RSA 創(chuàng)新沙盒盤點(diǎn)| Obsidian——能為SaaS應(yīng)用程序提供安全防護(hù)云檢測(cè)與響應(yīng)平臺(tái)
2020年2月24日-28日,網(wǎng)絡(luò)安全行業(yè)盛會(huì)RSA Conference在舊金山拉開帷幕。今天,綠盟君將繼續(xù)為大家介紹入選今年RSAC創(chuàng)新沙盒十強(qiáng)的初創(chuàng)公司:Obsidian。
一、公司介紹
Obsidan Security公司成立于2017年,于2017年7月完成A輪950萬美元融資,現(xiàn)總?cè)谫Y額已達(dá)2950萬美元,主要由Greylock Partners、Wing和GV投資。
Obsidian公司是一家為企業(yè)提供云檢測(cè)與響應(yīng)的公司,總部位于加利福尼亞州紐波特海灘。創(chuàng)始團(tuán)隊(duì)來自于Cylance、Carbon Black和NSA,Cylance前任CTO格蘭·奇什霍爾德創(chuàng)立并出任CEO,Cylance前任首席數(shù)據(jù)科學(xué)家兼NSA計(jì)算機(jī)科學(xué)家馬特·沃爾福擔(dān)任CTO,Carbon Black公司前CTO兼聯(lián)合創(chuàng)始人以及NSA計(jì)算機(jī)科學(xué)家本·約翰遜則擔(dān)任首席數(shù)據(jù)科學(xué)家。
?
?
Obsidian提出了一個(gè)新的理念-CDR(Cloud Detection and Response)能為SaaS應(yīng)用程序提供安全防護(hù),并能幫助安全運(yùn)營(yíng)團(tuán)隊(duì)檢測(cè)并響應(yīng)入侵和內(nèi)部威脅。旨在快速發(fā)現(xiàn)、調(diào)查和響應(yīng)SaaS應(yīng)用程序中的漏洞和內(nèi)部威脅,在不影響業(yè)務(wù)的情況下實(shí)現(xiàn)持續(xù)的監(jiān)控與分析。
二、產(chǎn)品介紹
1. 產(chǎn)品背景
在過去的十年中,SaaS和公共云服務(wù)的使用取得了巨大的增長(zhǎng)。組織已經(jīng)或正在將其業(yè)務(wù)系統(tǒng)(包括電子郵件,協(xié)作,HR,銷售,市場(chǎng)營(yíng)銷和運(yùn)營(yíng))遷移到云中。在2019年ESG研究調(diào)查中,三分之二(67%)的參與者報(bào)告,現(xiàn)在超過20%的應(yīng)用程序基于SaaS,而超過58%的組織在2019年報(bào)告使用了IaaS。
?
?
