【51CTO.com快譯】本次參加2018年RSA大會(huì)的各大安全廠商都分別加大了對(duì)于基于檢測(cè)與響應(yīng)方面相關(guān)模擬和智能產(chǎn)品的投資力度。他們致力于通過自動(dòng)化、流程編排、人工智能和機(jī)器學(xué)習(xí)的組合，來改進(jìn)其集中化的管理平臺(tái)。通過與其他各個(gè)供應(yīng)商及合作伙伴的協(xié)作，憑借深入分析所發(fā)揮的關(guān)鍵作用，他們能夠幫助最終客戶更好地解讀所獲取得的全部數(shù)據(jù)。

為了更好地了解各類威脅的運(yùn)作機(jī)制，以及組織如何才能最有效地應(yīng)對(duì)這些威脅，讓我們一起來看看如下十家主要廠商的產(chǎn)品特點(diǎn)。 

1.IBM安全彈性事件響應(yīng)平臺(tái)（Security Resilient Incident Response Platform）

IBM的安全彈性事件響應(yīng)平臺(tái)整合了事件案例的管理、編排、自動(dòng)化、智能化、以及合作伙伴之間的雙向集成。該平臺(tái)極大地提升了事件響應(yīng)的速度。

其彈性特性表現(xiàn)在：允許安全分析師們對(duì)數(shù)百個(gè)耗時(shí)、重復(fù)且復(fù)雜的響應(yīng)操作進(jìn)行編排和自動(dòng)化管理，而這些重要的操作在以前都是需要人工在其安全操作中心的工具上進(jìn)行干預(yù)的。新的平臺(tái)還為分析師們提供了開箱即用的集成工具，和新穎的“拖曳式”業(yè)務(wù)流程與工作流管理引擎。

無需深入了解相關(guān)技術(shù)和實(shí)施的背景，分析師可以通過該平臺(tái)實(shí)現(xiàn)對(duì)現(xiàn)有整合方式的修改和重用。籍此，組織可以提高其響應(yīng)流程的速度和靈活性，并能快速地實(shí)現(xiàn)在安全方面的投資價(jià)值。 

[[227752]]

2.賽門鐵克定向攻擊分析（Targeted Attack Analytics）

為了更容易地發(fā)現(xiàn)各種定向攻擊，賽門鐵克首次允許客戶去訪問其內(nèi)部研究團(tuán)隊(duì)所使用的威脅檢測(cè)技術(shù)。 

該公司表示，定向攻擊分析能夠查看單個(gè)企業(yè)里的所有機(jī)器，比對(duì)從各個(gè)端點(diǎn)收集到的數(shù)據(jù)，以驗(yàn)證網(wǎng)絡(luò)內(nèi)是否存在主動(dòng)攻擊的行為。他們認(rèn)為：該技術(shù)能夠檢測(cè)到那些傳統(tǒng)安全產(chǎn)品所無法掌控的、更高級(jí)的攻擊行為。

除了能夠在所有設(shè)備上進(jìn)行整體分析，以構(gòu)建出更為具體的安全態(tài)勢(shì)，賽門鐵克還表示，定向攻擊分析能夠比較確定地向用戶發(fā)出事件的警報(bào)信息，而非簡(jiǎn)單地指出事件發(fā)生的可能性。 

3.CrowdStrike Falcon X

CrowdStrike Falcon X可以自動(dòng)進(jìn)行威脅分析，為各類大、中、小型組織提供定制化的情報(bào)，以及實(shí)現(xiàn)安全運(yùn)營中心的自動(dòng)化。

通過將惡意軟件沙箱、惡意軟件搜索和威脅情報(bào)三者整合到一個(gè)集成化的產(chǎn)品之中，F(xiàn)alcon X將端點(diǎn)保護(hù)提升到了一個(gè)新的水平。它可以在幾秒鐘內(nèi)（而不是過去的幾小時(shí)甚至幾天）完成全面的威脅分析。該產(chǎn)品能為組織提供正在遭受到的各種威脅、及其所有已知變體的真實(shí)狀況。

Falcon X能夠通過其各種API，立即將這些威脅的狀態(tài)分享給其他諸如防火墻、網(wǎng)關(guān)和安全編排等工具。該產(chǎn)品還能提供集成化的威脅情報(bào)和安全警報(bào)，從而加速了對(duì)于事件的研究、簡(jiǎn)化了調(diào)查的過程、并能推進(jìn)更好的安全響應(yīng)效果。 

