RSA2017见闻-不见盒子只见平台情报

虽然连续3年来,新锐厂商zscale都在砸硬件盒子。但是今年显然不能再吸引眼球,随着这几年威胁情报的兴起,通过威胁情报把各个盒子连接起来,已经成为业界的共识。今年除了Fortinet等少数厂家外,整个会场没有了盒子展示,全部是大屏平台。随着盒子逐渐变成一个情报源,这几年创新的重点转为大数据,机器学习,可视化。

从技术角度,今年APT的热度降低了不少,更关注平台功能可用,如勒索软件Ransomware,IOT的mirai僵尸网络,以及国外大量使用office365、AWS等云应用安全。RSA2017创新沙盒也看起来比较沉闷,没有很新的技术,主要是认证、加密、可视化、防范勒索软件,

值得注意的是,小厂商关注创新,大厂商关注整合、分析和运维,今年cisco的主题是effective security.有效安全。RSA的主题是business-driven security业务驱动安全,splunk的analytics-driven security 分析驱动安全.IBM的experience Watson for cyber security(Watson的网络安全经验),将著名的Watson学习经验以威胁情报方式发放。

比如cisco基于威胁情报的flow分析和沙箱,其重点是经过连续的收购,其方案核心是收购的Lancope的StealthWatch实现基于flow流的分析可视化,以及下一代入侵防御系统(NGIPS)(收购的snort的东家sourcefire)、基于高级恶意软件保护(AMP)。现场演示,对于内网的流量分析,包含无线分析还是比较准的,通常情况下标准的netflow缺乏对应用层的有效分析,从界面来看,cisco明显进行了加强,强化了应用流量。同时结合威胁情报后,使得可以快速发现网内的威胁。

Cisco的AMP沙箱也令人眼前一亮,AMP中引入了大量的威胁情报IOC概念。传统IOC指示器为IP,url,文件md5等,cisco增加了一个行为ioc概念,通过行为指示器(behavioral indiactors)标识APT恶意软件行为意图,从而使得沙箱可以快速发现恶意软件意图。使得沙箱技术在当前勒索软件Ransomware大行其道时候可以快速检测。另外,其基于时序分析也是比较好的呈现方式。

Cisco推出了其威胁情报的子品牌Talos,听到几个演讲都是Talos名义,目前再Talos平台可以说是cisco所有产品的威胁情报输入,好吧,准确的说过去我们书写IPS规则,扫描器规则,以后,我们写的威胁情报的IOC的威胁indiactors,脆弱性indiactors。威胁情报的好处在于标准化,可以直接加载STIX的东西。但是我看了网站,其分享的也有限。

在这个领域,绿盟为推出绿盟大数据威胁分析溯源产品,NGIPS下一代IPS,TAC高级威胁分析产品以及威胁情报平台。基本上cisco在威胁检测覆盖面相同,后续需要在威胁情报利用方面进行深入整合。

绿盟科技在2016年发布了基于机器学习引擎的新版NSFOCUS WAF和NSFOCUS  NIPS,在新引擎检测准确度和性能方面都获得了大幅度的提升。
洞察网络系统中的各种用户和设备行为,寻找源自合法用户、合法供应链组件等的可能攻击和滥用,针对安全事件的溯源和追踪,对全局安全态势的感知和研判等等,需要大量的安全数据分析、可见性、威胁情报等能力的联合运用,都需要机器学习为代表的新一代计算工具的支撑。

今年还有很多威胁情报的使用优化问题,比如微软提出传统安全设备日志、威胁情报,SIEM面临的海量告警问题,微软用基于AD的认证来关联,利用 Microsoft Graph来关联数据、情报和数据解析,并提供api,可以块集成到企业各种应用产品中。

基于绿盟自身的使用来看,绿盟在自己公司全部采用基于NGFW的身份认证联动机制,可以提升到用户感知阶段,确实可以基于用户做访问控制,有效的把各种告警锁定到具体用户,大大提升响应和处置效率,同时对于告警又很大归并提升,同时在事件溯源上可以溯源到具体用户。

认证作为安全的核心一点尤为重要。RSA2017创新沙盒冠军unifyid得奖也算是意料之内。

绿盟科技正在快速推动三个领域的建设

仍将定位于企业安全,以用户业务安全为导向,基于自身的前沿攻防研究基础和技术积累,为用户提供高价值的安全防护解决方案和产品。

创新方面。持续推进智慧安全2.0和P2SO战略,以大数据、机器学习、人工智能和威胁情报全面提升安全产品防护能力和运营维护的便捷性,为用户提供智能、敏捷、可运营的整体解决方案。

平台方面。继续落地威胁情报平台建设,持续生产高可用的情报,为安全产品提供全面的情报支持;进一步加强情报Feed消费,提升感知与预警的准确性、检测与响应的时效性和追溯分析的全面性;同时规范情报共享,促进与第三方安全产品的对接,输出基于情报的安全能力。

融合方面。促进大数据和智能分析技术与传统安全产品的融合,构建高级威胁检测平台,提升NSFOCUS RSAS、IPS、WAF、ADS等优势产品对恶意软件、高级威胁、内部攻击等恶意行为的检测和防御能力,实现预防、检测、防御、态势、追溯、运营的智能闭环。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

发表评论