2011-2019年使用基礎(chǔ)架構(gòu)即服務(wù)(IaaS)的組織百分比
2. 云檢測(cè)與響應(yīng)(CDR)
云檢測(cè)與響應(yīng)是Obsidian提出的一個(gè)新的理念,也是當(dāng)前云安全體系中缺失的一部分。
云訪問安全代理(CASB)之類的解決方案采用的是預(yù)防策略。CASB在結(jié)構(gòu)上像云環(huán)境的防火墻,充當(dāng)組織基礎(chǔ)架構(gòu)與云服務(wù)之間的中介,主要是通過阻止訪問來防止數(shù)據(jù)丟失和泄露以及惡意軟件暴露。
但是,正如Gartner在自適應(yīng)安全的理念中提及,預(yù)防性(Prevention)控制并不足以保護(hù)云環(huán)境免受攻擊。即使有了最好的預(yù)防性安全解決方案,攻擊者仍可以穿透或繞過防御獲取對(duì)云資產(chǎn)的訪問權(quán)限。在云中,安全團(tuán)隊(duì)需要快速檢測(cè)(Detection),調(diào)查并響應(yīng)威脅(Response),這就需要可視化和豐富的用戶上下文信息,以便實(shí)時(shí)的檢測(cè)和響應(yīng)可疑行為。而如今,這正是SaaS和云服務(wù)所缺少的功能。
與EDR相比,云環(huán)境中的可視化問題有所不同,并且更為復(fù)雜。因?yàn)橛脩翎槍?duì)不同應(yīng)用程序有不同的權(quán)限,因此SaaS應(yīng)用程序需要在平臺(tái)內(nèi)進(jìn)行授權(quán)管理。比如安全管理員想查看用戶可以在Salesforce中訪問的內(nèi)容或他在G Suite中的操作,則管理員必須先獲取相應(yīng)權(quán)限和行為日志,并了解每個(gè)服務(wù)的授權(quán)模型和行為日志格式,然后再確定根據(jù)這些信息確定是否發(fā)生可疑的攻擊事件。大量的訪問記錄和行為信息使得威脅檢測(cè)變得異常復(fù)雜,通常相關(guān)的上下文數(shù)據(jù)會(huì)產(chǎn)生TB級(jí)數(shù)據(jù),這使得真正的威脅或攻擊事件空間被淹沒在大量的數(shù)據(jù)流中。
針對(duì)以前的需求,提出了云檢測(cè)和響應(yīng)(CDR)解決方案,CDR通過不斷收集,規(guī)范化和分析來自SaaS和云服務(wù)的大量狀態(tài)和行為數(shù)據(jù),為安全專業(yè)人員提供了檢測(cè),調(diào)查和響應(yīng)云中威脅所需的全面的可視化信息。
因此,CDR需要提供以下核心功能:
(1) 全局可視化
CDR需要提供一個(gè)全局可視化視圖來顯示用戶跨云服務(wù)的訪問和行為信息。這種全局可視化視圖融合了狀態(tài)和用戶行為數(shù)據(jù),并集成了威脅情報(bào)和相關(guān)上下文信息(位置、設(shè)備、瀏覽器等)。基于這種可視化視圖,安全團(tuán)隊(duì)可以有效的實(shí)現(xiàn)不同階段的威脅檢測(cè),并快速實(shí)現(xiàn)事件調(diào)查和響應(yīng)。
(2) 自動(dòng)檢測(cè)
CDR所要分析的數(shù)據(jù)通常比較大,因此,當(dāng)前云環(huán)境的問題是威脅或是攻擊行為通常會(huì)被淹沒在大量的數(shù)據(jù)與告警中。因此,CDR利用機(jī)器學(xué)習(xí)和規(guī)則分析可以幫助SOC從大量的噪聲數(shù)據(jù)中提取有價(jià)值的信息。
(3) 威脅預(yù)測(cè)
CDR除了具有對(duì)已經(jīng)威脅和攻擊的檢測(cè)能力外,還可以預(yù)測(cè)云環(huán)境中下一步可能發(fā)生的異常或威脅行為。這可使安全管理者能提前針對(duì)要發(fā)生的威脅行為做預(yù)防。
3. Obsidian平臺(tái)
Obsidian云檢測(cè)和響應(yīng)為SaaS提供了無縫的安全性。利用一種獨(dú)特的以身份為中心的方法和機(jī)器學(xué)習(xí),阻止云中的高級(jí)攻擊。平臺(tái)能為SaaS應(yīng)用程序提供安全防護(hù),并能幫助安全運(yùn)營(yíng)團(tuán)隊(duì)檢測(cè)并響應(yīng)入侵和內(nèi)部威脅。旨在快速發(fā)現(xiàn)、調(diào)查和響應(yīng)SaaS應(yīng)用程序中的漏洞和內(nèi)部威脅,在不影響業(yè)務(wù)的情況下實(shí)現(xiàn)持續(xù)的監(jiān)控與分析。
Obsidian是通過API集成作為SaaS服務(wù)的,由于不需要部署任何東西,解決方案可以在幾分鐘內(nèi)啟動(dòng),在幾小時(shí)內(nèi)就可以產(chǎn)生結(jié)果。
Obsidian自動(dòng)的收集并標(biāo)準(zhǔn)化云應(yīng)用的相關(guān)數(shù)據(jù),并基于威脅情報(bào)和上下文來豐富這些數(shù)據(jù)。Obsidian會(huì)基于機(jī)器學(xué)習(xí)和規(guī)則針對(duì)違規(guī)和內(nèi)網(wǎng)威脅行為生成告警,并不斷的從個(gè)人和群體行為模式中學(xué)習(xí)如何來訪問數(shù)據(jù)資產(chǎn)。
基于用戶權(quán)限和行為的統(tǒng)一視圖,Obsidian平臺(tái)可以實(shí)現(xiàn)事件響應(yīng)、調(diào)查和威脅狩獵。平臺(tái)會(huì)建議通過刪除過期的賬號(hào)和修復(fù)錯(cuò)誤配置從而增強(qiáng)云安全應(yīng)用的安全性。
?
