扒一扒Caspida:splunk刚1.9亿美元收购的安全初创企业

围观次数:462 views

    Splunk宣布已经以1.9亿美元的价格收购了安全初创企业Caspida,后者的35人团队将全部加盟Splunk

    Caspida在网上能看到的资料很少,拔了几页资料,看看人家的核心理念和实现方法、展现结果。英语不好,多上原图。

    可以看出平台厂商+数据分析厂商的整合趋势,目的就是有限的时间窗口期能快速满足用户需求。


(一)、Caspida定位

移动云时代的安全新范式,基于机器学习算法和人工智能的大数据分析技术,发现APT攻击、新型的恶意软件以及不可预知的内部威胁行为。其明确说明了威胁发现不依赖于传统的手段(传统的技术规则、签名、和基于沙箱的分析不够的)。

 

(二)、核心理念:通过对威胁攻击链的检测来发现威胁。

   (1)安全分析:主要考虑到违规行为、威胁情报的输入(IOCs)、网络攻击链的角度进行分析。

2)威胁检测:强调了威胁的可视化、指标体系、定制化展现等。

 

(三)、提出企业用户面临的挑战:

    (1)传统防护手段针对隐藏恶意的恶意软件和定向攻击没有好的办法

    (2)缺乏足够的分析力量(缺少技术安全分析师或数据科学家)

    (3)安全系统太多的警告和误报无法处理,分析师无法处理或处理不过来

 

(四)、Caspida主要的使用场景:

 (1)发现隐藏的、未知的威胁。包括APT攻击的发现、利用0DAT的新型恶意软件、内部威胁。

2)减少噪音,以威胁评分为基础的排名,达到可以适合数据分析师的报警量。

3)不依赖规则的自动的威胁发现。

    

    基于行为的网络威胁的防范:APT、内部威胁、0day攻击。这两张图很不错。

    

 

 

Sample Threats Prevented

 

Suspicious login activity

 

Privileged account abuse

 

Virtual Machine and container breach

 

Data exfiltration to the cloud and between cloud properties

 

Unusual SaaS and remote user behavior

 

Rogue mobile devices transmitting malware

 

Privileged app infiltration, data theft

 

AWS and cloud asset compromise

 

Systems accessing malware CnCs or other known bad IP addresses

 

Critical systems infected with malware

 

(五)、Caspida主要的分析过程

    (1)威胁信息(异常行为)的识别过程:

    通过网络流量确定出异常的IP,通过IP关联IAM信息、关联web server信息、关联messaging server信息、关联防火墙日志等,关联APP、数据库server等,把整个的异常行为序列分析出来。

    另:也重点谈到了外部的威胁情报输入时分析的一个重要因素。

    

 

    (2)异常攻击的钻取分析过程

     从可疑IP、关联到访问的用户,从可疑的用户关联到其使用应用、数据库或相关敏感文件等,最后以时间维度,确定出恶意行为的行为序列,并给出严重的级别。

 

    (3)谈到了数据源和分析方法

    数据源主要包括了web server访问信息、域控制服务器的信息、IAM信息(类似国内的4A)、业务日志信息、邮件服务相关信息等。分析方法查询\统计、关联分析、机器学习等。

 

 

(六)、Caspida展现平台

     该平台提供API接口可以和第三方产品进行集成,实现自动的数据共享以及共同对风险进行整治和预防

Caspida displays threats by users, applications, virtual machines, servers, mobile devices and other virtual containers.

 

(七)、部署方式

 

    部署方式:云端部署、本地部署两种方式。需要说明的是本地部署强调基于虚拟化形态的软件部署。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助