这家安全初创公司认为没有能成就“安全”的产品
作者:星期三, 五月 4, 20160

短短一年之内,CORVID就从一个企业内部的网络安全部门成长为一个羽翼丰满的初创企业。

640.webp (1)

这是一家位于英国切尔滕纳姆(Cheltenham)的网络安全服务提供商。人们可以对它有两种认识:一个新奇的初创企业或是一个用创新方法彻底改造已建立品牌的企业。

CORVID正式运营是2015年10月,其前身是英国富时250指数( FTSE 250)企业 Ultra Electronics 在2013年创建的网络安全部门。Ultra Electronics 的历史悠久,其产品可以追溯到电视雏形和二战轰炸机等。如今,该集团由26个独立自主的高端国防工程制造企业组成,CORVID正是其中的核心。

你可能一时没反应过来。CORVID并不是孵化出来的企业,它是母公司的下属部门。由于全部知识产权均属于母集团,它很难称得上是孵化出来的初创公司。由于近年来安全服务产业蓬勃增长,对CORVID而言,最好的策略应该是同时将自己标榜成初创企业和大公司分支。

CORVID安全服务主要依赖其开发的平台提供,平台的模块包括事件响应、恶意软件、网络监测及分析,外加一种公司命名为“攻击界面管理”的东西。我们现在都很清楚,将攻击者完全消除是不可能的任务。因此,这个系统并不仅仅满足于发出警报,它还有更广阔的发展愿景。该技术致力于在攻击出现的一刹那尽早发现威胁,并在事态失去控制之前将危害消除。

CORVID公司CTO安德鲁·南森 (Andrew Nanson)这样对客户介绍公司的背景:“我们的确有些怪,但这反而更能让客户放心。我们可不是那种匆匆建立的初创企业,拿着风投的钱,想要快速捞一笔然后走人。”

这个有趣的观点困扰着全球各地的安全初创企业。对英国的很多机构而言,在安全这样核心的领域里购买复杂设备,选择一家不知名企业的可能性微乎其微。巨人撑腰、大量国际分支,这些让CORVID拥有其它初公司难以企及的业绩背景。

南森对这个安全产品大爆发的时代评价并不高,他认为产品往往会胎死腹中。很多产品的点子不错,但最后出现了种种问题,比如:因太复杂导致很难操作。

他曾直言“我们的结论是,现在没有产品能实现安全”,并认为整个市场都已经被‘合规性就是终点”的想法催眠了。

在他看来,安全已经被极少数的安全厂商胁持,而且这些厂商是落后于攻击者的,数据泄露事件如潮水一般涌现正是这种情况的体现。

南森说:“人们正忙着购买SIEM(安全信息和事件管理),有些简直贵得没边。但这些技术并不能保证让你远离黑客入侵。”

“购买产品不会解决你的问题。如果它让你的设施结构变得更加复杂了,那么唯一作用就是让你更难发现攻击者。信息不足的防御者尝试对抗信息充分的攻击者,这是一场必输的战争。”

南森的个人经历很丰富。他曾经担任Vega公司 (现在属于Selex AS) 的首席安全架构及弹性官,主要负责北约的计算机事件响应。在那之前,他参与设计了伦敦都市警方的反恐高科技取证实验室。

CORVID的技术理念

南森很乐意分享一些CORVID已经开发出来的技术,在这些技术的基础上,公司又开发出了其管理服务。公司采用主动的方式,持续搜寻预先设想已经存在的恶意软件,而不是等着它们触发警报。恶意软件仅仅是其中一个指标,等到发现恶意软件的时候,它肯定已经造成一些破坏了。

使用南森称之为“巨型仓库” (Very Large Repository, VLR) 的东西,再进行分析,客户输入和输出的数据也被过滤到DNS域名服务器的级别。“巨型仓库”的核心是数据库,由安全分析师进行维护,输入数据则是网络传感应用。

基本上看,这东西是管理型安全服务的升级版,帮助那些越来越觉得无法自己应付高度专业化工作的企业和政府解决问题。在这样一个黑客入侵能够保持数周甚至数月不被发现和了解的世界里,南森希望能够实现的响应窗口是48个小时。如此短的时间跨度现在可以被看成是一种自鸣得意的奢侈了。南森说:“我们回答的问题,没有一个反病毒应用能够回答,攻击者怎么溜进来的?”

过去三年里,英国已经诞生了相当一大批新技术,它们主要是分析系统,能够更深入地检查数据,而在此之前,这个领域更像是一场静态的战斗:在假阳性结果之中把真正的警报提取出来。现在,这已经走上了进化的快车道,部署的系统能够实时更新它们在查找的威胁。

要弄明白谁才是这个领域里真正的领先者并不容易:每个人都声称自己找到了完美算法。但如果到2018年,那些部署了新型SIEM分析系统的企业,数据泄露率没有下降,那么相信这种替代了传统安全的入侵捕获技术,不过又是自作聪明而已。

不过,这类服务可能确实拥有一个优势:它们很难被攻击者反向工程,还可以以接近零延迟的速度实现学习。如果分析师发现了一种攻击技巧,那么他获得的这一知识在第二天早晨就能加入安全服务中,而不需要特意创建新的签名。

目前为止,CORVID公司在一些刚刚开始使用这类定制服务套装的企业身上尝到了一些甜头。其客户包含金融资产管理企业和银行。也有一些政府表示了兴趣。

对于初创企业而言,有很多事情要做。即使是对于一家诞生之日就自带二十来家客户的公司也是如此。简单的事实是,在英国,极少有带着旧企业烙印的新公司在做这类事情,这让管理型安全服务成为了咨询机构的业务。CORVID背后有知名企业支持,这让它在竞争力方面要比其它小公司大得多。目前,英国的大机构还没有将安全事务和入侵监控交给CORVID这样的公司,但这一天可能正在到来。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章