开放安全:英特尔、思科致力推动行业安全通信与整合(上)

日期: 2015-08-06 作者:Maxim Tamarov翻译:邹铮 来源:TechTarget中国 英文

目前威胁情报环境还是一个“群岛”,虽然已经构建了一些桥梁,但大部分这些岛屿仍然保持着隔离状态。

然而,一些安全供应商正在试图构建更多桥梁,他们在推动安全生态系统概念以及将API提供给第三方供应商用于产品整合。到目前为止,这些举措只在产品之间建立了零碎的关联,在第三方供应商采取行动来实行双向共享实时数据的过程中,仍然处于早期阶段。

在2015年RSA大会中,Intel Security宣布扩展其数据交换层(DXL)安全通信架构,其中包括与Intel Security产品更深度的整合,例如McAfee Threat Intelligence Exchange(TIE)平台(其去年推出的安全信息共享控制中心)。

在2013年,思科推出了自己的安全信息共享产品:Platform Exchange Grid(pxGrid)。最近,思科扩展了其安全信息共享功能,同时增加了支持该框架的合作伙伴供应商。pxGrid包含一个API,可与思科的身份服务引擎(ISE)整合,这是验证和证明网络身份的门户网站。通过pxGrid,安全产品能够与ISE共享威胁情报。但是,在这种情况下,安全通信并不是双向的。

虽然一些较小的供应商可能会依赖并支持较大型的(例如思科和英特尔),但更成熟的供应商(特别是与他们抢占相同市场份额的卡巴斯基和赛门铁克等供应商)不太可能会加入其威胁共享。这会在安全供应商之间造成分裂,迫使终端用户最终做出选择,而这种选择会带来一定程度的供应商锁定。

FortSacle Security公司产品管理主管Guy Mordecai表示:“生态系统的意思是,从本质上讲,你让你的解决方案更加适用。”

用户行为分析公司Fortscale已经在很大程度上整合到大型供应商的生态系统中,Fortscale只是少数这样做的供应商之一。“如果你有一个生态系统,并且你有围绕该生态系统的卫星产品:首先,你将为你的客户提供更多价值,”Mordecai表示,“第二,你让转换成本变得略高一些,因为现在你有一整套产品,它们很好地运作并相互整合,否则你需要切换到另一组不一定可协同工作的产品。”

优势何在?

Intel Security公司产品管理高级主管Roger Wood将DXL称为“信息经纪人”,其中进行的消息交换会增加内容到每个产品的分析中。不同的实体和消费者可以从TIE服务器订阅不同的消息源,通过DXL接收消息。DXL作为TIE这个免疫系统的神经系统。

“这是确保DXL的开放性的作用,”Wood表示,“下一个阶段是确保我们有一个通用的声誉提供商的能力,这样你可以映射几乎任何你想要的AV产品。”

根据Wood表示,McAfee的DXL可开放给很多第三方供应商,这些供应商可以通过DXL共享信息,而不一定要通过TIE。这让DXL具有架构般的性质。

“这是一个真正的安全交换总线,”整合到DXL框架之一的网络安全公司ForeScout Technologies的主要解决方案营销经理Sandeep Kumar表示,“这里的概念是:不同的产品可以在这里与其他产品共享情报信息,让其他产品可以利用这些信息,这是供应商订阅模式。”

虽然可以使用DXL,但供应商必须成为Intel Security官方安全合作伙伴,思科的产品也是同样的要求。

思科ISE提供一个门户网站,其中会验证你访问网络的身份。例如,ISE可以确定一个人的身份、他或她用于访问该网络的设备以及该设备中的操作系统和应用。

“通过结合这些信息,我可以给你一种身份指纹,并可基于此分配政策,”思科安全访问和移动部门高级产品营销经理Dave D’Aprile表示,“然后我们开始思考,如果我们可以获取所有这些信息并共享呢,这就是pxGrid的起源。”

pxGrid获取ISE用于分配安全政策的这些信息,并与其合作伙伴供应商共享。然后这些合作伙伴供应商就可以从网络的角度提高其能力。

例如,一台打印机连接到网络,它会被标记为打印机。如果ISE看到这台打印机突然发送数百封电子邮件到公司CEO,该行为让ISE了解这个网络连接可能不是真正的打印机。ISE会提供该打印机的IP地址和名称(打印机H)以及物理位置(在二楼),然后该打印机会被隔离以避免这个问题在网络中传播。

“你可能会花五六个月试图找到企业中特定的IP地址,试图确定,‘这个东西在哪里,我一定要阻止它,我不知道它在哪里,’”D’Aprile表示,“新增信息显示:这是Dave的笔记本;他在这栋楼里面;我们可以隔离他,让他不会造成更多伤害;我们还可以收拾他或者自动重定向他到服务器,让他可以修复自己的笔记本电脑。这是通过这两种不同的解决方案你可以创建和使用的所有政策,这也是pxGrid整合如何帮助提高安全性的一个例子。”

但是合作伙伴供应商无法从ISE接收ISE从其他地方接收的信息,换句话说,这个过程不是双向的。

“pxGrid和ISE完全连接在一起。现在,你将有一个独立的合作伙伴来共享信息;ISE会分享其信息。”

