RSA2020在旧金山落下帷幕。大会期间共有41家安全厂商发布新品,涉及安全安全管理、威胁情报、安全开发、安全演练与测试、安全认证与可信环境、网络安全、云安全、应用安全、终端安全、数据安全等11。领域基本涵盖了企业网络安全的所有需求。其中,安全管理产品、服务和平台共14个,占比37%,是技术和产品演进最快的领域。2020RSA大会发布的新产品分布接下来,绿盟科技将从安全运营的角度对新产品和新服务进行盘点和总结,看看它们能帮助企业解决哪些问题,带来哪些改变。RSA2020大会期间发布的新产品主要有两个特点:一是近两年大会上的热点产品和技术已经成熟,如SOAR、MDR服务、MSS服务;二是传统产品和技术进一步演进和更新,如具有可信验证功能的认证产品和技术、攻击模拟和测距技术、安全管理平台等。企事业单位在构建和完善安全操作系统时可以考虑:第一,对于已经成熟的产品和技术,企事业单位可以考虑在企业中引入大规模的安全操作系统,如SOAR、MDR服务、MSS等服务。二是考虑对部分传统设备进行升级换代,引入或扩展新的安全机制和能力。例如,用具有可信验证功能的产品代替简单的认证,引入靶场和攻击模拟技术,实现对安全操作系统的验证和评估。一、安全管理类1、SOARSOAR仍然是大会议程中的热门话题。会议期间,知名厂商CISCO和PaloAlto均发布并更新了SOAR产品。此次发布的新产品能够将SIEM和威胁情报进行融合整合,标志着SOAR技术已经融入到安全技术体系中。SOAR技术可以帮助用户逐步实现安全响应的自动化和流程化。用户可以根据现有的应急预案结合自身网络环境和安全设备,预先设定威胁和事件处理脚本(Playbook),将威胁和安全事件结合起来。响应周期缩短到准实时水平。SOAR的部署实施将大大提升用户的安全攻防对抗能力。一方面可以将威胁监测和研究人员的精力从大量常见攻击行为的工作中解放出来,集中精力应对没有计划的高危行为。另一方面,SOAR的实施也会大大增加攻击者检测、攻击、进一步渗透的时间成本和暴露率,对攻击行为起到威慑和抑制作用。图:SOAR实现架构图2.威胁自动化分析与判断FortiAI是飞塔发布的独立产品。FortiAI主要用于威胁和可疑事件的分析判断阶段。通过自动化分析判断,大大提高了对可疑事件的分析能力。判断速度。在攻防演练和对抗中,此类技术可以大幅提升威胁分析人员的分析效率和分析能力,确保分析能力不会成为对抗的瓶颈。FortiAI采用自学习深度神经网络(DNN)技术,作为独立产品发布,也在一定程度上反映了大数据分析和机器学习技术在威胁分析领域的应用已经逐渐成熟。图:威胁自动化分析判断应用3.靶场技术与攻防演练KeySight发布的BreachDefense平台集成了攻击模拟功能。用户可以利用该功能模拟网络上的攻击行为,验证网络安全防护和评估的有效性。从安全管理的角度来看,在相对真实的环境中进行攻防演练,可以更真实地反映和暴露网络安全防护中存在的问题,并根据演练结果进行整改,更有针对性、更有效。当企业面对复杂庞大的安全架构无从下手时,利用靶场技术和攻防演练来评估下一步的优化改进内容将是最佳选择。未来企事业单位的日常安全运营系统需要构建安全度量和安全验证机制。集成安全管理平台或从技术上连接“靶场”和模拟攻击技术将是一种趋势。图:靶场系统示例4、SIEM-aaS、MSS和MDR大会期间,McAfee、CrowdStride、Secureworks等知名服务商相继升级了MDR、SIEM-aaS、MSS服务,云端服务也陆续上线变得越来越完美。McAfee的MDR服务与CrowdStrike通过合作和平台开放扩大服务地域范围;Exabeam在SIEM-aaS(基于云的事件管理自助服务平台)中集成了UEBA(行为分析)功能;SentinelOne的XDR平台具备容器安全检测和防护能力,SecureWorkMSS服务增加了资产配置检测和管理功能。云远程服务逐渐有替代和超越本地化部署的产品,企事业单位的安全运营将有更多选择。