RSAC 2015 创新沙盒产品技术分析 毕学尧 2015年6月 RSAC 2015 概览 大会主题 Change ——Challenges 参展厂商 500+ 专题报告 100+ 专题论坛 23 today's security thinking. 参加人员 30000+ Keynote 15 产业报告 50 分析与取证、应用安全与DevOps、工控安全、数据安全与隐私、 身份安全、高级威胁、黑客技术、移动安全、 云安全与虚拟化、加密、治理/风险/合规、法律等专题 IT变革 数据中心 云数据中心 传统网络 SDN、无线 固定办公 物联网、工控互联网 移动办公 安全变革 独立 共享合作 硬件 软件与服务 网络安全 应用与数据安全 RSA创新沙盒10年回顾 RSA2015创新沙盒入围名单 创新沙盒入围企业分布 创新Sandbox厂商领域 大数据安全分析 终端安全 众测平台 工控安全 身份认证 源代码审计 应用安全 冠军：Waratek Waratek技术路线 • 技术路线 – RASP：Runtime Application Self Protection，运行 时应用自我防护 • 工作原理 Waratek Secure Container Waratek技术路线 • 基于预定义的规则实现虚拟补丁、0day 攻击检测、攻击可视化和取证等功能 • SQL注入检测举例 亚军：Ticto Titco技术路线 • 基于群体识别的可视化身份认证 成员完成 身份认证 群组内成 员图像相 同且定期 变化 群组内相 互确认， 发现身份 仿冒用户 VECTRA：机器学习+流量分析 VECTRA技术路线 数据源 分析方法 亮点 • 自身流量 传感器产 生的元数 据，比 Netflow内 容丰富 • 基于机器 学习的异 常检测、 可视化分 析 • 不直接判 断报警有 效性，基 于可信度威胁度对 报警进行 二维量化 FortScale：机器学习+日志分析 FortScale技术路线 数据源 分析方法 亮点 • 操作系统日 志 • 各类应用软 件日志 • 专注于检测 来源于内部 的攻击 • 为每个用户 建立一个完 备的、动态 更新的行为 模型 • 基于个体和 群组的双重 异常判断准 则 Securitydo：快速检索工具 Securitydo技术路线 数据源 分析方法 亮点 • 以Syslog方 式接收各类 设备报警 • 可选的通过 自身引擎采 集网络流元 数据 • 对数据进行 全索引，实 现多源异构 数据关联 • 本身不提供 安全分析能 力 • 极佳的查询 分析性能： TB级数据， 秒级响应时 间 Cybereason：终端采集+大数据分析 Cybereason技术路线 数据源 分析方法 亮点 • 终端行为数 据，包括进程 信息、内存数 据、网络连接 行为数据等 • 终端代理仅负 责采集数据 • 大数据平台进 行实时关联分 析和异常行为 挖掘 • 自动关联与一 次攻击相关的 数据，降低对 分析人员的能 力要求