【51CTO.com快譯】本次參加2018年RSA大會的各大安全廠商都分別加大了對于基于檢測與響應方面相關模擬和智能產品的投資力度。他們致力于通過自動化、流程編排、人工智能和機器學習的組合，來改進其集中化的管理平臺。通過與其他各個供應商及合作伙伴的協作，憑借深入分析所發揮的關鍵作用，他們能夠幫助最終客戶更好地解讀所獲取得的全部數據。

為了更好地了解各類威脅的運作機制，以及組織如何才能最有效地應對這些威脅，讓我們一起來看看如下十家主要廠商的產品特點。 

1.IBM安全彈性事件響應平臺（Security Resilient Incident Response Platform）

IBM的安全彈性事件響應平臺整合了事件案例的管理、編排、自動化、智能化、以及合作伙伴之間的雙向集成。該平臺極大地提升了事件響應的速度。

其彈性特性表現在：允許安全分析師們對數百個耗時、重復且復雜的響應操作進行編排和自動化管理，而這些重要的操作在以前都是需要人工在其安全操作中心的工具上進行干預的。新的平臺還為分析師們提供了開箱即用的集成工具，和新穎的“拖曳式”業務流程與工作流管理引擎。

無需深入了解相關技術和實施的背景，分析師可以通過該平臺實現對現有整合方式的修改和重用。籍此，組織可以提高其響應流程的速度和靈活性，并能快速地實現在安全方面的投資價值。 

[[227752]]

2.賽門鐵克定向攻擊分析（Targeted Attack Analytics）

為了更容易地發現各種定向攻擊，賽門鐵克首次允許客戶去訪問其內部研究團隊所使用的威脅檢測技術。 

該公司表示，定向攻擊分析能夠查看單個企業里的所有機器，比對從各個端點收集到的數據，以驗證網絡內是否存在主動攻擊的行為。他們認為：該技術能夠檢測到那些傳統安全產品所無法掌控的、更高級的攻擊行為。

除了能夠在所有設備上進行整體分析，以構建出更為具體的安全態勢，賽門鐵克還表示，定向攻擊分析能夠比較確定地向用戶發出事件的警報信息，而非簡單地指出事件發生的可能性。 

3.CrowdStrike Falcon X

CrowdStrike Falcon X可以自動進行威脅分析，為各類大、中、小型組織提供定制化的情報，以及實現安全運營中心的自動化。

通過將惡意軟件沙箱、惡意軟件搜索和威脅情報三者整合到一個集成化的產品之中，Falcon X將端點保護提升到了一個新的水平。它可以在幾秒鐘內（而不是過去的幾小時甚至幾天）完成全面的威脅分析。該產品能為組織提供正在遭受到的各種威脅、及其所有已知變體的真實狀況。

Falcon X能夠通過其各種API，立即將這些威脅的狀態分享給其他諸如防火墻、網關和安全編排等工具。該產品還能提供集成化的威脅情報和安全警報，從而加速了對于事件的研究、簡化了調查的過程、并能推進更好的安全響應效果。 

4.Fortinet NOC-SOC

Fortinet推出了其專門構建的網絡+安全運營中心（Network Operations Center-Security Operations Center），為運營和安全流程提供了跨越工作流的、具有分析能力的自動化響應“橋梁”。這種管理方法能夠通過新穎的圖形化拓撲視圖，去增強安全操作的可視性，同時它也能夠被擴展到私有云和公有云的環境中。

Fortinet的集中式安全管理如今可以實現對FortiAnalyzer的本地管理，并且將所有的數據、分析、控制和結論融匯到NOC-SOC的單一視圖窗口中進行操作。Fortinet表示：NOC-SOC的集成操作和安全視圖能夠使得安全團隊更快速、更高效地執行他們的任務。

與此同時，Fortinet還通過其安全評級功能不斷地對多種元素進行評估，以量化安全實施的最佳實踐，并提出改進NOC-SOC運營的各種方法。 

5.FireMon全局策略控制器（Global Policy Controller）

FireMon的全局策略控制器是一款單控制臺的產品，它允許用戶進行策略定義、監控和編排全局性的安全架構。該產品能夠在數秒內為傳統的和虛擬化的平臺提供高效、合規的安全配置，可視化的網絡狀態管理，以及持續的安全控制。

