5月6日
RSA Conference 2024
将正式启幕
作为“安全圈的奥斯卡”
RSAC 创新沙盒(Innovation Sandbox)
已成为网络安全业界的创新标杆
创新之下
与绿盟君一道
聚焦网络安全新热点
洞悉安全发展新趋势
走进 Mitiga
*RSAC 2024 创新沙盒十强
一、公司介绍
Mitiga成立于2019年,总部位于美国纽约,提供云调查与响应自动化 (CIRA) 解决方案。2023年3月,Mitiga完成了由ClearSky Security领投,Samsung Next、Blackstone、Atlantic Bridge和DNX 参与的4500万美元A轮融资,该轮融资对Mitiga的估值超过1亿美元[1,2]。
Mitiga汇集了世界顶级网络安全、软件开发和军事领域专家,团队目前约50-100人[3]。Mitiga联合创始人有三名,如图1所示,自左向右分别是ArielParnes、OferMaor及TalMozes[4]。
ArielParnes是一名退役上校,曾在以色列国防军著名的8200网络部队服役了二十多年,在进攻性和防御性网络战、情报和信息技术等方面拥有丰富的专业知识,并拿到以色列国防奖[5]。ArielParnes目前担任Mitiga首席运营官。
OferMaor拥有二十多年信息安全领域从业经验,从技术研究到产品构建、营销,经历多家公司的出售、合并和收购。OferMaor曾担任Seeker的创始人兼首席技术官、Hacktics 的创始人兼首席技术官、Imperva应用防御中心研究小组的领导者、OWASPIsrael主席和OWASP全球会员委员会成员等[6]。OferMaor目前担任Mitiga首席技术官。
TalMozes曾是安永合伙人。TalMozes曾共同创立了两家成功的网络安全公司:安永收购的Hacktics和Synopsys收购的应用程序安全自动测试工具SeekerSecurity[7]。TalMozes目前担任Mitiga首席执行官。
背景介绍
安全运营中心(SOC)长期处于企业安全所关注的重点,它是一个集人员、流程和技术于一体的中心,负责全天候监测端点、服务器、数据库、网络应用程序、网站和其他系统的所有活动,以实时发现潜在的威胁;对网络安全事件进行预防、分析和响应,改进企业网络安全态势,维护核心业务运营安全[8]。
随着云计算产业的快速发展,越来越多企业加大对云和SaaS的投入,并将其作为主要工作负载来运行核心业务。云和SaaS的引入使得企业信息系统架构发生转变,传统的SOC已无法适用于云和SaaS化的企业安全。主要有以下原因[9]:
企业资产可见性和控制范围降低
IaaS、PaaS和SaaS的引入使得企业网络边界变得模糊,导致SOC团队难以对企业资产和暴露面有全面、清晰的认知。
SSO带来的风险骤增
多个SaaS平台允许通过同一个单点登录机制访问,这种方式增加潜在的攻击面。跨不同云和SaaS平台进行网络安全事件调查与响应将成为传统SOC的痛点。
适应高度动态的基础设施较难
Kubernetes中资源启停迅速,事件数据会被快速销毁,严重影响事件的调查、取证与响应。
管理SaaS上的高价值数据难度较大
SaaS平台的日志中可能留存有敏感数据,而传统的SOC和数据防泄露平台(DLP)通常无法很好地处理这类敏感数据。
解决方案介绍
Mitiga的云调查和响应自动化 (CIRA) 解决方案包含一个重要平台——IR2平台,该平台由三部分组成:云安全数据湖、云威胁狩猎、云调查工作台,图2展示了该解决方案的工作流。
首先,IR2平台会利用无代理方式通过不同厂商的日志、配置接口或其他方式进行统一数据采集。采集完成后,平台通过对多源、异构数据进行清洗、转换,构建事件查询索引,加载至云安全数据湖。加载完成后,云攻击场景分析引擎会对数据湖中的事件数据进行威胁分析,实现威胁狩猎与事件响应。另外,外部的Mitiga专家同样能够帮助SOC团队进行事件的分析、研判与响应。[9,10,11]
云安全数据湖
云安全数据湖建立在databricks服务之上,利用不同云和SaaS厂商提供的接口来收集跨云、跨平台的日志、配置数据。这类数据通常称为“调查数据”,也是Mitiga方案的核心待分析数据。云安全数据湖会对这类多源异构的调查数据进行统一的清洗与格式转换,实现多平台调查数据的统一分析与管理。
云威胁狩猎
Mitiga通过分析全球安全事件IOAs,构建出了一个威胁场景分析引擎与云攻击场景数据库,同时能够实现四种类型的威胁狩猎:
- 持续类型
