【51CTO.com快译】本次参加2018年RSA大会的各大安全厂商都分别加大了对于基于检测与响应方面相关模拟和智能产品的投资力度。他们致力于通过自动化、流程编排、人工智能和机器学习的组合,来改进其集中化的管理平台。通过与其他各个供应商及合作伙伴的协作,凭借深入分析所发挥的关键作用,他们能够帮助最终客户更好地解读所获取得的全部数据。
为了更好地了解各类威胁的运作机制,以及组织如何才能最有效地应对这些威胁,让我们一起来看看如下十家主要厂商的产品特点。
1.IBM安全弹性事件响应平台(Security Resilient Incident Response Platform)
IBM的安全弹性事件响应平台整合了事件案例的管理、编排、自动化、智能化、以及合作伙伴之间的双向集成。该平台极大地提升了事件响应的速度。
其弹性特性表现在:允许安全分析师们对数百个耗时、重复且复杂的响应操作进行编排和自动化管理,而这些重要的操作在以前都是需要人工在其安全操作中心的工具上进行干预的。新的平台还为分析师们提供了开箱即用的集成工具,和新颖的“拖曳式”业务流程与工作流管理引擎。
无需深入了解相关技术和实施的背景,分析师可以通过该平台实现对现有整合方式的修改和重用。籍此,组织可以提高其响应流程的速度和灵活性,并能快速地实现在安全方面的投资价值。
2.赛门铁克定向攻击分析(Targeted Attack Analytics)
为了更容易地发现各种定向攻击,赛门铁克首次允许客户去访问其内部研究团队所使用的威胁检测技术。
该公司表示,定向攻击分析能够查看单个企业里的所有机器,比对从各个端点收集到的数据,以验证网络内是否存在主动攻击的行为。他们认为:该技术能够检测到那些传统安全产品所无法掌控的、更高级的攻击行为。
除了能够在所有设备上进行整体分析,以构建出更为具体的安全态势,赛门铁克还表示,定向攻击分析能够比较确定地向用户发出事件的警报信息,而非简单地指出事件发生的可能性。
3.CrowdStrike Falcon X
CrowdStrike Falcon X可以自动进行威胁分析,为各类大、中、小型组织提供定制化的情报,以及实现安全运营中心的自动化。
通过将恶意软件沙箱、恶意软件搜索和威胁情报三者整合到一个集成化的产品之中,Falcon X将端点保护提升到了一个新的水平。它可以在几秒钟内(而不是过去的几小时甚至几天)完成全面的威胁分析。该产品能为组织提供正在遭受到的各种威胁、及其所有已知变体的真实状况。
Falcon X能够通过其各种API,立即将这些威胁的状态分享给其他诸如防火墙、网关和安全编排等工具。该产品还能提供集成化的威胁情报和安全警报,从而加速了对于事件的研究、简化了调查的过程、并能推进更好的安全响应效果。
4.Fortinet NOC-SOC
Fortinet推出了其专门构建的网络+安全运营中心(Network Operations Center-Security Operations Center),为运营和安全流程提供了跨越工作流的、具有分析能力的自动化响应“桥梁”。这种管理方法能够通过新颖的图形化拓扑视图,去增强安全操作的可视性,同时它也能够被扩展到私有云和公有云的环境中。
Fortinet的集中式安全管理如今可以实现对FortiAnalyzer的本地管理,并且将所有的数据、分析、控制和结论融汇到NOC-SOC的单一视图窗口中进行操作。Fortinet表示:NOC-SOC的集成操作和安全视图能够使得安全团队更快速、更高效地执行他们的任务。
与此同时,Fortinet还通过其安全评级功能不断地对多种元素进行评估,以量化安全实施的最佳实践,并提出改进NOC-SOC运营的各种方法。
5.FireMon全局策略控制器(Global Policy Controller)
FireMon的全局策略控制器是一款单控制台的产品,它允许用户进行策略定义、监控和编排全局性的安全架构。该产品能够在数秒内为传统的和虚拟化的平台提供高效、合规的安全配置,可视化的网络状态管理,以及持续的安全控制。
该产品使得应用程序的所有者和业务线的领导们能够直接定义和管理他们的访问意图,同时允许安全团队执行各种为管理所创建的访问模板。该运营模式支持企业通过一致性的自动化和DevOps实践,向云原生(cloud-native)和容器优先的环境进行过渡。
