2019RSAC | 青梅煮酒论未来 – PM眼中的智能安全分析发展趋势
导语:RSAC也是个很好的平台,可以和国内外智能安全分析领域(SIEM/UEBA/XDR/NTA/EDR)知名厂商的产品经理,以及分析师、全球客户、合作伙伴进行深度交流,畅谈这一领域的现状和未来
一年一度的 RSAC 2019 已经尘埃落定,瀚思科技今年携全场景安全 HanSight Unified Security Platform新版本亮相大会,颇受关注。同时RSAC也是个很好的平台,可以和国内外智能安全分析领域(SIEM/UEBA/XDR/NTA/EDR)知名厂商的产品经理,以及分析师、全球客户、合作伙伴进行深度交流,畅谈这一领域的现状和未来。
金樽清酒斗十千 – 大厂横空杀入
微软在大会前发布了SIEM产品Microsoft Azure Sentinel,预示着本届大会Azure Sentinel 注定成为焦点。 等到会场发觉Sentinel 的备受关注,以及和一线大厂的产品经理聊下来感受到的挑战,大家还是被微软“搅局”威慑到了。
跟 Azure Sentinel 产品经理 Miss L聊了一下,了解到目前这个Cloud SIEM 版本是90个工程师花了7个月“搭”出来的。“对我们来说这款产品需要的所有功能模块的组建代码我们都有,甚至有好几套。就是要想清楚要不要做这个事情,以及第一阶段要做多少的问题。” L 对她的得意之作津津乐道。微软Sentinel 就是要把他们在云企业产品的经验,以及在终端、应用、安全产品的优势发挥到极致。
作为一款Cloud-native SIEM 的产品,Sentinel数据接入层面除了对接微软自家的云、终端、安全产品,对其生态下的广大的一线/二线安全厂商的日志也能很好的解读,分析方面直接继承微软 AI 在信息安全领域的积累。可视化分析方面传承了Security Graph Framework。其他的如威胁猎捕,SOAR相关的能力都是既有产品的能力”迁徙”+ “改造”。
Azure Sentinel作为刚Preview 的产品倒也一板一眼, 功能全没有短板。 最大的杀手锏还不是在其功能,Native Cloud 的弹性架构让客户做到无缝扩容,客户再也不用为数据接入/存储/分析量的增加而考虑硬件扩容。
另外,当各类数据存储到 Microsoft Cloud 以后,对持续优化AI分析引擎所能达到的分析的效果,想象空间非常巨大。也跟部分分析师和客户聊过,大家普遍相信安全分析最终是个数据者为王的游戏。但微软在这个方面出言谨慎。“我们不会主动挖掘客户数据以获得竞争上的优势。”
云厂商对客户数据的使用向来谨慎。Sentinel 的定价策略还未最终出炉,估计会狠狠的利用自家Azure Cloud在成本上的优势打破现有SIEM厂商的定价结构,这也是其他一线 SIEM 厂商比较担心的。至于Sentinel 下一步的动作,PM 的思路简单而直接,“对标目前的市场领导者,迅速追赶缺失的功能,同时将已有的产品的功能做的更好。”
Google Alphabet 旗下的 Chronicle 也推出了 Security Telemetry Service Backstory - 安全遥测服务 Backstory。从身着无领短袖的工程师范的PM Mr .C 演示的过程来看,Backstory是一个 Cloud Based Threat Hunting and Investigation Platform。在核心Google基础架构上构建了新的一层,可以在其中上传各类安全数据,包括DNS流量、网络流量、端点日志、代理日志等高容量数据,并保持了数据私密性 。
分析方法上主要是威胁情报(Virus Total, Proofpoint, Carbon Black, Avast)以及机器学习,跟历史数据以及同组数据进行比较。UI可视化方面,主界面仍然是搜索为王的 Google范儿, 输入资产信息并执行搜索后,以时间轴的方式显示了资产所有的可疑行为,并辅以威胁情报提供上下文信息。Backstory 不是基于数据量的license model, 而是基于用户的数量。这对公司规模小,但是分析数据量大的公司是个利好。
由于 Google 目前在企业应用市场尚不算成功,Backstory 的震撼效应不如Azure Sentinel。Mr.C 说 他们下一步会注重整个企业安全生态建设,目前Backstory支撑接入的数据源的种类和数量还很有限, 这是Chronicle 急需要突破的。
而其他 SIEM/UEBA 厂商,Splunk、LogRhythm、Securonix总体没有特别大的新闻。
Splunk PM Mr.G 说他们上季全球有600+ 新企业级的客户 on board ,保持了高成长,接下来会考虑如何把现在的产品做裁剪,以合适的功能、产品形态、服务定价体系来“吃”相对低端的市场。
Securonix PM Mr. N在强调:对比较高端的客户,除了产品外也更注重服务,一些安全咨询类服务会率先在医疗行业发布。
LogRhythm PM Mr. M强调他们的平台也是个 Unified Security Platform for compliance, threat detection and incident response(跟瀚思全场景好像
)。
相比较于其他厂商,他们的优势是研发的产品/模块都是来自内部团队,而不是通过公司并购。这很大程度上做到了产品设计风格的一致性。谈到未来,Mr. M 表示他们会持续优化workflow,提升威胁全生命周期管理的效率。
