RSA 創新沙盒盤點| Vulcan Cyber：化被動為主動的雲端漏洞響應自動化平臺

2020年2月24日-28日，網路安全行業盛會RSA Conference將在舊金山拉開帷幕。綠盟君相繼為大家介紹了進入今年創新沙盒十強初創公司，今天為大家介紹的是：Vulcan Cyber。

一、公司介紹

Vulcan Cyber是創新沙盒十強中唯一的一家以色列公司，在2019年曾入選Gartner 在Security and Risk Management的Cool Vendor。在公司的三位聯合創始人中，CEO Yaniv Bar-Dayan與CPO Tal Morgenstern都曾在以色列軍方任職，有豐富的網路安全實戰經驗。公司成立於2018年，目前已經獲得了兩輪共1400萬美元的融資，最近一次是由Ten Eleven Ventures領頭的1000萬美元A輪融資。Vulcan Cyber為企業提供了一套自動化漏洞威脅緩解（Automated Vulnerability Remediation）解決方案，通過對已有開發、運維工具的整合與整合，實現對突發安全漏洞的快速響應，將企業受到安全威脅的時間視窗從數週、數月縮短到小時級。

Vulcan Cyber自稱為業界自動化漏洞緩解概念的先行者。綠盟君認為，將企業資產整合、針對安全事件進行自動化響應的思想可以追溯到2017年Gartner提出的安全編排自動化與響應SOAR（Security Orchestration, Automation and Response）。但作為SOAR概念的實現者，切實為企業解決了安全痛點，未來可期。

二、背景介紹

隨著網路安全攻防對抗的日趨激烈，企業的安全團隊與運維團隊面臨著日益嚴峻的考驗。安全事件、安全漏洞日益增多，越來越複雜且有針對性。企業針對不同業務的開展，部署、維護來自不同供應商的資產裝置，持續增多的安全告警與誤報增添了應急響應團隊的工作負荷。

這些年來，檢測與響應類的產品受到了極大的關注，尤其是對未知惡意行為的檢測功能已經成為近年終端防護產品的標配。這些產品和技術使使用者獲得了更低的MTTD（平均檢測時間Mean Time to Detect），能夠更快、更精確的檢測入侵和攻擊，但對使用者而言，解決問題與發現問題一樣重要。一個現狀是，企業的安全團隊與運維團隊不能保證在任何時候都能找到緩解漏洞的措施，同時也不一定能夠準確評估緩解措施對業務造成的影響。Vulcan Cyber提供的解決方案旨在彌補企業的這一能力空白。

三、產品介紹

Vulcan Cyber的解決方案與公司同名，下面我們將簡稱其為Vulcan。Vulcan是一套部署在雲端的漏洞響應自動化平臺（Vulnerability Response Automation Platform），它的設計目標是將應用漏洞、錯誤配置等一系列安全問題轉化為可執行的解決方案，從而使企業的安全團隊能夠專注於解決最有威脅的安全問題，化被動於主動。Vulcan將漏洞資訊的收集、風險評估過程進行自動化，最終以一個補丁、配置檔案改動或其他形式提供一個對生產環境影響最低的最佳解決方案。

Vulcan具有三大核心功能：風險資訊聚合、威脅分析、自動化漏洞緩解。

風險資訊聚合：提供完整的資產檢視

一個現代的漏洞管理平臺能夠完整的呈現企業的資產與這些資產之間的關聯關係，只有當企業對其網路中所有的元件有完整的認知，應對漏洞的緩解措施才能完美的解決問題。Vulcan會對網路進行掃描並對結果進行收集彙總，找出其中可能存在的暴露點、配置缺陷。

