2019RSAC | 青梅煮酒论未来 – PM眼中的智能安全分析发展趋势 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

2019RSAC | 青梅煮酒论未来 – PM眼中的智能安全分析发展趋势

carriegg 新闻 2019-03-14 10:28:38
313868
收藏

导语:RSAC也是个很好的平台,可以和国内外智能安全分析领域(SIEM/UEBA/XDR/NTA/EDR)知名厂商的产品经理,以及分析师、全球客户、合作伙伴进行深度交流,畅谈这一领域的现状和未来

一年一度的 RSAC 2019 已经尘埃落定,瀚思科技今年携全场景安全 HanSight Unified Security Platform新版本亮相大会,颇受关注。同时RSAC也是个很好的平台,可以和国内外智能安全分析领域(SIEM/UEBA/XDR/NTA/EDR)知名厂商的产品经理,以及分析师、全球客户、合作伙伴进行深度交流,畅谈这一领域的现状和未来。

2d3d.jpg

金樽清酒斗十千 – 大厂横空杀入

微软在大会前发布了SIEM产品Microsoft Azure Sentinel,预示着本届大会Azure Sentinel 注定成为焦点。 等到会场发觉Sentinel 的备受关注,以及和一线大厂的产品经理聊下来感受到的挑战,大家还是被微软“搅局”威慑到了。

跟 Azure Sentinel 产品经理 Miss L聊了一下,了解到目前这个Cloud SIEM 版本是90个工程师花了7个月“搭”出来的。“对我们来说这款产品需要的所有功能模块的组建代码我们都有,甚至有好几套。就是要想清楚要不要做这个事情,以及第一阶段要做多少的问题。” L 对她的得意之作津津乐道。微软Sentinel 就是要把他们在云企业产品的经验,以及在终端、应用、安全产品的优势发挥到极致。

图片 1.png

作为一款Cloud-native SIEM 的产品,Sentinel数据接入层面除了对接微软自家的云、终端、安全产品,对其生态下的广大的一线/二线安全厂商的日志也能很好的解读,分析方面直接继承微软 AI 在信息安全领域的积累。可视化分析方面传承了Security Graph Framework。其他的如威胁猎捕,SOAR相关的能力都是既有产品的能力”迁徙”+ “改造”。

Azure Sentinel作为刚Preview 的产品倒也一板一眼, 功能全没有短板。 最大的杀手锏还不是在其功能,Native Cloud 的弹性架构让客户做到无缝扩容,客户再也不用为数据接入/存储/分析量的增加而考虑硬件扩容。

另外,当各类数据存储到 Microsoft Cloud 以后,对持续优化AI分析引擎所能达到的分析的效果,想象空间非常巨大。也跟部分分析师和客户聊过,大家普遍相信安全分析最终是个数据者为王的游戏。但微软在这个方面出言谨慎。“我们不会主动挖掘客户数据以获得竞争上的优势。”

云厂商对客户数据的使用向来谨慎。Sentinel 的定价策略还未最终出炉,估计会狠狠的利用自家Azure Cloud在成本上的优势打破现有SIEM厂商的定价结构,这也是其他一线 SIEM 厂商比较担心的。至于Sentinel 下一步的动作,PM 的思路简单而直接,“对标目前的市场领导者,迅速追赶缺失的功能,同时将已有的产品的功能做的更好。”

Google Alphabet 旗下的 Chronicle 也推出了 Security Telemetry Service Backstory - 安全遥测服务 Backstory。从身着无领短袖的工程师范的PM Mr .C 演示的过程来看,Backstory是一个 Cloud Based Threat Hunting and Investigation Platform。在核心Google基础架构上构建了新的一层,可以在其中上传各类安全数据,包括DNS流量、网络流量、端点日志、代理日志等高容量数据,并保持了数据私密性 。

分析方法上主要是威胁情报(Virus Total, Proofpoint, Carbon Black, Avast)以及机器学习,跟历史数据以及同组数据进行比较。UI可视化方面,主界面仍然是搜索为王的 Google范儿, 输入资产信息并执行搜索后,以时间轴的方式显示了资产所有的可疑行为,并辅以威胁情报提供上下文信息。Backstory 不是基于数据量的license model, 而是基于用户的数量。这对公司规模小,但是分析数据量大的公司是个利好。

由于 Google 目前在企业应用市场尚不算成功,Backstory 的震撼效应不如Azure Sentinel。Mr.C 说 他们下一步会注重整个企业安全生态建设,目前Backstory支撑接入的数据源的种类和数量还很有限, 这是Chronicle 急需要突破的。

图片 2.png

而其他 SIEM/UEBA 厂商,Splunk、LogRhythm、Securonix总体没有特别大的新闻。

Splunk PM Mr.G 说他们上季全球有600+ 新企业级的客户 on board ,保持了高成长,接下来会考虑如何把现在的产品做裁剪,以合适的功能、产品形态、服务定价体系来“吃”相对低端的市场。

Securonix PM Mr. N在强调:对比较高端的客户,除了产品外也更注重服务,一些安全咨询类服务会率先在医疗行业发布。

LogRhythm PM Mr. M强调他们的平台也是个 Unified Security Platform for compliance, threat detection and incident response(跟瀚思全场景好像)。

相比较于其他厂商,他们的优势是研发的产品/模块都是来自内部团队,而不是通过公司并购。这很大程度上做到了产品设计风格的一致性。谈到未来,Mr. M 表示他们会持续优化workflow,提升威胁全生命周期管理的效率。

