不要只盯着火眼的沙箱 Helix对安全人员来说也非常重要
作者: 日期:2017年10月11日 阅:6,552

虽然沙箱是火眼未来核心安全产品,但Helix将成为该公司及其客户的重要关联性市场。

不少的商业媒体将火眼列为有着安全需求的用户应重点关注的公司,但有意思的是,用户对火眼Helix产品的认知度却很低,这是一个被严重低估的安全产品。

无论好坏,火眼都与沙箱市场关联颇深。沙箱是几乎所有公司的关键安全工具,但很多公司,甚至是火眼本身的客户,都对火眼其他安全功能不闻不问。作为核心产品,沙箱将伴随火眼走进不远的将来,但Helix,才是火眼及其客户的重要关联性市场。

Helix端到端检测及响应系统,用于找出看不见的威胁,为专家决策提供前线情报。该系统从安全基础设施的火眼及非火眼组件中收集事件数据,叠加前线情报、规则和分析,为企业提供判定最大风险威胁和后续响应方式所需的上下文。Helix以单一界面推动所有安全运营中心(SOC)功能,包括警报管理、搜索、分析、调查和响应。

要理解该平台的价值,需要我们相信时代已经改变,并认为我们需要另一种不同类型的情报解决方案。

1. 大多数安全团队对新攻击方法缺乏可见性,且盲点正在扩大。

传统安全依靠又深又宽的护城河来让敌人挡在外面。这听起来很有道理,但今天的数据泄露往往不发生在边界。ZK Research对欧美1500位技术及商业决策者和影响者的调查表明,90%安全支出用于边界防护,但只有27%数据泄露是发生在边界

坏人又不缺脑子,既然知道突破先进的下一代防火墙非常困难,为什么还要在那儿死磕?专注更有针对性的攻击,盯住应用或用户,反而更容易些。想要更多证明?看看近几年见诸报端的那些数据泄露事件就知道了。塔吉特、索尼、Ashley Madison等等,全都是非边界泄露。若有更好的可见性,这些泄露就可能不会发生,或者,至少能最小化“爆炸半径”。

2. 安全的难度呈指数上升

企业需要防护越来越多的入口点,而网络罪犯只需要找到一个切入点,这根本是“非对称安全挑战”。反应式基于特征签名的系统,在过去是很有效果的,但对于今时今日来说,就太慢太迟了。但是,大多数威胁都只是旧版的小变种,因而基于正确情报的解决方案,应能比基于特征签名的系统更快识别出新威胁。

3. 更多未必更好

在安全上,更多未必是件好事,无论更多的是工具、警报、数据还是其他什么东西。上述ZK Research调查揭示的另一个有趣事实,是企业需要管理的安全供应商数量平均在32家,且没有任何一位CISO表示安全供应商数量的增加会让他们感到更加安全。因为安全方法依赖人工过程,独立的工具越多,只会越增加其复杂性,产生更多的警报和数据,让本已精疲力竭的安全团队更加难以应付。

Helix怎样助一臂之力

火眼Helix整合了来自火眼自身网络和终端安全产品,以及第三方安全产品的安全信息,并采用机器学习将该数据置入上下文中。现在很多安全供应商都使用机器学习来“在现有海量数据中连点成线”,但火眼同时还加入了来自曼迪安特团队的专业知识和分析。

可以回想一下,2013年未被火眼收购之前,曼迪安特是怎么通过发布影射中国对美国等国家进行网络间谍活动的报告,而声名鹊起的。正是这机器学习和曼迪安特专业知识的组合,让火眼拥有了竞争优势。Helix找寻数据中隐藏的模式和异常,发现非恶意软件类的威胁。此类威胁攻击中,黑客会利用目标已有软件来执行恶意活动。

从安全运营的角度,Helix的价值来自于统一的控制台,可以集中显示需要关联来看的一切。潜在威胁可直接通过控制台进行诊断和取证,无需派人一台一台电脑亲自检查,一年下来能省出数千小时的人工。仪表板也可根据具体环境定制,无需显示无关信息。这与某些SIEM系统相比大为不同,那些SIEM显示一屏又一屏的数据,需要“博士级”的技术水平才能解码。可视化仪表盘也更容易符合PCI和HIPAA之类的规定。

Helix确实对火眼未来的发展很重要,但这建立在Helix能够驱动其客户更快发现威胁、更快诊断并缓解威胁的基础上,Helix必须成为一个比传统特征签名类解决方案更快的情报平台。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章