2020年2月24日-28日，網(wǎng)絡(luò)安全行業(yè)盛會(huì)RSA Conference在舊金山拉開帷幕。今天，綠盟君將繼續(xù)為大家介紹入選今年RSAC創(chuàng)新沙盒十強(qiáng)的初創(chuàng)公司：Obsidian。

一、公司介紹

Obsidan Security公司成立于2017年，于2017年7月完成A輪950萬美元融資，現(xiàn)總?cè)谫Y額已達(dá)2950萬美元，主要由Greylock Partners、Wing和GV投資。

Obsidian公司是一家為企業(yè)提供云檢測(cè)與響應(yīng)的公司，總部位于加利福尼亞州紐波特海灘。創(chuàng)始團(tuán)隊(duì)來自于Cylance、Carbon Black和NSA，Cylance前任CTO格蘭·奇什霍爾德創(chuàng)立并出任CEO，Cylance前任首席數(shù)據(jù)科學(xué)家兼NSA計(jì)算機(jī)科學(xué)家馬特·沃爾福擔(dān)任CTO，Carbon Black公司前CTO兼聯(lián)合創(chuàng)始人以及NSA計(jì)算機(jī)科學(xué)家本·約翰遜則擔(dān)任首席數(shù)據(jù)科學(xué)家。

??

Obsidian提出了一個(gè)新的理念-CDR(Cloud Detection and Response)能為SaaS應(yīng)用程序提供安全防護(hù)，并能幫助安全運(yùn)營團(tuán)隊(duì)檢測(cè)并響應(yīng)入侵和內(nèi)部威脅。旨在快速發(fā)現(xiàn)、調(diào)查和響應(yīng)SaaS應(yīng)用程序中的漏洞和內(nèi)部威脅，在不影響業(yè)務(wù)的情況下實(shí)現(xiàn)持續(xù)的監(jiān)控與分析。

二、產(chǎn)品介紹

1. 產(chǎn)品背景

在過去的十年中，SaaS和公共云服務(wù)的使用取得了巨大的增長。組織已經(jīng)或正在將其業(yè)務(wù)系統(tǒng)(包括電子郵件，協(xié)作，HR，銷售，市場(chǎng)營銷和運(yùn)營)遷移到云中。在2019年ESG研究調(diào)查中，三分之二(67%)的參與者報(bào)告，現(xiàn)在超過20%的應(yīng)用程序基于SaaS，而超過58%的組織在2019年報(bào)告使用了IaaS。

??

2011-2019年使用基礎(chǔ)架構(gòu)即服務(wù)(IaaS)的組織百分比

2. 云檢測(cè)與響應(yīng)(CDR)

云檢測(cè)與響應(yīng)是Obsidian提出的一個(gè)新的理念，也是當(dāng)前云安全體系中缺失的一部分。

云訪問安全代理(CASB)之類的解決方案采用的是預(yù)防策略。CASB在結(jié)構(gòu)上像云環(huán)境的防火墻，充當(dāng)組織基礎(chǔ)架構(gòu)與云服務(wù)之間的中介，主要是通過阻止訪問來防止數(shù)據(jù)丟失和泄露以及惡意軟件暴露。

但是，正如Gartner在自適應(yīng)安全的理念中提及，預(yù)防性(Prevention)控制并不足以保護(hù)云環(huán)境免受攻擊。即使有了最好的預(yù)防性安全解決方案，攻擊者仍可以穿透或繞過防御獲取對(duì)云資產(chǎn)的訪問權(quán)限。在云中，安全團(tuán)隊(duì)需要快速檢測(cè)(Detection)，調(diào)查并響應(yīng)威脅(Response)，這就需要可視化和豐富的用戶上下文信息，以便實(shí)時(shí)的檢測(cè)和響應(yīng)可疑行為。而如今，這正是SaaS和云服務(wù)所缺少的功能。

與EDR相比，云環(huán)境中的可視化問題有所不同，并且更為復(fù)雜。因?yàn)橛脩翎槍?duì)不同應(yīng)用程序有不同的權(quán)限，因此SaaS應(yīng)用程序需要在平臺(tái)內(nèi)進(jìn)行授權(quán)管理。比如安全管理員想查看用戶可以在Salesforce中訪問的內(nèi)容或他在G Suite中的操作，則管理員必須先獲取相應(yīng)權(quán)限和行為日志，并了解每個(gè)服務(wù)的授權(quán)模型和行為日志格式，然后再確定根據(jù)這些信息確定是否發(fā)生可疑的攻擊事件。大量的訪問記錄和行為信息使得威脅檢測(cè)變得異常復(fù)雜，通常相關(guān)的上下文數(shù)據(jù)會(huì)產(chǎn)生TB級(jí)數(shù)據(jù)，這使得真正的威脅或攻擊事件空間被淹沒在大量的數(shù)據(jù)流中。

