正如工业化带来生产流水线与自动化大发展一样,数字化商业将带来安全自动化的普及。追求效率,总是建立竞争优势的成功之道。我们将会看到厂商宣传材料中越来越突出数据分析、智能辅助决策、和流程自动化的能力,这也是检测与响应发展方向的基础。
(不要错过本文后半部分对创新沙盒的分析)
安全竞争优势:要做跑得更快的羚羊
作为甲方,如何有效降低安全风险?等保、NIST Cybersecurity Framework、20 CSC等等都会成为业内人士的答案。但你也不得不慎重考虑在商业世界里另一种确立竞争优势的套路:狮子更愿意去抓跑得最慢的羚羊。
Yahoo的数据泄漏直接造成出售估值下降。IHG酒店数据泄漏将顾客推向其它连锁酒店集团。具备高水准抗DDoS服务的云服务商必然更有吸引力。黑产更愿意去薅风控差的电商的羊毛。供应链风险评估会将安全保障差的厂商拒之门外。请注意,对业务造成的间接损失是直接损失的几百上千倍。业务运营团队呕心沥血建立起来的微弱优势,眨眼之间就可能被安全事件击垮不复存在,立刻回到解放前。市面上公开披露行业安全风险横向对比评分的分析报告,也有可能瞬间让垫底甲方的负责人员丢了工作。因此,目标是职业发展钱途无量?想想如何才能比同行业竞争对手的安全团队跑得更快吧!
作为甲方的你,请开始询问厂商产品是否内置智能分析与自动化流程,如何令系统和流程更加快捷,如何提升团队单位时间内的任务完成产出比率。毫无疑问,能显著提升效率的技术,机器学习和自动化,在下周RSA Conference 2017上,都是耀眼的议题。
信息安全将成为竞争优势
新技术带来的效率提升将会直接影响你的工作绩效
在数据安全治理领域,你可以选择传统关键字和正则表达式,为写一条数据分类规则花上几个月时间反复试错调整,之后还要长期忍受高误报漏报率和前线部门的各种抱怨;你也可以选择自然语言处理和机器学习新技术,几十分钟搞定专业领域数据分类分级,还能享受高准确率,让业务部门和领导刮目相看。
在威胁检测领域,你可以选择传统SIEM去大海捞针,每天浏览数万条防火墙/IDS/UTM/杀毒等等设备报警,被误报淹没无从下手,还要忍受领导认为你能力不够导致报警处理不过来的冷脸;你也可以选择机器学习和行为分析新技术,自动汇总生成高风险的二十份报告,有理有据有线索,甚至集成了威胁情报查询结果,轻轻松松完成让领导惊艳的效率奇高的月度汇报。
在应急响应领域,你可以选择每天跑几十层楼甚或出差现场调查一个终端,或者忍受传统桌管一条指令下发后等待48小时收到反馈结果,入侵者早已盗取数据或横向移动至其它设备,你不得不向领导汇报疲于奔命却总是慢人一步的残酷事实;你也可以选择新一代架构的终端远程调查软件,足不出办公室快速准确定位威胁,紧急实施限制措施,甚至可以大规模猎捕威胁,更短时间完成更多工作,让领导震惊于你团队的出色效率。
从现在开始就尝试使用新技术吧,一个选择是业绩出色得到提升,职业道路愈来愈宽;另一个选择是职责有可能逐渐被人工智能和自动化新技术所替代。
效率视角看创新沙盒
只依靠公开信息提前预测创新沙盒的胜出者是异常艰巨的任务,尤其是在评委判分与现场发挥和回答提问有很大关系的情况下。但是,安全行业大趋势能够令我们管中窥豹可见一斑,例如,不少朋友知道,去年现场揭晓最终结果前,笔者也是侥幸正确预测出获胜者。既然笔者向来不惮于成败敢做预测不怕打脸,诸位看官也图个热闹跟我来一起看看,以使用智能技术提高效率作为唯一标准,哪个创业公司最有希望。
先把毫无希望的挑出来扔掉。幸好是国外公司,否则笔者可不敢公开大肆评论。文中出现的专业名词不了解的请自行搜索,笔者不过多解释了。
ENVEIL,同态加密,头顶前NSA雇员的光环,要做第一个商业化的同态加密可扩展框架。另一位选手,Baffle,只做SQL层的加密,居然也敢号称end-to-end数据安全。不知大家注意到没有,这些年做加密的厂商就没有发展得很好的,例如曾经万众瞩目的Ionic Security前两年就听不到什么动静了,去年经历了重大管理层重组,投资者不仅成了股东还变成了CEO。
UnifyID,做身份,对设备传感器数据使用机器学习,也不是什么新花样,笔者15年就听到国内某互联网巨头在尝试;另外,身份认证需要极高准确度,笔者并不认为95%准确度的SLA能被用户接受,这可不是业务风控能接受一定误报,况且它能拿到的数据维度毫无意外会比巨头少很多,等着看这公司的故事怎么圆吧。
GreatHorn,云化反鱼叉邮件,拥挤的市场,激烈的竞争,普通的商业模式,乏善可陈的技术,笔者不知道为何会入选。
Contrast Security,应用安全,提供IAST和RASP,这个领域的技术优势极难评估,魔鬼在细节。写到这里笔者颇为犹豫了一下,实在是创始人光环太耀眼:之前他做CEO的三家公司,做ERP的被PeopleSoft买了,做电子系统设计的被Synopsys买了,做反欺诈的被Experian买了。每次都跨行业都能踩准趋势的连续创业者,保不齐评委就选他了。但我们还是坚持用效率做评判标准!
