2020年2月24日-28日，網(wǎng)絡(luò)安全行業(yè)盛會(huì)RSA Conference在舊金山拉開帷幕。綠盟君相繼為大家介紹了進(jìn)入今年創(chuàng)新沙盒十強(qiáng)初創(chuàng)公司，今天為大家介紹的是：Vulcan Cyber。

一、公司介紹

Vulcan Cyber是創(chuàng)新沙盒十強(qiáng)中唯一的一家以色列公司，在2019年曾入選Gartner 在Security and Risk Management的Cool Vendor。在公司的三位聯(lián)合創(chuàng)始人中，CEO Yaniv Bar-Dayan與CPO Tal Morgenstern都曾在以色列軍方任職，有豐富的網(wǎng)絡(luò)安全實(shí)戰(zhàn)經(jīng)驗(yàn)。公司成立于2018年，目前已經(jīng)獲得了兩輪共1400萬美元的融資，最近一次是由Ten Eleven Ventures領(lǐng)頭的1000萬美元A輪融資。Vulcan Cyber為企業(yè)提供了一套自動(dòng)化漏洞威脅緩解(Automated Vulnerability Remediation)解決方案，通過對(duì)已有開發(fā)、運(yùn)維工具的集成與整合，實(shí)現(xiàn)對(duì)突發(fā)安全漏洞的快速響應(yīng)，將企業(yè)受到安全威脅的時(shí)間窗口從數(shù)周、數(shù)月縮短到小時(shí)級(jí)。

Vulcan Cyber自稱為業(yè)界自動(dòng)化漏洞緩解概念的先行者。綠盟君認(rèn)為，將企業(yè)資產(chǎn)整合、針對(duì)安全事件進(jìn)行自動(dòng)化響應(yīng)的思想可以追溯到2017年Gartner提出的安全編排自動(dòng)化與響應(yīng)SOAR(Security Orchestration, Automation and Response)。但作為SOAR概念的實(shí)現(xiàn)者，切實(shí)為企業(yè)解決了安全痛點(diǎn)，未來可期。

二、背景介紹

隨著網(wǎng)絡(luò)安全攻防對(duì)抗的日趨激烈，企業(yè)的安全團(tuán)隊(duì)與運(yùn)維團(tuán)隊(duì)面臨著日益嚴(yán)峻的考驗(yàn)。安全事件、安全漏洞日益增多，越來越復(fù)雜且有針對(duì)性。企業(yè)針對(duì)不同業(yè)務(wù)的開展，部署、維護(hù)來自不同供應(yīng)商的資產(chǎn)設(shè)備，持續(xù)增多的安全告警與誤報(bào)增添了應(yīng)急響應(yīng)團(tuán)隊(duì)的工作負(fù)荷。

這些年來，檢測(cè)與響應(yīng)類的產(chǎn)品受到了極大的關(guān)注，尤其是對(duì)未知惡意行為的檢測(cè)功能已經(jīng)成為近年終端防護(hù)產(chǎn)品的標(biāo)配。這些產(chǎn)品和技術(shù)使用戶獲得了更低的MTTD(平均檢測(cè)時(shí)間Mean Time to Detect)，能夠更快、更精確的檢測(cè)入侵和攻擊，但對(duì)用戶而言，解決問題與發(fā)現(xiàn)問題一樣重要。一個(gè)現(xiàn)狀是，企業(yè)的安全團(tuán)隊(duì)與運(yùn)維團(tuán)隊(duì)不能保證在任何時(shí)候都能找到緩解漏洞的措施，同時(shí)也不一定能夠準(zhǔn)確評(píng)估緩解措施對(duì)業(yè)務(wù)造成的影響。Vulcan Cyber提供的解決方案旨在彌補(bǔ)企業(yè)的這一能力空白。