針對(duì)以前的需求，提出了云檢測(cè)和響應(yīng)(CDR)解決方案，CDR通過不斷收集，規(guī)范化和分析來自SaaS和云服務(wù)的大量狀態(tài)和行為數(shù)據(jù)，為安全專業(yè)人員提供了檢測(cè)，調(diào)查和響應(yīng)云中威脅所需的全面的可視化信息。

因此，CDR需要提供以下核心功能：

(1) 全局可視化

CDR需要提供一個(gè)全局可視化視圖來顯示用戶跨云服務(wù)的訪問和行為信息。這種全局可視化視圖融合了狀態(tài)和用戶行為數(shù)據(jù)，并集成了威脅情報(bào)和相關(guān)上下文信息(位置、設(shè)備、瀏覽器等)?；谶@種可視化視圖，安全團(tuán)隊(duì)可以有效的實(shí)現(xiàn)不同階段的威脅檢測(cè)，并快速實(shí)現(xiàn)事件調(diào)查和響應(yīng)。

(2) 自動(dòng)檢測(cè)

CDR所要分析的數(shù)據(jù)通常比較大，因此，當(dāng)前云環(huán)境的問題是威脅或是攻擊行為通常會(huì)被淹沒在大量的數(shù)據(jù)與告警中。因此，CDR利用機(jī)器學(xué)習(xí)和規(guī)則分析可以幫助SOC從大量的噪聲數(shù)據(jù)中提取有價(jià)值的信息。

(3) 威脅預(yù)測(cè)

CDR除了具有對(duì)已經(jīng)威脅和攻擊的檢測(cè)能力外，還可以預(yù)測(cè)云環(huán)境中下一步可能發(fā)生的異?；蛲{行為。這可使安全管理者能提前針對(duì)要發(fā)生的威脅行為做預(yù)防。

3. Obsidian平臺(tái)

Obsidian云檢測(cè)和響應(yīng)為SaaS提供了無縫的安全性。利用一種獨(dú)特的以身份為中心的方法和機(jī)器學(xué)習(xí)，阻止云中的高級(jí)攻擊。平臺(tái)能為SaaS應(yīng)用程序提供安全防護(hù)，并能幫助安全運(yùn)營團(tuán)隊(duì)檢測(cè)并響應(yīng)入侵和內(nèi)部威脅。旨在快速發(fā)現(xiàn)、調(diào)查和響應(yīng)SaaS應(yīng)用程序中的漏洞和內(nèi)部威脅，在不影響業(yè)務(wù)的情況下實(shí)現(xiàn)持續(xù)的監(jiān)控與分析。

Obsidian是通過API集成作為SaaS服務(wù)的，由于不需要部署任何東西，解決方案可以在幾分鐘內(nèi)啟動(dòng)，在幾小時(shí)內(nèi)就可以產(chǎn)生結(jié)果。

Obsidian自動(dòng)的收集并標(biāo)準(zhǔn)化云應(yīng)用的相關(guān)數(shù)據(jù)，并基于威脅情報(bào)和上下文來豐富這些數(shù)據(jù)。Obsidian會(huì)基于機(jī)器學(xué)習(xí)和規(guī)則針對(duì)違規(guī)和內(nèi)網(wǎng)威脅行為生成告警，并不斷的從個(gè)人和群體行為模式中學(xué)習(xí)如何來訪問數(shù)據(jù)資產(chǎn)。

基于用戶權(quán)限和行為的統(tǒng)一視圖，Obsidian平臺(tái)可以實(shí)現(xiàn)事件響應(yīng)、調(diào)查和威脅狩獵。平臺(tái)會(huì)建議通過刪除過期的賬號(hào)和修復(fù)錯(cuò)誤配置從而增強(qiáng)云安全應(yīng)用的安全性。

??

Obsidian平臺(tái)功能

(1) 可見性

Obsidian首次提出云中的用戶、數(shù)據(jù)和應(yīng)用程序的統(tǒng)一視圖，并可以持續(xù)監(jiān)視用戶和服務(wù)帳戶的行為，對(duì)威脅和衛(wèi)生問題發(fā)出告警?？梢娦灾饕墓δ苋缦拢?/p>

• 每個(gè)服務(wù)的訪問權(quán)限和特權(quán)清單
• 特權(quán)用戶活動(dòng)
• 跨SaaS應(yīng)用程序的活動(dòng)監(jiān)視
• 可通過API下載的規(guī)范化數(shù)據(jù)模型

(2) 告警

根據(jù)基于規(guī)則的觸發(fā)器和機(jī)器學(xué)習(xí)，可以獲得關(guān)于違規(guī)、危險(xiǎn)行為和策略違規(guī)的警告。Obsidian平臺(tái)可以發(fā)現(xiàn)SaaS持久性、OAuth令牌濫用和其他相關(guān)異常信息。該功能模塊包括：

• 內(nèi)置規(guī)則實(shí)現(xiàn)對(duì)策略沖突和異常行為發(fā)出警報(bào)的內(nèi)置規(guī)則
• 利用機(jī)器學(xué)習(xí)實(shí)現(xiàn)異常行為檢測(cè)
• 優(yōu)先處理警報(bào)，以減少超負(fù)荷的安全團(tuán)隊(duì)的警報(bào)疲勞
• 與SOAR和服務(wù)管理的可集成性

??

