RSA 创新沙盒盘点| Vulcan Cyber:化被动为主动的云端漏洞响应自动化平台

2020年2月24日-28日,网络安全行业盛会RSA Conference将在旧金山拉开帷幕。绿盟君相继为大家介绍了进入今年创新沙盒十强初创公司,今天为大家介绍的是:Vulcan Cyber

一、公司介绍

Vulcan Cyber是创新沙盒十强中唯一的一家以色列公司,在2019年曾入选Gartner 在Security and Risk Management的Cool Vendor。在公司的三位联合创始人中,CEO Yaniv Bar-Dayan与CPO Tal Morgenstern都曾在以色列军方任职,有丰富的网络安全实战经验。公司成立于2018年,目前已经获得了两轮共1400万美元的融资,最近一次是由Ten Eleven Ventures领头的1000万美元A轮融资。Vulcan Cyber为企业提供了一套自动化漏洞威胁缓解(Automated Vulnerability Remediation)解决方案,通过对已有开发、运维工具的集成与整合,实现对突发安全漏洞的快速响应,将企业受到安全威胁的时间窗口从数周、数月缩短到小时级。

Vulcan Cyber自称为业界自动化漏洞缓解概念的先行者。绿盟君认为,将企业资产整合、针对安全事件进行自动化响应的思想可以追溯到2017年Gartner提出的安全编排自动化与响应SOAR(Security Orchestration, Automation and Response)。但作为SOAR概念的实现者,切实为企业解决了安全痛点,未来可期。

二、背景介绍

随着网络安全攻防对抗的日趋激烈,企业的安全团队与运维团队面临着日益严峻的考验。安全事件、安全漏洞日益增多,越来越复杂且有针对性。企业针对不同业务的开展,部署、维护来自不同供应商的资产设备,持续增多的安全告警与误报增添了应急响应团队的工作负荷。

这些年来,检测与响应类的产品受到了极大的关注,尤其是对未知恶意行为的检测功能已经成为近年终端防护产品的标配。这些产品和技术使用户获得了更低的MTTD(平均检测时间Mean Time to Detect),能够更快、更精确的检测入侵和攻击,但对用户而言,解决问题与发现问题一样重要。一个现状是,企业的安全团队与运维团队不能保证在任何时候都能找到缓解漏洞的措施,同时也不一定能够准确评估缓解措施对业务造成的影响。Vulcan Cyber提供的解决方案旨在弥补企业的这一能力空白。

三、产品介绍

Vulcan Cyber的解决方案与公司同名,下面我们将简称其为Vulcan。Vulcan是一套部署在云端的漏洞响应自动化平台(Vulnerability Response Automation Platform),它的设计目标是将应用漏洞、错误配置等一系列安全问题转化为可执行的解决方案,从而使企业的安全团队能够专注于解决最有威胁的安全问题,化被动于主动。Vulcan将漏洞信息的收集、风险评估过程进行自动化,最终以一个补丁、配置文件改动或其他形式提供一个对生产环境影响最低的最佳解决方案。

Vulcan具有三大核心功能:风险信息聚合、威胁分析、自动化漏洞缓解。

风险信息聚合:提供完整的资产视图

一个现代的漏洞管理平台能够完整的呈现企业的资产与这些资产之间的关联关系,只有当企业对其网络中所有的组件有完整的认知,应对漏洞的缓解措施才能完美的解决问题。Vulcan会对网络进行扫描并对结果进行收集汇总,找出其中可能存在的暴露点、配置缺陷。

除此之外,当我们评估一个漏洞缓解措施的潜在风险时,我们也需要知道资产之间的联动关系,从而确保对漏洞修复过程所导致的副作用(如意外停机)进行完整的预判。

在整个修复过程中,Vulcan会跟踪何时、何地、哪些步骤使用了哪些维护工具,以及这些工具由谁使用。通常不同的工具与业务系统分散在不同的平台上,Vulcan提供对多种云平台与维护工具的支持,包括AWS Inspector、Microsoft Intune、Tenable Nessus、Ansible等,也支持通过Vulcan Gateway将用户私有云的监控数据上传到Vulcan云端。

威胁分析:基于风险的威胁优先级排序

传统的TVM厂商倾向于依赖客观评分,如CVSS分数,对漏洞的危害程度进行定级,但实际上,不同漏洞对实际业务的危害程度,还是依赖安全团队的主观判断。因此,Vulcan引入了多种要素来评定一个安全事件的实际风险。

1、应用安全性。包括Qualys、SourceClear等DevSecOps工具产出的代码规范性、覆盖率等数据。

2、业务影响力。与企业的CMDB联动,将应用服务的商业价值纳入到风险评价指标中。例如储存用户信息、交易记录的数据库对公司至关重要,这些资产关联的漏洞与安全事件的处理优先级就是最高的。

3、资产分布情况。通过与应用部署工具、资产管理系统的集成,对漏洞所波及的资产数量进行定位与统计。

4、威胁情报。Vulcan接入了超过50个威胁情报源,查询发现的漏洞是否存在已知的IOC。

当然,这些维度的存在,除了纳入Vulcan的算法,输出威胁定级之外,也能够为安全团队处理安全事件提供更多的参考。

自动化漏洞缓解:对应用组件进行批量修复

Vulcan通过自动化的方式来减少事件响应所需的人力与时间,排除误操作的风险,提供更高的可靠性。用户可以预先定义一些Playbook,从而将满足特定条件的事件处理半自动或全自动化,在官方的案例分析中,Vulcan可以将某些组件的漏洞信息推送到Slack的聊天频道中,并在Jira中创建一个Issue,从而调动相关人员进行处理。除此之外,Vulcan还维护了一些常见的自动化指令,比如使用Ansible或Chef等工具对Linux服务器安装补丁,或操作WAF、终端防护软件设置规则阻断恶意软件传播等等。

四、优势与挑战

Vulcan的一大亮点是,通过漏洞评级之外的更多维度,衡量漏洞的风险程度,帮助安全团队在海量告警与安全事件中定位最重要的安全问题;更重要的是传统TVM产品只具备管理漏洞生命周期功能,大部分的漏洞缓解、系统升级都是人工处理,耗时耗力,在大规模的系统中不可扩展,而Vulcan使用了自动化编排的方式,高效解决问题,这一点是很多TVM产品所不具备的,解决了用户一大痛点。

但同时,Vulcan也存在一些不完善的地方。作为一个漏洞管理的集中平台,它需要能给用户提供足够的灵活性以将更多种类的资产纳入平台中。Vulcan只提到了支持与某些应用的集成,但不支持什么,我们并不知道。其次,应对复杂多变的企业环境,在数据的展示上给用户定制的空间也是非常必要的。如Rapid7 InsightVM与FireEye Helix提供了多种可定制的界面元素,不同的团队可以从不同的视角进行监控。Vulcan目前看来还缺少这样的功能。

五、总结

Gartner 曾预测,到 2020 年底,拥有 5 人以上规模安全团队的公司企业中,15% 都将采用 SOAR,而现在 SOAR 的采用率只有 1%。Vulcan Cyber将SOAR的概念进一步推向落地,并展示了一个切实可行的解决方案,减少了事件响应过程中重复性任务的人工干预,帮助加速问题的解决。正如去年创新沙盒获胜者Axonius在网络安全最基础的资产管理方面有所创新得到评委垂青,今年Vulcan是否会在同样基础的漏洞管理方面自动化提升安全运维效率而得到行业的认可?我们拭目以待。

Meet The Author

Leave Comment