【51CTO.com快譯】本次參加2018年RSA大會的各大安全廠商都分別加大了對于基于檢測與響應(yīng)方面相關(guān)模擬和智能產(chǎn)品的投資力度。他們致力于通過自動化、流程編排、人工智能和機器學(xué)習(xí)的組合，來改進(jìn)其集中化的管理平臺。通過與其他各個供應(yīng)商及合作伙伴的協(xié)作，憑借深入分析所發(fā)揮的關(guān)鍵作用，他們能夠幫助最終客戶更好地解讀所獲取得的全部數(shù)據(jù)。

為了更好地了解各類威脅的運作機制，以及組織如何才能最有效地應(yīng)對這些威脅，讓我們一起來看看如下十家主要廠商的產(chǎn)品特點。 

1.IBM安全彈性事件響應(yīng)平臺（Security Resilient Incident Response Platform）

IBM的安全彈性事件響應(yīng)平臺整合了事件案例的管理、編排、自動化、智能化、以及合作伙伴之間的雙向集成。該平臺極大地提升了事件響應(yīng)的速度。

其彈性特性表現(xiàn)在：允許安全分析師們對數(shù)百個耗時、重復(fù)且復(fù)雜的響應(yīng)操作進(jìn)行編排和自動化管理，而這些重要的操作在以前都是需要人工在其安全操作中心的工具上進(jìn)行干預(yù)的。新的平臺還為分析師們提供了開箱即用的集成工具，和新穎的“拖曳式”業(yè)務(wù)流程與工作流管理引擎。

無需深入了解相關(guān)技術(shù)和實施的背景，分析師可以通過該平臺實現(xiàn)對現(xiàn)有整合方式的修改和重用。籍此，組織可以提高其響應(yīng)流程的速度和靈活性，并能快速地實現(xiàn)在安全方面的投資價值。 

[[227752]]

2.賽門鐵克定向攻擊分析（Targeted Attack Analytics）

為了更容易地發(fā)現(xiàn)各種定向攻擊，賽門鐵克首次允許客戶去訪問其內(nèi)部研究團(tuán)隊所使用的威脅檢測技術(shù)。 

該公司表示，定向攻擊分析能夠查看單個企業(yè)里的所有機器，比對從各個端點收集到的數(shù)據(jù)，以驗證網(wǎng)絡(luò)內(nèi)是否存在主動攻擊的行為。他們認(rèn)為：該技術(shù)能夠檢測到那些傳統(tǒng)安全產(chǎn)品所無法掌控的、更高級的攻擊行為。

除了能夠在所有設(shè)備上進(jìn)行整體分析，以構(gòu)建出更為具體的安全態(tài)勢，賽門鐵克還表示，定向攻擊分析能夠比較確定地向用戶發(fā)出事件的警報信息，而非簡單地指出事件發(fā)生的可能性。 

3.CrowdStrike Falcon X

CrowdStrike Falcon X可以自動進(jìn)行威脅分析，為各類大、中、小型組織提供定制化的情報，以及實現(xiàn)安全運營中心的自動化。

通過將惡意軟件沙箱、惡意軟件搜索和威脅情報三者整合到一個集成化的產(chǎn)品之中，F(xiàn)alcon X將端點保護(hù)提升到了一個新的水平。它可以在幾秒鐘內(nèi)（而不是過去的幾小時甚至幾天）完成全面的威脅分析。該產(chǎn)品能為組織提供正在遭受到的各種威脅、及其所有已知變體的真實狀況。

Falcon X能夠通過其各種API，立即將這些威脅的狀態(tài)分享給其他諸如防火墻、網(wǎng)關(guān)和安全編排等工具。該產(chǎn)品還能提供集成化的威脅情報和安全警報，從而加速了對于事件的研究、簡化了調(diào)查的過程、并能推進(jìn)更好的安全響應(yīng)效果。 

4.Fortinet NOC-SOC

Fortinet推出了其專門構(gòu)建的網(wǎng)絡(luò)+安全運營中心（Network Operations Center-Security Operations Center），為運營和安全流程提供了跨越工作流的、具有分析能力的自動化響應(yīng)“橋梁”。這種管理方法能夠通過新穎的圖形化拓?fù)湟晥D，去增強安全操作的可視性，同時它也能夠被擴展到私有云和公有云的環(huán)境中。

Fortinet的集中式安全管理如今可以實現(xiàn)對FortiAnalyzer的本地管理，并且將所有的數(shù)據(jù)、分析、控制和結(jié)論融匯到NOC-SOC的單一視圖窗口中進(jìn)行操作。Fortinet表示：NOC-SOC的集成操作和安全視圖能夠使得安全團(tuán)隊更快速、更高效地執(zhí)行他們的任務(wù)。

與此同時，F(xiàn)ortinet還通過其安全評級功能不斷地對多種元素進(jìn)行評估，以量化安全實施的最佳實踐，并提出改進(jìn)NOC-SOC運營的各種方法。 

5.FireMon全局策略控制器（Global Policy Controller）

FireMon的全局策略控制器是一款單控制臺的產(chǎn)品，它允許用戶進(jìn)行策略定義、監(jiān)控和編排全局性的安全架構(gòu)。該產(chǎn)品能夠在數(shù)秒內(nèi)為傳統(tǒng)的和虛擬化的平臺提供高效、合規(guī)的安全配置，可視化的網(wǎng)絡(luò)狀態(tài)管理，以及持續(xù)的安全控制。

該產(chǎn)品使得應(yīng)用程序的所有者和業(yè)務(wù)線的領(lǐng)導(dǎo)們能夠直接定義和管理他們的訪問意圖，同時允許安全團(tuán)隊執(zhí)行各種為管理所創(chuàng)建的訪問模板。該運營模式支持企業(yè)通過一致性的自動化和DevOps實踐，向云原生（cloud-native）和容器優(yōu)先的環(huán)境進(jìn)行過渡。  

