以色列网络安全产业发达、网络安全技术领先,是仅次于美国的世界第二大网络产品和服务出口国,占全球网络安全市场 10% 左右。与其它网络强国相比,以色列网络安全初创企业涌现速度快,对资金吸引力强,外资投入占比较大,市场充满活力。其中,赛博瑞森(Cybereason)公司作为佼佼者,企业规模持续增长,在网络安全产业端点保护领域地位突出。该公司从以色列军事单位中诞生,并将军事领域网络安全技术和理念运用于公司发展实践,取得了出色成绩,其成功经验体现了“寓军于民”的发展规律和特点,对于推进网络安全产业军民融合发展具有参考借鉴意义。
公司概况
以色列的网络安全行业中,自 2011 年起具有较强融资能力的初创企业不断涌现。赛博瑞森(Cybereason)则是其中一家专注于端点检测和响应软件的网络安全公司,2012 年由以色列国防部 8200 部队成员在以色列特拉维夫创立,2014 年将其总部迁至马萨诸塞州波士顿,目前在特拉维夫仍保留一家研发中心,在伦敦、特拉维夫和东京设有办事处,公司员工规模为 500 人以内。2014 年,Cybereason 从 Charles River Ventures 筹集了 A 系列资金。2015 年从软银获得了 C 轮融资 5900 万美元。到目前为止,该公司已经筹集了 1.9 亿美元的资金,绝大多数来自公司自己的客户,如洛克希德马丁和软银。2016年 12 月,Cybereason 发布了一款免费的消费者软件产品,用于预防勒索软件。2016 年,公司的收入增长了 5 倍,2017 年以来正在实现全球性扩张,以建立世界级组织的资源。
从业务领域来看,Cybereason 公司主要从事端点保护领域,并已成为该领域的领导者。公司主要提供端点检测和响应、下一代防病毒和托管监控服务,其特点在于领先于对手的检测和响应能力。同时,Cybereason 由来自以色列国防军精英情报专业人士创立,这为企业提供了领先于网络对手的技术优势。
产品及优势
随着攻击者开发新的工具和技术,跟上高级威胁比以往任何时候都更具挑战性。Cybereason公司 的 主 流 产 品 —— 深 度 狩 猎 平 台(DEEP HUNTINGPLATFORM),核心功能是提供端点检测和响应(EDR)、下一代防病毒(NGAV)、托管威胁搜寻和威胁情报,而所有这些功能都集成在一个解决方案和一个轻量级传感器中。该平台使用 Cybereason 专有的网络安全数据分析架构构建,专注于收集和分析行为数据并关联不同的数据点,以识别恶意操作并促进立即采取行动。Cybereason 深 度 狩 猎平台不仅可以保护客户的数据,还可以利用这些数据进行其他保护功能。其特点主要在于:(1)深度检测和响应优势;(2)全攻击生命周期检测;(3)预配置的恶意活动模型;(4)单击快速修复;(5)针对已知和以前看不见的威胁勒索软件防护。
深度检测和响应 (EDR)
Cybereason 公司提供的深度检测和响应(EDR)平台,可以帮助客户准确识别判断是否受到攻击,并有能力防御最先进的攻击。Cybereason 的解决方案专注于收集和分析行为数据,深入了解整个企业中的端点、行为和系统数据,侧重于数据背后的行为和动机,这使得该解决方案能够发现可能被忽视的可疑活动。
深度防护 (DEEP PREVENT)
Cybereason 公司认为,对手正在迅速发展并开发绕过传统保护解决方案的新工具。攻击者已经开始利用更成功的技术来针对组织,例如利用本机应用程序和工具来发起无文件攻击。要解决当今的恶意软件问题,签名已不再适用。需要全面的保护方法。1. 多层保护。为了确保高效的恶意软件检测和阻止,Cybereason NGAV解决方案 DEEP PREVENT 为组织提供了多层保护堆栈,该堆栈由签名、专有的无签名和行为保护功能组成。首先,基于签名的技术阻止了普通恶意软件。然后通过 Cybereason 专有的人工智能引擎查找绕过前一层的复杂恶意软件。最后,超越此人工智能引擎的文件又将被推送到动态行为分析过滤器,该过滤器查找指示更高级恶意软件威胁的恶意行为,包括无文件和勒索软件攻击。2. 阻止高级威胁,使用市场领先的行为保护技术,防止包括无文件恶意软件和从未见过的勒索软件在内的高级威胁。3. 提高分析师效率,减少环境中的噪音量以及团队需要处理的警报数量。4. 部署和管理单个集成解决方案,利用部署在单个 UI 上的 EDR,实现反恶意软件、反勒索软件和反无文件恶意软件防护功能,并在单个 UI 中进行管理。
深入调查(Deep Investigate)
Cybereason 平台从整个企业收集大量数据,通过查询从原始信息到被标记为可疑的预分类数据的所有内容,让分析人员可以轻松地深入了解数据并对其进行可操作的使用。DeepInvestigate 提供了一个强大的调查工作台,使企业分析师能够进行定制的高级调查。在控制台中,分析人员可以跨受影响的用户、网络连接、计算机和进程进行转移,以跟踪攻击者的活动、工具和技术。
