RSA创新沙盒盘点 | Sevco Security——专注数据融合的资产管理平台
日期:2022年05月27日 阅:146
RSAConference2022将于旧金山时间6月6日召开[1]。大会的Innovation Sandbox(沙盒)大赛作为“安全圈的奥斯卡”,每年都备受瞩目,成为全球网络安全行业技术创新和投资的风向标。
前不久,RSA官方宣布了最终入选创新沙盒的十强初创公司:Araali Networks、BastionZero、Cado Security、Cycode、Dasera、Lightspin、Neosec、Sevco Security、Talon Cyber Security和Torq。
绿盟君将通过背景介绍、产品特点、点评分析等,带大家了解入围的十强厂商。今天,我们要介绍的厂商是:Sevco Security。
Sevco Security(以下简称Sevco)成立于2020年,总部位于得克萨斯州奥斯汀,是一家提供网络安全服务和产品的公司。核心产品Sevco资产管理平台,可通过集成现有资产管理平台的资产清单,对多源资产管理软件的数据融合,建立更全面的资产库,以识别企业网络中的脆弱资产,从而实时跟踪资产库中资产状态变化情况。
Sevco的初创团队主要来自Carbon Black(终端安全公司,2018年在纳斯达克上市)和Cylance(人工智能和网络安全公司,已被黑莓14亿美金收购)等成功创业团队,以及Proofpoint、Sophos和JASK等公司的安全专家,具体情况如图1所示[2]。
截止目前Sevco共有两轮融资,分别是2021年5月20日融资14999999美元,由406 Ventures和其他4家投资机构投资;2020年5月18日融资6749998美元,由406 Ventures投资。此外,2020年9月17日,Sevco被Welp Magazine 评选为网络安全领域50家最佳初创公司之一[3]。
2021年7月14日,Gartner发布的《2021安全运营技术成熟度曲线》[11]提到了两种新兴技术,来进一步解决企业对外暴露资产的安全问题,分别是CAASM(网络资产攻击面管理)和EASM(外部攻击面管理)。最近ESG发起一项企业IT资产盘点频率的调查,从图2[4]调查结果可知,有79%的受访企业资产盘点频率在一个月一次以上,但在当前高度动态的环境中,定期资产快照几乎马上就会失效,所以目前大部分企业并不能准确掌握其组织内所有的资产清单。
此外,企业资产安全管理的一个主要问题就是资产的“数据孤岛”问题。具体来说,企业内部资产数据通常由不同的团队或个人进行管理,目前IT资产管理没有一个上层统一的管理平台,并且各个团队或个人对IT资产管理重要性的优先级也各不相同。因此,当资产管理人员开始IT资产盘点时,就必须协调组织内的多个资产相关负责团队,协作构建一个自动化IT资产清单。该做法不仅十分困难,而且成本高昂。
针对上述难点,Sevco给出了一套可云原生部署的IT资产管理解决方案,旨在解决企业物理和数字资产管理问题。Sevco能够通过调用企业内现有资产管理产品的API,而不需要代理或扫描器等侵入性方法来实现这一全面视图,接下来将详细介绍Sevco的资产管理平台功能。
01多源资产清单融合
为了获得全面准确的企业资产信息,需要融合环境中现有的不同资产数据源。当数据源达到一定量级的时候,资产重复必然会出现,只有把各种来源联系统一起来,我们才能准确给出企业的资产清单。Sevco提供了一个多源资产清单融合模型,如图3 [4]所示,Sevco可以将终端管理软件、AD域服务、补丁管理的数据源进行融合分析,从而可以直观看到企业资产清单及安全防护现状。
Sevco资产管理平台已支持5种产品的资产数据收集、分析与展示,分别是:Automox、CrowdStrike、Lansweeper、MalwareBytes Nebula、Microsoft AD,下面简单介绍下这些产品。
Automox
Automox[5]成立于2015年,其核心产品是一款终端管理运营平台,可以为IT团队提供所需的可见性、自动化和控制能力,从而推进大规模运营、简化IT工作流程、最大限度降低企业安全风险。IT运营团队借助该产品的自动化能力和实时可见性,可以轻松跟上企业基础设施发展的步伐,为其业务提供更具战略意义的价值和安全成果。
CrowdStrike
