Acalvio提供基于欺骗、面向企业内部的恶意活动的检测与防护解决方案ShadowPlex,可应用于威胁检测与响应领域。他们将DevOps方法用于高级威胁防护,解放了部署、检测和管理。Acalvio通过从内部和合作伙伴处获得的数据,丰富了威胁情报,使得用户从纵深防御中获益,减少了误报率,为修复导出可操作的情报。
相关阅读:
【RSA2018】创新沙盒 | BigID数据沙盒产品及技术解读
【RSA2018】创新沙盒 | CyberGRX Exchange网络风险信息交换平台
【RSA2018】创新沙盒 | Awake Security基于机器学习的安全分析平台
Acalvio基于欺骗技术的安全防护方案进入RSA 2018大会的创新沙盒角色
传统企业网络架构通过建立防火墙使内部网络与外部世界分离,外部对于内部应用和设施没有可见性和可访问性,因而防火墙确保了内部服务对于外部威胁的安全。但是现在,BYOD和钓鱼攻击使得内部网络并不可信,当攻击者开始使用了高级或未知威胁,或借助各种复杂的手段,以往依靠规则的被动防护方法已经很难阻挡攻击者窃取企业的数据,或进行进一步破坏。此外,SaaS、PaaS和IaaS正在改变边界的位置,企业网络架构中的固定边界正在变得过时。
主动防御(Active Defense)开始进入人们的视线,目的是假定防守者更熟悉自身的环境和架构,可先攻击者一步构建检测和防护方案,其中欺骗技术是最有代表性的一种技术,被Gartner列为2017年十大新技术[1]。Acalvio Technologies[2]基于欺骗技术的安全防护方案进入RSA 2018大会的创新沙盒角色,也体现了业界在该领域的创新程度。
ShadowPlex是下一代分布式欺骗解决方案
传统蜜罐一般只是一个虚假的主机,安全研究员观察恶意样本在蜜罐中的行为,并没有蜜罐被攻破后攻击者的进一步行为分析和防护。与之相比,ShadowPlex是下一代分布式欺骗解决方案,提供了面向企业环境的自动化欺骗方法,可动态构建各种交互度的虚假网络和主机系统。
此外,ShadowPlex定位从检测、分析到响应的全生命周期的高级威胁防护。
- 在检测阶段:ShadowPlex可精确和快速地检测高级、多阶段的攻击
- 在分析(Engage)阶段:在受控的影子网络(Shadow Network)中欺骗攻击者,理解其攻击模式,同时延误对于真实资产的影响
- 在响应阶段:识别攻击者轨迹和网络中潜在的脆弱点,生成可表示攻击者特征的IoC(Indicator of Compromise)
Acalvio产品优势
与业界的方案相比,该产品有四方面的创新:
第一,将敏捷开发DevOps应用于欺骗技术:已有的欺骗方案需要大量的人工调查和分析,费时费力,因而欺骗系统的部署和维护成本很高。而本产品通过DevOps使得欺骗自动化,极大减少了人工成本
第二,流式欺骗(Fluid Deception):已有的欺骗方案面临一个难题 – 规模化(低交互) vs. 深度(高交互)。ShadowPlex结合了全面的动态欺骗从而提高了效率和效果。
第三,攻击者行为分析:ShadowPlex通过探针采集其他企业安全系统(如SIEM、EDR等)的数据来生成威胁情报和提供全面的攻击行为分析
第四,欺骗农场(Deception Farm):可以部署在私有云和公有云(Azure、AWS等)上
产品的一些分析界面:
有研究表明,一旦攻击者成功渗透到企业内部,平均约200天后其才被检测出来。而Acalvio将这一检测时间降低到小时级甚至是分钟级。Gartner也预测,在安全市场中,防护类产品和检测&响应类产品的比重将由90%和10%变为60%和40%。笔者认为这类产品的价值很大,即便企业边界被突破,通过设置各种诱骗点,也能极大增加发现入侵者的概率。
Acalvio公司介绍
Acalvio Technologies是一家位于美国加利福尼亚州圣克拉拉的初创高科技公司,成立于2015年1月。公司已经完成B轮融资,累计融资3310万美元,投资方有Accel Partners 、Splunk等知名投资机构和公司。
参考链接
[1] https://www.gartner.com/newsroom/id/3744917
[2] https://www.acalvio.com/