RSA 創新沙盒盤點| Obsidian——能為SaaS應用程式提供安全防護雲檢測與響應平臺

2020年2月24日-28日，網路安全行業盛會RSA Conference將在舊金山拉開帷幕。今天，綠盟君將繼續為大家介紹入選今年RSAC創新沙盒十強的初創公司：Obsidian。

一、公司介紹

Obsidan Security公司成立於2017年，於2017年7月完成A輪950萬美元融資，現總融資額已達2950萬美元，主要由Greylock Partners、Wing和GV投資。

Obsidian公司是一家為企業提供雲檢測與響應的公司，總部位於加利福尼亞州紐波特海灘。創始團隊來自於Cylance、Carbon Black和NSA，Cylance前任CTO格蘭·奇什霍爾德創立並出任CEO，Cylance前任首席資料科學家兼NSA電腦科學家馬特·沃爾福擔任CTO，Carbon Black公司前CTO兼聯合創始人以及NSA電腦科學家本·約翰遜則擔任首席資料科學家。

Obsidian提出了一個新的理念-CDR(Cloud Detection and Response)能為SaaS應用程式提供安全防護，並能幫助安全運營團隊檢測並響應入侵和內部威脅。旨在快速發現、調查和響應SaaS應用程式中的漏洞和內部威脅，在不影響業務的情況下實現持續的監控與分析。

二、產品介紹

01

產品背景

在過去的十年中，SaaS和公共雲服務的使用取得了巨大的增長。組織已經或正在將其業務系統（包括電子郵件，協作，HR，銷售，市場營銷和運營）遷移到雲中。在2019年ESG研究調查中，三分之二（67％）的參與者報告，現在超過20％的應用程式基於SaaS，而超過58％的組織在2019年報告使用了IaaS。

2011-2019年使用基礎架構即服務（IaaS）的組織百分比

02

雲檢測與響應（CDR）

雲檢測與響應是Obsidian提出的一個新的理念，也是當前雲安全體系中缺失的一部分。

雲訪問安全代理（CASB）之類的解決方案採用的是預防策略。CASB在結構上像雲環境的防火牆，充當組織基礎架構與雲服務之間的中介，主要是通過阻止訪問來防止資料丟失和洩露以及惡意軟體暴露。

但是，正如Gartner在自適應安全的理念中提及，預防性（Prevention）控制並不足以保護雲環境免受攻擊。即使有了最好的預防性安全解決方案，攻擊者仍可以穿透或繞過防禦獲取對雲資產的訪問許可權。在雲中，安全團隊需要快速檢測（Detection），調查並響應威脅（Response），這就需要視覺化和豐富的使用者上下文資訊，以便實時的檢測和響應可疑行為。而如今，這正是SaaS和雲服務所缺少的功能。

與EDR相比，雲環境中的視覺化問題有所不同，並且更為複雜。因為使用者針對不同應用程式有不同的許可權，因此SaaS應用程式需要在平臺內進行授權管理。比如安全管理員想檢視使用者可以在Salesforce中訪問的內容或他在G Suite中的操作，則管理員必須先獲取相應許可權和行為日誌，並瞭解每個服務的授權模型和行為日誌格式，然後再確定根據這些資訊確定是否發生可疑的攻擊事件。大量的訪問記錄和行為資訊使得威脅檢測變得異常複雜，通常相關的上下文資料會產生TB級資料，這使得真正的威脅或攻擊事件空間被淹沒在大量的資料流中。

針對以前的需求，提出了雲檢測和響應（CDR）解決方案，CDR通過不斷收集，規範化和分析來自SaaS和雲服務的大量狀態和行為資料，為安全專業人員提供了檢測，調查和響應雲中威脅所需的全面的視覺化資訊。

因此，CDR需要提供以下核心功能：

1、全域性視覺化

CDR需要提供一個全域性視覺化檢視來顯示使用者跨雲服務的訪問和行為資訊。這種全域性視覺化檢視融合了狀態和使用者行為資料，並整合了威脅情報和相關上下文資訊（位置、裝置、瀏覽器等）。基於這種視覺化檢視，安全團隊可以有效的實現不同階段的威脅檢測，並快速實現事件調查和響應。

