扒一扒国外那些有趣的安全创业公司(一)

从大数据安全威胁情报,从威胁情报到人工智能安全——行业爆发的东风迟迟未到,每年一变的“市场热点”却始终在风口。

对安全创业者而言,追求“市场热点” 是危险的——痴心大咖语录,苦读Gartner报告,午夜时分拍案而起“行业的未来,就是它了!”“市面上的玩家都在包装概念,要做点真东西”——可等到把热点想明白、产品做出来,不想“市场热点”已经换了一茬……

“市场热点”初现江湖时,其真正市场其实是未知的,而未知市场的热点一般会在短期内被高估。这直接导致用户的期望值在初期被拔得很高,但当产品却很难达到预期,市场热点所带来的关注效应会立即被“炒作”“包装概念”所取代。

踩准爆发点,是一件困难事儿;抢在市场爆发之前占领先机,更是难上加难。也许相对简单的是,广泛学习和研究国外的安全创业公司和那些产品,以求从中洞悉些并不清晰的未来。

Cybereason:强调攻击链展示的EDR新玩家

Cybereason之所以吸引了我,不仅是因为它的视觉设计出色、交互新颖,也不是因为它的分析能力特别,最大的原因是美国RSA大会期间,这家公司提供了免费领便当的餐车……对于饥肠辘辘的出差狗而言,领了便当、酒足饭饱后自然要仔细看看产品。

IMG_2377.jpg

资料中Cybereason自我介绍是这样写的:下一代AV,通过终端数据自动检测威胁,提升企业和安全团队对威胁的响应能力。而在我试用Demo下来,笔者更觉得Cybereason接近于Anti-APT产品。

Cybereason最核心的产品特点当属对攻击链路的分析和展示——从攻击源头到攻击路径再到影响场景,这款产品可以综合关联所有事件构成并以很好的呈现给用户。首先,Sensor(传感器)组件会通过终端agent收集企业组织中的所有行为,然后交由Hunting Engine进行分析处理,值得一提的是,Cybereason宣称他们的实时分析能力是每秒800万次事件处理,其对恶意程序的行为分析技术和模型可以见检测未知威胁,分析维度包括恶意程序感染、异常连接、C&C(命令与控制)、传播、数据泄露。

233.jpg


Cybereason通过规则模型将攻击关联后,他的Resonpse Interface会给于用户一个可视化的攻击全景图,包括影响主机、影响用户、root事件、连接和所有行为的时间轴轨迹,既好看又有用——对攻击路径的分析和展现注定会成为未来入侵检测类产品的标配。

qq.jpg

OWL Cybersecurity:谜一样的暗网安全服务

“成为世界上最领先的暗网内容、工具和服务提供商,以持续增强客户的安全防御能力”——OWL Cybersecurity

我们必须面对的现实是,没有100%完美的防御,也没有攻不破的城门。当企业疑似遭到入侵,首先想到的响应方式就是第一时间确定丢失数据的范围以及找到泄露来源——作为世界上最大的黑市交易场所,针对暗网的数据搜索服务Darknet Security Service出世了

darknet.jpg

OWL Cybersecurity提供了SaaS产品和人工服务,风险评估看起来并没有什么特色。有点意思的自然是这家公司提供的自动化暗网数据SaaS平台——OWL Vision,它可以持续性监控暗网中数据,大幅降低人工分析和检索的耗时。

暗网数据搜索字段包括

国家

爬取时间

证书

信用卡

域名

Email地址

可疑程度(HACKISHNESS)*

IRC

语言

社保号

主题

笔者体验了一把Demo,输入关键词 China、Credit Card及几个国有银行的关键词,确实搜到了一些数据,不过从结果上看,误报和不相关的数据依然有较大比例存在,关于这个问题工作人员给我解释了可疑程度(HACKISHNESS)*值,系统会根据数据相关性、暗网黑市的热销度、地下黑客的利用程度进行打分。

Screen+Shot+2016-10-27+at+3.41.50+PM.png

Preempt:防火防盗防内鬼

用户行为分析(UEBA)近年来发展速度很快,FreeBuf上也有专业的解读。从国际厂商看,一些UEBA厂商凭借检测能力上的优势,已经在尝试颠覆原有市场格局,这类产品必将会带来深远的影响。笔者看了一圈带UEBA能力的传统公司,大多以SIEM功能包装为主,比较纯粹的不多——Preempt算的上一个异类,它也标榜自己是“业界首个行为防火墙”

Preempt行为防火墙可以将每个用户、账户、网络设备予以实时的安全评分,并对威胁进行适度的响应。它可以学习每个用户和设备的正常行为基线,在尝试、权限提升、攻击行为的蛛丝马迹中发现异常的用户、恶意的内部用户和攻击者。在响应方面,当一个潜在的风险用户会尝试突破认证环节,当多次弱口令尝试失败后,Preempt会将该用户锁定或隔离

234.jpg

应用场景

被入侵的账户或设备

发现账户、设备的威胁,尤其是攻击者或恶意程序入侵后作出的异常反应。Preempt会自动进行识别和阻断

侧面行为异常

发现大面积的异常状态,如Pass-Hash带来的大量用户权限提升“效应”、账户分享行为等

内部访问异常

Preempt会学习正常情况下IT资产的工作时间、地理位置、和应用场景,检测恶意的内部用户或“小白”用户

攻击检测

发现暴力破解攻击、Golden Ticket攻击、从AD中获取信息的攻击行为

部署特性

123.jpg

Preempt支持串联或并联部署(流量监听),同时可集成多种数据情报来源,包括VPN、防火墙、SIEM、SSO、云APP等,支持集中管理界面。

写不动了……在下一篇,我会跟大家聊聊近两年异军突起的一些“新生面孔”的安全产品。

*本文作者:Thanks,转载请注明来自FreeBuf专栏 – 安全产品研修院

11

更多精彩
发表评论

已有 1 条评论

取消
Loading...

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php