FireMon全局策略控制器通過其策略計算引擎（Policy Compute Engine）消除了在策略合規(guī)性上的偏差。該引擎能夠提供動態(tài)的策略變更、嵌入式的安全、意圖解釋和自動分發(fā)。 

6.Sophos 網(wǎng)絡(luò)釣魚威脅（Phish Threat）

Sophos已將其針對網(wǎng)絡(luò)釣魚攻擊的模擬與培訓(xùn)服務(wù)擴展到歐洲和亞洲。該Phish Threat通過增強的儀表板和新穎的分析，簡化了員工的意識培訓(xùn)環(huán)節(jié)，并實現(xiàn)了對于組織風(fēng)險和員工績效的跟蹤。

通過定制選擇位于愛爾蘭、德國或美國主機，那些全球化的組織如今可以在Sophos的中央管理平臺上訪問到多種語言的、交互式的安全培訓(xùn)內(nèi)容。

Sophos聲稱：Phish Threat能夠自動化整個培訓(xùn)流程，并提供針對員工弱點的可視化分析。它運用一個控制臺來綜合管理電子郵件、端點和網(wǎng)絡(luò)安全，以改善風(fēng)險管理和事件響應(yīng)的能力。 

7.Micro Focus ArcSight ESM 7.0

ArcSight企業(yè)安全管理器（Enterprise Security Manager，ESM）7.0通過實時的威脅情報對安全威脅和違規(guī)行為進(jìn)行優(yōu)先級排序，從而快速地識別并阻止?jié)撛诘母鞣N網(wǎng)絡(luò)攻擊。該產(chǎn)品可通過大規(guī)模地收集、關(guān)聯(lián)和報告安全事件信息，來幫助企業(yè)滿足各種苛刻的安全要求。

Micro Focus表示：它們能夠提供一種新穎的方式，使用分布式關(guān)聯(lián)來擴展對SIEM的分析和事件關(guān)聯(lián)，而且無需承擔(dān)任何額外的成本。通過洞悉到更多與事件上下文有關(guān)的分析，客戶可以更加專注于其業(yè)務(wù)的擴展。

另外，ArcSight ESM 7.0具有高可用性和冗余能力。它在成本和性能上的靈活性，有助于從現(xiàn)有的安全工具和事件中挖掘更多有價值的信息。 

8.Infocyte Hunt 3.0

針對企業(yè)在云端和機房內(nèi)部所有資產(chǎn)上所存在的威脅和漏洞，Infocyte Hunt 3.0使用了美國軍方和頂級網(wǎng)絡(luò)安全廠商所提供的高級威脅搜索功能。它通過一個自動化平臺，降低了捕獲惡意軟件和高級持續(xù)性威脅（APT）的難度。同時它也大幅縮短從系統(tǒng)被感染到被發(fā)現(xiàn)攻擊，進(jìn)而阻止持續(xù)被惡意利用的時間。

用戶能夠以訂閱服務(wù)的方式購買Infocyte的反惡意軟件與威脅的專業(yè)服務(wù)。他們還將持續(xù)收到月度報告和表征組織相對安全態(tài)勢的風(fēng)險評分。 

9.ThreatQuotient ThreatQ Investigations     

ThreatQ Investigations通過對威脅的解讀、協(xié)作型的分析和協(xié)調(diào)式的響應(yīng)，來促進(jìn)企業(yè)的安全運營。該產(chǎn)品允許在共享的環(huán)境中展開可視化的實時調(diào)查，以使團(tuán)隊能夠更好地對威脅進(jìn)行預(yù)判。

ThreatQ Investigations通過統(tǒng)一的視圖提供了企業(yè)完整的安全狀況，其中包括誰在何時采取了何種行動等。該產(chǎn)品還允許個人在預(yù)先測試了自己的方案之后，再分享給整個團(tuán)隊。  

企業(yè)的技術(shù)分析人員和決策者都能從ThreatQ Investigations的結(jié)果中受益。各類事件的響應(yīng)處理人員、惡意軟件的研究人員、SOC分析師和調(diào)查主管都將籍此獲得更多的控制權(quán)。他們不但能在正確的時間采取正確的行動，還能促進(jìn)企業(yè)的整體安全運營。 

10.數(shù)字威脅防護(hù)簡易方案（Easy Solutions Digital Threat Protection）

如今，數(shù)字威脅防護(hù)簡易方案套件能夠為攻擊受害者提供基于情報的內(nèi)容上下文，并能洞察到被盜用的各種信任憑證。這使得金融機構(gòu)能夠更多地了解那些針對本組織的網(wǎng)絡(luò)威脅，并能使用那些對于后續(xù)攻擊具有防御性的數(shù)據(jù)去“武裝”交易數(shù)據(jù)。 

新的“受害者洞察（victim insight）”功能意味著：組織可以籍此確定訪問了危險網(wǎng)站的最終用戶數(shù)量、點擊了惡意網(wǎng)址、以及披露了個人信息和信任憑證等方面的數(shù)量。

同時，檢測監(jiān)控服務(wù)將機器學(xué)習(xí)算法與計算機視覺（computer vision）功能相結(jié)合，以破壞和阻止各種攻擊。它的功能還包括：對于流氓移動APP的防護(hù)、大量的報告服務(wù)、和內(nèi)置于客戶端的數(shù)據(jù)源整合功能。

原文標(biāo)題：RSA 2018: 10 Hot New Security Orchestration, Threat Detection, And Incident Response Products，作者：Michael Novinson

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】