“我们对未来的想法是,多个合作伙伴可以通过pxGrid共享信息,因为他们已经在pxGrid上开发,随后所有这些信息可以关联到ISE,”思科高级产品营销经理Beth Barach表示,“现在还没有完全实现,但这是pxGrid的终极理念。理想情况下,因为我们所有合作伙伴都在pxGrid开发与ISE交互,未来的目标是让他们与ISE交互以及相互交互。”

Barach称,她不会将pxGrid称为消息架构或总线。

“它更像是一个API,”Barach解释说,“在开发pxGrid之前,我们通过API进行共享功能。然后,pxGrid被开发成一个更先进的API来取代之前的API。”

思科的做法似乎对合作伙伴相互分享信息较为放任。ISE在那里,接收所有合作伙伴的信息,如果其他合作伙伴没有相互分享信息,思科并不关心。

Barach称:“请记住,他们的大部分时间和精力都用在开发他们与ISE的整合,这是第一步。”

SIEM并不够

安全信息和事件管理(SIEM)系统会从其他产品收集信息,获得环境的整体视图。如果出现恶意软件网络钓鱼攻击或可疑URL,这些数据会传递到SIEM系统。

“SIEM将这些信息整合到单个仪表板,”网络安全供应商Palo Alto Networks公司产品营销、行业和项目副总裁Scott Gainey表示,“如果我在防火墙内看到一些特定的警报,并且,我在我的终端设备和核心网络看到一些东西,我看到这些信息后,我可以推断发生了一些严重的事情,并需要进行深度调查。”

SIEM系统需要分析来确保信息被读取,并且在危险的情况下,会采取相应的行动。IT分析公司Gartner研究副总裁Anton Chuvakin非常支持SIEM,但他担心企业对这项技术不屑一顾,因为他们并没有利用得当。Chuvakin表示,SIEM的主要问题在于人们如何使用它或者更确切地说,不使用它。Chuvakin强调说,SIEM并不是让企业可以“一劳永逸”的自动运行产品,它需要安全管理人员的密切关注。

“人们希望有一个产品可以神奇地告诉他们发生了什么事,在很多情况下,这是不可能实现的目标,”Chuvakin表示,“这就像让微波炉烹制你喜欢的菜肴。你买来微波炉,它就可以马上烹饪你喜欢的菜,它怎么会知道怎么做?”

DXL和pxGrid背后的想法是,信息收集和随后的响应可以实现自动化。IT专业人员不需要筛选庞大的警报信息和误报信息。

在试图实现整合的过程中,供应商在代码行中添加代码来整合其系统。而Palo Alto公司的Gainey表示,太多添加代码会减慢网络,让其运行效率低下。

“如果你真的开始打开一些安全功能,20 Gbps会下降到5 Gbps每秒,”Gainey表示,“你会失去整个性能水平。现在,作为安全专业人员,你会与网络团队意见完全不一致,你会说,‘把那个东西关闭,因为这完全拖慢了网络’。”

而赛门铁克公司技术战略副总裁Kenneth Schneider并不认同这种产品整合会给网络带来这样的影响。赛门铁克去年推出了Synapse,这个安全通信服务旨在关联端点、电子邮件系统和网关之间的安全信息。赛门铁克称其与很多下一代防火墙(NGFW)供应商合作来解决恶意软件出现后带来的问题,以减少对网络的影响。

“对于这些类型的交互,实际并没有涉及庞大的数据量,”Schneider表示,“你可以仔细想想,NGFW会获取大量数据,但随后它会抓住恶意软件,分析它,并获取相关的信息。在我们谈论的这种整合中,实际并没有这么大的网络影响。只有分析后的信息会在网络中传输,而不是原始数据。”

ISE或TIE系统与终端、网络、云计算及其他产品结合可以实现快速响应。而SIEM系统与ISE或TIE结合不仅允许发现和警报信息,还可以发送解决方案来应对威胁。思科的D’Aprile表示,其目标是希望推动更快的修复以及减少响应时间,这是非常关键的因素。

请继续阅读开放安全:英特尔、思科致力推动行业安全通信与整合(下)》

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Maxim Tamarov
Maxim Tamarov

Maxim Tamarov是TechTarget安全网站编辑。

翻译

邹铮
邹铮

相关推荐

  • 思科2017网络安全报告:安全漏洞的实际成本及其应对措施

    据思科2017年度网络安全报告显示,在2016年遭遇过安全攻击的企业中,三分之一以上的企业损失了超过20%的重要客户、商业机会和收入……

  • CTA正式成为非盈利机构,新增两家创始成员

    网络威胁联盟 (Cyber Threat Alliance, CTA) 正式以非盈利合作实体身份对外宣布,任命Michael Daniel为该组织首任总裁。此外,联盟新增Check Point和思科两家公司作为最新联盟创始成员……

  • RSA 2016:检测和响应是未来重点

    在安全形势如此严峻的今日,安全思维亟需突破,从检测到响应,实现了安全事件的闭环。在明年的RSA会议,相信检测和响应端技术先进且落地的公司将更多涌现在国际大舞台上……

  • APT攻击防范要当心“水坑”

    大多数APT攻击并不会直接暴露真实面目,而是会很好的在用户经常访问的可信网站上或是分支机构中伪装起来,等待粗心的企业用户,这类的攻击也被叫做 “水坑攻击”……