2020年2月24日-28日，網絡安全行業盛會RSA Conference在舊金山拉開帷幕。今天，綠盟君將繼續為大家介紹入選今年RSAC創新沙盒十強的初創公司：Obsidian。

一、公司介紹

Obsidan Security公司成立于2017年，于2017年7月完成A輪950萬美元融資，現總融資額已達2950萬美元，主要由Greylock Partners、Wing和GV投資。

Obsidian公司是一家為企業提供云檢測與響應的公司，總部位于加利福尼亞州紐波特海灘。創始團隊來自于Cylance、Carbon Black和NSA，Cylance前任CTO格蘭·奇什霍爾德創立并出任CEO，Cylance前任首席數據科學家兼NSA計算機科學家馬特·沃爾福擔任CTO，Carbon Black公司前CTO兼聯合創始人以及NSA計算機科學家本·約翰遜則擔任首席數據科學家。

??

Obsidian提出了一個新的理念-CDR(Cloud Detection and Response)能為SaaS應用程序提供安全防護，并能幫助安全運營團隊檢測并響應入侵和內部威脅。旨在快速發現、調查和響應SaaS應用程序中的漏洞和內部威脅，在不影響業務的情況下實現持續的監控與分析。

二、產品介紹

1. 產品背景

在過去的十年中，SaaS和公共云服務的使用取得了巨大的增長。組織已經或正在將其業務系統(包括電子郵件，協作，HR，銷售，市場營銷和運營)遷移到云中。在2019年ESG研究調查中，三分之二(67%)的參與者報告，現在超過20%的應用程序基于SaaS，而超過58%的組織在2019年報告使用了IaaS。

??

2011-2019年使用基礎架構即服務(IaaS)的組織百分比

2. 云檢測與響應(CDR)

云檢測與響應是Obsidian提出的一個新的理念，也是當前云安全體系中缺失的一部分。

云訪問安全代理(CASB)之類的解決方案采用的是預防策略。CASB在結構上像云環境的防火墻，充當組織基礎架構與云服務之間的中介，主要是通過阻止訪問來防止數據丟失和泄露以及惡意軟件暴露。

但是，正如Gartner在自適應安全的理念中提及，預防性(Prevention)控制并不足以保護云環境免受攻擊。即使有了最好的預防性安全解決方案，攻擊者仍可以穿透或繞過防御獲取對云資產的訪問權限。在云中，安全團隊需要快速檢測(Detection)，調查并響應威脅(Response)，這就需要可視化和豐富的用戶上下文信息，以便實時的檢測和響應可疑行為。而如今，這正是SaaS和云服務所缺少的功能。

與EDR相比，云環境中的可視化問題有所不同，并且更為復雜。因為用戶針對不同應用程序有不同的權限，因此SaaS應用程序需要在平臺內進行授權管理。比如安全管理員想查看用戶可以在Salesforce中訪問的內容或他在G Suite中的操作，則管理員必須先獲取相應權限和行為日志，并了解每個服務的授權模型和行為日志格式，然后再確定根據這些信息確定是否發生可疑的攻擊事件。大量的訪問記錄和行為信息使得威脅檢測變得異常復雜，通常相關的上下文數據會產生TB級數據，這使得真正的威脅或攻擊事件空間被淹沒在大量的數據流中。

針對以前的需求，提出了云檢測和響應(CDR)解決方案，CDR通過不斷收集，規范化和分析來自SaaS和云服務的大量狀態和行為數據，為安全專業人員提供了檢測，調查和響應云中威脅所需的全面的可視化信息。

因此，CDR需要提供以下核心功能：

(1) 全局可視化

CDR需要提供一個全局可視化視圖來顯示用戶跨云服務的訪問和行為信息。這種全局可視化視圖融合了狀態和用戶行為數據，并集成了威脅情報和相關上下文信息(位置、設備、瀏覽器等)。基于這種可視化視圖，安全團隊可以有效的實現不同階段的威脅檢測，并快速實現事件調查和響應。

(2) 自動檢測

CDR所要分析的數據通常比較大，因此，當前云環境的問題是威脅或是攻擊行為通常會被淹沒在大量的數據與告警中。因此，CDR利用機器學習和規則分析可以幫助SOC從大量的噪聲數據中提取有價值的信息。