?
Obsidian平臺(tái)功能
(1) 可見性
Obsidian首次提出云中的用戶、數(shù)據(jù)和應(yīng)用程序的統(tǒng)一視圖,并可以持續(xù)監(jiān)視用戶和服務(wù)帳戶的行為,對(duì)威脅和衛(wèi)生問題發(fā)出告警。可見性主要的功能如下:
- 每個(gè)服務(wù)的訪問權(quán)限和特權(quán)清單
- 特權(quán)用戶活動(dòng)
- 跨SaaS應(yīng)用程序的活動(dòng)監(jiān)視
- 可通過API下載的規(guī)范化數(shù)據(jù)模型
(2) 告警
根據(jù)基于規(guī)則的觸發(fā)器和機(jī)器學(xué)習(xí),可以獲得關(guān)于違規(guī)、危險(xiǎn)行為和策略違規(guī)的警告。Obsidian平臺(tái)可以發(fā)現(xiàn)SaaS持久性、OAuth令牌濫用和其他相關(guān)異常信息。該功能模塊包括:
- 內(nèi)置規(guī)則實(shí)現(xiàn)對(duì)策略沖突和異常行為發(fā)出警報(bào)的內(nèi)置規(guī)則
- 利用機(jī)器學(xué)習(xí)實(shí)現(xiàn)異常行為檢測(cè)
- 優(yōu)先處理警報(bào),以減少超負(fù)荷的安全團(tuán)隊(duì)的警報(bào)疲勞
- 與SOAR和服務(wù)管理的可集成性
?
?
3. 報(bào)告
可以根據(jù)不同角色,獲得關(guān)于應(yīng)用程序使用、新出現(xiàn)的威脅和風(fēng)險(xiǎn)行為的獨(dú)特見解的報(bào)告。因此,平臺(tái)具有如下功能:
- 根據(jù)組織中不同角色的需要定制報(bào)告和儀表板
- 根據(jù)需求導(dǎo)出不同格式的數(shù)據(jù)
4. 響應(yīng)行為
平臺(tái)基于用戶和其行業(yè)的統(tǒng)一視圖,實(shí)現(xiàn)快速有效的異常檢測(cè)和內(nèi)部威脅識(shí)別,并通過追蹤賬號(hào)共享和文件上傳與訪問的歷史行為來識(shí)別用戶的橫向移動(dòng)。并能通過平臺(tái)內(nèi)置功能,阻斷數(shù)據(jù)泄露和禁止賬戶濫用。因此,平臺(tái)需要如下功能:
- 基于時(shí)間關(guān)聯(lián)用戶行為和其上下文信息實(shí)現(xiàn)異常檢測(cè)和威脅識(shí)別;
- 提供推薦行為以指導(dǎo)處置。
?
?
