瀚思周奕：朋友们心目中的 RSA 2018 "Cool Vendors"(上)

这是我加盟瀚思科技(HanSight)后第一次代表公司参加 RSA 。这次无须给公司站台，所以重点放在切磋交流上，和来自全球安全圈的老朋友叙旧，顺便多结识新朋友。在会场和朋友们、过客们聊行业、看产品、叙未来，倒也是一件幸事！

以下是朋友们眼中的 RSA 2018 Cool Vendors（最佳供应商）排名无先后

1. Awake Security（智能安全分析）

排队Innovation Sandbox（创新沙箱）时，巧遇国内某知名安全大厂的偶像兼大拿，于是聊起今年Sandbox（沙箱）的夺冠热门。由于我们都从事智能安全分析相关的工作，大家自然希望这一领域的唯一入围者Awake Security能够最终问鼎。即使我都觉得Awake Security还是差那么一点。

Awake Security家主打产品Awake是一款基于流量分析的EBA（实体行为异常）的产品。在innovation sandbox show以后，我找机会和创始人Gary Golomb聊了一下产品细节。

“资产自发现 (Passive mode) -> 资产分析Profiling (Entity IQ) -> 基于4个维度(threat 类型，上下文，连接的destination，威胁情报)”的detection DetectIQ用来计算威胁分值。QueryIQ是个“类Splunk Query Language”的模块，它为安全分析人员威胁猎捕所用。和其他UEBA技术相似的是，EntityIQ列出高风险实体（资产），对每个风险资产列出资产属性以及威胁，并按时间轴列出威胁攻击行为上下文、威胁情报、相似资产、风险分数。

应该说Awake的界面还是做的相当不错，所有对安全分析人员分析威胁最重要的信息组织的很好，这大大提升了事件分析处置（incident triage）的效率，而且新版UI酷炫。Gary全程没有跟我强调机器学习（ML）和人工智能（AI）。Awake还是个纯分析产品，事件响应（IR）的部分建议和SIEM集成，由SIEM连接的事件响应（IR）模块来做响应。另外，Awake还只能算是EBA。Gary说他们会在今年下半年陆续加入U(User)BA， A(Application)BA，坚持流量分析的方向不变，但是他们坚决不做日志分析。

推荐理由：资产发现（Asset Discovery）结合实体异常分析（EBA）二为一体，UI酷炫

以下是Awake的界面：

2. ZingBox (物联网安全)

ZingBox是一个ForeScout做研发的朋友推荐我去看的。比较有意思的是，ForeScout做IOT安全，他却推荐了我认为竞争力较小的ZingBox产品，结果的确值得一看！来到ZingBox的展位，跟他们当班的SE开宗明义：“我来自中国的安全厂商HanSight，想了解一下ZingBox怎么做IOT Security。”对方倒也豁达，不遮不掩。

ZingBox产品分为两块，ZingBox Inspector & ZingBox analyzer （内心OS：好熟悉的命名规则）。Inspector是个网路探针，有点像Awake Security，解析IOT Network的流量来发现IOT设备，对查找出来的IOT设备按属性分类。不同的是，网络流分析模块Analyzer部署在ZingBox Cloud里，Inspector将network的meta-data发送到Analyzer ZingBox Cloud进行安全分析。

ZingBox Cloud分析引擎由机器学习、深度学习、威胁情报所驱动，对IOT设备的行为异常进行分析。不过ZingBox SE特别强调的是Analyzer在Cloud里的优势，那就是可以得到更多客户IOT数据进行机器学习模型训练，从而提高异常侦测的准确性。他以医疗行业为例，一台医疗设备的行为基线是在分析了所有连接的相同的设备后产生，这样行为异常比对会准确很多。ZingBox以分析为主，响应部分的功能还是靠手工。IOT设备对业务的影响太大，任何可能产生的问题都要尽量避免。

推荐理由：物联网资产分析（IOT Asset Discovery）、整合异常分析、云分析（Cloud analytics）

3. TrendMicro （趋势科技）Writing Style DNA（基于写作风格的防钓鱼邮件技术）

跟前同事吃饭时了解到老东家刚刚发布了对BEC（Business Email Compromise，企业邮件受骇）钓鱼攻击的防护新型利器——Writing Style DNA。钓鱼攻击已经是个老问题了，但是一直没有特别好的解决方案。这次趋势的Writing Style又从另外一个维度来解决问题：邮件写作风格。如果外来攻击者仿冒公司高管发送邮件给钓鱼公司内部员工，其邮件文法写作方式必然和高管本人不同。

