這家以色列公司以視覺化故事線的形式展示威脅情報

Siemplify公司是一家安全初創企業，它近期為以色列國防軍開發了一個威脅情報平臺的技術基礎。以下是可以從中得到的經驗。

Siemplify的技術設計目的在於將企業網路上完全不同的安全技術整合在一起，並通過上下文進行研究，比如反惡意軟體、入侵檢測系統、防火牆等。該公司的平臺功能類似於一個集線器，將機構當前使用的安全、威脅情報和風險管理工具，如Splunk等流行的SIEMs（Security Information and Event Eanagement Systems, 安全資訊和事件管理系統）整合在一起，為合併、聯絡警報做準備。

之後，平臺將使用視覺化和建模工具來展示高優先順序的威脅資訊，顯示形式類似於視覺化故事線。這可以幫助分析師找到安全問題的根源。這一安全行動平臺的目標客戶是銀行、大型機構和企業。平臺能夠幫助它們大大提升找到並解決惡意軟體和黑客的速度。

阿莫斯·斯特恩是Siemplify公司執行長，他曾經帶領網路安全部門，負責建立以色列國防軍的威脅調查平臺。斯特恩在2003年至2012年之間在以色列國防軍服役，之後加入私營部門工作了三年，負責Elbit Systems公司的銷售和業務開發。其他高階主管也來自相同的背景。以色列國防軍早在上世紀八十年代就成為了安全初創企業的搖籃，企業名單裡就包括了Check Point。

Siemplify正試圖在網路安全行業中應用來自軍事情報機構的方法論，比如實時圖表分析、機器學習和大資料。平臺通過打出的威脅評分來對事件排列優先順序，並提供優先處理、逐個處理和案例管理功能。

斯特恩表示，軍方的系統與企業系統並沒有巨大不同，但它們傾向於先走幾步。比如，視覺化技術在2005年時就已經成為了以色列國防軍的標準配備。軍方傾向於應用超前的技術，而企業會更加保守。不過，這一鴻溝正在逐漸被消除。

斯特恩在以色列國防軍服役期間設計了威脅調查系統、領導了緊急網路威脅響應專案。據他描述，這都屬於防禦性行動。斯特恩對媒體表示，企業面臨的許多問題早已被軍事情報機構所解決。

問題不在於檢測本身，而在於完全不同的安全監控系統發出的大量噪音中隱藏的那些真正的威脅。這導致人們很難看到完整的攻擊鏈條並快速找到根源問題。

Siemplify威脅分析平臺的設計功能是自動在安全警報之間建立聯絡、找到併為事件標出優先順序、通過圖形化的方式描述完整的威脅鏈條。斯特恩表示，傳統的SIEM會蒐集警報，但缺乏Siemplify提供的增添上下文功能。大資料分析也被內建在Siemplify中，以“幫助分析師”。

你需要噪音消除，因為你創造的警報太多了。有些我們合作過的銀行擁有50種不同的控制，會建立完全不同的資料孤島 (silos) 。

“Siemplify能夠整合，並將資訊按優先順序標出，同時提供時間線。”

斯特恩對媒體表示：“使用該平臺的情報分析師不需要技術背景。比如，它們不需要寫出或者程式設計出一個查詢請求。”

隸屬於英特爾、紅帽子、Rackspace和其它公司的投資者已經為這家初創企業投入了400萬美金。早期客戶包括一些以色列的大型銀行、電信和製藥企業。創始人斯特恩稱，很快會有更多來自財富50強的大眾消費品和金融服務公司應用企業的產品。

本文轉自d1net（轉載）