4.Fortinet NOC-SOC

Fortinet推出了其專門構(gòu)建的網(wǎng)絡(luò)+安全運(yùn)營中心（Network Operations Center-Security Operations Center），為運(yùn)營和安全流程提供了跨越工作流的、具有分析能力的自動(dòng)化響應(yīng)“橋梁”。這種管理方法能夠通過新穎的圖形化拓?fù)湟晥D，去增強(qiáng)安全操作的可視性，同時(shí)它也能夠被擴(kuò)展到私有云和公有云的環(huán)境中。

Fortinet的集中式安全管理如今可以實(shí)現(xiàn)對(duì)FortiAnalyzer的本地管理，并且將所有的數(shù)據(jù)、分析、控制和結(jié)論融匯到NOC-SOC的單一視圖窗口中進(jìn)行操作。Fortinet表示：NOC-SOC的集成操作和安全視圖能夠使得安全團(tuán)隊(duì)更快速、更高效地執(zhí)行他們的任務(wù)。

與此同時(shí)，F(xiàn)ortinet還通過其安全評(píng)級(jí)功能不斷地對(duì)多種元素進(jìn)行評(píng)估，以量化安全實(shí)施的最佳實(shí)踐，并提出改進(jìn)NOC-SOC運(yùn)營的各種方法。 

5.FireMon全局策略控制器（Global Policy Controller）

FireMon的全局策略控制器是一款單控制臺(tái)的產(chǎn)品，它允許用戶進(jìn)行策略定義、監(jiān)控和編排全局性的安全架構(gòu)。該產(chǎn)品能夠在數(shù)秒內(nèi)為傳統(tǒng)的和虛擬化的平臺(tái)提供高效、合規(guī)的安全配置，可視化的網(wǎng)絡(luò)狀態(tài)管理，以及持續(xù)的安全控制。

該產(chǎn)品使得應(yīng)用程序的所有者和業(yè)務(wù)線的領(lǐng)導(dǎo)們能夠直接定義和管理他們的訪問意圖，同時(shí)允許安全團(tuán)隊(duì)執(zhí)行各種為管理所創(chuàng)建的訪問模板。該運(yùn)營模式支持企業(yè)通過一致性的自動(dòng)化和DevOps實(shí)踐，向云原生（cloud-native）和容器優(yōu)先的環(huán)境進(jìn)行過渡。  

FireMon全局策略控制器通過其策略計(jì)算引擎（Policy Compute Engine）消除了在策略合規(guī)性上的偏差。該引擎能夠提供動(dòng)態(tài)的策略變更、嵌入式的安全、意圖解釋和自動(dòng)分發(fā)。 

6.Sophos 網(wǎng)絡(luò)釣魚威脅（Phish Threat）

Sophos已將其針對(duì)網(wǎng)絡(luò)釣魚攻擊的模擬與培訓(xùn)服務(wù)擴(kuò)展到歐洲和亞洲。該P(yáng)hish Threat通過增強(qiáng)的儀表板和新穎的分析，簡(jiǎn)化了員工的意識(shí)培訓(xùn)環(huán)節(jié)，并實(shí)現(xiàn)了對(duì)于組織風(fēng)險(xiǎn)和員工績效的跟蹤。

通過定制選擇位于愛爾蘭、德國或美國主機(jī)，那些全球化的組織如今可以在Sophos的中央管理平臺(tái)上訪問到多種語言的、交互式的安全培訓(xùn)內(nèi)容。

Sophos聲稱：Phish Threat能夠自動(dòng)化整個(gè)培訓(xùn)流程，并提供針對(duì)員工弱點(diǎn)的可視化分析。它運(yùn)用一個(gè)控制臺(tái)來綜合管理電子郵件、端點(diǎn)和網(wǎng)絡(luò)安全，以改善風(fēng)險(xiǎn)管理和事件響應(yīng)的能力。 

7.Micro Focus ArcSight ESM 7.0

ArcSight企業(yè)安全管理器（Enterprise Security Manager，ESM）7.0通過實(shí)時(shí)的威脅情報(bào)對(duì)安全威脅和違規(guī)行為進(jìn)行優(yōu)先級(jí)排序，從而快速地識(shí)別并阻止?jié)撛诘母鞣N網(wǎng)絡(luò)攻擊。該產(chǎn)品可通過大規(guī)模地收集、關(guān)聯(lián)和報(bào)告安全事件信息，來幫助企業(yè)滿足各種苛刻的安全要求。

