本届RSA大会已经火爆结束了,RSA一直被业内称为世界网络安全行业的风向标,这其中公布的行业趋势和研讨热点,展会中的各类安全产品及“创新沙盒”,都将引领安全行业的潮流和趋势。
本次大会中,关于SOC类产品,一个比较明显的变化是,15年RSA比较新的概念威胁情报,国外厂商经过一年的时间,已经转换成新的产品服务,传统的SOC基于威胁情报、数据分析、机器学习等能力,已经发生了质的变革,称下一代SOC产品为ISOC。 大会中,洛杉矶市首席信息安全官Timothy Lee分享了洛杉矶城市的ISOC系统。
根据绿盟科技多年研究及安全实践,ISOC的主要特点是:结合威胁情报,基于情景感知,强调智能驱动,且能持续运营。
在本次大会中,WebRoot公司展示了他们的威胁情报服务,已经和部分SOC厂商进行协助落地,如Splunk:
我们收集了在本届RSA大会上的SOC类产品,它们代表着ISOC产品未来的发展方向。
1.IBM security
核心功能:事件管理、日志管理、漏洞管理、事件取证、风险管理、威胁智能感知系统、netflow收集、智能云等,整体功能丰富。
2.logRhythm
核心功能:终端取证和文件完整性监控,网络取证和完整数据包捕获,机器学习,行为分析、统计分析、模式识别、高级关联
3.Splunk
ES:
UBA:
核心功能:全状态、安全事件管理,事件调查(以资产或身份为视角)、高级威胁(风险分析、用户活动、访问异常、威胁活动、协议情报、HTTP类型分析、HTTP用户代理分析、域名分析、流量大小分析等), 安全域(访问、终端、网络、身份),审计等能力。整体上,可视化、行为分析能力较强。
另外,在RSA 2016大会中,深深感受到,美国市场对splunk的热情、流行。Splunk在展会中新推出的两个安全解决方案,包括企业安全(ES)和用户行为分析(UBA)两个应用。
ES和UBA, 为客户提供机器学习、异常检测、情景感知和快速查处能力的结合,构建在大数据引擎上,并提供了威胁可视化,将Splunk作为企业安全的作战情报平台,利用本地搜索和关联,从众多安全数据源中发现问题,来帮助管理员迅速调查和解决。
附:本届RSA大会众多SAAS厂商中,一部分厂商的云端后端数据收集存储、分析、可视化工作,都直接构建在splunk上,以APP的形态存在。
如openDNS,云端后台数据和分析构建在splunk上,并在自己的界面上提供购买FireEye信誉服务的入口,其自身来完成DNS威胁分析及情报整体业务。
这主要是:
1. 北美it领域分工较细,且有相互开放合作构建生态环境的氛围。公司各自专注某个业务领域,这样SAAS厂商更专注于自己业务的部分,更快上线
2. Splunk本身成熟,支持各种数据源接入、支持外部威胁情报进行分析等
4.HP Arcsight
核心功能:实时的威胁检测、简化的合规、风险管理、内部威胁监测、应用程序监控、识别和应对APT。 提供比较全面的SIEM功能,比较完整的用户行为分析,可以第三方设备整合。
5.Trustwave
核心功能:高级关联和威胁管理评估、深取证、设备支持多、先进的过滤和搜索、合规控制广、威胁情报(有僵尸网络域名、僵尸网络的网址、域名恶意软件、网络钓鱼电子邮件、网络钓鱼站点、钓鱼网站、对相关威胁信息)
6.AccelOps
核心功能:统计异常检测、威胁情报中心、外部威胁反馈、文件完整性监控、虚拟化管理(支持vcenter连接,进行虚拟机管理)等。
如果您需要了解更多内容,可以
加入QQ群:486207500
直接询问:010-68438880-8669