转载

Splunk1.9亿美元收购的安全初创企业Caspida

Splunk宣布已经以1.9亿美元的价格收购了安全初创企业Caspida,后者的35人团队将全部加盟Splunk。Caspida在网上能看到的资料很少,拔了几页资料,看看人家的核心理念和实现方法、展现结果。英语不好,多上原图。

可以看出 平台厂商+数据 分析厂商的整合趋势,目的就是有限的时间窗口期能快速满足用户需求。

(一)、Caspida定位

移动云时代的安全新范式,基于机器学习算法和人工智能的大数据分析技术,发现APT攻击、新型的恶意软件以及不可预知的内部威胁行为。

其明确说明了威胁发现不依赖于传统的手段(传统的技术规则、签名、和基于沙箱的分析不够的)。

(二)、核心理念:通过对威胁攻击链的检测来发现威胁

(1)安全分析:主要考虑到违规行为、威胁情报的输入(IOCs)、网络攻击链的角度进行分析。

Splunk1.9亿美元收购的安全初创企业Caspida

(2)威胁检测:强调了威胁的可视化、指标体系、定制化展现等。

Splunk1.9亿美元收购的安全初创企业Caspida

(三)、提出企业用户面临的挑战:

(1)传统防护手段针对隐藏恶意的恶意软件和定向攻击没有好的办法

(2)缺乏足够的分析力量(缺少技术安全分析师或数据科学家)

(3)安全系统太多的警告和误报无法处理,分析师无法处理或处理不过来

Splunk1.9亿美元收购的安全初创企业Caspida

(四)、Caspida 主要的使用场景:

(1)发现隐藏的、未知的威胁。包括APT攻击的发现、利用0DAT的新型恶意软件、内部威胁。

(2)减少噪音,以威胁评分为基础的排名,达到可以适合数据分析师的报警量。

(3)不依赖规则的自动的威胁发现。

基于行为的网络威胁的防范:APT、内部威胁、0day攻击。这两张图很不错。

Splunk1.9亿美元收购的安全初创企业Caspida

Splunk1.9亿美元收购的安全初创企业Caspida

(五)、Caspida 主要的分析过程 (1)威胁信息(异常行为)的识别过程 :

通过网络流量确定出异常的IP,通过IP关联IAM信息、关联web server信息、关联messaging server信息、关联防火墙日志等,关联APP、数据库server等,把整个的异常行为序列分析出来。

另:也重点谈到了外部的威胁情报输入时分析的一个重要因素。

Splunk1.9亿美元收购的安全初创企业Caspida

(2) 异常攻击的钻取分析过程

从可疑IP、关联到访问的用户,从可疑的用户关联到其使用应用、数据库或相关敏感文件等,最后以时间维度,确定出恶意行为的行为序列,并给出严重的级别。

Splunk1.9亿美元收购的安全初创企业Caspida

(3)谈到了数据源和分析方法

数据源主要包括了web server访问信息、域控制服务器的信息、IAM信息(类似国内的4A)、业务日志信息、邮件服务相关信息等。分析方法查询/统计、关联分析、机器学习等。

Splunk1.9亿美元收购的安全初创企业Caspida

(六)、Caspida 展现平台

该平台提供API接口可以和第三方产品进行集成,实现自动的数据共享以及共同对风险进行整治和预防。

Splunk1.9亿美元收购的安全初创企业Caspida

Splunk1.9亿美元收购的安全初创企业Caspida

(七)、部署方式

云端部署、本地部署两种方式。需要说明的是本地部署强调基于虚拟化形态的软件部署。

Splunk1.9亿美元收购的安全初创企业Caspida

正文到此结束
Loading...