CrowdStrike[6]是全球知名的终端安全厂商,公司成立于2011年,核心产品为威胁情报平台Falcon X和终端管理平台(EDR)。这些产品不但能够保护IT安全,还可以进行终端检测和响应、统一管理威胁搜索和威胁情报。CrowdStrike功能架构图4所示。
Lansweeper
Lansweeper[7]可发现连接到网络的IT资产,并且无需在计算机上安装任何探针。Lansweeper DeepScan引擎可以扫描并收集企业的资产信息,包括:硬件信息、安装的软件、用户详细信息等。除Lansweeper DeepScan 技术外,Lansweeper还可以集成其他资产平台,从而丰富其资产数据。Lansweeper可以通过接口获取其他资产平台的数据,从而给用户提供详细的资产清单。此外,Lansweeper还提供资产清单查询接口,可以供组织内的其他资产平台进行查询,更新完善其资产库。
MalwareBytes Nebula
Malwarebytes[8]成立于2008年,MalwareBytes Nebula平台可在整个Malwarebytes产品组合中提供云交付和系列产品统一管理,其安全能力包括事件响应、终端防护,以及终端检测与响应。该产品的功能包括UI界面、威胁报告生成、资产报告生成和API集成。这些功能可以有效防止主机被篡改,并生成可视化的威胁报告与资产报告,以证明安全管理的有效性。
Microsoft Active Directory
Microsoft Active Directory(AD)[9]是微软基于LDAP提供给SERVER平台的目录服务。域(domain)是逻辑上的概念,通常是一个安全边界,主要对资源进行集中控制和简化管理。企业通常使用Microsoft Active Directory作为跟踪用户和相关网络资源的标准目录服务。显然它是资产信息一个高度可信的来源。但是Active Directory不是作为资产清查系统设计的,它对不需要访问和验证Windows资源的系统并不关注。
Sevco可以对不同来源的资产清单数据进行交叉检索,通过对各个数据源的资产和漏洞清单进行对比,可以获得更全的资产视图。从Sevco资产管理平台示界面图5(图5、图6、图7均来自该参考[10])可知,Microsoft AD共发现了640个资产,但是其中有58个资产Automox和CrowdStrike资产管理平台都没有覆盖到。就说明这些设备很可能没有及时进行漏洞检测和补丁管理,这些被遗漏的资产都是企业的信息安全风险点。当这些资产遭到漏洞利用攻击时,Sevco可以及时对被攻击资产做策略隔离,从而大大降低企业的资产感染扩散面。
Sevco可通过资产的交叉查询,检索到企业内的安全防护盲点。如图6所示,通过简单的搜索配置即可找到没有安装CrowdStrike EDR的资产。该功能不仅方便资产管理员进行查漏补缺,而且这些资产也是企业威胁跟踪和IoC(Indicator of Compromise)关联的优先关注对象,因此该功能可以有效的完善企业的安全覆盖面。
02动态资产监控
Sevco使用网络遥测技术动态地对企业资产的属性变化进行监控,通过对每个报告的资产状态与之前报告的状态进行比较,实时标记资产变化情况,检测资产的变化主要包括两方面:资产库存变更和资产属性变更。资产库存变更包括:新增或删除资产、历史过时资产的监控;资产属性变更包括:IP、主机名、MAC地址的监控。
具体功能如图7所示,Sevco可以在资产管理页面查看资产的状态,通过对多方数据源的聚合分析,最后给出资产的最近活跃状态。此外,Sevco可以通过不同源提供的资产快照,分析资产的安全属性,比如最近一次打补丁的时间、是否安装EDR等信息;通过UI上展示的颜色深度表示上一次活跃的时间,颜色越深时间越久。
03云原生可扩展部署
Sevco资产管理平台用云原生的方式进行部署,该部署方式的优势包含:极致弹性能力,可以实现服务的快速启动和停止;服务自治能力,当某个应用出现故障时,编排系统能够及时发现并自动摘除问题应用并智能调度,保证了应用系统的稳定运行;扩展性,可以跨越部署到不同的环境中扩展,以此作为容灾备份。此外,Sevco还具备以下特点:
基于API体系结构设计
Sevco通过API连接到现有工具只需要简单配置即可实现。无需安装的代理,也不用部署网络扫描服务。
安全且可扩展部署