- 持续对企业进行威胁监测,发现云和SaaS环境中的潜在威胁。
- 事件驱动类型
- 通过监测全球视角下的网络安全事件,分析事件特点,排查企业存在的风险与隐患。
- 策略类型
- 利用自研的云攻击场景数据库匹配企业中可能发生的威胁事件。
- 定制类型
- 根据企业特点,如数据资产、基础设施以及安全要求等,定制化的实现威胁狩猎。
云调查工作台
云调查工作台根据网络事件的元信息(例如进行的活动、访问的资源、授权情况等)、上下文信息及用户信息等实现事件的聚合,生成与事件相关的时间线。通过事件时间线,简化SOC团队对威胁事件分析、响应过程,缩小威胁事件的影响范围。
竞品对比
除Mitiga外,有不少安全厂商已经将SOC的能力扩展至云或SaaS,下面介绍2个具有代表性厂商的产品或者解决方案。
Palo Alto Networks出品的cortex平台是一款云检测与响应平台,Cortex通过部署轻量级Agent,实现将云主机、云流量和审计日志集成分析,为SOC团队提供整个数字领域的完整事件调查与响应与威胁狩猎[12]。
Fortinet出品的FortiSIEM是一款安全信息和事件管理平台,通过轻量级Agent实现企业资产、日志分析、合规检测和威胁狩猎等。此外,FortiSIEM提供基于生成式AI辅助事件检测响应机制可应用于本地环境、多云环境和混合环境等[13]。
与上述平台相比,Mitiga的IR2平台通过无代理、“0”侵入的方式帮助企业实现轻量、高效安全运营。此外,该平台还具备以下3点比较鲜明的优势:
- 在无代理情况下实现多源、异构事件数据的统一处理。
- 简洁、高效的威胁事件处理、响应流程。
- 丰富的云攻击场景数据库和多元化的威胁狩猎机制。
但笔者认为,Mitiga的IR2平台仍然有可以提升的方面:
- 由于是无代理模式,与代理模式相比,在企业信息系统的运行时安全能力较弱。因此,可以通过“无代理+轻量级代理”的方式帮助SOC团队全方位地实现企业安全运营。
- 在大模型等AI技术快速发展的今天,Mitiga也应该适应时代发展的潮流,将先进的AI技术引入SOC平台,帮助企业实现更加智能化的安全运营。
总结
过去,企业的安全聚焦点通常是通过边界防护来抵御网络安全威胁的预防技术,但在云计算快速发展的今天,企业网络的边界变得越发模糊,单纯的边界预防技术已经无法应对云和SaaS威胁的复杂性。因此,企业的关注重心应该向安全运营与响应转移。
另外,在云化大趋势下,传统的安全技术都应向适应云的特性、高效、智能为演进方向。只有对传统安全技术进行创新,才能应对多因素复杂环境中层出不穷的新威胁。
参考链接
[1] https://techcrunch.com/2023/03/14/mitiga-raises-45m-for-cloud-security/
[2] https://www.prnewswire.com/news-releases/mitiga-named-rsa-conference-2024-innovation-sandbox-finalist-302105726.html
[3] https://www.linkedin.com/company/mitiga-io
[4] https://www.mitiga.io
[5] https://www.linkedin.com/in/arielparnes/
[6] https://www.linkedin.com/in/ofermaor/
[7] https://www.linkedin.com/in/talmozes/
[8] https://info.support.huawei.com/info-finder/encyclopedia/zh/SOC.html
[9] https://go.mitiga.io/Supercharging_Cloud.html
[10] https://www.mitiga.io/solutions/cloud-threat-detection-investigation-response-automation-platform
[11] https://www.mitiga.io/mitiga-ir2-platform-description
[12] https://www.paloaltonetworks.com/cortex/cloud-detection-and-response
[13] https://www.fortinet.com/cn/products/siem/fortisiem