RSA創新沙盒盤點 | Sevco Security——專注資料融合的資產管理平臺
RSAConference2022將於舊金山時間6月6日召開[1]。大會的Innovation Sandbox(沙盒)大賽作為“安全圈的奧斯卡”,每年都備受矚目,成為全球網路安全行業技術創新和投資的風向標。
前不久,RSA官方宣佈了最終入選創新沙盒的十強初創公司:Araali Networks、BastionZero、Cado Security、Cycode、Dasera、Lightspin、Neosec、Sevco Security、Talon Cyber Security和Torq。
綠盟君將透過背景介紹、產品特點、點評分析等,帶大家瞭解入圍的十強廠商。今天,我們要介紹的是廠商是:Sevco Security。
一、公司介紹
Sevco Security(以下簡稱Sevco)成立於2020年,總部位於得克薩斯州奧斯汀,是一家提供網路安全服務和產品的公司。核心產品Sevco資產管理平臺,可透過整合現有資產管理平臺的資產清單,對多源資產管理軟體的資料融合,建立更全面的資產庫,以識別企業網路中的脆弱資產,從而實時跟蹤資產庫中資產狀態變化情況。
Sevco的初創團隊主要來自Carbon Black(終端安全公司,2018年在納斯達克上市)和Cylance(人工智慧和網路安全公司,已被黑莓14億美金收購)等成功創業團隊,以及Proofpoint、Sophos和JASK等公司的安全專家,具體情況如圖1所示[2]。
圖1 Sevco團隊成員情況
截止目前Sevco共有兩輪融資,分別是2021年5月20日融資14999999美元,由406 Ventures和其他4家投資機構投資;2020年5月18日融資6749998美元,由406 Ventures投資。此外,2020年9月17日,Sevco被Welp Magazine 評選為網路安全領域50家最佳初創公司之一[3]。
二、背景介紹
2021年7月14日,Gartner釋出的《2021安全運營技術成熟度曲線》[11]提到了兩種新興技術,來進一步解決企業對外暴露資產的安全問題,分別是CAASM(網路資產攻擊面管理)和EASM(外部攻擊面管理)。最近ESG發起一項企業IT資產盤點頻率的調查,從圖2[4]調查結果可知,有79%的受訪企業資產盤點頻率在一個月一次以上,但在當前高度動態的環境中,定期資產快照幾乎馬上就會失效,所以目前大部分企業並不能準確掌握其組織內所有的資產清單。
圖2 ESG調研的企業資產盤點頻率情況
此外,企業資產安全管理的一個主要問題就是資產的“資料孤島”問題。具體來說,企業內部資產資料通常由不同的團隊或個人進行管理,目前IT資產管理沒有一個上層統一的管理平臺,並且各個團隊或個人對IT資產管理重要性的優先順序也各不相同。因此,當資產管理人員開始IT資產盤點時,就必須協調組織內的多個資產相關負責團隊,協作構建一個自動化IT資產清單。該做法不僅十分困難,而且成本高昂。
三、產品功能
針對上述難點,Sevco給出了一套可雲原生部署的IT資產管理解決方案,旨在解決企業物理和數字資產管理問題。Sevco能夠透過呼叫企業內現有資產管理產品的API,而不需要代理或掃描器等侵入性方法來實現這一全面檢視,接下來將詳細介紹Sevco的資產管理平臺功能。
01多源資產清單融合
為了獲得全面準確的企業資產資訊,需要融合環境中現有的不同資產資料來源。當資料來源達到一定量級的時候,資產重複必然會出現,只有把各種來源聯絡統一起來,我們才能準確給出企業的資產清單。Sevco提供了一個多源資產清單融合模型,如圖3 [4]所示,Sevco可以將終端管理軟體、AD域服務、補丁管理的資料來源進行融合分析,從而可以直觀看到企業資產清單及安全防護現狀。
圖3 Sevco資產多源資產資料融
Sevco資產管理平臺已支援5種產品的資產資料收集、分析與展示,分別是:Automox、CrowdStrike、Lansweeper、MalwareBytes Nebula、Microsoft AD,下面簡單介紹下這些產品。
Automox
Automox[5]成立於2015年,其核心產品是一款終端管理運營平臺,可以為IT團隊提供所需的可見性、自動化和控制能力,從而推進大規模運營、簡化IT工作流程、最大限度降低企業安全風險。IT運營團隊藉助該產品的自動化能力和實時可見性,可以輕鬆跟上企業基礎設施發展的步伐,為其業務提供更具戰略意義的價值和安全成果。