Cato Networks,创始人是Checkpoint和Imperva创始团队成员,也顶着各种光环,只不过这商业模式未免令人大跌眼镜,自建PoP的沉重Capex难道不是技术型创业公司的噩梦吗?也许融资能力不是他所担心的顾虑。在笔者看来,MSSP路数就是要完胜Cato这种模式的,就像铁塔公司之于运营商,Google之于运营商,网络基础设施上跑什么流量完全可以软件定义虚拟化管理,从成本上来讲,MSSP巨头BT、AT&T、Verizon之类的有无可比拟的优势,堂堂正正碾压。
以上这些入围创业公司的方向与提高安全团队效率关系太轻微。即便如此,你也会看到他们的宣传材料里有大量的“自动化”关键词。下面几家就到了难以抉择的艰难时间。
Uplevel,白宫前SOC主管,women in cybersecurity,看来创新沙盒也是多元化至上。数据科学、情报驱动、上下文、工作流、自动化、快速反应,该有的关键词都有,就是看不出来有啥新意,也许是还在stealth mode?只凭这些关键词是拿不到奖项的。不过公司介绍倒是极为符合行业发展潮流。
RedLock,方向跟阿里云盾如出一辙,公有云基础安全需求,市场空间巨大。它目前还不如云盾做得深入,除了云盾还不支持一键部署合规模版支持某个合规框架,估计不远的未来也会加上去了。话说云盾这两年进步飞快,产品已经很不错,只是还需要整合;集团正规军作战的优势体现得淋漓尽致,心无旁骛地服务阿里云,天时地利人和。Secure Your Cloud Infrastructure at DevOps Speed. 嗯,RedLock这句slogan把追求效率的价值诉求阐述得一清二楚。
Claroty,著名的Team8下的蛋,这个孵化模式能不能成功还需要时间验证。工控、IoT、协议分析、提取关键数据、算法模型、行动指引、响应和溯源,还是那些关键词,还是极高的热度,进一步评估需要看到真实产品才能检验其深度了。工控市场中目前还没有出色的能提供高效率的集成检测与响应的厂商,希望Claroty能走出来成为标杆。
好吧,笔者就是按胜出概率来排序的,最后一个介绍的也是我心目中的获奖者。
Veriflow,最具创新技术含量的,大学科研成果转化,据说背后有DoD的资助。产品功能从公司名称很直观地就能看出来:核实验证网络流量。
Veriflow的流量验证引擎,将采集到的数据灌入到包含所有可能全网流量的数学预测模型中进行处理。这个功能突破需要复杂新颖的推理算法和紧凑数据结构,以适应高速实时分析海量数据包。然后根据安全策略进行实时严谨的对比分析,发现弱点和违规事件。典型应用场景包括:网络策略库、脆弱性风险评估、网络区隔验证、故障转移验证、服务中断响应、快速事件响应、加速网络故障排除、比较网络状态前后变化、安全配置验证、改进审计响应。可部署于传统网络和SDN。(官方文档快速翻译,还请读者自行去查原文。)
笔者坦诚,只有看到这家公司时,才感觉眼前一亮。这跟NSX是绝配啊,要我是vmware,只要看到其产品经过大规模验证后立刻去谈收购。
创新沙盒也只能起到参考作用,外行看热闹,内行看门道,方向再对、技术再好、也得有运气加持才能成功。Veriflow是否能胜出还要看临场发挥。各位看官如果觉得本文有价值,不妨等到比赛结果公布后再重新读一遍,相信会更有收获。
声明:本文来自DJ的札记,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
