从RSA2016看入侵分析产品的价值

  【天极网网络频道】在RSA2016大会上，RSA总裁Amit Yoran等业内专家认为：过去几年，安全行业没有赢得攻防之间的博弈，整体信息安全形势比两年前变得更加严峻。

  同时，众多安全厂商都阐释了一个不容忽视的现状：在近年来的重大黑客入侵和数据泄露事件中，各种防御类安全产品并没有发挥关键的价值。大多数攻击都是实施数月后才被发现，因而造成的损失格外惨重。根据Verizon2015年数据泄露调查报告, 2014年数据泄露的规模增长了55%，而侦测到攻击所需时间平均约200天之久。因此，在黑客突破各种安全软件、端点和网络防护之后，如何能快速侦测到黑客的攻击行为甚至比安全防护技术显得更加重要。

  快速侦测到黑客攻击行为，并在黑客完成关键的数据资产窃密之前进行相应的正确响应，是将黑客攻击风险和损失降至最低的关键环节。这也就是“入侵分析”的价值所在。

  “入侵分析”，即通过收集和分析各种威胁情报，告知系统管理员是否有安全威胁。当下该项工作普遍由系统管理人员或者第三方服务人员通过分析网络日志、安全日志、安全事件的形式来开展，存在效率和质量低、人员能力要求高的问题。

  与端点防护等相对成熟的信息安全市场不同，入侵分析是一个相对新兴的领域，还是一片蓝海，有着大量的市场机会。

  国际上，“入侵分析”领域的明星是一些创业公司，例如Exabeam、LightCyber、BitSight Technology、Niara和Vectra Networks等，上述每家公司切入入侵分析市场的方式都各不相同，因此同一家企业用户可能会同时购买多家入侵分析厂商的产品。

  以下是对一些有代表性的入侵分析创业公司的业务进行简单介绍和分析：

  l Exabeam ：主打的营销口号是用户行为分析(UBA)，通过分析网络日志数据来侦测正在进行的攻击并自动进行事件响应，其“用户状态追踪”功能可以从现有的安全信息或事件管理工具(SIEM)中提取有用信息，识别关键的安全异常行为，并将这些活动拼合到“攻击链”中。

  l LightCyber：主打“主动入侵检测”(Active Breach Dectection)，该公司的独特之处在于其解决方案同时整合了网络和端点分析来减少误报，而误报是今天企业安全人士最为头疼的问题。

  l BitSight：主要业务是提供第三方独立的信息安全评级服务，评分越低的企业面临的信息安全风险就越大。BitSight的安全评级对企业供应商风险管理和网络安全保险业务来说都非常有价值。

  l Niara：Niara开发了一个智能安全分析平台，通过借助机器学习和大数据分析来处理基于情景的威胁情报，综合网络和安全数据来识别和发现受感染用户或者内部攻击者。

  l Vectra：Vectra走的是网络分析的路线，通过机器学习技术综合分析内网和互联网数据来侦测异常行为，甚至能预测下次攻击。Vectra宣称能够自动侦测各个阶段的攻击活动。

  如今，多样化的攻击手段层出不穷，传统安全解决方案越来越难以应对网络安全攻击，当国际上众多安全公司纷纷进入“入侵分析”这个领域时，在国内，启明星辰借助在入侵检测领域的深厚积累，同时结合专业的安全分析能力与实践，率先进入“入侵分析”这个新兴领域。在网络层入侵分析领域推出“FlowEye安全域流监控系统”，在应用层入侵分析领域推出“Web应用审计系统”，从网络层和应用层对入侵分析领域进行了初步覆盖。

  l FlowEye：走的是网络行为分析的路线，通过IP资产画像技术来识别和发现受感染的内部主机、防火墙安全策略是否存在问题以及威胁的流向等。

  l Web应用审计：走的是应用层操作行为分析的路线，识别出内部非法人员与敏感操作。