3. 報(bào)告

可以根據(jù)不同角色，獲得關(guān)于應(yīng)用程序使用、新出現(xiàn)的威脅和風(fēng)險(xiǎn)行為的獨(dú)特見解的報(bào)告。因此，平臺(tái)具有如下功能：

• 根據(jù)組織中不同角色的需要定制報(bào)告和儀表板
• 根據(jù)需求導(dǎo)出不同格式的數(shù)據(jù)

4. 響應(yīng)行為

平臺(tái)基于用戶和其行業(yè)的統(tǒng)一視圖，實(shí)現(xiàn)快速有效的異常檢測(cè)和內(nèi)部威脅識(shí)別，并通過追蹤賬號(hào)共享和文件上傳與訪問的歷史行為來識(shí)別用戶的橫向移動(dòng)。并能通過平臺(tái)內(nèi)置功能，阻斷數(shù)據(jù)泄露和禁止賬戶濫用。因此，平臺(tái)需要如下功能：

• 基于時(shí)間關(guān)聯(lián)用戶行為和其上下文信息實(shí)現(xiàn)異常檢測(cè)和威脅識(shí)別;
• 提供推薦行為以指導(dǎo)處置。

??

案例：

(1) 賬號(hào)保護(hù)

a) 保護(hù)SaaS帳戶不被破壞和濫用

云環(huán)境下的關(guān)鍵是如何在不影響合法用戶體驗(yàn)的情況下保證云資產(chǎn)的安全。通過全局可見性，Obsidian可以展示哪些用戶可以訪問SaaS應(yīng)用程序，以及訪問的級(jí)別。平臺(tái)還可以持續(xù)監(jiān)控用戶在這些應(yīng)用程序中做了什么，并刪除不活躍的帳戶，以縮小攻擊面和降低成本。

??

上圖可以看到每個(gè)服務(wù)上誰擁有什么特權(quán)，它們是否處于活動(dòng)狀態(tài)，以及它們?nèi)绾问褂眠@些特權(quán)。

b) 訪問特權(quán)帳戶的目錄

獲取每個(gè)服務(wù)中具有特權(quán)的帳戶清單。

??

c) 活躍賬戶與非活躍賬號(hào)

Obsidian能通過服務(wù)獲得活動(dòng)帳戶和非活動(dòng)帳戶的粗略視圖，其中包含活動(dòng)情況的歷史變化。并且基于這些賬戶的活動(dòng)信息，清理不活躍的帳戶，以改善身份日常清理和降低成本。

??

d) 具有多種特權(quán)角色的用戶

一個(gè)用戶具有多種特權(quán)，可能會(huì)對(duì)組織構(gòu)成更高的風(fēng)險(xiǎn)。

??

e) 不活動(dòng)帳戶的陳舊用戶監(jiān)控

Obsidian可能監(jiān)控賬戶的活躍情況，以便查用戶是否已切換角色或離開公司。

??

(2) 威脅狩獵

a) 糾正違規(guī)和威脅識(shí)別

SaaS環(huán)境中的威脅檢測(cè)非常困難，SaaS應(yīng)用程序本質(zhì)上是多云環(huán)境。Salesforce、G Suite、Slack和其他應(yīng)用程序都有獨(dú)特的身份和訪問模式，并將有關(guān)權(quán)限和活動(dòng)的信息保存在silos中。Obsidian提供了威脅檢測(cè)、違約修復(fù)和安全加固的統(tǒng)一可視化,可以快速檢測(cè)異常登錄、SaaS持久性、數(shù)據(jù)過濾、橫向移動(dòng)、OAuth令牌濫用和其他威脅的指標(biāo)，并迅速糾正違規(guī)、識(shí)別威脅。

??

b) 警告

Obsidian在不需要進(jìn)行任何配置的情況下，能夠獲得各種威脅的告警。Obidian的告警涵蓋了眾所周知的惡意攻擊，并實(shí)現(xiàn)了告警嚴(yán)重度排序。

??

c) 位置記錄

Obsidian可以監(jiān)視用戶從何處登錄。檢測(cè)異常登錄和活動(dòng)跡象等。

??

d) 威脅狩獵的活動(dòng)視圖

Obsidian通過位置、事件類型、ISP、設(shè)備、特權(quán)、訪問歷史等方面的特權(quán)、活動(dòng)和上下文的統(tǒng)一視圖，積極主動(dòng)地檢測(cè)SaaS環(huán)境中的未知威脅。

??

