RSA 2020新品调研:解密改善安全运营效能的“法宝”
星期五, 三月 6, 2020
RSA 2020在旧金山落下帷幕。大会期间共有41家安全厂商发布了新产品,涉及安全安全管理、威胁情报、安全开发、安全演练与测试、安全认证与可信环境、网络安全、云安全、应用安全、终端安全和数据安全11个领域,基本上覆盖了企业网络安全所有需求。其中安全管理类产品、服务和平台共计14款,占比37%,是技术和产品演进速度最快的一个领域。
2020年RSA大会发布新品分布情况
接下来绿盟君将以安全运营的视角,盘点、总结下新产品和服务,看看它们可以帮助企业解决哪些问题,带来什么样的变化。
RSA 2020大会期间发布的新产品主要有两个特征:第一,过去两年在大会上的热点产品与技术已趋于成熟,例如SOAR、MDR服务、MSS服务;第二,传统的产品和技术在进一步演进和更新,例如具备可信验证功能的认证产品与技术,攻击模拟和靶场技术与安全管理平台。
企业和机构在构建和完善安全运营体系可以考虑:
SOAR仍然是此次在大会议题中的热点。会议期间,知名厂商CISCO和Palo Alto都发布和更新了SOAR产品,此次发布的新品可以SIEM及威胁情报相互集成和融合,标志着SOAR技术已经融入安全技术体系。
SOAR技术可以帮助用户逐步实现安全响应的自动化、流程化,用户可以根据已有的应急响应预案结合自身网络环境及安全设备,预先设置威胁处置和事件处置的剧本(Playbook),将威胁和安全事件响应周期缩短到至准实时成程度。
SOAR的部署和实施将极大提升用户安全攻防与对抗能力,一方面它可以将威胁监测与研判人员的精力从数量庞大常见攻击行为工作中释放出来,集中精力处置没有预案的高危行为。另外一方面,SOAR的实施也将大幅提升攻击者探测、攻击、进一步渗透等环节时间成本和曝光率,对攻击行为起到震慑和压制作用。
图:SOAR实现架构图
飞塔发布的FortiAI是一个独立的产品,FortiAI主要应用于威胁和可疑事件的分析研判阶段,通过自动化分析和研判,大幅度提升可疑事件的分析研判速度。在攻防演练和对抗中,此类技术可以大幅提升威胁分析师的分析效率和分析能力,确保分析能力不会成为对抗的瓶颈。
FortiAI采用自学习的深度神经网络(DNN)技术,并且作为一个独立的产品发布,也一定程度上反映了大数据分析和机器学习技术在威胁分析领域的应用已经逐步成熟。
图:威胁自动化分析与研判的应用
KeySight发布的Breach Defense平台,集成了攻击模拟的功能,用户可以使用该功能对网络进行模拟攻击行为,对网络安全防护有效性进行验证和评估。从安全管理角度看,在相对接近真实环境中进行攻防演练,可以更真实地反应和暴露网络安全防护中存在的问题,根据演练的结果进行整改和改造,更具备针对性和有效性。当企业面对复杂和庞大的安全框架无从下手时,采用靶场技术和攻防演练评估下一步优化和改进的内容将是一种最好的选择。未来,企业和机构的日常安全运营体系需要构建安全度量和安全验证机制,在技术上将安全管理平台集成或对接“靶场”与模拟攻击技术将是一种趋势。
图:靶场系统的样例
此次大会期间,McAfee、CrowdStride、Secureworks等知名服务商相继对MDR、SIEM-aaS、MSS服务进行升级,基于云端的服务日趋完善。McAfee的MDR服务及CrowdStrike通过合作和平台开放,扩大服务的地域范围;Exabeam在SIEM-aaS(基于云端的事件管理自服务平台)整合UEBA(行为分析)能力;SentinelOne的XDR平台具备容器安全的检测与防护能力,SecureWork MSS服务增加了资产配置检查与管理功能。
云端远程服务逐步具备了替代和超越本地化部署的产品,企业和机构的安全运营将有更多的选择。大型企业和机构可以选择自建安全运营中心,开放安全能力,向下级单位输出MDR、MSS和SECaaS服务,中小型企业可以选择使用MDR、MSS及SECaaS服务构建补充自己的安全能力。