(3) 威脅預測

CDR除了具有對已經威脅和攻擊的檢測能力外，還可以預測云環境中下一步可能發生的異常或威脅行為。這可使安全管理者能提前針對要發生的威脅行為做預防。

3. Obsidian平臺

Obsidian云檢測和響應為SaaS提供了無縫的安全性。利用一種獨特的以身份為中心的方法和機器學習，阻止云中的高級攻擊。平臺能為SaaS應用程序提供安全防護，并能幫助安全運營團隊檢測并響應入侵和內部威脅。旨在快速發現、調查和響應SaaS應用程序中的漏洞和內部威脅，在不影響業務的情況下實現持續的監控與分析。

Obsidian是通過API集成作為SaaS服務的，由于不需要部署任何東西，解決方案可以在幾分鐘內啟動，在幾小時內就可以產生結果。

Obsidian自動的收集并標準化云應用的相關數據，并基于威脅情報和上下文來豐富這些數據。Obsidian會基于機器學習和規則針對違規和內網威脅行為生成告警，并不斷的從個人和群體行為模式中學習如何來訪問數據資產。

基于用戶權限和行為的統一視圖，Obsidian平臺可以實現事件響應、調查和威脅狩獵。平臺會建議通過刪除過期的賬號和修復錯誤配置從而增強云安全應用的安全性。

??

Obsidian平臺功能

(1) 可見性

Obsidian首次提出云中的用戶、數據和應用程序的統一視圖，并可以持續監視用戶和服務帳戶的行為，對威脅和衛生問題發出告警。可見性主要的功能如下：

• 每個服務的訪問權限和特權清單
• 特權用戶活動
• 跨SaaS應用程序的活動監視
• 可通過API下載的規范化數據模型

(2) 告警

根據基于規則的觸發器和機器學習，可以獲得關于違規、危險行為和策略違規的警告。Obsidian平臺可以發現SaaS持久性、OAuth令牌濫用和其他相關異常信息。該功能模塊包括：

• 內置規則實現對策略沖突和異常行為發出警報的內置規則
• 利用機器學習實現異常行為檢測
• 優先處理警報，以減少超負荷的安全團隊的警報疲勞
• 與SOAR和服務管理的可集成性

??

3. 報告

可以根據不同角色，獲得關于應用程序使用、新出現的威脅和風險行為的獨特見解的報告。因此，平臺具有如下功能：

• 根據組織中不同角色的需要定制報告和儀表板
• 根據需求導出不同格式的數據

4. 響應行為

平臺基于用戶和其行業的統一視圖，實現快速有效的異常檢測和內部威脅識別，并通過追蹤賬號共享和文件上傳與訪問的歷史行為來識別用戶的橫向移動。并能通過平臺內置功能，阻斷數據泄露和禁止賬戶濫用。因此，平臺需要如下功能：

• 基于時間關聯用戶行為和其上下文信息實現異常檢測和威脅識別;
• 提供推薦行為以指導處置。

??

案例：

(1) 賬號保護

a) 保護SaaS帳戶不被破壞和濫用

云環境下的關鍵是如何在不影響合法用戶體驗的情況下保證云資產的安全。通過全局可見性，Obsidian可以展示哪些用戶可以訪問SaaS應用程序，以及訪問的級別。平臺還可以持續監控用戶在這些應用程序中做了什么，并刪除不活躍的帳戶，以縮小攻擊面和降低成本。

??

上圖可以看到每個服務上誰擁有什么特權，它們是否處于活動狀態，以及它們如何使用這些特權。

b) 訪問特權帳戶的目錄

獲取每個服務中具有特權的帳戶清單。

??

c) 活躍賬戶與非活躍賬號

Obsidian能通過服務獲得活動帳戶和非活動帳戶的粗略視圖，其中包含活動情況的歷史變化。并且基于這些賬戶的活動信息，清理不活躍的帳戶，以改善身份日常清理和降低成本。

??

d) 具有多種特權角色的用戶

一個用戶具有多種特權，可能會對組織構成更高的風險。

??

e) 不活動帳戶的陳舊用戶監控

Obsidian可能監控賬戶的活躍情況，以便查用戶是否已切換角色或離開公司。

??