玉盘珍羞值万钱 – 从创新沙箱中成长出来的 NDR 玩家

很多厂商都说自己是 XDR (Everything Detection & Response)这个市场术语的初创者,不过就展会本身而言 ,XDR 宣传力度最大的是PA Cortex XDR。可惜的是没约上Cortex XDR PM,没机会听他自己角度评价自己的“baby”。

图片3.png

不过倒是特别关注了两个从创新沙箱中走出来的 NDR (Network Detection and Response) 厂商。感觉这个领域还不完全被大厂垄断,初创公司的成长值得借鉴。

和ProtectWise booth 上的SE Manager Mr. T聊起了产品, 这是一款 SaaS 部署的 NDR,采用轻量级的网络探针对所有网络活动进行记录,并存储在低成本的云端,再利用机器学习检测威胁,然后进行数据索引,为客户提供强大的搜索以及检查的取证工具。一旦检测到存在网络攻击,受害公司能够“倒带”,并查看黑客是何时以及以什么方式侵入的,响应层面可以联动上百个安全产品。

威胁可视化不仅酷炫,而且一目了然,展示了实时情境分析、报警管理、攻击链路图、网络连接图、事件时间表等更深层次的可视化分析功能。取证功能方面能够管理传感器策略,重放流量和用户行为,以及手工创建警报通知。(跟瀚思的安全事件管理有些许相似)不过个人觉得最大的亮点还是云端方案,可利用低成本的云端存储,保留长时间的网络活动记录。这也是 Verizon 收购其的核心因素。 

T 在聊的过程中全程都很兴奋,估计刚被收购心情很好。谈到未来,他憧憬ProtectWise会在Verizon 的安全服务体系占有重要的角色, 产品也会持续在 SaaS 应用 和 IOT 监控上加大力度,这些都能和即将到来的5G潮密切相关。

Awake 在去年创新沙箱入围后产品也有了长足的进步。 CTO G 全职当班booth, 手舞足蹈的介绍起了他们的全新的、基于Cloud AI 的高级分析引擎 “Ava”。

Ava从数据接入起就把安全事件分为“全局的”和“特定行业的”,结合使用基于云平台的联合机器学习、开源智能和专家系统,Ava最大限度地减少了安全团队必须处置的事件和告警数量。 

通过Ava,客户还可以按需访问Awake服务专家,以获取最新的威胁研究、调查和猎捕的支持。同时客户可以开启反馈机制,将告警/安全事件处置的结果反馈Ava。Ava 的机器学习模型会根据反馈数据调整特征工程的比重,持续调优算法检测模型。(跟瀚思NTA 中的异常流量监测设计神似 

在 Incident Response 方面主要还是借助第三方SIEM, EDR and Incident Response平台,但会将响应所需的关键信息如告警、安全事件、相关上下文信息、威胁情报信息重新组织以支撑响应决策。

谈到未来, 手舞足蹈的 G 忽然冷静了下来,Ava 目前还处于发布的早期阶段,他希望Ava 能在客户处取得更多的成功。另外,内置响应平台也是他看重的方向。

闲来垂钓碧溪上 – 和朋友们畅谈全场景, Next-Gen SIEM, 下一代安全分析平台, XDR

这次瀚思的booth 确实是个很好的平台,汇聚各类朋友一起来聊产品,聊行业。Booth 的光顾者不少。除了介绍全场景安全Demo 自家产品,也在和各界安全同仁探讨其他的安全话题:和Macy's(梅西百货)的安全团队聊漏洞管理, 与BofA(美洲银行) 的首席安全架构师谈安全体系评估,同Omada Health 的应急响应团队谈响应流程,跟所有的客户聊他们心中的NG-SIEM。 确实,世界在哪?我们在哪?

IMG_0735.JPG

大部分客户都比较认可我们全场景安全的理念,因为他们也确实体会到目前在各种割裂的系统中,使用不同产品进行威胁管理会有诸多不顺。BofA 首席安全架构师戏称你们的全场景平台就是一个 “WeChat Threat Management Platform“。

此外,聊到的国外客户大都自己运维SOC,所以关注产品细节问题:平台是否提供API 供他们二次开发?告警摘要能否转成语音留言方便通知处置?告警降噪实际的效果,和漏洞管理平台集成的场景等等。

当问到对下一代 SIEM 应该具有哪些能力提出一些看法时,反馈最多还是的检测响应应该是一个统一的平台。同时客户希望厂商能够简化定价体系。

感谢国内外友商的产品团队来booth交流,以及中关村、友商对瀚思booth 的支持。每次的产品技术交流都深感获益匪浅,国内团队的顶层设计、高屋建瓴。国外团队的技术驱动、细节导向。大家开诚布公的表达、探讨和交流。各种思想的碰撞促进大家取长补短,共同提高。

回头看本届 RSAC 安全分析类产品,如果一定要用一两个词来总结趋势的话,我们会用 Cloud-native SIEM, 云时代的规模效益给智能安全分析带来的改变。 Cloud-native SIEM 有多种解读,弹性架构带来的实施运维便利,低成本海量数据的存储可以以小成本分析长周期数据,超海量数据给AI engine 调优带来的化学反应。但Cloud能否给智能安全分析带来真正意义上的变革?

我就用 Splunk PM 的话结束吧!“Let’s Wait and See!”

(本文作者系瀚思科技产品vp周奕及瀚思科技资深产品市场经理Thomas)

最后安利一个福利

关于如何顺利开展下一代安全建设话题,我们团队去年与Gartner联合发布了国内首个大数据安全分析领域国际性报告《全场景安全赋能数字化转型》,欢迎大家下载并留言与我们交流 https://www.hansight.com

  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2024 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务