2020年2月24-28日,网络安全行业盛会RSA大会在旧金山拉开帷幕。今天,绿盟科技继续为大家介绍入选今年RSAC创新沙盒十强的初创公司:Obsidian。一、公司介绍ObsidanSecurity成立于2017年,于2017年7月完成950万美元A轮融资,融资总额已达2950万美元,主要由GreylockPartners、Wing和GV投资。Obsidian是一家基于云的检测和响应公司,总部位于加利福尼亚州纽波特比奇。创始团队来自Cylance、CarbonBlack和NSA。Cylance前CTOGlennChishhold创立并担任CEO。Cylance前首席数据科学家、NSA计算机科学家MattWolf担任CTO。CarbonBlack前CTO、联合创始人兼NSA计算机科学家BenJohnson担任首席数据科学家。Obsidian提出了一个新概念——CDR(CloudDetectionandResponse)可以为SaaS应用提供安全保护,帮助安全运营团队检测和响应入侵和内部威胁。旨在快速发现、排查和响应SaaS应用中的漏洞和内部威胁,在不影响业务的情况下实现持续监控和分析。2.产品介绍1.产品背景在过去的十年中,SaaS和公共云服务的使用取得了巨大的增长。组织已经或正在将其业务系统(包括电子邮件、协作、人力资源、销售、营销和运营)迁移到云端。在2019年ESG研究调查中,三分之二(67%)的参与者表示,现在超过20%的应用程序基于SaaS,而超过58%的组织表示在2019年使用了IaaS。使用基础架构即服务的组织的百分比(IaaS)2011-20192.CloudDetectionandResponse(CDR)CloudDetectionandResponse是Obsidian提出的一个新概念,也是目前云安全体系中缺失的部分。云访问安全代理(CASB)等解决方案采用预防性方法。在结构上,CASB就像云环境的防火墙,充当组织基础设施和云服务之间的中介,主要通过阻止访问来防止数据丢失和泄漏以及恶意软件暴露。然而,正如Gartner在自适应安全概念中提到的那样,预防性(Prevention)控制不足以保护云环境免受攻击。即使使用最好的预防性安全解决方案,攻击者仍然可以突破或绕过防御来访问云资产。在云端,安全团队需要快速检测(Detect)、调查和响应威胁(Response),这就需要可视化和丰富的用户上下文信息来实时检测和响应可疑行为。如今,这正是SaaS和云服务所缺少的。云环境中的可视化问题与EDR中的不同且更为复杂。由于用户对不同的应用有不同的权限,SaaS应用需要在平台内进行权限管理。例如,如果安全管理员想要查看用户在Salesforce中可以访问的内容或者他在GSuite中的操作,管理员首先要获得相应的权限和行为日志,并且了解每个服务的授权模型和行为日志格式,然后根据这些信息判断是否发生了可疑的攻击事件。大量的访问记录和行为信息使得威胁检测变得异常复杂,通常相关的上下文数据会产生TB级的数据,这使得真实威胁或攻击事件的空间淹没在大量的数据流中。针对之前的需求,提出了CloudDetectionandResponse(CDR)解决方案。CDR通过持续收集、规范化和分析来自SaaS和云服务的大量状态和行为数据,为安全专业人员提供云端检测、调查和响应能力。所需威胁的全面可视化。因此,CDR需要提供以下核心功能:(1)全局可视化CDR需要提供一个全局的可视化视图,展示跨云服务的用户访问和行为信息。这种全局视觉视图融合了状态和用户行为数据,并集成了威胁情报和相关上下文信息(位置、设备、浏览器等)。基于这种可视化视图,安全团队可以有效地实施不同阶段的威胁检测,并快速实施事件调查和响应。(2)自动检测CDR需要分析的数据通常比较大。因此,当前云环境存在的问题是,威胁或攻击行为通常淹没在大量的数据和告警中。因此,利用机器学习和规则分析的CDR可以帮助SOC从大量嘈杂的数据中提取有价值的信息。(3)威胁预测CDR除了能够检测到现有的威胁和攻击,还可以预测云环境中下一次可能发生的异常或威胁行为。这使安全管理人员能够提前对迫在眉睫的威胁采取预防措施。3.Obsidian平台Obsidian云检测和响应为SaaS提供了无缝的安全性。通过独特的以身份为中心的方法和机器学习阻止云中的高级攻击。该平台为SaaS应用程序提供安全保护,并帮助安全运营团队检测和响应入侵和内部威胁。旨在快速发现、排查和响应SaaS应用中的漏洞和内部威胁,在不影响业务的情况下实现持续监控和分析。Obsidian通过API集成为SaaS服务,由于无需部署任何内容,该解决方案可以在几分钟内启动并在几小时内产生结果。Obsidian自动收集和规范化有关云应用程序的数据,并通过威胁情报和上下文丰富这些数据。Obsidian将基于机器学习和规则生成违规和内网威胁警报,并不断学习如何从个人和群体行为模式中访问数据资产。基于用户权限和行为的统一视图,Obsidian平台支持事件响应、调查和威胁搜寻。该平台将建议通过删除过期帐户和修复错误配置来增强云安全应用程序的安全性。Obsidian平台功能(1)可见性Obsidian首次提出云端用户、数据和应用的统一视图,可以持续监控用户和服务账户的行为,并对威胁和健康问题发出警报。可见性主要功能如下:按服务访问和权限列表特权用户活动跨SaaS应用程序的活动监控可通过API(2)下载规范化数据模型警报基于基于规则的触发器和机器学习,可用关于违反政策的警告,有风险行为和违反政策。