2、自動檢測

CDR所要分析的資料通常比較大，因此，當前雲環境的問題是威脅或是攻擊行為通常會被淹沒在大量的資料與告警中。因此，CDR利用機器學習和規則分析可以幫助SOC從大量的噪聲資料中提取有價值的資訊。

3、威脅預測

CDR除了具有對已經威脅和攻擊的檢測能力外，還可以預測雲環境中下一步可能發生的異常或威脅行為。這可使安全管理者能提前針對要發生的威脅行為做預防。

03

Obsidian平臺

Obsidian雲檢測和響應為SaaS提供了無縫的安全性。利用一種獨特的以身份為中心的方法和機器學習，阻止雲中的高階攻擊。平臺能為SaaS應用程式提供安全防護，並能幫助安全運營團隊檢測並響應入侵和內部威脅。旨在快速發現、調查和響應SaaS應用程式中的漏洞和內部威脅，在不影響業務的情況下實現持續的監控與分析。

Obsidian是通過API整合作為SaaS服務的，由於不需要部署任何東西，解決方案可以在幾分鐘內啟動，在幾小時內就可以產生結果。

Obsidian自動的收集並標準化雲應用的相關資料，並基於威脅情報和上下文來豐富這些資料。Obsidian會基於機器學習和規則針對違規和內網威脅行為生成告警，並不斷的從個人和群體行為模式中學習如何來訪問資料資產。

基於使用者許可權和行為的統一檢視，Obsidian平臺可以實現事件響應、調查和威脅狩獵。平臺會建議通過刪除過期的賬號和修復錯誤配置從而增強雲安全應用的安全性。

Obsidian平臺功能

1、可見性

Obsidian首次提出雲中的使用者、資料和應用程式的統一檢視，並可以持續監視使用者和服務帳戶的行為，對威脅和衛生問題發出告警。可見性主要的功能如下：

a) 每個服務的訪問許可權和特權清單

b) 特權使用者活動

c) 跨SaaS應用程式的活動監視

d)可通過API下載的規範化資料模型

2、告警

根據基於規則的觸發器和機器學習，可以獲得關於違規、危險行為和策略違規的警告。Obsidian平臺可以發現SaaS永續性、OAuth令牌濫用和其他相關異常資訊。該功能模組包括：

a) 內建規則實現對策略衝突和異常行為發出警報的內建規則

b) 利用機器學習實現異常行為檢測

c) 優先處理警報，以減少超負荷的安全團隊的警報疲勞

d) 與SOAR和服務管理的可整合性

3、報告

可以根據不同角色，獲得關於應用程式使用、新出現的威脅和風險行為的獨特見解的報告。因此，平臺具有如下功能：

a) 根據組織中不同角色的需要定製報告和儀表板

根據需求匯出不同格式的資料

4、響應行為

平臺基於使用者和其行業的統一檢視，實現快速有效的異常檢測和內部威脅識別，並通過追蹤賬號共享和檔案上傳與訪問的歷史行為來識別使用者的橫向移動。並能通過平臺內建功能，阻斷資料洩露和禁止賬戶濫用。因此，平臺需要如下功能：

a) 基於時間關聯使用者行為和其上下文資訊實現異常檢測和威脅識別；

b) 提供推薦行為以指導處置。

案例

1、賬號保護

a) 保護SaaS帳戶不被破壞和濫用

雲環境下的關鍵是如何在不影響合法使用者體驗的情況下保證雲資產的安全。通過全域性可見性，Obsidian可以展示哪些使用者可以訪問SaaS應用程式，以及訪問的級別。平臺還可以持續監控使用者在這些應用程式中做了什麼，並刪除不活躍的帳戶，以縮小攻擊面和降低成本。

