2019RSAC | 青梅煮酒論未來 – PM眼中的智慧安全分析發展趨勢
作為一款Cloud-native SIEM 的產品,Sentinel資料接入層面除了對接微軟自家的雲、終端、安全產品,對其生態下的廣大的一線/二線安全廠商的日誌也能很好的解讀,分析方面直接繼承微軟 AI 在資訊保安領域的積累。視覺化分析方面傳承了Security Graph Framework。其他的如威脅獵捕,SOAR相關的能力都是既有產品的能力”遷徙”+ “改造”。
Azure Sentinel作為剛Preview 的產品倒也一板一眼, 功能全沒有短板。 最大的殺手鐗還不是在其功能,Native Cloud 的彈性架構讓客戶做到無縫擴容,客戶再也不用為資料接入/儲存/分析量的增加而考慮硬體擴容。
另外,當各類資料儲存到 Microsoft Cloud 以後,對持續優化AI分析引擎所能達到的分析的效果,想象空間非常巨大。也跟部分分析師和客戶聊過,大家普遍相信安全分析最終是個資料者為王的遊戲。但微軟在這個方面出言謹慎。“我們不會主動挖掘客戶資料以獲得競爭上的優勢。”
雲廠商對客戶資料的使用向來謹慎。Sentinel 的定價策略還未最終出爐,估計會狠狠的利用自家Azure Cloud在成本上的優勢打破現有SIEM廠商的定價結構,這也是其他一線 SIEM 廠商比較擔心的。至於Sentinel 下一步的動作,PM 的思路簡單而直接,“對標目前的市場領導者,迅速追趕缺失的功能,同時將已有的產品的功能做的更好。”
Google Alphabet 旗下的 Chronicle 也推出了 Security Telemetry Service Backstory – 安全遙測服務 Backstory。從身著無領短袖的工程師範的PM Mr .C 演示的過程來看,Backstory是一個 Cloud Based Threat Hunting and Investigation Platform。在核心Google基礎架構上構建了新的一層,可以在其中上傳各類安全資料,包括DNS流量、網路流量、端點日誌、代理日誌等高容量資料,並保持了資料私密性 。
分析方法上主要是威脅情報(Virus Total, Proofpoint, Carbon Black, Avast)以及機器學習,跟歷史資料以及同組資料進行比較。UI視覺化方面,主介面仍然是搜尋為王的 Google範兒, 輸入資產資訊並執行搜尋後,以時間軸的方式顯示了資產所有的可疑行為,並輔以威脅情報提供上下文資訊。Backstory 不是基於資料量的license model, 而是基於使用者的數量。這對公司規模小,但是分析資料量大的公司是個利好。
由於 Google 目前在企業應用市場尚不算成功,Backstory 的震撼效應不如Azure Sentinel。Mr.C 說 他們下一步會注重整個企業安全生態建設,目前Backstory支撐接入的資料來源的種類和數量還很有限, 這是Chronicle 急需要突破的。
Securonix PM Mr. N在強調:對比較高階的客戶,除了產品外也更注重服務,一些安全諮詢類服務會率先在醫療行業釋出。
LogRhythm PM Mr. M強調他們的平臺也是個 Unified Security Platform for compliance, threat detection and incident response(跟瀚思全場景好像)。
相比較於其他廠商,他們的優勢是研發的產品/模組都是來自內部團隊,而不是通過公司併購。這很大程度上做到了產品設計風格的一致性。談到未來,Mr. M 表示他們會持續優化workflow,提升威脅全生命週期管理的效率。
玉盤珍羞值萬錢 – 從創新沙箱中成長出來的 NDR 玩家
很多廠商都說自己是 XDR (Everything Detection & Response)這個市場術語的初創者,不過就展會本身而言 ,XDR 宣傳力度最大的是PA Cortex XDR。可惜的是沒約上Cortex XDR PM,沒機會聽他自己角度評價自己的“baby”。
