2020年2月24日-28日,网络信息安全领域盛典RSA Conference在美国旧金山拉开帷幕。今日,深信服君将持续为各位详细介绍当选2022年RSAC自主创新沙盒游戏十强的新成立公司:Obsidian。
一、公司简介
Obsidan Security公司成立于2017年,于2017年7月进行A轮950万美金股权融资,现总融资额已达2950万美金,关键由Greylock Partners、Wing和GV项目投资。
Obsidian企业是一家为公司给予云检验与回应的企业,总公司坐落于加利福尼亚州纽波特海滩。创办精英团队来自于Cylance、Carbon Black和NSA,Cylance前男友CTO格兰·奇什霍尔德开创并担任CEO,Cylance前男友总裁大数据工程师兼NSA电子计算机生物学家塞特·沃尔福出任CTO,Carbon Black企业前CTO兼创始人及其NSA电子计算机生物学家本·罗伯特则出任总裁大数据工程师。
Obsidian明确提出了一个新的核心理念-CDR(Cloud Detection and Response)能为SaaS应用软件给予安全防护,并能协助安全性运营团队检验并回应侵入和内部结构危害。致力于迅速发觉、调研和回应SaaS应用软件中的系统漏洞和内部结构危害,在没有危害项目的情形下完成连续的实时监控与剖析。
二、产品简介
1.商品环境
在过去的的十年中,SaaS和公共性云服务器的应用得到了很大的提高。机构早已或已经将其业务管理系统(包含电子邮箱,合作,HR,市场销售,网络营销和经营)转移到云间。在2019年ESG科学研究调研中,三分之二(67%)的参加者汇报,如今超出20%的应用软件根据SaaS,而超出58%的安排在2019年汇报应用了IaaS。
2011-2019年使用基础架构即服务项目(IaaS)的机构百分数
2.云检验与回应(CDR)
云检验与回应是Obsidian明确提出的一个新的核心理念,也是现阶段互联网安全管理体系中缺少的一部分。
云浏览安全性代理商(CASB)之类的解决方法使用的是防止对策。CASB结构类型像云条件的服务器防火墙,当做机构基础架构与云服务器中间的中介公司,主要是根据阻拦浏览来避免损坏和泄漏及其恶意程序曝露。
可是,正如Gartner在响应式安全性的观念中谈及,保护性(Prevention)操纵并不能维护云自然环境免遭进攻。即使拥有较好的保护性安全性解决方法,网络攻击仍可以透过或绕开防御力获得对云财产的访问限制。在云间,安全性精英团队必须快速检测(Detection),调研并回应危害(Response),这就必须数据可视化和充足的客户前后文信息内容,便于即时的监测和回应异常个人行为。而现如今,这恰好是SaaS和云服务器所缺乏的作用。
与EDR对比,云自然环境中的数据可视化问题各有不同,而且更加繁杂。由于客户对于不一样应用软件有不一样的管理权限,因而SaaS应用软件必须在网站内开展权限管理。例如专职安全员想查询客户可以在Salesforce中浏览的主要内容或他在G Suite中的实际操作,则管理人员务必先获得相对应管理权限和个人行为系统日志,并掌握每一个服务项目的受权实体模型和个人行为日志格式,随后再明确依据这种信息内容明确是不是产生异常的进攻事情。很多的浏览记录和行为信息促使危害检验越来越非常繁杂,通常有关的前后文数据信息会造成TB级数据信息,这导致真实的危害或进攻事情室内空间被吞没在很多的数据流分析中。
对于之前的要求,明确提出了云检验和回应(CDR)解决方法,CDR根据持续搜集,规范性和剖析来源于SaaS和云服务器的很多情况和方式数据信息,为安全性专业技术人员给予了检验,调研和回应云间危害需要的全方面的数据可视化信息内容。
因而,CDR必须保证下列关键作用:
(1) 全局性数据可视化
CDR必须保证一个全局性数据可视化主视图来表明客户跨云服务器的浏览和行为信息。这类全局性数据可视化主视图结合了情况和客户个人行为数据信息,并融合了威胁情报和有关前后文信息内容(部位、机器设备、电脑浏览器等)。根据这类数据可视化主视图,安全性精英团队可以合理的完成不一样时期的危害检验,并迅速完成事件处理和回应。
(2) 自动识别