大型企事业单位可选择自建安全运营中心,开放安全能力,向下属单位输出MDR、MSS、SECaaS服务。中小企业可以选择使用MDR、MSS、SECaaS服务来构建和补充自身的安全能力。MDR服务示意图二.认证守信大会期间,各大厂商共发布了4款与认证相关的新产品,其中GreatHorn发布的解决方案和Cyber??Ark的EndpointPrivilegeManager产品比较有特色。这两款产品和解决方案在认证的基础上,增加了可信验证的功能。GreatHorn发布的账号盗用防护是基于生物识别技术的解决方案,可以根据用户的输入模式识别被感染账号并识别盗用企图,进一步通过用户行为判断用户是否可信。Cyber??Ark的EndpointPrivilegeManager添加了特权反欺骗功能,当工作站和服务器上的凭据通过受信任的身份验证机制被盗时,帮助用户快速检测并主动关闭正在进行的攻击。传统的认证机制在特定场景下(如账号被盗、弱口令被猜、应用开启未授权访问机制等)会失效。认证技术逐渐融合可信验证功能是趋势。三、检测防护类1、加密流量检测Juniper对SRX防火墙系列产品和云端进行了升级。两类产品无需具备加密流量检测功能和无需解密能力。加密流量检测是网关类检测设备的盲区。由于网络性能下降和私有协议解析困难,网关类检测设备很难通过解密检测加密流量。因此,企业只能依靠终端检测技术来检测受感染的主机。Juniper在SRX产品上实现加密流量检测后,企业可以利用该网关设备在边界检测和发现非法外部主机,网络运营商可以具备识别僵尸主机和被黑客控制的物联网设备的能力。2、Imperva发布的AdvancedBotProtection新解决方案,采用机器人防火墙技术,让用户识别并阻断没有攻击特征的异常行为,如CC攻击(DDoS攻击的一种,会产生大量具有攻击性的合法请求)代理服务器的帮助)攻击)。使用机器人防火墙技术可以有效防止网络抓取、交易欺诈、竞争性数据挖掘、未经授权的漏洞扫描以及网络和移动API滥用。3.EndpointRecoveryEndpointRecoveryServicesCrowdStrike发布的端点恢复服务是一项帮助用户在远程入侵后恢复业务运营的服务。该服务可以加速事件恢复生命周期,以最大限度地减少中断并减少企业损失。四、绿盟科技安全运营解决方案1.绿盟科技智能安全运营中心介绍一个全场景统一的安全管理平台。iSOC基于大数据架构,结合威胁情报系统,通过攻防场景机器学习、威胁建模、场景关联分析、异常行为分析、安全编排自动化、可视化,帮助客户建立和完善全面的安全态势推介会。监控、安全威胁实时预警、资产和漏洞全生命周期管理、安全事件应急响应能力。通过独特的自适应系统架构,为安全运营提供可靠的信息和数据支持,协助客户快速发现和分析安全问题,通过运维方式实现安全闭环管理。2.绿盟靶场平台简介绿盟靶场利用SDN、Docker、交通模拟、虚拟现实结合、APT知识图谱、大数据安全态势感知等技术,构建云、大、物理、工业环境,实现网络安全培训、竞技比赛、APT模拟演练、网络防护演练、攻防武器测试、产品测试评估、技术研究验证,满足用户人才培养需求,攻防演练、测试研究。3.NSFOCUSBotFirewall介绍NSFOCUSBotFirewall主要解决客户Web系统、业务平台等Bot流量的管理和安全防护,可以解决暴力破解、爬取用户信息、鉴权等安全问题。帮助客户实现API请求保护与控制、机器人流量管理。通过对各种业务接口的保护,可以打击窃取用户隐私、取证、诈骗、黄牛等恶意行为,有效拦截API的自动化攻击和手动参数篡改,让攻击者更难攻击和攻击。确保业务系统稳定运行,业务能力得到提升。4.NSFOCUSMDR服务介绍NSFOCUS综合安全运营解决方案(简称MDR服务)是基于资产的一站式安全运营解决方案,通过服务工具方案实现威胁和漏洞管理闭环,提升检测和防护效果.通过为客户提供从规划、建设到运维的全价值链,贯穿预警、防护、监控、响应、处置的安全闭环流程,持续降低企业安全风险。