案例:
(1) 賬號(hào)保護(hù)
a) 保護(hù)SaaS帳戶不被破壞和濫用
云環(huán)境下的關(guān)鍵是如何在不影響合法用戶體驗(yàn)的情況下保證云資產(chǎn)的安全。通過全局可見性,Obsidian可以展示哪些用戶可以訪問SaaS應(yīng)用程序,以及訪問的級(jí)別。平臺(tái)還可以持續(xù)監(jiān)控用戶在這些應(yīng)用程序中做了什么,并刪除不活躍的帳戶,以縮小攻擊面和降低成本。
?
?
上圖可以看到每個(gè)服務(wù)上誰擁有什么特權(quán),它們是否處于活動(dòng)狀態(tài),以及它們?nèi)绾问褂眠@些特權(quán)。
b) 訪問特權(quán)帳戶的目錄
獲取每個(gè)服務(wù)中具有特權(quán)的帳戶清單。
?
?
c) 活躍賬戶與非活躍賬號(hào)
Obsidian能通過服務(wù)獲得活動(dòng)帳戶和非活動(dòng)帳戶的粗略視圖,其中包含活動(dòng)情況的歷史變化。并且基于這些賬戶的活動(dòng)信息,清理不活躍的帳戶,以改善身份日常清理和降低成本。
?
?
d) 具有多種特權(quán)角色的用戶
一個(gè)用戶具有多種特權(quán),可能會(huì)對(duì)組織構(gòu)成更高的風(fēng)險(xiǎn)。
?
?
e) 不活動(dòng)帳戶的陳舊用戶監(jiān)控
Obsidian可能監(jiān)控賬戶的活躍情況,以便查用戶是否已切換角色或離開公司。
?
?
(2) 威脅狩獵
a) 糾正違規(guī)和威脅識(shí)別
SaaS環(huán)境中的威脅檢測(cè)非常困難,SaaS應(yīng)用程序本質(zhì)上是多云環(huán)境。Salesforce、G Suite、Slack和其他應(yīng)用程序都有獨(dú)特的身份和訪問模式,并將有關(guān)權(quán)限和活動(dòng)的信息保存在silos中。Obsidian提供了威脅檢測(cè)、違約修復(fù)和安全加固的統(tǒng)一可視化,可以快速檢測(cè)異常登錄、SaaS持久性、數(shù)據(jù)過濾、橫向移動(dòng)、OAuth令牌濫用和其他威脅的指標(biāo),并迅速糾正違規(guī)、識(shí)別威脅。
??
b) 警告
Obsidian在不需要進(jìn)行任何配置的情況下,能夠獲得各種威脅的告警。Obidian的告警涵蓋了眾所周知的惡意攻擊,并實(shí)現(xiàn)了告警嚴(yán)重度排序。
?
?
c) 位置記錄
Obsidian可以監(jiān)視用戶從何處登錄。檢測(cè)異常登錄和活動(dòng)跡象等。
??
d) 威脅狩獵的活動(dòng)視圖
Obsidian通過位置、事件類型、ISP、設(shè)備、特權(quán)、訪問歷史等方面的特權(quán)、活動(dòng)和上下文的統(tǒng)一視圖,積極主動(dòng)地檢測(cè)SaaS環(huán)境中的未知威脅。
??
(3) 事件響應(yīng)
a) 基于全局可視化的快速響應(yīng)
事故響應(yīng)小組能在不影響系統(tǒng)運(yùn)行的情況進(jìn)行檢測(cè),識(shí)別根因并快速評(píng)估影響。Obsidian通過收集、規(guī)范化和存儲(chǔ)來自SaaS應(yīng)用程序的大量狀態(tài)和活動(dòng)數(shù)據(jù),從而實(shí)現(xiàn)快速的云事件響應(yīng)。
??