三、產(chǎn)品介紹

Vulcan Cyber的解決方案與公司同名，下面我們將簡(jiǎn)稱其為Vulcan。Vulcan是一套部署在云端的漏洞響應(yīng)自動(dòng)化平臺(tái)(Vulnerability Response Automation Platform)，它的設(shè)計(jì)目標(biāo)是將應(yīng)用漏洞、錯(cuò)誤配置等一系列安全問題轉(zhuǎn)化為可執(zhí)行的解決方案，從而使企業(yè)的安全團(tuán)隊(duì)能夠?qū)Ｗ⒂诮鉀Q最有威脅的安全問題，化被動(dòng)于主動(dòng)。Vulcan將漏洞信息的收集、風(fēng)險(xiǎn)評(píng)估過程進(jìn)行自動(dòng)化，最終以一個(gè)補(bǔ)丁、配置文件改動(dòng)或其他形式提供一個(gè)對(duì)生產(chǎn)環(huán)境影響最低的最佳解決方案。

Vulcan具有三大核心功能：風(fēng)險(xiǎn)信息聚合、威脅分析、自動(dòng)化漏洞緩解。

風(fēng)險(xiǎn)信息聚合：提供完整的資產(chǎn)視圖

一個(gè)現(xiàn)代的漏洞管理平臺(tái)能夠完整的呈現(xiàn)企業(yè)的資產(chǎn)與這些資產(chǎn)之間的關(guān)聯(lián)關(guān)系，只有當(dāng)企業(yè)對(duì)其網(wǎng)絡(luò)中所有的組件有完整的認(rèn)知，應(yīng)對(duì)漏洞的緩解措施才能完美的解決問題。Vulcan會(huì)對(duì)網(wǎng)絡(luò)進(jìn)行掃描并對(duì)結(jié)果進(jìn)行收集匯總，找出其中可能存在的暴露點(diǎn)、配置缺陷。

除此之外，當(dāng)我們?cè)u(píng)估一個(gè)漏洞緩解措施的潛在風(fēng)險(xiǎn)時(shí)，我們也需要知道資產(chǎn)之間的聯(lián)動(dòng)關(guān)系，從而確保對(duì)漏洞修復(fù)過程所導(dǎo)致的副作用(如意外停機(jī))進(jìn)行完整的預(yù)判。

在整個(gè)修復(fù)過程中，Vulcan會(huì)跟蹤何時(shí)、何地、哪些步驟使用了哪些維護(hù)工具，以及這些工具由誰使用。通常不同的工具與業(yè)務(wù)系統(tǒng)分散在不同的平臺(tái)上，Vulcan提供對(duì)多種云平臺(tái)與維護(hù)工具的支持，包括AWS Inspector、Microsoft Intune、Tenable Nessus、Ansible等，也支持通過Vulcan Gateway將用戶私有云的監(jiān)控?cái)?shù)據(jù)上傳到Vulcan云端。

威脅分析：基于風(fēng)險(xiǎn)的威脅優(yōu)先級(jí)排序

傳統(tǒng)的TVM廠商傾向于依賴客觀評(píng)分，如CVSS分?jǐn)?shù)，對(duì)漏洞的危害程度進(jìn)行定級(jí)，但實(shí)際上，不同漏洞對(duì)實(shí)際業(yè)務(wù)的危害程度，還是依賴安全團(tuán)隊(duì)的主觀判斷。因此，Vulcan引入了多種要素來評(píng)定一個(gè)安全事件的實(shí)際風(fēng)險(xiǎn)。

• 應(yīng)用安全性。包括Qualys、SourceClear等DevSecOps工具產(chǎn)出的代碼規(guī)范性、覆蓋率等數(shù)據(jù)。
• 業(yè)務(wù)影響力。與企業(yè)的CMDB聯(lián)動(dòng)，將應(yīng)用服務(wù)的商業(yè)價(jià)值納入到風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)中。例如儲(chǔ)存用戶信息、交易記錄的數(shù)據(jù)庫對(duì)公司至關(guān)重要，這些資產(chǎn)關(guān)聯(lián)的漏洞與安全事件的處理優(yōu)先級(jí)就是最高的。
• 資產(chǎn)分布情況。通過與應(yīng)用部署工具、資產(chǎn)管理系統(tǒng)的集成，對(duì)漏洞所波及的資產(chǎn)數(shù)量進(jìn)行定位與統(tǒng)計(jì)。
• 威脅情報(bào)。Vulcan接入了超過50個(gè)威脅情報(bào)源，查詢發(fā)現(xiàn)的漏洞是否存在已知的IOC。

