RSA 創新沙盒盤點| Obsidian——能為SaaS應用程式提供安全防護雲檢測與響應平台
- 2020 年 2 月 25 日
- 筆記
2020年2月24日-28日,網路安全行業盛會RSA Conference將在舊金山拉開帷幕。今天,將繼續為大家介紹入選今年RSAC創新沙盒十強的初創公司:Obsidian。
一、公司介紹
Obsidan Security公司成立於2017年,於2017年7月完成A輪950萬美元融資,現總融資額已達2950萬美元,主要由Greylock Partners、Wing和GV投資。
Obsidian公司是一家為企業提供雲檢測與響應的公司,總部位於加利福尼亞州紐波特海灘。創始團隊來自於Cylance、Carbon Black和NSA,Cylance前任CTO格蘭·奇什霍爾德創立並出任CEO,Cylance前任首席數據科學家兼NSA電腦科學家馬特·沃爾福擔任CTO,Carbon Black公司前CTO兼聯合創始人以及NSA電腦科學家本·約翰遜則擔任首席數據科學家。
Obsidian提出了一個新的理念-CDR(Cloud Detection and Response)能為SaaS應用程式提供安全防護,並能幫助安全運營團隊檢測並響應入侵和內部威脅。旨在快速發現、調查和響應SaaS應用程式中的漏洞和內部威脅,在不影響業務的情況下實現持續的監控與分析。
二、產品介紹
01
產品背景
在過去的十年中,SaaS和公共雲服務的使用取得了巨大的增長。組織已經或正在將其業務系統(包括電子郵件,協作,HR,銷售,市場營銷和運營)遷移到雲中。在2019年ESG研究調查中,三分之二(67%)的參與者報告,現在超過20%的應用程式基於SaaS,而超過58%的組織在2019年報告使用了IaaS。
2011-2019年使用基礎架構即服務(IaaS)的組織百分比
02
雲檢測與響應(CDR)
雲檢測與響應是Obsidian提出的一個新的理念,也是當前雲安全體系中缺失的一部分。
雲訪問安全代理(CASB)之類的解決方案採用的是預防策略。CASB在結構上像雲環境的防火牆,充當組織基礎架構與雲服務之間的中介,主要是通過阻止訪問來防止數據丟失和泄露以及惡意軟體暴露。
但是,正如Gartner在自適應安全的理念中提及,預防性(Prevention)控制並不足以保護雲環境免受攻擊。即使有了最好的預防性安全解決方案,攻擊者仍可以穿透或繞過防禦獲取對雲資產的訪問許可權。在雲中,安全團隊需要快速檢測(Detection),調查並響應威脅(Response),這就需要可視化和豐富的用戶上下文資訊,以便實時的檢測和響應可疑行為。而如今,這正是SaaS和雲服務所缺少的功能。
與EDR相比,雲環境中的可視化問題有所不同,並且更為複雜。因為用戶針對不同應用程式有不同的許可權,因此SaaS應用程式需要在平台內進行授權管理。比如安全管理員想查看用戶可以在Salesforce中訪問的內容或他在G Suite中的操作,則管理員必須先獲取相應許可權和行為日誌,並了解每個服務的授權模型和行為日誌格式,然後再確定根據這些資訊確定是否發生可疑的攻擊事件。大量的訪問記錄和行為資訊使得威脅檢測變得異常複雜,通常相關的上下文數據會產生TB級數據,這使得真正的威脅或攻擊事件空間被淹沒在大量的數據流中。
針對以前的需求,提出了雲檢測和響應(CDR)解決方案,CDR通過不斷收集,規範化和分析來自SaaS和雲服務的大量狀態和行為數據,為安全專業人員提供了檢測,調查和響應雲中威脅所需的全面的可視化資訊。
因此,CDR需要提供以下核心功能:
1、全局可視化
CDR需要提供一個全局可視化視圖來顯示用戶跨雲服務的訪問和行為資訊。這種全局可視化視圖融合了狀態和用戶行為數據,並集成了威脅情報和相關上下文資訊(位置、設備、瀏覽器等)。基於這種可視化視圖,安全團隊可以有效的實現不同階段的威脅檢測,並快速實現事件調查和響應。
2、自動檢測