通過使用關(guān)于用戶、特權(quán)和活動(dòng)的統(tǒng)一數(shù)據(jù),Obsidian能有效地進(jìn)行信息檢索工作。平臺(tái)將用戶、訪問和特權(quán)與活動(dòng)聯(lián)系起來,并通過位置、事件類型、IP地址和設(shè)備豐富了這一功能。
b) 通過IP搜索
搜索已知的惡意IP和感興趣的IP地址,以查找與該地址相關(guān)的其他活動(dòng)。
?
?
c) 根據(jù)用戶或文檔搜索活動(dòng)日志
搜索與特定用戶相關(guān)的所有活動(dòng),或在相關(guān)文檔或資產(chǎn)上執(zhí)行的所有活動(dòng)。
?
?
三、創(chuàng)新點(diǎn)和挑戰(zhàn)
云訪問安全代理(CASB)之類的解決方案來采用預(yù)防策略,但并不足以保護(hù)云環(huán)境免受攻擊。即使有了最好的預(yù)防性安全解決方案,攻擊者仍可以穿透或繞過防御獲取對(duì)云資產(chǎn)的訪問權(quán)限。云檢測(cè)與響應(yīng)是Obsidian提出的一個(gè)新的理念,將xDR的理念應(yīng)用在云端,云安全團(tuán)隊(duì)需要快速檢測(cè),調(diào)查并響應(yīng)威脅。這就需要可視化和豐富的用戶上下文信息,以便實(shí)時(shí)的檢測(cè)和響應(yīng)可疑行為。而如今,這正是SaaS和云服務(wù)所缺少的功能。云檢測(cè)和響應(yīng)(CDR)解決方案通過不斷收集,規(guī)范化和分析來自SaaS和云服務(wù)的大量狀態(tài)和行為數(shù)據(jù),為安全專業(yè)人員提供了檢測(cè),調(diào)查和響應(yīng)云中威脅所需的全面的可視化信息。Obsidian的創(chuàng)新,主要包括云環(huán)境的可見性、自動(dòng)化檢測(cè)和安全風(fēng)險(xiǎn)監(jiān)控,都是SaaS的核心需求,解決了云安全的痛點(diǎn)。
當(dāng)然也需要看到其商業(yè)化有很大的挑戰(zhàn),xDR產(chǎn)品的成功應(yīng)用需要用戶安全團(tuán)隊(duì)有較高的安全運(yùn)營(yíng)能力,否則無法發(fā)揮其應(yīng)有的作用。如果上云的企業(yè)(特別是中小企業(yè))沒有相關(guān)的運(yùn)營(yíng)能力,那應(yīng)該要考慮支持云端應(yīng)用的MDR服務(wù),例如去年RSA會(huì)場(chǎng)外,Google組織的生態(tài)圈會(huì)展中有一家BlueVoyant公司,能夠提供面向公有云的MDR服務(wù),通過絕大部分能夠自動(dòng)化的Tier 1服務(wù)和基于數(shù)據(jù)科學(xué)的Tier 2后臺(tái)服務(wù),可以為大量的云客戶提供可擴(kuò)展的安全運(yùn)營(yíng)服務(wù)。
四、總結(jié)
Obsidian的創(chuàng)始人來自Cylance和Carbon Black,分別有云端零信任和終端EDR的成功經(jīng)驗(yàn),相信能夠?qū)⒃摦a(chǎn)品能夠理解云端SaaS應(yīng)用的真實(shí)風(fēng)險(xiǎn),基于檢測(cè)和響應(yīng)技術(shù)解決客戶上云的痛點(diǎn),也許CDR會(huì)是“后CASB”的新型產(chǎn)品,幫助客戶及時(shí)發(fā)現(xiàn)并緩解威脅。
· 參考鏈接 ·
[1] CLOUD DETECTION AND RESPONSE IS THE MISSING ELEMENT OF CLOUD SECURITY,
??https://www.obsidiansecurity.com/cloud-detection-and-response-missing-element/??
[2] Obsidian官方網(wǎng)站,https://www.obsidiansecurity.com/