FireMon全局策略控制器通过其策略计算引擎(Policy Compute Engine)消除了在策略合规性上的偏差。该引擎能够提供动态的策略变更、嵌入式的安全、意图解释和自动分发。
6.Sophos 网络钓鱼威胁(Phish Threat)
Sophos已将其针对网络钓鱼攻击的模拟与培训服务扩展到欧洲和亚洲。该Phish Threat通过增强的仪表板和新颖的分析,简化了员工的意识培训环节,并实现了对于组织风险和员工绩效的跟踪。
通过定制选择位于爱尔兰、德国或美国主机,那些全球化的组织如今可以在Sophos的中央管理平台上访问到多种语言的、交互式的安全培训内容。
Sophos声称:Phish Threat能够自动化整个培训流程,并提供针对员工弱点的可视化分析。它运用一个控制台来综合管理电子邮件、端点和网络安全,以改善风险管理和事件响应的能力。
7.Micro Focus ArcSight ESM 7.0
ArcSight企业安全管理器(Enterprise Security Manager,ESM)7.0通过实时的威胁情报对安全威胁和违规行为进行优先级排序,从而快速地识别并阻止潜在的各种网络攻击。该产品可通过大规模地收集、关联和报告安全事件信息,来帮助企业满足各种苛刻的安全要求。
Micro Focus表示:它们能够提供一种新颖的方式,使用分布式关联来扩展对SIEM的分析和事件关联,而且无需承担任何额外的成本。通过洞悉到更多与事件上下文有关的分析,客户可以更加专注于其业务的扩展。
另外,ArcSight ESM 7.0具有高可用性和冗余能力。它在成本和性能上的灵活性,有助于从现有的安全工具和事件中挖掘更多有价值的信息。
8.Infocyte Hunt 3.0
针对企业在云端和机房内部所有资产上所存在的威胁和漏洞,Infocyte Hunt 3.0使用了美国军方和顶级网络安全厂商所提供的高级威胁搜索功能。它通过一个自动化平台,降低了捕获恶意软件和高级持续性威胁(APT)的难度。同时它也大幅缩短从系统被感染到被发现攻击,进而阻止持续被恶意利用的时间。
用户能够以订阅服务的方式购买Infocyte的反恶意软件与威胁的专业服务。他们还将持续收到月度报告和表征组织相对安全态势的风险评分。
9.ThreatQuotient ThreatQ Investigations
ThreatQ Investigations通过对威胁的解读、协作型的分析和协调式的响应,来促进企业的安全运营。该产品允许在共享的环境中展开可视化的实时调查,以使团队能够更好地对威胁进行预判。
ThreatQ Investigations通过统一的视图提供了企业完整的安全状况,其中包括谁在何时采取了何种行动等。该产品还允许个人在预先测试了自己的方案之后,再分享给整个团队。
企业的技术分析人员和决策者都能从ThreatQ Investigations的结果中受益。各类事件的响应处理人员、恶意软件的研究人员、SOC分析师和调查主管都将籍此获得更多的控制权。他们不但能在正确的时间采取正确的行动,还能促进企业的整体安全运营。
10.数字威胁防护简易方案(Easy Solutions Digital Threat Protection)
如今,数字威胁防护简易方案套件能够为攻击受害者提供基于情报的内容上下文,并能洞察到被盗用的各种信任凭证。这使得金融机构能够更多地了解那些针对本组织的网络威胁,并能使用那些对于后续攻击具有防御性的数据去“武装”交易数据。
新的“受害者洞察(victim insight)”功能意味着:组织可以籍此确定访问了危险网站的最终用户数量、点击了恶意网址、以及披露了个人信息和信任凭证等方面的数量。
同时,检测监控服务将机器学习算法与计算机视觉(computer vision)功能相结合,以破坏和阻止各种攻击。它的功能还包括:对于流氓移动APP的防护、大量的报告服务、和内置于客户端的数据源整合功能。
原文标题:RSA 2018: 10 Hot New Security Orchestration, Threat Detection, And Incident Response Products,作者:Michael Novinson
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】