CDR所要分析的數據通常比較大,因此,當前雲環境的問題是威脅或是攻擊行為通常會被淹沒在大量的數據與告警中。因此,CDR利用機器學習和規則分析可以幫助SOC從大量的雜訊數據中提取有價值的資訊。
3、威脅預測
CDR除了具有對已經威脅和攻擊的檢測能力外,還可以預測雲環境中下一步可能發生的異常或威脅行為。這可使安全管理者能提前針對要發生的威脅行為做預防。
03
Obsidian平台
Obsidian雲檢測和響應為SaaS提供了無縫的安全性。利用一種獨特的以身份為中心的方法和機器學習,阻止雲中的高級攻擊。平台能為SaaS應用程式提供安全防護,並能幫助安全運營團隊檢測並響應入侵和內部威脅。旨在快速發現、調查和響應SaaS應用程式中的漏洞和內部威脅,在不影響業務的情況下實現持續的監控與分析。
Obsidian是通過API集成作為SaaS服務的,由於不需要部署任何東西,解決方案可以在幾分鐘內啟動,在幾小時內就可以產生結果。
Obsidian自動的收集並標準化雲應用的相關數據,並基於威脅情報和上下文來豐富這些數據。Obsidian會基於機器學習和規則針對違規和內網威脅行為生成告警,並不斷的從個人和群體行為模式中學習如何來訪問數據資產。
基於用戶許可權和行為的統一視圖,Obsidian平台可以實現事件響應、調查和威脅狩獵。平台會建議通過刪除過期的帳號和修復錯誤配置從而增強雲安全應用的安全性。
Obsidian平台功能
1、可見性
Obsidian首次提出雲中的用戶、數據和應用程式的統一視圖,並可以持續監視用戶和服務帳戶的行為,對威脅和衛生問題發出告警。可見性主要的功能如下:
a) 每個服務的訪問許可權和特權清單
b) 特權用戶活動
c) 跨SaaS應用程式的活動監視
d)可通過API下載的規範化數據模型
2、告警
根據基於規則的觸發器和機器學習,可以獲得關於違規、危險行為和策略違規的警告。Obsidian平台可以發現SaaS持久性、OAuth令牌濫用和其他相關異常資訊。該功能模組包括:
a) 內置規則實現對策略衝突和異常行為發出警報的內置規則
b) 利用機器學習實現異常行為檢測
c) 優先處理警報,以減少超負荷的安全團隊的警報疲勞
d) 與SOAR和服務管理的可集成性
3、報告
可以根據不同角色,獲得關於應用程式使用、新出現的威脅和風險行為的獨特見解的報告。因此,平台具有如下功能:
a) 根據組織中不同角色的需要訂製報告和儀錶板
根據需求導出不同格式的數據
4、響應行為
平台基於用戶和其行業的統一視圖,實現快速有效的異常檢測和內部威脅識別,並通過追蹤帳號共享和文件上傳與訪問的歷史行為來識別用戶的橫向移動。並能通過平台內置功能,阻斷數據泄露和禁止賬戶濫用。因此,平台需要如下功能:
a) 基於時間關聯用戶行為和其上下文資訊實現異常檢測和威脅識別;
b) 提供推薦行為以指導處置。
案例
1、帳號保護
a) 保護SaaS帳戶不被破壞和濫用
雲環境下的關鍵是如何在不影響合法用戶體驗的情況下保證雲資產的安全。通過全局可見性,Obsidian可以展示哪些用戶可以訪問SaaS應用程式,以及訪問的級別。平台還可以持續監控用戶在這些應用程式中做了什麼,並刪除不活躍的帳戶,以縮小攻擊面和降低成本。
上圖可以看到每個服務上誰擁有什麼特權,它們是否處於活動狀態,以及它們如何使用這些特權。
b) 訪問特權帳戶的目錄
獲取每個服務中具有特權的帳戶清單。
c) 活躍賬戶與非活躍帳號
Obsidian能通過服務獲得活動帳戶和非活動帳戶的粗略視圖,其中包含活動情況的歷史變化。並且基於這些賬戶的活動資訊,清理不活躍的帳戶,以改善身份日常清理和降低成本。
d) 具有多種特權角色的用戶
一個用戶具有多種特權,可能會對組織構成更高的風險。
e) 不活動帳戶的陳舊用戶監控
Obsidian可能監控賬戶的活躍情況,以便查用戶是否已切換角色或離開公司。
2、威脅狩獵
a) 糾正違規和威脅識別