Sevco资产管理平台自身会做严格安全检查,所以用户可以放心地进行本地部署,此外Sevco采用云原生的方式进行部署,可以跨越部署到不同环境中扩展,以此作为容灾备份。
资产清单推送
Sevco合并的资产清单和资产遥测事件可以推送给企业的SIEMS、CMDB等IT系统。准确、高保真的数据可以在不更改现有流程或程序的情况下,共享给现有资产平台。
近年来,CAASM(网络资产攻击面管理)和EASM(外部攻击面管理)被作为新型技术与大家见面。我们知道无论是“资产管理”或“脆弱性管理”都是安全圈的老面孔,资产和漏洞管理虽然是“昨天”的问题,但是做得确实还不够好。并且技术和业务推进导致的资产动态变更,以及“Shadow IT”带来的安全风险目前并没有很好的解决办法,所以CAASM和EASM才被Gartner定义为新兴的安全技术。
2019年RSAC做资产管理的产品Axonius夺得冠军[12],当时我们同样写过该产品的分析文章[13],Axonius不需要安装终端或者代理,也不做资产扫描和被动流量监测,而是通过资产插件兼容其他的资产管理类软件,对资产清单进行融合管理。截止目前其官网宣称已经支持了451个系统和设备的对接和适配。不难发现,Sevco的理念和Axonius十分接近,同样不做资产采集,只做数据融合和资产分析,只是支持的资产数据源和分析的方式略有差异,Sevco更致力于对不同平台的数据进行交叉分析,通过对不同的数据源关联,分析企业现有资产管理的薄弱点。此外,从这两款资产管理产品的功能可以看出,对多方资产数据的整合是资产管理的一种趋势,至少目前还没有一个“all in one”资产解决方案,数据融合共享是一个可以快速达到资产管理目的的方法;但该模式的产品技术壁垒相对模糊,有较被高替代和复制的风险。
从冠军预测的角度来看,RSAC已经有了一个资产管理产品夺冠(Axonius),所以Sevco的压力仍然比较大,无论是产品理念还是功能至少都要超过前面的“前辈”们。抛开夺冠预测不谈,近年来资产安全管理的话题越来越热,目前并没有一款产品能解决所有的企业资产管理问题。随着IT环境的变化、攻防博弈日益“内卷”,企业的资产管理的问题越来越细致和具体。从产品形态来看,Sevco的数据融合理念无疑是一种资产管理的趋势,对企业现有产品的扫描能力、终端检测、被动流量、威胁情报等能力进行复用整合,大大减少重复造轮子,这样可以更专注于资产平台的管理属性,这恰恰是用户更需要的能力。最后,我们认为企业资产安全建设,不能全部依赖于安全厂商的盒子去做安全防护,安全厂商同样也不能只站在传统安全的角度去对待企业资产,资产管理需要二者相互配合,共同建立资产发现能力,通过不断的迭代和运营,才能真正解决企业资产安全管理这一“进行时”的问题。
参考文献
[1]https://www.rsaconference.com/usa/programs/innovation-sandbox
[2]https://sevcosecurity.com
[3]https://www.crunchbase.com/organization/sevco-security/company_financials
[4]https://content.sevcosecurity.com/hubfs/Sevco_Report_V3.1.pdf?hsLang=en
[5]https://www.automox.com/features
[6]https://www.CrowdStrike.com/
[7]https://content.lansweeper.com/
[8]https://try.malwarebytes.com/
[9]https://www.quest.com/cn-zh/solutions/active-directory/what-is-active-directory.aspx
[10]https://www.youtube.com/watch?v=7H6zxWnzwcQ
[11]Gartner《2021安全运营技术成熟度曲线》Hype Cycle for Security Operations, 2021
[12]https://www.axonius.com/adapters
[13]http://blog.nsfocus.net/rsa2019-axonius-plug-in-asset-management-integrating-multi-party-systems/