CrowdStrike
CrowdStrike[6]是全球知名的終端安全廠商,公司成立於2011年,核心產品為威脅情報平臺Falcon X和終端管理平臺(EDR)。這些產品不但能夠保護IT安全,還可以進行終端檢測和響應、統一管理威脅搜尋和威脅情報。CrowdStrike功能架構圖4所示。
圖4 CrowdStrike功能架構圖
Lansweeper
Lansweeper[7]可發現連線到網路的IT資產,並且無需在計算機上安裝任何探針。Lansweeper DeepScan引擎可以掃描並收集企業的資產資訊,包括:硬體資訊、安裝的軟體、使用者詳細資訊等。除Lansweeper DeepScan 技術外,Lansweeper還可以整合其他資產平臺,從而豐富其資產資料。Lansweeper可以透過介面獲取其他資產平臺的資料,從而給使用者提供詳細的資產清單。此外,Lansweeper還提供資產清單查詢介面,可以供組織內的其他資產平臺進行查詢,更新完善其資產庫。
MalwareBytes Nebula
Malwarebytes[8]成立於2008年,MalwareBytes Nebula平臺可在整個Malwarebytes產品組合中提供雲交付和系列產品統一管理,其安全能力包括事件響應、終端防護,以及終端檢測與響應。該產品的功能包括UI介面、威脅報告生成、資產報告生成和API整合。這些功能可以有效防止主機被篡改,並生成視覺化的威脅報告與資產報告,以證明安全管理的有效性。
Microsoft Active Directory
Microsoft Active Directory(AD)[9]是微軟基於LDAP提供給SERVER平臺的目錄服務。域(domain)是邏輯上的概念,通常是一個安全邊界,主要對資源進行集中控制和簡化管理。企業通常使用Microsoft Active Directory作為跟蹤使用者和相關網路資源的標準目錄服務。顯然它是資產資訊一個高度可信的來源。但是Active Directory不是作為資產清查系統設計的,它對不需要訪問和驗證Windows資源的系統並不關注。
Sevco可以對不同來源的資產清單資料進行交叉檢索,透過對各個資料來源的資產和漏洞清單進行對比,可以獲得更全的資產檢視。從Sevco資產管理平臺示介面圖5(圖5、圖6、圖7均來自該參考[10])可知,Microsoft AD共發現了640個資產,但是其中有58個資產Automox和CrowdStrike資產管理平臺都沒有覆蓋到。就說明這些裝置很可能沒有及時進行漏洞檢測和補丁管理,這些被遺漏的資產都是企業的資訊保安風險點。當這些資產遭到漏洞利用攻擊時,Sevco可以及時對被攻擊資產做策略隔離,從而大大降低企業的資產感染擴散面。
圖5 Sevco資產管理平臺
Sevco可透過資產的交叉查詢,檢索到企業內的安全防護盲點。如圖6所示,透過簡單的搜尋配置即可找到沒有安裝CrowdStrike EDR的資產。該功能不僅方便資產管理員進行查漏補缺,而且這些資產也是企業威脅跟蹤和IoC(Indicator of Compromise)關聯的優先關注物件,因此該功能可以有效的完善企業的安全覆蓋面。
圖6 Sevco資產管理平臺交叉搜尋功能
02動態資產監控
Sevco使用網路遙測技術動態地對企業資產的屬性變化進行監控,透過對每個報告的資產狀態與之前報告的狀態進行比較,實時標記資產變化情況,檢測資產的變化主要包括兩方面:資產庫存變更和資產屬性變更。資產庫存變更包括:新增或刪除資產、歷史過時資產的監控;資產屬性變更包括:IP、主機名、MAC地址的監控。
具體功能如圖7所示,Sevco可以在資產管理頁面檢視資產的狀態,透過對多方資料來源的聚合分析,最後給出資產的最近活躍狀態。此外,Sevco可以透過不同源提供的資產快照,分析資產的安全屬性,比如最近一次打補丁的時間、是否安裝EDR等資訊;透過UI上展示的顏色深度表示上一次活躍的時間,顏色越深時間越久。
圖7 Sevco資產管理平臺資產詳情展示
03雲原生可擴充套件部署
Sevco資產管理平臺用雲原生的方式進行部署,該部署方式的優勢包含:極致彈效能力,可以實現服務的快速啟動和停止;服務自治能力,當某個應用出現故障時,編排系統能夠及時發現並自動摘除問題應用並智慧排程,保證了應用系統的穩定執行;擴充套件性,可以跨越部署到不同的環境中擴充套件,以此作為容災備份。此外,Sevco還具備以下特點:
基於API體系結構設計
