去年RSA的時候,看到一個以前從沒聽說的公司展臺,Chronicle,當時還以爲是本地的老牌報紙,舊金山紀事報,一家媒體公司。過去一瞭解,才知道是科技巨頭谷歌旗下的子公司,專注網絡安全,在已經非常擁擠的網絡安全市場希望脫穎而出的一個競爭者。
2019年Chronicle推出了Backstory平臺,企業可以在該平臺上將安全數據保存在自己的私有云中,並立即搜索潛在的威脅和漏洞。除了幾年前收購的VirusTotal之外,谷歌在安全領域並不出名。谷歌的看家本領是其海量數據的基礎技術和計算能力,看起來Chronicle是要他擅長的技術來解決安全問題。
“安全專業人士供不應求,他們更願意把時間花在實際的安全工作上,而不是管理安全數據基礎設施。” Backstory的推出爲雲供應商創造了巨大發展機遇,因爲他們已經擁有能夠處理當下大量安全信息的全球雲基礎設施。
轉眼就到了RSA2020,Chronicle的安全分析平臺已經一年了,公司也從一個相對獨立的公司合併到走馬換將後奮起直追AWS和Azure的谷歌雲(Google Cloud)部門。
在過去的一年裏,Chronicle的分析平臺增加了對 EDR 數據的支持,這是許多公司中最大的終端數據集之一,添加了從設備畫像到用戶畫像的能力,以及快速查看正常用戶行爲與異常用戶行爲的能力。(嗯,聽起來很熟悉,這也是我們山石的大數據分析平臺一直在研究、開發的方向)
那麼Chronicle將在今年的 RSA 推出什麼新功能呢?據展臺的工程師介紹,第一種是智能數據融合,這是將傳入的終端日誌映射到結構化數據,建立智能的數據模型;自動豐富事件,並將其鏈接到時間線上;還有API,用於將這些數據提供給第三方應用程序。第二種是新的威脅檢測功能。除了高速查詢,Chronicle不僅添加了新的實時和追溯引擎,而且還創建了 YARA-L,這是一種用於日誌數據的專門威脅檢測語言。YARA 是一種廣泛使用的標準語言,用於表達安全規則,由 Google 的 VirusTotal 團隊創建。YARA-L在這裏擴展了此功能,使用強大的語言來表示跟隨時間發展的行爲檢測。它非常適合處理 MITRE ATT&CK 中描述的複雜、有時間序列的威脅行爲類型。這兩種功能協同工作,以便客戶能夠針對智能的、自動豐富和結構化的終端數據創建強大的檢測規則。
Chronicle是一個非傳統的安全公司,Backstory只有在雲端的服務,沒有賣給客戶安裝的軟硬件設備。這也反映了雲服務的領先公司(Google cloud現在全球雲服務裏排名第三)在以SaaS(安全即服務)的形式逐漸進入SIEM市場。這也吸引了傳統網絡安全公司在向雲端邁進中與雲廠商建立合作伙伴關係。Chronicle的第一個SOAR 戰略合作伙伴是我們熟悉的帕洛阿爾託網絡公司,Chronicle在RSA演示了通過智能終端數據增強Palo Alto的Cortex XSOAR。
去年RSA時候,帕洛阿爾託網絡公司宣佈收購了SOAR的領先公司德米斯頓(Demisto)。今年,Palo Alto宣佈了Cortex XSOAR,Cortex XSOAR就是是德米斯頓平臺的進化。
帕洛阿爾託網絡產品戰略副總裁Rishi Bhargava表示:“Cortex XSOAR可爲企業範圍的威脅提供自動化的擴充、響應和案例管理“。與 Chronicle 的新檢測功能和事件時間線的集成,跨越數月或數年的數據,增強了響應能力,併爲我們的共同客戶提供了全面的威脅管理。
根據Palo Alto的宣傳,Cortex XSOAR:
• 將轉變安全分析師的運營方式,高達 95%減少需要人工審查的每週警報量,
• 350+第三方產品集成,提高協調和自動化
• 13000+開放 DFIR 社區活動的同行分享最佳實踐
• 行動手冊(Playbook)驅動的威脅情報管理。
做安全的都知道,威脅情報一直是一個未解之謎,安全分析師和威脅情報團隊努力消除噪音,並在無休止的脫節、無關聯的的數據源和工具中根據IOC情報採取行動。安全團隊需要一個平臺將威脅情報管理與整個企業中由行動手冊驅動的實施集成在一起,以便客戶能夠快速、自信地對威脅源採取行動,從而簡化了安全操作。這是一個能夠擴展的安全編排、自動化和響應平臺,爲安全者提供即時能力,應對整個企業的威脅。