威脅視覺化不僅酷炫,而且一目瞭然,展示了實時情境分析、報警管理、攻擊鏈路圖、網路連線圖、事件時間表等更深層次的視覺化分析功能。取證功能方面能夠管理感測器策略,重放流量和使用者行為,以及手工建立警報通知。(跟瀚思的安全事件管理有些許相似 )不過個人覺得最大的亮點還是雲端方案,可利用低成本的雲端儲存,保留長時間的網路活動記錄。這也是 Verizon 收購其的核心因素。
T 在聊的過程中全程都很興奮,估計剛被收購心情很好。談到未來,他憧憬ProtectWise會在Verizon 的安全服務體系佔有重要的角色, 產品也會持續在 SaaS 應用 和 IOT 監控上加大力度,這些都能和即將到來的5G潮密切相關。
Awake 在去年創新沙箱入圍後產品也有了長足的進步。 CTO G 全職當班booth, 手舞足蹈的介紹起了他們的全新的、基於Cloud AI 的高階分析引擎 “Ava”。
Ava從資料接入起就把安全事件分為“全域性的”和“特定行業的”,結合使用基於雲平臺的聯合機器學習、開源智慧和專家系統,Ava最大限度地減少了安全團隊必須處置的事件和告警數量。
通過Ava,客戶還可以按需訪問Awake服務專家,以獲取最新的威脅研究、調查和獵捕的支援。同時客戶可以開啟反饋機制,將告警/安全事件處置的結果反饋Ava。Ava 的機器學習模型會根據反饋資料調整特徵工程的比重,持續調優演算法檢測模型。(跟瀚思NTA 中的異常流量監測設計神似 )
在 Incident Response 方面主要還是藉助第三方SIEM, EDR and Incident Response平臺,但會將響應所需的關鍵資訊如告警、安全事件、相關上下文資訊、威脅情報資訊重新組織以支撐響應決策。
談到未來, 手舞足蹈的 G 忽然冷靜了下來,Ava 目前還處於釋出的早期階段,他希望Ava 能在客戶處取得更多的成功。另外,內建響應平臺也是他看重的方向。
閒來垂釣碧溪上 – 和朋友們暢談全場景, Next-Gen SIEM, 下一代安全分析平臺, XDR
這次瀚思的booth 確實是個很好的平臺,匯聚各類朋友一起來聊產品,聊行業。Booth 的光顧者不少。除了介紹全場景安全Demo 自家產品,也在和各界安全同仁探討其他的安全話題:和Macy’s(梅西百貨)的安全團隊聊漏洞管理, 與BofA(美洲銀行) 的首席安全架構師談安全體系評估,同Omada Health 的應急響應團隊談響應流程,跟所有的客戶聊他們心中的NG-SIEM。 確實,世界在哪?我們在哪?
當問到對下一代 SIEM 應該具有哪些能力提出一些看法時,反饋最多還是的檢測響應應該是一個統一的平臺。同時客戶希望廠商能夠簡化定價體系。
感謝國內外友商的產品團隊來booth交流,以及中關村、友商對瀚思booth 的支援。每次的產品技術交流都深感獲益匪淺,國內團隊的頂層設計、高屋建瓴。國外團隊的技術驅動、細節導向。大家開誠佈公的表達、探討和交流。各種思想的碰撞促進大家取長補短,共同提高。
回頭看本屆 RSAC 安全分析類產品,如果一定要用一兩個詞來總結趨勢的話,我們會用 Cloud-native SIEM, 雲時代的規模效益給智慧安全分析帶來的改變。 Cloud-native SIEM 有多種解讀,彈性架構帶來的實施運維便利,低成本海量資料的儲存可以以小成本分析長週期數據,超海量資料給AI engine 調優帶來的化學反應。但Cloud能否給智慧安全分析帶來真正意義上的變革?
我就用 Splunk PM 的話結束吧!“Let’s Wait and See!”
最後安利一個福利
關於如何順利開展下一代安全建設話題,我們團隊去年與Gartner聯合釋出了國內首個大資料安全分析領域國際性報告《全場景安全賦能數字化轉型》,歡迎大家下載並留言與我們交流 https://www.hansight.com/