玉盘珍羞值万钱 – 从创新沙箱中成长出来的 NDR 玩家
很多厂商都说自己是 XDR (Everything Detection & Response)这个市场术语的初创者,不过就展会本身而言 ,XDR 宣传力度最大的是PA Cortex XDR。可惜的是没约上Cortex XDR PM,没机会听他自己角度评价自己的“baby”。
不过倒是特别关注了两个从创新沙箱中走出来的 NDR (Network Detection and Response) 厂商。感觉这个领域还不完全被大厂垄断,初创公司的成长值得借鉴。
和ProtectWise booth 上的SE Manager Mr. T聊起了产品, 这是一款 SaaS 部署的 NDR,采用轻量级的网络探针对所有网络活动进行记录,并存储在低成本的云端,再利用机器学习检测威胁,然后进行数据索引,为客户提供强大的搜索以及检查的取证工具。一旦检测到存在网络攻击,受害公司能够“倒带”,并查看黑客是何时以及以什么方式侵入的,响应层面可以联动上百个安全产品。
威胁可视化不仅酷炫,而且一目了然,展示了实时情境分析、报警管理、攻击链路图、网络连接图、事件时间表等更深层次的可视化分析功能。取证功能方面能够管理传感器策略,重放流量和用户行为,以及手工创建警报通知。(跟瀚思的安全事件管理有些许相似)不过个人觉得最大的亮点还是云端方案,可利用低成本的云端存储,保留长时间的网络活动记录。这也是 Verizon 收购其的核心因素。
T 在聊的过程中全程都很兴奋,估计刚被收购心情很好。谈到未来,他憧憬ProtectWise会在Verizon 的安全服务体系占有重要的角色, 产品也会持续在 SaaS 应用 和 IOT 监控上加大力度,这些都能和即将到来的5G潮密切相关。
Awake 在去年创新沙箱入围后产品也有了长足的进步。 CTO G 全职当班booth, 手舞足蹈的介绍起了他们的全新的、基于Cloud AI 的高级分析引擎 “Ava”。
Ava从数据接入起就把安全事件分为“全局的”和“特定行业的”,结合使用基于云平台的联合机器学习、开源智能和专家系统,Ava最大限度地减少了安全团队必须处置的事件和告警数量。
通过Ava,客户还可以按需访问Awake服务专家,以获取最新的威胁研究、调查和猎捕的支持。同时客户可以开启反馈机制,将告警/安全事件处置的结果反馈Ava。Ava 的机器学习模型会根据反馈数据调整特征工程的比重,持续调优算法检测模型。(跟瀚思NTA 中的异常流量监测设计神似 )
在 Incident Response 方面主要还是借助第三方SIEM, EDR and Incident Response平台,但会将响应所需的关键信息如告警、安全事件、相关上下文信息、威胁情报信息重新组织以支撑响应决策。
谈到未来, 手舞足蹈的 G 忽然冷静了下来,Ava 目前还处于发布的早期阶段,他希望Ava 能在客户处取得更多的成功。另外,内置响应平台也是他看重的方向。
闲来垂钓碧溪上 – 和朋友们畅谈全场景, Next-Gen SIEM, 下一代安全分析平台, XDR
这次瀚思的booth 确实是个很好的平台,汇聚各类朋友一起来聊产品,聊行业。Booth 的光顾者不少。除了介绍全场景安全Demo 自家产品,也在和各界安全同仁探讨其他的安全话题:和Macy's(梅西百货)的安全团队聊漏洞管理, 与BofA(美洲银行) 的首席安全架构师谈安全体系评估,同Omada Health 的应急响应团队谈响应流程,跟所有的客户聊他们心中的NG-SIEM。 确实,世界在哪?我们在哪?
大部分客户都比较认可我们全场景安全的理念,因为他们也确实体会到目前在各种割裂的系统中,使用不同产品进行威胁管理会有诸多不顺。BofA 首席安全架构师戏称你们的全场景平台就是一个 “WeChat Threat Management Platform“。
此外,聊到的国外客户大都自己运维SOC,所以关注产品细节问题:平台是否提供API 供他们二次开发?告警摘要能否转成语音留言方便通知处置?告警降噪实际的效果,和漏洞管理平台集成的场景等等。
当问到对下一代 SIEM 应该具有哪些能力提出一些看法时,反馈最多还是的检测响应应该是一个统一的平台。同时客户希望厂商能够简化定价体系。
感谢国内外友商的产品团队来booth交流,以及中关村、友商对瀚思booth 的支持。每次的产品技术交流都深感获益匪浅,国内团队的顶层设计、高屋建瓴。国外团队的技术驱动、细节导向。大家开诚布公的表达、探讨和交流。各种思想的碰撞促进大家取长补短,共同提高。
回头看本届 RSAC 安全分析类产品,如果一定要用一两个词来总结趋势的话,我们会用 Cloud-native SIEM, 云时代的规模效益给智能安全分析带来的改变。 Cloud-native SIEM 有多种解读,弹性架构带来的实施运维便利,低成本海量数据的存储可以以小成本分析长周期数据,超海量数据给AI engine 调优带来的化学反应。但Cloud能否给智能安全分析带来真正意义上的变革?
我就用 Splunk PM 的话结束吧!“Let’s Wait and See!”
(本文作者系瀚思科技产品vp周奕及瀚思科技资深产品市场经理Thomas)
最后安利一个福利
关于如何顺利开展下一代安全建设话题,我们团队去年与Gartner联合发布了国内首个大数据安全分析领域国际性报告《全场景安全赋能数字化转型》,欢迎大家下载并留言与我们交流 https://www.hansight.com
发表评论
提供云计算服务