SaaS環境中的威脅檢測非常困難,SaaS應用程式本質上是多雲環境。Salesforce、G Suite、Slack和其他應用程式都有獨特的身份和訪問模式,並將有關許可權和活動的資訊保存在silos中。Obsidian提供了威脅檢測、違約修復和安全加固的統一可視化,可以快速檢測異常登錄、SaaS持久性、數據過濾、橫向移動、OAuth令牌濫用和其他威脅的指標,並迅速糾正違規、識別威脅。
b) 警告
Obsidian在不需要進行任何配置的情況下,能夠獲得各種威脅的告警。Obidian的告警涵蓋了眾所周知的惡意攻擊,並實現了告警嚴重度排序。
c) 位置記錄
Obsidian可以監視用戶從何處登錄。檢測異常登錄和活動跡象等。
d) 威脅狩獵的活動視圖
Obsidian通過位置、事件類型、ISP、設備、特權、訪問歷史等方面的特權、活動和上下文的統一視圖,積極主動地檢測SaaS環境中的未知威脅。
3、事件響應
a) 基於全局可視化的快速響應
事故響應小組能在不影響系統運行的情況進行檢測,識別根因並快速評估影響。Obsidian通過收集、規範化和存儲來自SaaS應用程式的大量狀態和活動數據,從而實現快速的雲事件響應。
通過使用關於用戶、特權和活動的統一數據,Obsidian能有效地進行資訊檢索工作。平台將用戶、訪問和特權與活動聯繫起來,並通過位置、事件類型、IP地址和設備豐富了這一功能。
b) 通過IP搜索
搜索已知的惡意IP和感興趣的IP地址,以查找與該地址相關的其他活動。
c) 根據用戶或文檔搜索活動日誌
搜索與特定用戶相關的所有活動,或在相關文檔或資產上執行的所有活動。
三、創新點和挑戰
雲訪問安全代理(CASB)之類的解決方案來採用預防策略,但並不足以保護雲環境免受攻擊。即使有了最好的預防性安全解決方案,攻擊者仍可以穿透或繞過防禦獲取對雲資產的訪問許可權。雲檢測與響應是Obsidian提出的一個新的理念,將xDR的理念應用在雲端,雲安全團隊需要快速檢測,調查並響應威脅。這就需要可視化和豐富的用戶上下文資訊,以便實時的檢測和響應可疑行為。而如今,這正是SaaS和雲服務所缺少的功能。雲檢測和響應(CDR)解決方案通過不斷收集,規範化和分析來自SaaS和雲服務的大量狀態和行為數據,為安全專業人員提供了檢測,調查和響應雲中威脅所需的全面的可視化資訊。Obsidian的創新,主要包括雲環境的可見性、自動化檢測和安全風險監控,都是SaaS的核心需求,解決了雲安全的痛點。
當然也需要看到其商業化有很大的挑戰,xDR產品的成功應用需要用戶安全團隊有較高的安全運營能力,否則無法發揮其應有的作用。如果上雲的企業(特別是中小企業)沒有相關的運營能力,那應該要考慮支援雲端應用的MDR服務,例如去年RSA會場外,Google組織的生態圈會展中有一家BlueVoyant公司,能夠提供面向公有雲的MDR服務,通過絕大部分能夠自動化的Tier 1服務和基於數據科學的Tier 2後台服務,可以為大量的雲客戶提供可擴展的安全運營服務。
四、總結
Obsidian的創始人來自Cylance和Carbon Black,分別有雲端零信任和終端EDR的成功經驗,相信能夠將該產品能夠理解雲端SaaS應用的真實風險,基於檢測和響應技術解決客戶上雲的痛點,也許CDR會是「後CASB」的新型產品,幫助客戶及時發現並緩解威脅。
· 參考鏈接 ·
[1] CLOUD DETECTION AND RESPONSE IS THE MISSING ELEMENT OF CLOUD SECURITY,https://www.obsidiansecurity.com/cloud-detection-and-response-missing-element/
[2] Obsidian官方網站,https://www.obsidiansecurity.com/
本公眾號原創文章僅代表作者觀點,不代表綠盟科技立場。所有原創內容版權均屬綠盟科技研究通訊。未經授權,嚴禁任何媒體以及微信公眾號複製、轉載、摘編或以其他方式使用,轉載須註明來自綠盟科技研究通訊並附上本文鏈接。
