Splunk1.9亿美元收购的安全初创企业Caspida
作者 陈怀临 | 2015-07-22 11:20 | 类型 网络安全 | 1条用户评论 »
|
Splunk宣布已经以1.9亿美元的价格收购了安全初创企业Caspida,后者的35人团队将全部加盟Splunk。Caspida在网上能看到的资料很少,拔了几页资料,看看人家的核心理念和实现方法、展现结果。英语不好,多上原图。
可以看出平台厂商+数据分析厂商的整合趋势,目的就是有限的时间窗口期能快速满足用户需求。
(一)、Caspida定位 移动云时代的安全新范式,基于机器学习算法和人工智能的大数据分析技术,发现APT攻击、新型的恶意软件以及不可预知的内部威胁行为。 其明确说明了威胁发现不依赖于传统的手段(传统的技术规则、签名、和基于沙箱的分析不够的)。
(二)、核心理念:通过对威胁攻击链的检测来发现威胁 (1)安全分析:主要考虑到违规行为、威胁情报的输入(IOCs)、网络攻击链的角度进行分析。
(2)威胁检测:强调了威胁的可视化、指标体系、定制化展现等。
(三)、提出企业用户面临的挑战: (1)传统防护手段针对隐藏恶意的恶意软件和定向攻击没有好的办法 (2)缺乏足够的分析力量(缺少技术安全分析师或数据科学家) (3)安全系统太多的警告和误报无法处理,分析师无法处理或处理不过来
(四)、Caspida主要的使用场景: (1)发现隐藏的、未知的威胁。包括APT攻击的发现、利用0DAT的新型恶意软件、内部威胁。 (2)减少噪音,以威胁评分为基础的排名,达到可以适合数据分析师的报警量。 (3)不依赖规则的自动的威胁发现。 基于行为的网络威胁的防范:APT、内部威胁、0day攻击。这两张图很不错。 (五)、Caspida主要的分析过程 (1)威胁信息(异常行为)的识别过程: 通过网络流量确定出异常的IP,通过IP关联IAM信息、关联web server信息、关联messaging server信息、关联防火墙日志等,关联APP、数据库server等,把整个的异常行为序列分析出来。 另:也重点谈到了外部的威胁情报输入时分析的一个重要因素。 (2)异常攻击的钻取分析过程: 从可疑IP、关联到访问的用户,从可疑的用户关联到其使用应用、数据库或相关敏感文件等,最后以时间维度,确定出恶意行为的行为序列,并给出严重的级别。 (3)谈到了数据源和分析方法 数据源主要包括了web server访问信息、域控制服务器的信息、IAM信息(类似国内的4A)、业务日志信息、邮件服务相关信息等。分析方法查询\统计、关联分析、机器学习等。 (六)、Caspida展现平台 该平台提供API接口可以和第三方产品进行集成,实现自动的数据共享以及共同对风险进行整治和预防。
(七)、部署方式 云端部署、本地部署两种方式。需要说明的是本地部署强调基于虚拟化形态的软件部署。 | |
 (没有打分) |
雁过留声
“Splunk1.9亿美元收购的安全初创企业Caspida”有1个回复
没图片啊,图片看不了啊!