Wiring Style DNA就是对过往邮件的写作风格进行机器学习，分析个人的写作风格模型，然后判断邮件是不是来自声称的发件人。此功能和其他钓鱼防护技术如sender authentication、sender/URL reputation、header anomaly detection、sandbox等等技术共存，作为欺诈类邮件的最后一道防线。当然技术落地时总是有很多场景需要考虑，而且不同公司的有着不同的邮件文化。比如说，Mobile状态下人的写作风格和PC状态下不同，很多公司的老板的邮件都是秘书或不同人代笔。

（图片源自趋势科技官网）

也利用这个机会纠正一个错误的观点，即公司只要实施邮件访问MFA（多因子认证）就能防止网络钓鱼攻击。MFA能抵御邮箱爆破，而大部分“BEC/网络钓鱼攻击”是利用SMTP协议本身的弱点，仿冒公司内部人员而并不需要实际攻破邮箱。所以MFA并非silver bullet（银弹）。Gartner著名分析师Anton一直觉得基于社会工程学的钓鱼攻击是一个根本不可能从技术上解决的问题。所以也特别期待此项技术在客户那里的实际落地的表现。

推荐理由：新一代钓鱼攻击的防护技术

4. Bromium（微虚拟化/应用安全）

Bromium的产品VP是原来对口的老同事。今年RSA我们约在Peets Coffee，他介绍了他们Bromium的产品。他们正在游说Gartner为他们这类产品创建一个新类别，命名为“微虚机（Micro Virtualization）”或者“应用隔离（App Isolation）”，而不是“下一代终端防护（NG Endpoint protection）”。他全程演示了产品，当Bromium的agent部署到终端以后，终端初始化，并对当前终端做虚拟机快照（VM Snapshot），初始化过程差不多15~30mins。初始化完成后，凡是打开的邮件附件，下载可执行文件，访问未分类的网站都会发送到Micro VM并在VM中执行，本质上还是在沙箱中做引爆（detonation），尽管他强调这并不是沙箱。

当VM正在分析文件，如Office、PDF文件时，VM内置的应用可将文件内容展示给终端用户，从而降低对用户体验的影响。Launched VM会在应用执行后被释放以节约系统资源。他当时用一个能下载并触发勒索软件的文件附件做了演示，勒索软件在VM里现场发作，很有震撼力。Bromium目前将自己的产品技术定位为EPP的补充，是终端安全的最后一道防线。个人觉得概念很好，但是终端安全实际部署坑太多，且性能、稳定性兼容性都是不易掌控的问题。技术的成熟需要时间。不过还是坚信老友和他的团队，能够把产品做到到夯实。

推荐理由：无病毒码malware侦测，动态文件分析及应用防护，终端用户体验影响小

5. PinDrop (呼叫中心反欺诈)

在去RSAC的路上，结实了一位来自法国南部SAP安全团队的开发人员，PindDrop是他心中今年RSA大会的最佳。加上好几个朋友都跟我聊到呼叫中心被业务欺诈攻击的实际案例，包括一些大的银行和租车公司。看来呼叫中心这个我不熟系的领域，也被广泛存在业务欺诈行为。来到PinDrop的展台跟当班的PMM做了一次详谈。

首先从技术上来说，诈骗犯可以使用Skype这类应用软件的spoof caller ID，并且尝试隐藏自己的身份以及位置，而呼叫中心的的业务员更多关心的是如何迅速处理业务问题，所以对电话中过来的类似卡转账这类要求并不深究，迅速回应。由此造成的欺诈所造成的损失每年以超过100%的速度增加。

PinDrop的技术分两大块，一块是MFA对呼叫方（caller）进行多因子认证；另一块是欺诈识别，由三部分组成：PhonePrinting从一次呼叫的多个属性如来电类型（call type），位置（location），唯一标识符(unique phoneID)等维度进行异常分析； Deep Voice biometric从语音识别 (类似Writing Style DNA)是否来自真正的呼叫者；Tone printing从人机识别的角度分析这个呼叫是bot（机器人）还是真正的人。

三个维度按照权重打分最终决定风险等级。整个一个UEBA应用于呼叫中心反欺诈的鲜活案例啊！为了业务止损，PinDrop对分析的实时性要求非常高。估计使用了流式分析平台Flink，但是他们的PMM却不愿就具体技术进行评述。

推荐理由：UEBA在呼叫中心反欺诈的实际应用，高速实时分析。

未完待续……