九游老哥

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务九游老哥网站清静监测服务Websafe 九游老哥黑洞云洗濯服务 CCSS 九游老哥网站云防护服务 WCP 九游老哥威胁情报中心NTI 九游老哥科技威胁情报云端解决计划九游老哥科技威胁情报外地解决计划九游老哥威胁检测与响应服务MDR 九游老哥外部攻击面治理服务EASM 九游老哥轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营九游老哥云九游老哥云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京九游老哥公益基金会鲲鹏基金产品清静软件升级

返回列表

RSA 立异沙盒盘货| Obsidian——能为SaaS应用程序提供清静防护云检测与响应平台

2020-02-21

2020年2月24日-28日，网络清静行业盛会RSA Conference将在旧金山拉开帷幕。今天，九游老哥君将继续为各人先容入选今年RSAC立异沙盒十强的首创公司：Obsidian。

一、公司先容

Obsidan Security公司建设于2017年，于2017年7月完成A轮950万美元融资，现总融资额已达2950万美元，主要由Greylock Partners、Wing和GV投资。

Obsidian公司是一家为企业提供云检测与响应的公司，总部位于加利福尼亚州纽波特海滩。首创团队来自于Cylance、Carbon Black和NSA，Cylance前任CTO格兰·奇什霍尔德建设并出任CEO，Cylance前任首席数据科学家兼NSA盘算机科学家马特·沃尔福担当CTO，Carbon Black公司前CTO兼团结首创人以及NSA盘算机科学家本·约翰逊则担当首席数据科学家。

九游老哥·(中国)俱乐部官方网站

Obsidian提出了一个新的理念-CDR(Cloud Detection and Response)能为SaaS应用程序提供清静防护，并能资助清静运营团队检测并响应入侵和内部威胁。旨在快速发明、视察和响应SaaS应用程序中的误差和内部威胁，在不影响营业的情形下实现一连的监控与剖析。

二、产品先容

01

产品配景

在已往的十年中，SaaS和公共云服务的使用取得了重大的增添。组织已经或正在将其营业系统（包括电子邮件，协作，HR，销售，市场营销和运营）迁徙到云中。在2019年ESG研究视察中，三分之二（67％）的加入者报告，现在凌驾20％的应用程序基于SaaS，而凌驾58％的组织在2019年报告使用了IaaS。

九游老哥·(中国)俱乐部官方网站

2011-2019年使用基础架构即服务（IaaS）的组织百分比

02

云检测与响应（CDR）

云检测与响应是Obsidian提出的一个新的理念，也是目今云清静系统中缺失的一部分。

云会见清静署理（CASB）之类的解决计划接纳的是预防战略。CASB在结构上像云情形的防火墙，充当组织基础架构与云服务之间的中介，主要是通过阻止会见来避免数据丧失和泄露以及恶意软件袒露。

可是，正如Gartner在自顺应清静的理念中提及，预防性（Prevention）控制并缺乏以�；ぴ魄樾蚊馐芄セ�。纵然有了最好的预防性清静解决计划，攻击者仍可以穿透或绕过防御获取对云资产的会见权限。在云中，清静团队需要快速检测（Detection），视察并响应威胁（Response），这就需要可视化和富厚的用户上下文信息，以便实时的检测和响应可疑行为。而现在，这正是SaaS和云服务所缺氨赡功效。

与EDR相比，云情形中的可视化问题有所差别，并且更为重大。由于用户针对差别应用程序有差别的权限，因此SaaS应用程序需要在平台内举行授权治理。好比清静治理员想审查用户可以在Salesforce中会见的内容或他在G Suite中的操作，则治理员必需先获取响应权限和行为日志，并相识每个服务的授权模子和行为日志名堂，然后再确定凭证这些信息确定是否爆发可疑的攻击事务。大宗的会见纪录和行为信息使得威胁检测变得异常重大，通常相关的上下文数据会爆发TB级数据，这使得真正的威胁或攻击事务空间被淹没在大宗的数据流中。

针对以前的需求，提出了云检测和响应（CDR）解决计划，CDR通过一直网络，规范化和剖析来自SaaS和云服务的大宗状态和行为数据，为清静专业职员提供了检测，视察和响应云中威胁所需的周全的可视化信息。

因此，CDR需要提供以下焦点功效：

1、全局可视化

CDR需要提供一个全局可视化视图来显示用户跨云服务的会见和行为信息。这种全局可视化视图融合了状态和用户行为数据，并集成了威胁情报和相关上下文信息（位置、装备、浏览器等）�；谡庵挚墒踊油�，清静团队可以有用的实现差别阶段的威胁检测，并快速实现事务视察和响应。