CDR所需剖析的信息通常较为大,因而,现阶段云条件的问题是影响或者攻击性行为通常会被吞没在很多的信息与报警中。因而,CDR运用人工神经网络和标准剖析可以协助SOC从很多的噪音数据信息中获取有價值的信息内容。
(3) 危害预测分析
CDR除开具备对早已危害和进攻的检验工作能力外,还能够预测分析云自然环境中下一步很有可能产生的出现异常或侵害个人行为。这可使安全性管理人员能提早对于要产生的危害个人行为做防止。
3.Obsidian服务平台
Obsidian云检验和回应为SaaS给予了无缝拼接的安全系数。运用一种与众不同的以真实身份为核心的办法和人工神经网络,阻拦云间的高級进攻。服务平台能为SaaS应用软件给予安全防护,并能协助安全性运营团队检验并回应侵入和内部结构危害。致力于迅速发觉、调研和回应SaaS应用软件中的系统漏洞和内部结构危害,在没有危害项目的情形下完成连续的实时监控与剖析。
Obsidian是根据API集成化做为SaaS服务项目的,因为不用布署任何东西,解决方法可以在数分钟内运行,在几个小时内就可以造成結果。
Obsidian全自动的搜集并规范化云计算平台的有关数据信息,并根据威胁情报和前后文来丰富多彩这种数据信息。Obsidian会根据人工神经网络和标准对于违反规定和内部网危害个人行为转化成报警,并不停的从本人和群体行为方式中学习培训怎样来浏览数据资产。
根据用户权限和行为表现的统一主视图,Obsidian服务平台可以完成事情回应、调研和危害捕猎。服务平台会提议根据删掉到期的账户和修补不正确配备进而提高互联网安全运用的安全系数。
Obsidian服务平台作用
(1) 由此可见性
Obsidian初次明确提出云间的客户、数据信息和程序的统一主视图,并可以不断监控客户和服务项目账号的个人行为,对危害和环境卫生问题传出报警。由此可见性关键的作用如下所示:
- 每一个服务项目的访问限制和权利明细
- 权利客户主题活动
- 跨SaaS应用软件的主题活动监控
- 可根据API免费下载的规范性数据库系统
(2) 报警
依据根据标准的触发器原理和人工神经网络,可以得到有关违反规定、违章行为和对策违反规定的警示。Obsidian服务平台可以发觉SaaS持续性、OAuth动态口令乱用和其它有关出现异常信息内容。该程序模块包含:
- 内嵌标准完成对对策矛盾和出现异常情况传出报警的内嵌标准
- 运用人工神经网络完成出现异常个人行为检验
- 优先选择解决报警,以降低过载的安全性精英团队的报警疲惫
- 与SOAR和管理与服务的可集成化
3. 汇报
可以按照不一样人物角色,得到有关应用软件应用、新产生的侵害和风险性个人行为的特有看法的汇报。因而,服务平台具备如下所示作用:
- 依据机构中不一样人物的要订制汇报和汽车仪表板
- 依据要求导出来不一样形式的数据信息
4. 回应个人行为
服务平台根据客户和其领域的统一主视图,完成迅速高效的异常检测和内部结构危害鉴别,并根据跟踪账号共享和上传文件与浏览的历史时间情形来鉴别客户的横着挪动。并能根据服务平台内嵌作用,阻隔数据泄漏和严禁帐户乱用。因而,服务平台必须如下所示作用:
- 根据時间关系客户方式和其前后文信息内容完成异常检测和危害鉴别;
- 给予强烈推荐个人行为以具体指导处理。
实例:
(1) 账户维护
a) 保护SaaS账号不被损坏和乱用
云自然环境下的关键是怎样在不危害合理合法客户体验的情形下确保云财产的安全性。根据全局性由此可见性,Obsidian可以展现什么客户可以浏览SaaS应用软件,及其浏览的等级。服务平台还能够不断监管客户在这种应用软件中干了哪些,并删掉不活泼的账号,以变小攻击面和控制成本。
图中能够看见每一个服务项目上谁有着哪些权利,他们是不是处在激活状态,及其他们怎么使用这种权利。
b) 浏览权利账号的文件目录
获得每一个服务项目中有着权利的账号明细。
c) 活跃性帐户和非活跃性账户
Obsidian能根据服务项目得到主题活动账号和非主题活动账号的粗略地主视图,在其中包括主题活动具体情况的时间转变。而且根据这种帐户的运动信息内容,清除不活泼的账号,以改进真实身份平时处理和控制成本。
d) 具备多种多样权利人物角色的客户
一个用户具备多种多样权利,很有可能会对机构组成更高一些的风险性。
e) 不主题活动账号的老旧客户监管
Obsidian很有可能监管帐户的活跃性状况,便于查客户是不是已转换人物角色或离去企业。