上圖可以看到每個服務上誰擁有什麼特權，它們是否處於活動狀態，以及它們如何使用這些特權。

b) 訪問特權帳戶的目錄

獲取每個服務中具有特權的帳戶清單。

c) 活躍賬戶與非活躍賬號

Obsidian能通過服務獲得活動帳戶和非活動帳戶的粗略檢視，其中包含活動情況的歷史變化。並且基於這些賬戶的活動資訊，清理不活躍的帳戶，以改善身份日常清理和降低成本。

d) 具有多種特權角色的使用者

一個使用者具有多種特權，可能會對組織構成更高的風險。

e) 不活動帳戶的陳舊使用者監控

Obsidian可能監控賬戶的活躍情況，以便查使用者是否已切換角色或離開公司。

2、威脅狩獵

a) 糾正違規和威脅識別

SaaS環境中的威脅檢測非常困難，SaaS應用程式本質上是多雲環境。Salesforce、G Suite、Slack和其他應用程式都有獨特的身份和訪問模式，並將有關許可權和活動的資訊儲存在silos中。Obsidian提供了威脅檢測、違約修復和安全加固的統一視覺化,可以快速檢測異常登入、SaaS永續性、資料過濾、橫向移動、OAuth令牌濫用和其他威脅的指標，並迅速糾正違規、識別威脅。

b) 警告

Obsidian在不需要進行任何配置的情況下，能夠獲得各種威脅的告警。Obidian的告警涵蓋了眾所周知的惡意攻擊，並實現了告警嚴重度排序。

c) 位置記錄

Obsidian可以監視使用者從何處登入。檢測異常登入和活動跡象等。

d) 威脅狩獵的活動檢視

Obsidian通過位置、事件型別、ISP、裝置、特權、訪問歷史等方面的特權、活動和上下文的統一檢視，積極主動地檢測SaaS環境中的未知威脅。

3、事件響應

a) 基於全域性視覺化的快速響應

事故響應小組能在不影響系統執行的情況進行檢測，識別根因並快速評估影響。Obsidian通過收集、規範化和儲存來自SaaS應用程式的大量狀態和活動資料，從而實現快速的雲事件響應。

通過使用關於使用者、特權和活動的統一資料，Obsidian能有效地進行資訊檢索工作。平臺將使用者、訪問和特權與活動聯絡起來，並通過位置、事件型別、IP地址和裝置豐富了這一功能。

b) 通過IP搜尋

搜尋已知的惡意IP和感興趣的IP地址，以查詢與該地址相關的其他活動。

c) 根據使用者或文件搜尋活動日誌

搜尋與特定使用者相關的所有活動，或在相關文件或資產上執行的所有活動。

三、創新點和挑戰

雲訪問安全代理（CASB）之類的解決方案來採用預防策略，但並不足以保護雲環境免受攻擊。即使有了最好的預防性安全解決方案，攻擊者仍可以穿透或繞過防禦獲取對雲資產的訪問許可權。雲檢測與響應是Obsidian提出的一個新的理念，將xDR的理念應用在雲端，雲安全團隊需要快速檢測，調查並響應威脅。這就需要視覺化和豐富的使用者上下文資訊，以便實時的檢測和響應可疑行為。而如今，這正是SaaS和雲服務所缺少的功能。雲檢測和響應（CDR）解決方案通過不斷收集，規範化和分析來自SaaS和雲服務的大量狀態和行為資料，為安全專業人員提供了檢測，調查和響應雲中威脅所需的全面的視覺化資訊。Obsidian的創新，主要包括雲環境的可見性、自動化檢測和安全風險監控，都是SaaS的核心需求，解決了雲安全的痛點。

當然也需要看到其商業化有很大的挑戰，xDR產品的成功應用需要使用者安全團隊有較高的安全運營能力，否則無法發揮其應有的作用。如果上雲的企業（特別是中小企業）沒有相關的運營能力，那應該要考慮支援雲端應用的MDR服務，例如去年RSA會場外，Google組織的生態圈會展中有一家BlueVoyant公司，能夠提供面向公有云的MDR服務，通過絕大部分能夠自動化的Tier 1服務和基於資料科學的Tier 2後臺服務，可以為大量的雲客戶提供可擴充套件的安全運營服務。

四、總結

Obsidian的創始人來自Cylance和Carbon Black，分別有云端零信任和終端EDR的成功經驗，相信能夠將該產品能夠理解雲端SaaS應用的真實風險，基於檢測和響應技術解決客戶上雲的痛點，也許CDR會是“後CASB”的新型產品，幫助客戶及時發現並緩解威脅。

    ·    參考連結    ·    

[1] CLOUD DETECTION AND RESPONSE IS THE MISSING ELEMENT OF CLOUD SECURITY，https://www.obsidiansecurity.com/cloud-detection-and-response-missing-element/

[2] Obsidian官方網站，https://www.obsidiansecurity.com/