MDR服务示意图
大会期间,各大厂商共发布了4款认证相关的新品,其中GreatHorn发布的解决方案和CyberArk的Endpoint Privilege Manager产品比较有特点,这两款产品和解决方案在认证的基础上增加了可信验证的功能。GreatHorn发布的帐号接管保护是一种基于生物识别技术解决方案,能够识别受感染的帐户并根据用户的输入模式鉴定接管尝试,进一步通过用户行为判定用户是否可信。CyberArk 的Endpoint Privilege Manager增加了特权的防欺骗功能,通过可信验证机制在工作站和服务器上的凭证被盗时帮助用户快速检测并主动关闭正在进行的攻击。
传统认证机制在特定场景下(例如帐号被盗用、弱口令被猜解、开放未授权访问机制的应用)会失效,认证技术逐步融合可信验证功能是一种趋势。
Juniper 对SRX防火墙系列产品和云进行了升级,两类产品无需在不解密的情况具备加密流量检测功能和能力。加密流量检测是网关类检测设备的盲点,由于网络性能降低和私有协议难以解析的原因,网关类检测设备难以通过解密来对加密流量检测。这导致企业只能依赖于终端检测技术对攻陷主机进行检测。Juniper在SRX产品实现加密流量检测后,企业可以通过该网关类设备在边界实现非法外联主机的检测与发现,网络运营商可以具备识别被黑客控制的僵尸主机和IoT设备的能力。
Imperva发布的 Advanced Bot Protection新的解决方案,采用的机器人防火墙技术,用户能够识别并且拦截没有攻击特征的异常行为,例如CC攻击(DDoS攻击的一种,借助代理服务器生成海量合法请求进行攻击)。采用机器人防火墙技术可以有效对网络抓取,交易欺诈,竞争性数据挖掘,未经授权的漏洞扫描,以及网络和移动API滥用进行防护。
CrowdStrike发布的Endpoint Recovery Services,是通过远程方式帮助用户在入侵后恢复业务运营的一种服务,该服务可以加速事件恢复生命周期,以最大程度地减少中断,减少企业的损失。
绿盟智能安全运营中心(NSFOCUS Intelligent Security Operation Center,iSOC)是遵循绿盟智慧安全2.0理念,以运营为中心,智能化、全场景的统一安全管理平台。iSOC以大数据框架为基础,结合威胁情报系统,通过对攻防场景的机器学习、威胁建模、场景关联分析、异常行为分析以及安全编排自动化、可视化呈现等技术,帮助客户建立和完善安全态势全面监控、安全威胁实时预警、资产及漏洞全生命周期管理、安全事故紧急响应能力。通过独有的自适应体系架构,为安全运营提供可靠的信息数据支撑,协助客户快速发现和分析安全问题,并通过运维手段实现安全闭环管理。
绿盟网络靶场通过SDN、Docker、流量仿真、虚实结合、APT知识图谱,大数据安全态势感知等技术构建各种云、大、物、工等各类环境的仿真场景,实现网络安全实训、竞技比赛、APT仿真演练、护网演练、攻防武器测试、产品测试评估和技术研究验证,满足用户进行人才培养、攻防演练和测试研究的需求。
绿盟科技机器人防火墙主要解决客户Web系统、业务平台等Bot流量的管理以及安全防护的,可以解决暴破、爬取用户信息,撞库等安全问题。帮助客户实现API请求防护和管控、机器人流量管理。能够通过对各个业务接口的保护实现打击窃取用户隐私、撞库、薅羊毛、黄牛党等恶意行为,有效拦截自动化攻击、针对API的手动参数篡改两大攻击方式,提升攻击者的攻击难度,保障业务系统稳定运行、实现业务能力提升。
绿盟一体化安全运营解决方案(简称MDR服务)是以资产为基础,实现威胁、脆弱性管理闭环,并通过服务工具提升检测及防护效果的一站式安全运营解决方案。通过为客户提供从规划、建设到运维的全价值链,贯穿预警、防护、监测、响应和处置的安全闭环流程,以持续降低企业的安全风险。