當(dāng)然，這些維度的存在，除了納入Vulcan的算法，輸出威脅定級(jí)之外，也能夠?yàn)榘踩珗F(tuán)隊(duì)處理安全事件提供更多的參考。

自動(dòng)化漏洞緩解：對(duì)應(yīng)用組件進(jìn)行批量修復(fù)

Vulcan通過自動(dòng)化的方式來減少事件響應(yīng)所需的人力與時(shí)間，排除誤操作的風(fēng)險(xiǎn)，提供更高的可靠性。用戶可以預(yù)先定義一些Playbook，從而將滿足特定條件的事件處理半自動(dòng)或全自動(dòng)化，在官方的案例分析中，Vulcan可以將某些組件的漏洞信息推送到Slack的聊天頻道中，并在Jira中創(chuàng)建一個(gè)Issue，從而調(diào)動(dòng)相關(guān)人員進(jìn)行處理。除此之外，Vulcan還維護(hù)了一些常見的自動(dòng)化指令，比如使用Ansible或Chef等工具對(duì)Linux服務(wù)器安裝補(bǔ)丁，或操作WAF、終端防護(hù)軟件設(shè)置規(guī)則阻斷惡意軟件傳播等等。

四、優(yōu)勢(shì)與挑戰(zhàn)

Vulcan的一大亮點(diǎn)是，通過漏洞評(píng)級(jí)之外的更多維度，衡量漏洞的風(fēng)險(xiǎn)程度，幫助安全團(tuán)隊(duì)在海量告警與安全事件中定位最重要的安全問題;更重要的是傳統(tǒng)TVM產(chǎn)品只具備管理漏洞生命周期功能，大部分的漏洞緩解、系統(tǒng)升級(jí)都是人工處理，耗時(shí)耗力，在大規(guī)模的系統(tǒng)中不可擴(kuò)展，而Vulcan使用了自動(dòng)化編排的方式，高效解決問題，這一點(diǎn)是很多TVM產(chǎn)品所不具備的，解決了用戶一大痛點(diǎn)。

但同時(shí)，Vulcan也存在一些不完善的地方。作為一個(gè)漏洞管理的集中平臺(tái)，它需要能給用戶提供足夠的靈活性以將更多種類的資產(chǎn)納入平臺(tái)中。Vulcan只提到了支持與某些應(yīng)用的集成，但不支持什么，我們并不知道。其次，應(yīng)對(duì)復(fù)雜多變的企業(yè)環(huán)境，在數(shù)據(jù)的展示上給用戶定制的空間也是非常必要的。如Rapid7 InsightVM與FireEye Helix提供了多種可定制的界面元素，不同的團(tuán)隊(duì)可以從不同的視角進(jìn)行監(jiān)控。Vulcan目前看來還缺少這樣的功能。

五、總結(jié)

Gartner 曾預(yù)測(cè)，到 2020 年底，擁有 5 人以上規(guī)模安全團(tuán)隊(duì)的公司企業(yè)中，15% 都將采用 SOAR，而現(xiàn)在 SOAR 的采用率只有 1%。Vulcan Cyber將SOAR的概念進(jìn)一步推向落地，并展示了一個(gè)切實(shí)可行的解決方案，減少了事件響應(yīng)過程中重復(fù)性任務(wù)的人工干預(yù)，幫助加速問題的解決。正如去年創(chuàng)新沙盒獲勝者Axonius在網(wǎng)絡(luò)安全最基礎(chǔ)的資產(chǎn)管理方面有所創(chuàng)新得到評(píng)委垂青，今年Vulcan是否會(huì)在同樣基礎(chǔ)的漏洞管理方面自動(dòng)化提升安全運(yùn)維效率而得到行業(yè)的認(rèn)可?我們拭目以待。