Splunk宣布已经以1.9亿美元的价格收购了安全初创企业Caspida,后者的35人团队将全部加盟Splunk。
Caspida在网上能看到的资料很少,拔了几页资料,看看人家的核心理念和实现方法、展现结果。英语不好,多上原图。
可以看出平台厂商+数据分析厂商的整合趋势,目的就是有限的时间窗口期能快速满足用户需求。
(一)、Caspida定位
移动云时代的安全新范式,基于机器学习算法和人工智能的大数据分析技术,发现APT攻击、新型的恶意软件以及不可预知的内部威胁行为。其明确说明了威胁发现不依赖于传统的手段(传统的技术规则、签名、和基于沙箱的分析不够的)。
(二)、核心理念:通过对威胁攻击链的检测来发现威胁。
(1)安全分析:主要考虑到违规行为、威胁情报的输入(IOCs)、网络攻击链的角度进行分析。
(2)威胁检测:强调了威胁的可视化、指标体系、定制化展现等。
(三)、提出企业用户面临的挑战:
(1)传统防护手段针对隐藏恶意的恶意软件和定向攻击没有好的办法
(2)缺乏足够的分析力量(缺少技术安全分析师或数据科学家)
(3)安全系统太多的警告和误报无法处理,分析师无法处理或处理不过来
(四)、Caspida主要的使用场景:
(1)发现隐藏的、未知的威胁。包括APT攻击的发现、利用0DAT的新型恶意软件、内部威胁。
(2)减少噪音,以威胁评分为基础的排名,达到可以适合数据分析师的报警量。
(3)不依赖规则的自动的威胁发现。
基于行为的网络威胁的防范:APT、内部威胁、0day攻击。这两张图很不错。
|
Sample Threats Prevented |
||||
|
Suspicious login activity |
Privileged account abuse |
Virtual Machine and container breach |
Data exfiltration to the cloud and between cloud properties |
Unusual SaaS and remote user behavior |
|
Rogue mobile devices transmitting malware |
Privileged app infiltration, data theft |
AWS and cloud asset compromise |
Systems accessing malware CnCs or other known bad IP addresses |
Critical systems infected with malware |
(五)、Caspida主要的分析过程
(1)威胁信息(异常行为)的识别过程:
通过网络流量确定出异常的IP,通过IP关联IAM信息、关联web server信息、关联messaging server信息、关联防火墙日志等,关联APP、数据库server等,把整个的异常行为序列分析出来。
另:也重点谈到了外部的威胁情报输入时分析的一个重要因素。
(2)异常攻击的钻取分析过程:
从可疑IP、关联到访问的用户,从可疑的用户关联到其使用应用、数据库或相关敏感文件等,最后以时间维度,确定出恶意行为的行为序列,并给出严重的级别。
(3)谈到了数据源和分析方法
数据源主要包括了web server访问信息、域控制服务器的信息、IAM信息(类似国内的4A)、业务日志信息、邮件服务相关信息等。分析方法查询\统计、关联分析、机器学习等。
(六)、Caspida展现平台
该平台提供API接口可以和第三方产品进行集成,实现自动的数据共享以及共同对风险进行整治和预防
Caspida displays threats by users, applications, virtual machines, servers, mobile devices and other virtual containers.
(七)、部署方式
部署方式:云端部署、本地部署两种方式。需要说明的是本地部署强调基于虚拟化形态的软件部署。