Obsidian平台可以发现SaaS持久性、OAuth令牌滥用和其他相关异常。该功能模块包括:内置规则,用于对策略违规和异常行为实施警报内置规则使用机器学习来检测异常行为确定警报的优先级以减少超负荷安全团队的警报疲劳可与SOAR和服务管理集成3。报告根据基于角色的报告获得对应用程序使用情况、新兴威胁和风险行为的独特见解。因此,该平台具有以下功能:根据组织中不同角色的需求定制报告和仪表板根据需求导出不同格式的数据4.响应行为平台基于用户及其行业的统一视图,使能快速有效的异常检测和内部威胁识别,通过跟踪账户共享和文件上传和访问的历史行为来识别用户的横向移动。并且通过平台的内置功能,可以阻止数据泄露和帐户滥用。因此,平台需要具备以下功能:基于时间相关的用户行为及其上下文信息,实现异常检测和威胁识别;提供推荐的行为来指导处置。案例:(1)账号保护a)在云环境下保护SaaS账号不被破坏和滥用的关键是如何在不影响合法用户体验的情况下保证云资产的安全。凭借全球可见性,Obsidian可以显示哪些用户可以访问SaaS应用程序,以及访问级别。该平台还可以持续监控用户在这些应用程序中的行为,并删除不活跃的账户以减少攻击面和成本。上图显示了谁对每个服务有什么特权,他们是否活跃,以及他们如何使用这些特权。b)访问特权账户目录,获取每个服务中的特权账户列表。c)活跃和不活跃账户Obsidian可以通过服务获得活跃和不活跃账户的粗略视图,包括历史活跃度变化。并根据这些账户的活动信息,清理不活跃账户,提高日常身份清理工作,降低成本。d)具有多重特权角色的用户具有多重特权的单个用户可能会给组织带来更高的风险。e)对不活跃账户的过时用户监控Obsidian可能会监控账户活动以查看用户是否已转换角色或离开公司。(2)威胁狩猎a)漏洞修复和威胁识别SaaS环境中的威胁检测非常困难,SaaS应用本身就是多云环境。Salesforce、GSuite、Slack和其他应用程序都具有独特的身份和访问模型,并将有关权限和活动的信息保存在孤岛中。Obsidian提供威胁检测、漏洞补救和安全强化的统一可视化。可快速检测异常登录、SaaS持久化、数据过滤、横向移动、OAuthtoken滥用等威胁指标,快速纠正违规和识别威胁。b)警告Obsidian无需任何配置即可获得各种威胁的警报。Obidian的警报涵盖了众所周知的恶意攻击,并实现了警报严重性等级。c)LocationHistoryObsidian可以监控用户从哪里登录。检测异常登录、活动迹象等。d)用于威胁搜寻的活动视图Obsidian主动检测SaaS环境中的未知威胁,具有跨位置、事件类型、ISP、设备、权限、访问历史等的权限、活动和上下文的统一视图。(3)事件响应a)基于全局可视化的快速响应事件响应团队可以在不影响系统运行的情况下进行检测,识别根本原因并快速评估影响。Obsidian通过收集、规范化和存储来自SaaS应用程序的大量状态和活动数据来实现快速的云事件响应。Obsidian通过使用有关用户、权限和活动的统一数据来实现高效的信息检索。该平台将用户、访问权限和权限连接到活动,并通过位置、事件类型、IP地址和设备丰富此功能。b)通过IP搜索搜索已知的恶意IP和感兴趣的IP地址,以查找与该地址相关的其他活动。c)按用户或文档搜索活动日志搜索与特定用户相关或对相关文档或资产执行的所有活动。3.创新与挑战云访问安全代理(CASB)等解决方案采用了预防策略,但不足以保护云环境免受攻击。即使使用最好的预防性安全解决方案,攻击者仍然可以突破或绕过防御来访问云资产。CloudDetectionandResponse是Obsidian提出的一个新概念。将xDR的概念应用到云中,云安全团队需要快速检测、调查和响应威胁。这需要可视化和丰富的用户上下文信息来实时检测和响应可疑行为。如今,这正是SaaS和云服务所缺少的。云检测和响应(CDR)解决方案通过持续收集、规范化和分析来自SaaS和云服务的大量状态和行为数据,为安全专业人员提供检测、调查和响应云中威胁所需的全面可见性。Obsidian的创新主要包括云环境可视化、自动化检测、安全风险监控,这些是SaaS的核心诉求,解决了云安全的痛点。当然,我们也要看到,它的商业化也有很大的挑战。xDR产品的成功应用需要用户安全团队具备较高的安全运营能力,否则无法发挥应有的作用。如果使用云的企业(尤其是中小企业)不具备相关运营能力,则应考虑支持云应用的MDR服务。云MDR服务可以通过大部分可自动化的Tier1服务和基于数据科学的Tier2后台服务,为大量云客户提供可扩展的安全运维服务。4.总结Obsidian的创始人来自Cylance和CarbonBlack,他们分别在云零信任和终端EDR方面有成功的经验。相信这款产品能够洞悉云SaaS应用真正的风险,基于检测和响应技术解决客户在云端的痛点,或许CDR会是一种新型的“后CASB”产品,帮助客户及时发现并缓解威胁。·参考链接[1]云检测和响应是云安全的缺失元素,https://www.obsidiansecurity.com/cloud-detection-and-response-missing-element/[2]Obsidian官网,https:///www.obsidiansecurity.com/
