Siemplify公司是一家安全初创企业,它近期为以色列国防军开发了一个威胁情报平台的技术基础。以下是可以从中得到的经验。
Siemplify的技术设计目的在于将企业网络上完全不同的安全技术整合在一起,并通过上下文进行研究,比如反恶意软件、入侵检测系统、防火墙等。该公司的平台功能类似于一个集线器,将机构当前使用的安全、威胁情报和风险管理工具,如Splunk等流行的SIEMs(Security Information and Event Eanagement Systems, 安全信息和事件管理系统)整合在一起,为合并、联系警报做准备。
之后,平台将使用视觉化和建模工具来展示高优先级的威胁信息,显示形式类似于视觉化故事线。这可以帮助分析师找到安全问题的根源。这一安全行动平台的目标客户是银行、大型机构和企业。平台能够帮助它们大大提升找到并解决恶意软件和黑客的速度。
阿莫斯·斯特恩是Siemplify公司首席执行官,他曾经带领网络安全部门,负责建立以色列国防军的威胁调查平台。斯特恩在2003年至2012年之间在以色列国防军服役,之后加入私营部门工作了三年,负责Elbit Systems公司的销售和业务开发。其他高级主管也来自相同的背景。以色列国防军早在上世纪八十年代就成为了安全初创企业的摇篮,企业名单里就包括了Check Point。
Siemplify正试图在网络安全行业中应用来自军事情报机构的方法论,比如实时图表分析、机器学习和大数据。平台通过打出的威胁评分来对事件排列优先级,并提供优先处理、逐个处理和案例管理功能。
斯特恩表示,军方的系统与企业系统并没有巨大不同,但它们倾向于先走几步。比如,视觉化技术在2005年时就已经成为了以色列国防军的标准配备。军方倾向于应用超前的技术,而企业会更加保守。不过,这一鸿沟正在逐渐被消除。
斯特恩在以色列国防军服役期间设计了威胁调查系统、领导了紧急网络威胁响应项目。据他描述,这都属于防御性行动。斯特恩对媒体表示,企业面临的许多问题早已被军事情报机构所解决。
问题不在于检测本身,而在于完全不同的安全监控系统发出的大量噪音中隐藏的那些真正的威胁。这导致人们很难看到完整的攻击链条并快速找到根源问题。
Siemplify威胁分析平台的设计功能是自动在安全警报之间建立联系、找到并为事件标出优先级、通过图形化的方式描述完整的威胁链条。斯特恩表示,传统的SIEM会搜集警报,但缺乏Siemplify提供的增添上下文功能。大数据分析也被内建在Siemplify中,以“帮助分析师”。
你需要噪音消除,因为你创造的警报太多了。有些我们合作过的银行拥有50种不同的控制,会创建完全不同的数据孤岛 (silos) 。
“Siemplify能够整合,并将信息按优先级标出,同时提供时间线。”
斯特恩对媒体表示:“使用该平台的情报分析师不需要技术背景。比如,它们不需要写出或者编程出一个查询请求。”
隶属于英特尔、红帽子、Rackspace和其它公司的投资者已经为这家初创企业投入了400万美金。早期客户包括一些以色列的大型银行、电信和制药企业。创始人斯特恩称,很快会有更多来自财富50强的大众消费品和金融服务公司应用企业的产品。
本文转自d1net(转载)