該產品使得應用程序的所有者和業務線的領導們能夠直接定義和管理他們的訪問意圖，同時允許安全團隊執行各種為管理所創建的訪問模板。該運營模式支持企業通過一致性的自動化和DevOps實踐，向云原生（cloud-native）和容器優先的環境進行過渡。  

FireMon全局策略控制器通過其策略計算引擎（Policy Compute Engine）消除了在策略合規性上的偏差。該引擎能夠提供動態的策略變更、嵌入式的安全、意圖解釋和自動分發。 

6.Sophos 網絡釣魚威脅（Phish Threat）

Sophos已將其針對網絡釣魚攻擊的模擬與培訓服務擴展到歐洲和亞洲。該Phish Threat通過增強的儀表板和新穎的分析，簡化了員工的意識培訓環節，并實現了對于組織風險和員工績效的跟蹤。

通過定制選擇位于愛爾蘭、德國或美國主機，那些全球化的組織如今可以在Sophos的中央管理平臺上訪問到多種語言的、交互式的安全培訓內容。

Sophos聲稱：Phish Threat能夠自動化整個培訓流程，并提供針對員工弱點的可視化分析。它運用一個控制臺來綜合管理電子郵件、端點和網絡安全，以改善風險管理和事件響應的能力。 

7.Micro Focus ArcSight ESM 7.0

ArcSight企業安全管理器（Enterprise Security Manager，ESM）7.0通過實時的威脅情報對安全威脅和違規行為進行優先級排序，從而快速地識別并阻止潛在的各種網絡攻擊。該產品可通過大規模地收集、關聯和報告安全事件信息，來幫助企業滿足各種苛刻的安全要求。

Micro Focus表示：它們能夠提供一種新穎的方式，使用分布式關聯來擴展對SIEM的分析和事件關聯，而且無需承擔任何額外的成本。通過洞悉到更多與事件上下文有關的分析，客戶可以更加專注于其業務的擴展。

另外，ArcSight ESM 7.0具有高可用性和冗余能力。它在成本和性能上的靈活性，有助于從現有的安全工具和事件中挖掘更多有價值的信息。 

8.Infocyte Hunt 3.0

針對企業在云端和機房內部所有資產上所存在的威脅和漏洞，Infocyte Hunt 3.0使用了美國軍方和頂級網絡安全廠商所提供的高級威脅搜索功能。它通過一個自動化平臺，降低了捕獲惡意軟件和高級持續性威脅（APT）的難度。同時它也大幅縮短從系統被感染到被發現攻擊，進而阻止持續被惡意利用的時間。

用戶能夠以訂閱服務的方式購買Infocyte的反惡意軟件與威脅的專業服務。他們還將持續收到月度報告和表征組織相對安全態勢的風險評分。 

9.ThreatQuotient ThreatQ Investigations     

ThreatQ Investigations通過對威脅的解讀、協作型的分析和協調式的響應，來促進企業的安全運營。該產品允許在共享的環境中展開可視化的實時調查，以使團隊能夠更好地對威脅進行預判。

ThreatQ Investigations通過統一的視圖提供了企業完整的安全狀況，其中包括誰在何時采取了何種行動等。該產品還允許個人在預先測試了自己的方案之后，再分享給整個團隊。  

企業的技術分析人員和決策者都能從ThreatQ Investigations的結果中受益。各類事件的響應處理人員、惡意軟件的研究人員、SOC分析師和調查主管都將籍此獲得更多的控制權。他們不但能在正確的時間采取正確的行動，還能促進企業的整體安全運營。 

10.數字威脅防護簡易方案（Easy Solutions Digital Threat Protection）

如今，數字威脅防護簡易方案套件能夠為攻擊受害者提供基于情報的內容上下文，并能洞察到被盜用的各種信任憑證。這使得金融機構能夠更多地了解那些針對本組織的網絡威脅，并能使用那些對于后續攻擊具有防御性的數據去“武裝”交易數據。 

新的“受害者洞察（victim insight）”功能意味著：組織可以籍此確定訪問了危險網站的最終用戶數量、點擊了惡意網址、以及披露了個人信息和信任憑證等方面的數量。

同時，檢測監控服務將機器學習算法與計算機視覺（computer vision）功能相結合，以破壞和阻止各種攻擊。它的功能還包括：對于流氓移動APP的防護、大量的報告服務、和內置于客戶端的數據源整合功能。

原文標題：RSA 2018: 10 Hot New Security Orchestration, Threat Detection, And Incident Response Products，作者：Michael Novinson

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】