其可以很好的应对GDPR,PI,PII等欧美合规要求,帮助企业更好的确保他们所拥有敏感数据的私密性,减少数据泄露,强化数据的合规保护。就满足GDPR合规性的方面,产品宣称具备以下特点:
数据最小化:通过重复发现和相关性确保数据最小化
许可管理:证明个人数据收集得到了用户的许可
泄露提醒:遵守违反通告窗口
数据主体权利:满足客户数据可携性支持以及支持遗忘数据的权利
数据驻留:提供数据驻留风险的分析
图:产品仪表板
图:信息溯源
图:数据流工具
图:风险配置
图:信息扫描结果
图:输出报告
2BigID产品沙盒技术分析
BigID公司的CEO Dimitri Sirota对外提到“想象我们是数据的谷歌,我们对数据进行检索归类,指出信息是属于哪个实体,数据的主体,但是它是虚拟的。我们不拷贝数据。它们仍保留在它们原有的地方”。笔者和BigID公司的Greg Pavlik进行了简单的交流,Greg Pavlik也展示和介绍了该公司产品的功能和界面,但对其技术细节没有更多的描述。此外,BigID公司官网产品资料披露信息极少,因此结合该公司高管的发言和员工的交流介绍与demo展示,笔者判断该公司产品是采用了一种称为数据沙盒(Data Sandbox)的技术,这个技术在大数据分析领域也有称为分析沙盒(Analytic Sandbox)。该沙盒技术不同于以往我们传统认知在防御入侵领域的沙盒技术。在防御入侵检测领域,Sandbox多为以虚拟方式模拟一个终端或一个运行环境,检测未知代码在该虚拟环境中的运行状况,并根据运行状况来判断其是否是怀有恶意。在大数据领域,数据沙盒技术(Data Sandbox)是一种大数据分析应用手段。其原理是基于针对大数据分析的需要,不对原始数据进行拷贝和分析,仅搜索原始的结构化或非架构化的数据,形成新的数据信息仓库(data shadow warehouse)。然后根据事先定义的分析引擎去对提取的信息进行关联分析。数据沙盒技术并不算很新,多年前就已经出现,并在一些超大型跨国企业中得到了应用。
下面将对数据沙盒的特点和架构做一个简要的特点介绍和架构分析
数据沙盒的特点
数据沙盒会采用先进的BI(Machine Learning)和AI(Artificial Intelligence)技术帮助其对数据信息进行验证和分析
数据沙盒本身可以是一个独立的分析引擎凭条,也可以运行在Hadoop之上
实践中,数据沙盒多支持各种数据库以及多种数据结构,包括SQL数据库(如MSSQL,Oracle等)和NoSQL数据库(如MongoDB,Cassandra等)
数据沙盒允许分析引擎从多种大数据仓库中搜索各类数据。这些数据仓库可以是本地的,也可以是云端的。数据沙盒将搜索到的数据进行信息提取并以某种固定格式进行存储,最终形成一个虚拟的数据集市(data mart )
数据沙盒本身内置多种分析模型,这些模型多根据数据分析专家的需要(如商业情报或隐私保护)来进行编制。数据沙盒将根据这些分析模型对虚拟的data mart进行分析和结果呈现
数据沙盒的硬件设施包括大量的并行集中处理单元,高速内存,高性能存储和I/O接口能力。
数据沙盒架构展示
图:数据沙盒的原理架构设计
3结束语
数据沙盒(Data Sandbox)是一种大数据分析技术。根据得到信息,笔者判断BigID公司其Sandbox的技术核心应该是采用了数据沙盒的概念和技术。通过Greg Pavlik的介绍和展示我个人认为该公司产品将数据沙盒技术与GDPR这类合规要求进行结合,创造出一种新的合规安全管控产品,从目前情况看该平台产品属于为数不多的专门针对数据合规隐私保护的平台产品。而且该平台确实能够帮助受监管的机构在一定程度上有效的管控和保护隐私数据。相信这也是RSA大会将其列为2018年度RSA大会的10大Sandbox创新厂商之一的原因。我个人觉得这类产品的出现可为国内安全厂家在产品研发上提供一种新的思路,相信通过本次RSA大会的宣传,国内国外的合规管控产品将出现一些新的气象。
以上就是本次的创新沙盒企业解读,后续我们将会继续探秘其他公司,敬请期待。
往期回顾
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。
关于我们
绿盟科技研究通讯由绿盟科技创新中心负责运营,绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。
我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。
长按上方二维码,即可关注我们