2、自动检测

CDR所要剖析的数据通常较量大，因此，目今云情形的问题是威胁或是攻击行为通�；岜谎兔辉诖笞诘氖萦敫婢�。因此，CDR使用机械学习和规则剖析可以资助SOC从大宗的噪声数据中提取有价值的信息。

3、威胁展望

CDR除了具有对已经威胁和攻击的检测能力外，还可以展望云情形中下一步可能爆发的异�；蛲残形�。这可使清静治理者能提前针对要爆发的威胁行为做预防。

03

Obsidian平台

Obsidian云检测和响应为SaaS提供了无缝的清静性。使用一种奇异的以身份为中心的要领和机械学习，阻止云中的高级攻击。平台能为SaaS应用程序提供清静防护，并能资助清静运营团队检测并响应入侵和内部威胁。旨在快速发明、视察和响应SaaS应用程序中的误差和内部威胁，在不影响营业的情形下实现一连的监控与剖析。

Obsidian是通过API集成作为SaaS服务的，由于不需要安排任何工具，解决计划可以在几分钟内启动，在几小时内就可以爆发效果。

Obsidian自动的网络并标准化云应用的相关数据，并基于威胁情报和上下文来富厚这些数据。Obsidian会基于机械学习和规则针对违规和内网威胁行为天生告警，并一直的从小我私家和群体行为模式中学习怎样来会见数据资产。

基于用户权限和行为的统一视图，Obsidian平台可以实现事务响应、视察和威胁狩猎。平台会建议通过删除逾期的账号和修复过失设置从而增强云清静应用的清静性。

九游老哥·(中国)俱乐部官方网站

Obsidian平台功效

1、可见性

Obsidian首次提出云中的用户、数据和应用程序的统一视图，并可以一连监视用户和服务帐户的行为，对威胁和卫生问题发出告警�？杉灾饕墓π缦拢�

a) 每个服务的会见权限和特权清单

b) 特权用户运动

c) 跨SaaS应用程序的运动监视

d)可通过API下载的规范化数据模子

2、告警

凭证基于规则的触发器和机械学习，可以获得关于违规、危险行为和战略违规的忠言。Obsidian平台可以发明SaaS长期性、OAuth令牌滥用和其他相关异常信息。该功效�？榘ǎ�

a) 内置规则实现对战略冲突和异常行为发出警报的内置规则

b) 使用机械学习实现异常行为检测

c) 优先处置惩罚警报，以镌汰超负荷的清静团队的警报疲劳

d) 与SOAR和服务治理的可集成性

九游老哥·(中国)俱乐部官方网站

3、报告

可以凭证差别角色，获得关于应用程序使用、新泛起的威胁和危害行为的奇异看法的报告。因此，平台具有如下功效：

a) 凭证组织中差别角色的需要定制报告和仪表板

凭证需求导出差别名堂的数据

4、响应行为

平台基于用户和其行业的统一视图，实现快速有用的异常检测和内部威胁识别，并通过追踪账号共享和文件上传与会见的历史行为来识别用户的横向移动。并能通过平台内置功效，阻断数据泄露和榨取账户滥用。因此，平台需要如下功效：

a) 基于时间关联用户行为和其上下文信息实现异常检测和威胁识别；

b) 提供推荐行为以指导处置惩罚。

九游老哥·(中国)俱乐部官方网站

案例

1、账号�；�

a) �；aaS帐户不被破损和滥用

云情形下的要害是怎样在不影响正当用户体验的情形下包管云资产的清静。通过全局可见性，Obsidian可以展示哪些用户可以会见SaaS应用程序，以及会见的级别。平台还可以一连监控用户在这些应用程序中做了什么，并删除不活跃的帐户，以缩小攻击面和降低本钱。

九游老哥·(中国)俱乐部官方网站

上图可以看到每个服务上谁拥有什么特权，它们是否处于运动状态，以及它们怎样使用这些特权。

b) 会见特权帐户的目录

获取每个服务中具有特权的帐户清单。

九游老哥·(中国)俱乐部官方网站

c) 活跃账户与非活跃账号

Obsidian能通过服务获得运动帐户和非运动帐户的简陋视图，其中包括运动情形的历史转变。并且基于这些账户的运动信息，整理不活跃的帐户，以改善身份一样平常整理和降低本钱。

九游老哥·(中国)俱乐部官方网站

d) 具有多种特权角色的用户

一个用户具有多种特权，可能会对组织组成更高的危害。

九游老哥·(中国)俱乐部官方网站 e) 不运动帐户的陈腐用户监控

Obsidian可能监控账户的活跃情形，以便查用户是否已切换角色或脱离公司。

九游老哥·(中国)俱乐部官方网站

2、威胁狩猎

a) 纠正违规和威胁识别

SaaS情形中的威胁检测很是难题，SaaS应用程序实质上是多云情形。Salesforce、G Suite、Slack和其他应用程序都有奇异的身份和会见模式，并将有关权限和运动的信息生涯在silos中。Obsidian提供了威胁检测、违约修复和清静加固的统一可视化,可以快速检测异常登录、SaaS长期性、数据过滤、横向移动、OAuth令牌滥用和其他威胁的指标，并迅速纠正违规、识别威胁。