Micro Focus表示：它們能夠提供一種新穎的方式，使用分布式關(guān)聯(lián)來擴(kuò)展對(duì)SIEM的分析和事件關(guān)聯(lián)，而且無需承擔(dān)任何額外的成本。通過洞悉到更多與事件上下文有關(guān)的分析，客戶可以更加專注于其業(yè)務(wù)的擴(kuò)展。

另外，ArcSight ESM 7.0具有高可用性和冗余能力。它在成本和性能上的靈活性，有助于從現(xiàn)有的安全工具和事件中挖掘更多有價(jià)值的信息。 

8.Infocyte Hunt 3.0

針對(duì)企業(yè)在云端和機(jī)房內(nèi)部所有資產(chǎn)上所存在的威脅和漏洞，Infocyte Hunt 3.0使用了美國軍方和頂級(jí)網(wǎng)絡(luò)安全廠商所提供的高級(jí)威脅搜索功能。它通過一個(gè)自動(dòng)化平臺(tái)，降低了捕獲惡意軟件和高級(jí)持續(xù)性威脅（APT）的難度。同時(shí)它也大幅縮短從系統(tǒng)被感染到被發(fā)現(xiàn)攻擊，進(jìn)而阻止持續(xù)被惡意利用的時(shí)間。

用戶能夠以訂閱服務(wù)的方式購買Infocyte的反惡意軟件與威脅的專業(yè)服務(wù)。他們還將持續(xù)收到月度報(bào)告和表征組織相對(duì)安全態(tài)勢(shì)的風(fēng)險(xiǎn)評(píng)分。 

9.ThreatQuotient ThreatQ Investigations     

ThreatQ Investigations通過對(duì)威脅的解讀、協(xié)作型的分析和協(xié)調(diào)式的響應(yīng)，來促進(jìn)企業(yè)的安全運(yùn)營。該產(chǎn)品允許在共享的環(huán)境中展開可視化的實(shí)時(shí)調(diào)查，以使團(tuán)隊(duì)能夠更好地對(duì)威脅進(jìn)行預(yù)判。

ThreatQ Investigations通過統(tǒng)一的視圖提供了企業(yè)完整的安全狀況，其中包括誰在何時(shí)采取了何種行動(dòng)等。該產(chǎn)品還允許個(gè)人在預(yù)先測(cè)試了自己的方案之后，再分享給整個(gè)團(tuán)隊(duì)。  

企業(yè)的技術(shù)分析人員和決策者都能從ThreatQ Investigations的結(jié)果中受益。各類事件的響應(yīng)處理人員、惡意軟件的研究人員、SOC分析師和調(diào)查主管都將籍此獲得更多的控制權(quán)。他們不但能在正確的時(shí)間采取正確的行動(dòng)，還能促進(jìn)企業(yè)的整體安全運(yùn)營。 

10.數(shù)字威脅防護(hù)簡(jiǎn)易方案（Easy Solutions Digital Threat Protection）

如今，數(shù)字威脅防護(hù)簡(jiǎn)易方案套件能夠?yàn)楣羰芎φ咛峁┗谇閳?bào)的內(nèi)容上下文，并能洞察到被盜用的各種信任憑證。這使得金融機(jī)構(gòu)能夠更多地了解那些針對(duì)本組織的網(wǎng)絡(luò)威脅，并能使用那些對(duì)于后續(xù)攻擊具有防御性的數(shù)據(jù)去“武裝”交易數(shù)據(jù)。 

新的“受害者洞察（victim insight）”功能意味著：組織可以籍此確定訪問了危險(xiǎn)網(wǎng)站的最終用戶數(shù)量、點(diǎn)擊了惡意網(wǎng)址、以及披露了個(gè)人信息和信任憑證等方面的數(shù)量。

同時(shí)，檢測(cè)監(jiān)控服務(wù)將機(jī)器學(xué)習(xí)算法與計(jì)算機(jī)視覺（computer vision）功能相結(jié)合，以破壞和阻止各種攻擊。它的功能還包括：對(duì)于流氓移動(dòng)APP的防護(hù)、大量的報(bào)告服務(wù)、和內(nèi)置于客戶端的數(shù)據(jù)源整合功能。

原文標(biāo)題：RSA 2018: 10 Hot New Security Orchestration, Threat Detection, And Incident Response Products，作者：Michael Novinson

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】