深度回应(DEEP RESPOND)
Cybereason 平台不仅可以检测威胁,还可以让客户快速响应并关闭它们。Cybereason 深度响应界面,提供易于理解的视觉攻击案例,深入了解当前正在进行的主动恶意操作。在快速了解情况后,客户可以通过单击修复轻松阻止威胁。这包括隔离计算机、终止进程、隔离文件、删除注册表项等。此外,客户可以自动阻止进程执行并阻止网络通信。
防勒索软件(Cybereason RansomFree)
Cybereason 认为,当前勒索软件攻击如此成功的主要原因是传统的防病毒软件无法检测到它们。每天都会开发新的勒索软件变种,因此基于签名的防御措施无法识别和保护组织免受勒索软件造成的损害。此外,许多类型的勒索软件都是多态的,这意味着它每次传播时都会生成一个新的哈希以避免检测。因此,Cybereason 研究了数以万计的属于 40 多种勒索软件的勒索软件 变 种, 包 括 Locky、Cryptowall、TeslaCrypt、Jigsaw 和 Cerber 等,并确定了区分勒索软件和合法应用程序的行为模式。Cybereason 开发了一种独特的行为方法来阻止勒索软件的发展。由于已经确定了典型的行为模式,因此平台知道勒索软件将如何以及在何处开始加密文件。
通过针对勒索软件的常见行为,CybereasonRansomFree 可 以 防 范 99 % 的 勒 索 软 件。RansomFree 检测到勒索软件,暂停活动,显示一个弹出窗口,警告用户他们的文件存在风险,并让用户一键停止攻击。RansomFree 可以防止本地加密以及网络或共享驱动器上的文件加密。RansomFree 通过捕获独立的勒索软件程序以及无文件勒索软件,来保护客户的数据安全。独立的勒索软件使用应用程序中的漏洞,例如有缺陷的 Flash 代码,但无文件勒索软件滥用合法的 Windows 工具(如 PowerShell 脚本语言或JavaScript)来执行其恶意企图。
军民融合的成长经验
正如 Cybereason 公司官方网站所说,军队是其与众不同的主要原因。“公司的许多员工都曾在以色列国防军的 8200 部队工作,这是一个专门从事网络安全的精英团队,他们在黑客行动方面拥有丰富的经验。我们正在将军队对网络安全的看法应用于企业安全”。
具有军方背景的专业人才是 Cybereason 公司脱颖而出的关键,Cybereason 已经召集了一批来自军队、学术和商业背景的安全专家。这些专业人才为 Cybereason 公司的成长发展带来了先进的军事技术和经验。以色列全民皆兵的国防战略客观上决定了高技术发展的主要路径是军民融合。在全民服兵役的强军体制下,以色列青年男女在高中或大学毕业后,大多数都会选择在军队中接受信息技术和网络安全再教育,成为一名掌握高技术的现代化军人,经过军队的系统训练和实战锻炼,以色列青年人的整体计算机水平和网络安全技能大大领先于其他国家。这在军中则是一支为国效力的顶级网络高手,转业后既是一支创业的高级职业领军人物。Cybereason公 司 创 始 人 和 CEO Lior Div 曾在以色列8200 部 队 担 任网络安全团队的指挥官, 并因出色成绩获得荣誉勋章。以色列 8200 部队相当于美国的国安局,是以色列国防军中规模最大的独立军事单位,负责信号情报和代码破译的部门,被普遍认为是世界上最先进的网络间谍部 队。 在 8200 部队服役过的士兵,凭借他们在部队中的严格训练以及获得的一流的黑客和情报分析技能,往往能轻易地在以色列或美国硅谷的高科技公司谋到重要职位。以色列的初创公司也将拥有来自8200 部队的雇员作为向外界表明自身实力的招牌。8200 部队为以色列输出了大量包括CheckPoint、Imperva、Nice、Gilat、Waze、Trusteer 以 及 Wix 等科技公司的创始人、合伙人和技术骨干。
一流的军事专业人才为 Cybereason 公司打造了一流的产品。Cybereason 实时攻击检测与响应平台为企业带来军用级防御,提供基于军事级别的自动检测、完整的态势感知和对攻击者活动的深入理解。Cybereason 主动监测小组这个团队有几十年处理世界上最复杂攻击的第一手经验。Cybereason 可以自动检测恶意活动并以一种直观的方式呈现出来,提供攻击活动的端到端联系,并且可以轻松地以最小的组织形式进行部署,组织可以在 24-48 小时内部署并开始检测。
不难看出,Cybereason 公司的成长发展充满了以色列军方的痕迹,其技术能力和产品设计理念也充分反映了“寓军于民”的军民融合发展思路,为其在众多竞争对手中取得优势奠定了特殊的能力基础。
作者:胡绍华 , 北京东方国信科技股份有限公司军民融合事业部总经理。
(本文选自《信息安全与通信保密》2018年第八期)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
