2020 RSA見聞

去年RSA的時候，看到一個之前從沒據說的公司展臺，Chronicle，當時還覺得是本地的老牌報紙，舊金山紀事報，一家媒體公司。過去一瞭解，才知道是科技巨頭谷歌旗下的子公司，專一網絡安全，在已經很是擁擠的網絡安全市場但願脫穎而出的一個競爭者。

2019年Chronicle推出了Backstory平臺，企業能夠在該平臺上將安全數據保存在本身的私有云中，並當即搜索潛在的威脅和漏洞。除了幾年前收購的VirusTotal以外，谷歌在安全領域並不出名。谷歌的看家本領是其海量數據的基礎技術和計算能力，看起來Chronicle是要他擅長的技術來解決安全問題。

「安全專業人士供不該求，他們更願意把時間花在實際的安全工做上，而不是管理安全數據基礎設施。」 Backstory的推出爲雲供應商創造了巨大發展機遇，由於他們已經擁有可以處理當下大量安全信息的全球雲基礎設施。

轉眼就到了RSA2020，Chronicle的安全分析平臺已經一年了，公司也從一個相對獨立的公司合併到走馬換將後奮起直追AWS和Azure的谷歌雲（Google Cloud）部門。

在過去的一年裏，Chronicle的分析平臺增長了對 EDR 數據的支持，這是許多公司中最大的終端數據集之一，添加了從設備畫像到用戶畫像的能力，以及快速查看正經常使用戶行爲與異經常使用戶行爲的能力。（嗯，聽起來很熟悉，這也是咱們山石的大數據分析平臺一直在研究、開發的方向）

那麼Chronicle將在今年的 RSA 推出什麼新功能呢？據展臺的工程師介紹，第一種是智能數據融合，這是將傳入的終端日誌映射到結構化數據，創建智能的數據模型；自動豐富事件，並將其連接到時間線上；還有API，用於將這些數據提供給第三方應用程序。第二種是新的威脅檢測功能。除了高速查詢，Chronicle不只添加了新的實時和追溯引擎，並且還建立了 YARA-L，這是一種用於日誌數據的專門威脅檢測語言。YARA 是一種普遍使用的標準語言，用於表達安全規則，由 Google 的 VirusTotal 團隊建立。YARA-L在這裏擴展了此功能，使用強大的語言來表示跟隨時間發展的行爲檢測。它很是適合處理 MITRE ATT&CK 中描述的複雜、有時間序列的威脅行爲類型。這兩種功能協同工做，以便客戶可以針對智能的、自動豐富和結構化的終端數據建立強大的檢測規則。

Chronicle是一個非傳統的安全公司，Backstory只有在雲端的服務，沒有賣給客戶安裝的軟硬件設備。這也反映了雲服務的領先公司（Google cloud如今全球雲服務裏排名第三）在以SaaS（安全即服務）的形式逐漸進入SIEM市場。這也吸引了傳統網絡安全公司在向雲端邁進中與雲廠商創建合做夥伴關係。Chronicle的第一個SOAR 戰略合做夥伴是咱們熟悉的帕洛阿爾託網絡公司，Chronicle在RSA演示了經過智能終端數據加強Palo Alto的Cortex XSOAR。

去年RSA時候，帕洛阿爾託網絡公司宣佈收購了SOAR的領先公司德米斯頓（Demisto）。今年，Palo Alto宣佈了Cortex XSOAR，Cortex XSOAR就是是德米斯頓平臺的進化。

帕洛阿爾託網絡產品戰略副總裁Rishi Bhargava表示：「Cortex XSOAR可爲企業範圍的威脅提供自動化的擴充、響應和案例管理「。與 Chronicle 的新檢測功能和事件時間線的集成，跨越數月或數年的數據，加強了響應能力，併爲咱們的共同客戶提供了全面的威脅管理。

根據Palo Alto的宣傳，Cortex XSOAR：
• 將轉變安全分析師的運營方式，高達 95%減小須要人工審查的每週警報量，
• 350+第三方產品集成，提升協調和自動化
• 13000+開放 DFIR 社區活動的同行分享最佳實踐
• 行動手冊（Playbook）驅動的威脅情報管理。

作安全的都知道，威脅情報一直是一個未解之謎，安全分析師和威脅情報團隊努力消除噪音，並在無休止的脫節、無關聯的的數據源和工具中根據IOC情報採起行動。安全團隊須要一個平臺將威脅情報管理與整個企業中由行動手冊驅動的實施集成在一塊兒，以便客戶可以快速、自信地對威脅源採起行動，從而簡化了安全操做。這是一個可以擴展的安全編排、自動化和響應平臺，爲安全者提供即時能力，應對整個企業的威脅。