(3) 事件響應(yīng)

a) 基于全局可視化的快速響應(yīng)

事故響應(yīng)小組能在不影響系統(tǒng)運(yùn)行的情況進(jìn)行檢測(cè)，識(shí)別根因并快速評(píng)估影響。Obsidian通過收集、規(guī)范化和存儲(chǔ)來自SaaS應(yīng)用程序的大量狀態(tài)和活動(dòng)數(shù)據(jù)，從而實(shí)現(xiàn)快速的云事件響應(yīng)。

??

通過使用關(guān)于用戶、特權(quán)和活動(dòng)的統(tǒng)一數(shù)據(jù)，Obsidian能有效地進(jìn)行信息檢索工作。平臺(tái)將用戶、訪問和特權(quán)與活動(dòng)聯(lián)系起來，并通過位置、事件類型、IP地址和設(shè)備豐富了這一功能。

b) 通過IP搜索

搜索已知的惡意IP和感興趣的IP地址，以查找與該地址相關(guān)的其他活動(dòng)。

??

c) 根據(jù)用戶或文檔搜索活動(dòng)日志

搜索與特定用戶相關(guān)的所有活動(dòng)，或在相關(guān)文檔或資產(chǎn)上執(zhí)行的所有活動(dòng)。

??

三、創(chuàng)新點(diǎn)和挑戰(zhàn)

云訪問安全代理(CASB)之類的解決方案來采用預(yù)防策略，但并不足以保護(hù)云環(huán)境免受攻擊。即使有了最好的預(yù)防性安全解決方案，攻擊者仍可以穿透或繞過防御獲取對(duì)云資產(chǎn)的訪問權(quán)限。云檢測(cè)與響應(yīng)是Obsidian提出的一個(gè)新的理念，將xDR的理念應(yīng)用在云端，云安全團(tuán)隊(duì)需要快速檢測(cè)，調(diào)查并響應(yīng)威脅。這就需要可視化和豐富的用戶上下文信息，以便實(shí)時(shí)的檢測(cè)和響應(yīng)可疑行為。而如今，這正是SaaS和云服務(wù)所缺少的功能。云檢測(cè)和響應(yīng)(CDR)解決方案通過不斷收集，規(guī)范化和分析來自SaaS和云服務(wù)的大量狀態(tài)和行為數(shù)據(jù)，為安全專業(yè)人員提供了檢測(cè)，調(diào)查和響應(yīng)云中威脅所需的全面的可視化信息。Obsidian的創(chuàng)新，主要包括云環(huán)境的可見性、自動(dòng)化檢測(cè)和安全風(fēng)險(xiǎn)監(jiān)控，都是SaaS的核心需求，解決了云安全的痛點(diǎn)。

當(dāng)然也需要看到其商業(yè)化有很大的挑戰(zhàn)，xDR產(chǎn)品的成功應(yīng)用需要用戶安全團(tuán)隊(duì)有較高的安全運(yùn)營能力，否則無法發(fā)揮其應(yīng)有的作用。如果上云的企業(yè)(特別是中小企業(yè))沒有相關(guān)的運(yùn)營能力，那應(yīng)該要考慮支持云端應(yīng)用的MDR服務(wù)，例如去年RSA會(huì)場(chǎng)外，Google組織的生態(tài)圈會(huì)展中有一家BlueVoyant公司，能夠提供面向公有云的MDR服務(wù)，通過絕大部分能夠自動(dòng)化的Tier 1服務(wù)和基于數(shù)據(jù)科學(xué)的Tier 2后臺(tái)服務(wù)，可以為大量的云客戶提供可擴(kuò)展的安全運(yùn)營服務(wù)。

?[[316012]]?

四、總結(jié)

Obsidian的創(chuàng)始人來自Cylance和Carbon Black，分別有云端零信任和終端EDR的成功經(jīng)驗(yàn)，相信能夠?qū)⒃摦a(chǎn)品能夠理解云端SaaS應(yīng)用的真實(shí)風(fēng)險(xiǎn)，基于檢測(cè)和響應(yīng)技術(shù)解決客戶上云的痛點(diǎn)，也許CDR會(huì)是“后CASB”的新型產(chǎn)品，幫助客戶及時(shí)發(fā)現(xiàn)并緩解威脅。

· 參考鏈接 ·

[1] CLOUD DETECTION AND RESPONSE IS THE MISSING ELEMENT OF CLOUD SECURITY，

??https://www.obsidiansecurity.com/cloud-detection-and-response-missing-element/??

[2] Obsidian官方網(wǎng)站，https://www.obsidiansecurity.com/