去年RSA的时候,看到一个以前从没听说的公司展台,Chronicle,当时还以为是本地的老牌报纸,旧金山纪事报,一家媒体公司。过去一了解,才知道是科技巨头谷歌旗下的子公司,专注网络安全,在已经非常拥挤的网络安全市场希望脱颖而出的一个竞争者。

2019年Chronicle推出了Backstory平台,企业可以在该平台上将安全数据保存在自己的私有云中,并立即搜索潜在的威胁和漏洞。除了几年前收购的VirusTotal之外,谷歌在安全领域并不出名。谷歌的看家本领是其海量数据的基础技术和计算能力,看起来Chronicle是要他擅长的技术来解决安全问题。

“安全专业人士供不应求,他们更愿意把时间花在实际的安全工作上,而不是管理安全数据基础设施。” Backstory的推出为云供应商创造了巨大发展机遇,因为他们已经拥有能够处理当下大量安全信息的全球云基础设施。

转眼就到了RSA2020,Chronicle的安全分析平台已经一年了,公司也从一个相对独立的公司合并到走马换将后奋起直追AWS和Azure的谷歌云(Google Cloud)部门。

在过去的一年里,Chronicle的分析平台增加了对 EDR 数据的支持,这是许多公司中最大的终端数据集之一,添加了从设备画像到用户画像的能力,以及快速查看正常用户行为与异常用户行为的能力。(嗯,听起来很熟悉,这也是我们山石的大数据分析平台一直在研究、开发的方向)

那么Chronicle将在今年的 RSA 推出什么新功能呢?据展台的工程师介绍,第一种是智能数据融合,这是将传入的终端日志映射到结构化数据,建立智能的数据模型;自动丰富事件,并将其链接到时间线上;还有API,用于将这些数据提供给第三方应用程序。第二种是新的威胁检测功能。除了高速查询,Chronicle不仅添加了新的实时和追溯引擎,而且还创建了 YARA-L,这是一种用于日志数据的专门威胁检测语言。YARA 是一种广泛使用的标准语言,用于表达安全规则,由 Google 的 VirusTotal 团队创建。YARA-L在这里扩展了此功能,使用强大的语言来表示跟随时间发展的行为检测。它非常适合处理 MITRE ATT&CK 中描述的复杂、有时间序列的威胁行为类型。这两种功能协同工作,以便客户能够针对智能的、自动丰富和结构化的终端数据创建强大的检测规则。

Chronicle是一个非传统的安全公司,Backstory只有在云端的服务,没有卖给客户安装的软硬件设备。这也反映了云服务的领先公司(Google cloud现在全球云服务里排名第三)在以SaaS(安全即服务)的形式逐渐进入SIEM市场。这也吸引了传统网络安全公司在向云端迈进中与云厂商建立合作伙伴关系。Chronicle的第一个SOAR 战略合作伙伴是我们熟悉的帕洛阿尔托网络公司,Chronicle在RSA演示了通过智能终端数据增强Palo Alto的Cortex XSOAR。

去年RSA时候,帕洛阿尔托网络公司宣布收购了SOAR的领先公司德米斯顿(Demisto)。今年,Palo Alto宣布了Cortex XSOAR,Cortex XSOAR就是是德米斯顿平台的进化。

帕洛阿尔托网络产品战略副总裁Rishi Bhargava表示:“Cortex XSOAR可为企业范围的威胁提供自动化的扩充、响应和案例管理“。与 Chronicle 的新检测功能和事件时间线的集成,跨越数月或数年的数据,增强了响应能力,并为我们的共同客户提供了全面的威胁管理。

根据Palo Alto的宣传,Cortex XSOAR:
• 将转变安全分析师的运营方式,高达 95%减少需要人工审查的每周警报量,
• 350+第三方产品集成,提高协调和自动化
• 13000+开放 DFIR 社区活动的同行分享最佳实践
• 行动手册(Playbook)驱动的威胁情报管理。

2020 RSA见闻_第1张图片

做安全的都知道,威胁情报一直是一个未解之谜,安全分析师和威胁情报团队努力消除噪音,并在无休止的脱节、无关联的的数据源和工具中根据IOC情报采取行动。安全团队需要一个平台将威胁情报管理与整个企业中由行动手册驱动的实施集成在一起,以便客户能够快速、自信地对威胁源采取行动,从而简化了安全操作。这是一个能够扩展的安全编排、自动化和响应平台,为安全者提供即时能力,应对整个企业的威胁。