除此之外，當我們評估一個漏洞緩解措施的潛在風險時，我們也需要知道資產之間的聯動關係，從而確保對漏洞修復過程所導致的副作用（如意外停機）進行完整的預判。

在整個修復過程中，Vulcan會跟蹤何時、何地、哪些步驟使用了哪些維護工具，以及這些工具由誰使用。通常不同的工具與業務系統分散在不同的平臺上，Vulcan提供對多種雲平臺與維護工具的支援，包括AWS Inspector、Microsoft Intune、Tenable Nessus、Ansible等，也支援通過Vulcan Gateway將使用者私有云的監控資料上傳到Vulcan雲端。

威脅分析：基於風險的威脅優先順序排序

傳統的TVM廠商傾向於依賴客觀評分，如CVSS分數，對漏洞的危害程度進行定級，但實際上，不同漏洞對實際業務的危害程度，還是依賴安全團隊的主觀判斷。因此，Vulcan引入了多種要素來評定一個安全事件的實際風險。

1、應用安全性。包括Qualys、SourceClear等DevSecOps工具產出的程式碼規範性、覆蓋率等資料。

2、業務影響力。與企業的CMDB聯動，將應用服務的商業價值納入到風險評價指標中。例如儲存使用者資訊、交易記錄的資料庫對公司至關重要，這些資產關聯的漏洞與安全事件的處理優先順序就是最高的。

3、資產分佈情況。通過與應用部署工具、資產管理系統的整合，對漏洞所波及的資產數量進行定位與統計。

4、威脅情報。Vulcan接入了超過50個威脅情報源，查詢發現的漏洞是否存在已知的IOC。

當然，這些維度的存在，除了納入Vulcan的演算法，輸出威脅定級之外，也能夠為安全團隊處理安全事件提供更多的參考。

自動化漏洞緩解：對應用元件進行批量修復

Vulcan通過自動化的方式來減少事件響應所需的人力與時間，排除誤操作的風險，提供更高的可靠性。使用者可以預先定義一些Playbook，從而將滿足特定條件的事件處理半自動或全自動化，在官方的案例分析中，Vulcan可以將某些元件的漏洞資訊推送到Slack的聊天頻道中，並在Jira中建立一個Issue，從而調動相關人員進行處理。除此之外，Vulcan還維護了一些常見的自動化指令，比如使用Ansible或Chef等工具對Linux伺服器安裝補丁，或操作WAF、終端防護軟體設定規則阻斷惡意軟體傳播等等。

四、優勢與挑戰

Vulcan的一大亮點是，通過漏洞評級之外的更多維度，衡量漏洞的風險程度，幫助安全團隊在海量告警與安全事件中定位最重要的安全問題；更重要的是傳統TVM產品只具備管理漏洞生命週期功能，大部分的漏洞緩解、系統升級都是人工處理，耗時耗力，在大規模的系統中不可擴充套件，而Vulcan使用了自動化編排的方式，高效解決問題，這一點是很多TVM產品所不具備的，解決了使用者一大痛點。

但同時，Vulcan也存在一些不完善的地方。作為一個漏洞管理的集中平臺，它需要能給使用者提供足夠的靈活性以將更多種類的資產納入平臺中。Vulcan只提到了支援與某些應用的整合，但不支援什麼，我們並不知道。其次，應對複雜多變的企業環境，在資料的展示上給使用者定製的空間也是非常必要的。如Rapid7 InsightVM與FireEye Helix提供了多種可定製的介面元素，不同的團隊可以從不同的視角進行監控。Vulcan目前看來還缺少這樣的功能。

五、總結

Gartner 曾預測，到 2020 年底，擁有 5 人以上規模安全團隊的公司企業中，15% 都將採用 SOAR，而現在 SOAR 的採用率只有 1%。Vulcan Cyber將SOAR的概念進一步推向落地，並展示了一個切實可行的解決方案，減少了事件響應過程中重複性任務的人工干預，幫助加速問題的解決。正如去年創新沙盒獲勝者Axonius在網路安全最基礎的資產管理方面有所創新得到評委垂青，今年Vulcan是否會在同樣基礎的漏洞管理方面自動化提升安全運維效率而得到行業的認可？我們拭目以待。