(2) 威脅狩獵

a) 糾正違規和威脅識別

SaaS環境中的威脅檢測非常困難，SaaS應用程序本質上是多云環境。Salesforce、G Suite、Slack和其他應用程序都有獨特的身份和訪問模式，并將有關權限和活動的信息保存在silos中。Obsidian提供了威脅檢測、違約修復和安全加固的統一可視化,可以快速檢測異常登錄、SaaS持久性、數據過濾、橫向移動、OAuth令牌濫用和其他威脅的指標，并迅速糾正違規、識別威脅。

??

b) 警告

Obsidian在不需要進行任何配置的情況下，能夠獲得各種威脅的告警。Obidian的告警涵蓋了眾所周知的惡意攻擊，并實現了告警嚴重度排序。

??

c) 位置記錄

Obsidian可以監視用戶從何處登錄。檢測異常登錄和活動跡象等。

??

d) 威脅狩獵的活動視圖

Obsidian通過位置、事件類型、ISP、設備、特權、訪問歷史等方面的特權、活動和上下文的統一視圖，積極主動地檢測SaaS環境中的未知威脅。

??

(3) 事件響應

a) 基于全局可視化的快速響應

事故響應小組能在不影響系統運行的情況進行檢測，識別根因并快速評估影響。Obsidian通過收集、規范化和存儲來自SaaS應用程序的大量狀態和活動數據，從而實現快速的云事件響應。

??

通過使用關于用戶、特權和活動的統一數據，Obsidian能有效地進行信息檢索工作。平臺將用戶、訪問和特權與活動聯系起來，并通過位置、事件類型、IP地址和設備豐富了這一功能。

b) 通過IP搜索

搜索已知的惡意IP和感興趣的IP地址，以查找與該地址相關的其他活動。

??

c) 根據用戶或文檔搜索活動日志

搜索與特定用戶相關的所有活動，或在相關文檔或資產上執行的所有活動。

??

三、創新點和挑戰

云訪問安全代理(CASB)之類的解決方案來采用預防策略，但并不足以保護云環境免受攻擊。即使有了最好的預防性安全解決方案，攻擊者仍可以穿透或繞過防御獲取對云資產的訪問權限。云檢測與響應是Obsidian提出的一個新的理念，將xDR的理念應用在云端，云安全團隊需要快速檢測，調查并響應威脅。這就需要可視化和豐富的用戶上下文信息，以便實時的檢測和響應可疑行為。而如今，這正是SaaS和云服務所缺少的功能。云檢測和響應(CDR)解決方案通過不斷收集，規范化和分析來自SaaS和云服務的大量狀態和行為數據，為安全專業人員提供了檢測，調查和響應云中威脅所需的全面的可視化信息。Obsidian的創新，主要包括云環境的可見性、自動化檢測和安全風險監控，都是SaaS的核心需求，解決了云安全的痛點。

當然也需要看到其商業化有很大的挑戰，xDR產品的成功應用需要用戶安全團隊有較高的安全運營能力，否則無法發揮其應有的作用。如果上云的企業(特別是中小企業)沒有相關的運營能力，那應該要考慮支持云端應用的MDR服務，例如去年RSA會場外，Google組織的生態圈會展中有一家BlueVoyant公司，能夠提供面向公有云的MDR服務，通過絕大部分能夠自動化的Tier 1服務和基于數據科學的Tier 2后臺服務，可以為大量的云客戶提供可擴展的安全運營服務。

?[[316012]]?

四、總結

Obsidian的創始人來自Cylance和Carbon Black，分別有云端零信任和終端EDR的成功經驗，相信能夠將該產品能夠理解云端SaaS應用的真實風險，基于檢測和響應技術解決客戶上云的痛點，也許CDR會是“后CASB”的新型產品，幫助客戶及時發現并緩解威脅。

· 參考鏈接 ·

[1] CLOUD DETECTION AND RESPONSE IS THE MISSING ELEMENT OF CLOUD SECURITY，

??https://www.obsidiansecurity.com/cloud-detection-and-response-missing-element/??

[2] Obsidian官方網站，https://www.obsidiansecurity.com/