九游老哥·(中国)俱乐部官方网站

b) 忠言

Obsidian在不需要举行任何设置的情形下，能够获得种种威胁的告警。Obidian的告警涵盖了众所周知的恶意攻击，并实现了告警严重度排序。

九游老哥·(中国)俱乐部官方网站

c) 位置纪录

Obsidian可以监视用户从那里登录。检测异常登录和运动迹象等。

九游老哥·(中国)俱乐部官方网站

d) 威胁狩猎的运动视图

Obsidian通过位置、事务类型、ISP、装备、特权、会见历史等方面的特权、运动和上下文的统一视图，起劲自动地检测SaaS情形中的未知威胁。

九游老哥·(中国)俱乐部官方网站

3、事务响应

a) 基于全局可视化的快速响应

事故响应小组能在不影响系统运行的情形举行检测，识别根因并快速评估影响。Obsidian通过网络、规范化和存储来自SaaS应用程序的大宗状态和运动数据，从而实现快速的云事务响应。

九游老哥·(中国)俱乐部官方网站

通过使用关于用户、特权和运动的统一数据，Obsidian能有用地举行信息检索事情。平台将用户、会见和特权与运动联系起来，并通过位置、事务类型、IP地点和装备富厚了这一功效。

b) 通过IP搜索

搜索已知的恶意IP和感兴趣的IP地点，以查找与该地点相关的其他运动。

九游老哥·(中国)俱乐部官方网站

c) 凭证用户或文档搜索运动日志

搜索与特定用户相关的所有运动，或在相关文档或资产上执行的所有运动。

九游老哥·(中国)俱乐部官方网站

三、立异点和挑战

云会见清静署理（CASB）之类的解决计划来接纳预防战略，但并缺乏以�；ぴ魄樾蚊馐芄セ�。纵然有了最好的预防性清静解决计划，攻击者仍可以穿透或绕过防御获取对云资产的会见权限。云检测与响应是Obsidian提出的一个新的理念，将xDR的理念应用在云端，云清静团队需要快速检测，视察并响应威胁。这就需要可视化和富厚的用户上下文信息，以便实时的检测和响应可疑行为。而现在，这正是SaaS和云服务所缺氨赡功效。云检测和响应（CDR）解决计划通过一直网络，规范化和剖析来自SaaS和云服务的大宗状态和行为数据，为清静专业职员提供了检测，视察和响应云中威胁所需的周全的可视化信息。Obsidian的立异，主要包括云情形的可见性、自动化检测和清静危害监控，都是SaaS的焦点需求，解决了云清静的痛点。

虽然也需要看到其商业化有很大的挑战，xDR产品的乐成应用需要用户清静团队有较高的清静运营能力，不然无法施展其应有的作用。若是上云的企业（特殊是中小企业）没有相关的运营能力，那应该要思量支持云端应用的MDR服务，例如去年RSA会场外，Google组织的生态圈会展中有一家BlueVoyant公司，能够提供面向公有云的MDR服务，通过绝大部分能够自动化的Tier 1服务和基于数据科学的Tier 2后台服务，可以为大宗的云客户提供可扩展的清静运营服务。

九游老哥·(中国)俱乐部官方网站

四、总结

Obsidian的首创人来自Cylance和Carbon Black，划分有云端零信托和终端EDR的乐成履历，信托能够将该产品能够明确云端SaaS应用的真实危害，基于检测和响应手艺解决客户上云的痛点，也许CDR会是“后CASB”的新型产品，资助客户实时发明并缓解威胁。

· 参考链接 ·

[1] CLOUD DETECTION AND RESPONSE IS THE MISSING ELEMENT OF CLOUD SECURITY，https://www.obsidiansecurity.com/cloud-detection-and-response-missing-element/

[2] Obsidian官方网站，https://www.obsidiansecurity.com/

<<上一篇

RSA 立异沙盒盘货| Securiti.ai——解决隐私合规痛点的一站式自动化计划

>>下一篇

留神，你收到的疫情相关邮件可能是病毒攻击

?

您的联系方法

购置热线

提交项目需求

接待加入九游老哥科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

九游老哥科技社区

九游老哥科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于九游老哥: 公司先容; 公司声誉; 九游老哥书橱; 九游老哥新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系九游老哥: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: 九游老哥云; 九游老哥威胁情报中心NTI; TechWorld手艺嘉年华; 北京九游老哥公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号