Sevco透過API連線到現有工具只需要簡單配置即可實現。無需安裝的代理,也不用部署網路掃描服務。
安全且可擴充套件部署
Sevco資產管理平臺自身會做嚴格安全檢查,所以使用者可以放心地進行本地部署,此外Sevco採用雲原生的方式進行部署,可以跨越部署到不同環境中擴充套件,以此作為容災備份。
資產清單推送
Sevco合併的資產清單和資產遙測事件可以推送給企業的SIEMS、CMDB等IT系統。準確、高保真的資料可以在不更改現有流程或程式的情況下,共享給現有資產平臺。
四、發展趨勢分析
近年來,CAASM(網路資產攻擊面管理)和EASM(外部攻擊面管理)被作為新型技術與大家見面。我們知道無論是“資產管理”或“脆弱性管理”都是安全圈的老面孔,資產和漏洞管理雖然是“昨天”的問題,但是做得確實還不夠好。並且技術和業務推進導致的資產動態變更,以及“Shadow IT”帶來的安全風險目前並沒有很好的解決辦法,所以CAASM和EASM才被Gartner定義為新興的安全技術。
2019年RSAC做資產管理的產品Axonius奪得冠軍[12],當時我們同樣寫過該產品的分析文章[13],Axonius不需要安裝終端或者代理,也不做資產掃描和被動流量監測,而是透過資產外掛相容其他的資產管理類軟體,對資產清單進行融合管理。截止目前其官網宣稱已經支援了451個系統和裝置的對接和適配。不難發現,Sevco的理念和Axonius十分接近,同樣不做資產採集,只做資料融合和資產分析,只是支援的資產資料來源和分析的方式略有差異,Sevco更致力於對不同平臺的資料進行交叉分析,透過對不同的資料來源關聯,分析企業現有資產管理的薄弱點。此外,從這兩款資產管理產品的功能可以看出,對多方資產資料的整合是資產管理的一種趨勢,至少目前還沒有一個“all in one”資產解決方案,資料融合共享是一個可以快速達到資產管理目的的方法;但該模式的產品技術壁壘相對模糊,有較被高替代和複製的風險。
從冠軍預測的角度來看,RSAC已經有了一個資產管理產品奪冠(Axonius),所以Sevco的壓力仍然比較大,無論是產品理念還是功能至少都要超過前面的“前輩”們。拋開奪冠預測不談,近年來資產安全管理的話題越來越熱,目前並沒有一款產品能解決所有的企業資產管理問題。隨著IT環境的變化、攻防博弈日益“內卷”,企業的資產管理的問題越來越細緻和具體。從產品形態來看,Sevco的資料融合理念無疑是一種資產管理的趨勢,對企業現有產品的掃描能力、終端檢測、被動流量、威脅情報等能力進行復用整合,大大減少重複造輪子,這樣可以更專注於資產平臺的管理屬性,這恰恰是使用者更需要的能力。最後,我們認為企業資產安全建設,不能全部依賴於安全廠商的盒子去做安全防護,安全廠商同樣也不能只站在傳統安全的角度去對待企業資產,資產管理需要二者相互配合,共同建立資產發現能力,透過不斷的迭代和運營,才能真正解決企業資產安全管理這一“進行時”的問題。
參考文獻
[1]https://www.rsaconference.com/usa/programs/innovation-sandbox
[2]https://sevcosecurity.com
[3]https://www.crunchbase.com/organization/sevco-security/company_financials
[4]https://content.sevcosecurity.com/hubfs/Sevco_Report_V3.1.pdf?hsLang=en
[5]https://www.automox.com/features
[6]https://www.CrowdStrike.com/
[7]https://content.lansweeper.com/
[8]https://try.malwarebytes.com/
[9]https://www.quest.com/cn-zh/solutions/active-directory/what-is-active-directory.aspx
[10]Gartner《2021安全運營技術成熟度曲線》Hype Cycle for Security Operations, 2021
[11]https://www.axonius.com/adapters
[12]http://blog.nsfocus.net/rsa2019-axonius-plug-in-asset-management-integrating-multi-party-systems/