(2) 威胁捕猎
a) 改正违反规定和威胁鉴别
SaaS自然环境中的威胁检测十分艰难,SaaS应用软件实质上是阴天自然环境。Salesforce、G Suite、Slack和其它应用软件都是有独具特色的身分和浏览方式,并将相关管理权限和活动的信息储存在silos中。Obsidian给予了威胁检测、毁约修补和安全性结构加固的统一数据可视化,可以迅速检测出现异常登陆、SaaS持续性、数据信息过虑、横着挪动、OAuth动态口令乱用和别的威胁的指标值,并快速改正违反规定、鉴别威胁。
b) 警示
Obsidian在不用开展一切配备的情形下,可以得到各种各样威胁的报警。Obidian的告警包含了大家都知道的故意进攻,并达到了报警比较严重度排列。
c) 部位纪录
Obsidian可以监控用户从哪里登陆。检测出现异常登陆和活动征兆等。
d) 威胁捕猎的活动主视图
Obsidian根据部位、事情种类、ISP、机器设备、权利、浏览历史时间等领域的权利、活动和前后文的统一主视图,积极主动地检测SaaS自然环境中的不明威胁。
(3) 事情响应
a) 根据全局性数据可视化的迅速响应
安全事故响应工作组能在没有干扰操作系统运作的状况开展检测,鉴别根因并迅速评定危害。Obsidian根据搜集、规范性和储存来源于SaaS应用软件的很多情况和活动数据信息,进而达到更快的云事情响应。
根据应用有关用户、权利和活动的统一数据信息,Obsidian能合理地开展信息查找工作中。服务平台将用户、浏览和权利与活动联络起來,并根据部位、事情种类、IP地址和机器设备丰富多彩了这一作用。
b) 根据IP检索
搜索已经知道的故意IP和有兴趣的IP地址,以搜索与该详细地址有关的别的活动。
c) 依据用户或文档搜索活动日志
检索与特殊用户有关的全部活动,或在有关文本文档或财产上实行的全部活动。
三、创新点和挑戰
云浏览安全性代理商(CASB)之类的解决方法来选用防止对策,但并不能维护云自然环境免遭进攻。即使拥有较好的保护性安全性解决方法,网络攻击仍可以透过或绕开防御力获得对云财产的访问限制。云检测与响应是Obsidian明确提出的一个新的核心理念,将xDR的理念运用云端,互联网安全精英团队必须迅速检测,调研并响应威胁。这就必须数据可视化和充足的用户前后文信息,便于即时的检测和响应异常个人行为。而现如今,这恰好是SaaS和云服务器所缺乏的作用。云检测和响应(CDR)解决方法根据持续搜集,规范性和剖析来源于SaaS和云服务器的很多情况和方式数据信息,为安全性专业技术人员给予了检测,调研和响应云间威胁需要的全方面的数据可视化信息。Obsidian的自主创新,主要包含云条件的由此可见性、自动化技术检测和安全隐患监管,全是SaaS的主要要求,解决了互联网安全的困扰。
自然也必须见到其商业化的有较大的挑戰,xDR商品的取得成功运用必须用户安全性精英团队有较高的安全运营工作能力,不然不能充分发挥其该有的功效。假如使用云服务器的公司(尤其是中小型企业)沒有相应的运营能力,那应当要考虑到适用云空间运用的MDR服务项目,例如上年RSA主会场外,Google机构的生态链展会中有一家BlueVoyant企业,可以给予朝向云计算平台的MDR服务项目,根据绝大多数可以智能化的Tier 1服务项目和根据数据分析科学的Tier 2后台管理服务项目,可以为很多的云顾客给予可拓展的安全运营服务项目。
四、汇总
Obsidian的创办人来源于Cylance和Carbon Black,各自有云空间零信任和终端设备EDR的成功案例,坚信可以将该设备可以了解云空间SaaS应用的真正风险性,根据检测和响应技术性处理顾客使用云服务器的困扰,或许CDR会是“后CASB”的新科技产品,协助顾客及时处理并减轻威胁。
· 参照连接 ·
[1] CLOUD DETECTION AND RESPONSE IS THE MISSING ELEMENT OF CLOUD SECURITY,
https://www.obsidiansecurity.com/cloud-detection-and-response-missing-element/
[2] Obsidian官网,https://www.obsidiansecurity.com/