徐老師@RSA最前線

打開第四天的話匣子

RSA大會(huì)今天進(jìn)入尾聲，徐老師決定要好好逛逛展臺(tái)，尤其會(huì)以參觀2022年Gartner EPP魔力象限的上榜廠商的展臺(tái)為主，近距離聆聽這些國際廠商對(duì)于端點(diǎn)安全和XDR的最新見解。

在去展臺(tái)前，徐老師做了些功課，將參展廠商名稱、在EPP 2023魔力象限的位置已經(jīng)RSAC提供的贊助身份做了映射。徐老師希望通過展臺(tái)造型觀察、現(xiàn)場(chǎng)Booth講解和廠商技術(shù)人員交流幾個(gè)角度對(duì)各大廠商的現(xiàn)場(chǎng)表現(xiàn)進(jìn)行報(bào)道。

CrowdStrike

2019年IPO后成為端點(diǎn)安全霸主，其Falcon獵鷹平臺(tái)屬于XDR SaaS平臺(tái)，走的是Open XDR的路線，自行擁有的模塊包括端點(diǎn)安全、云安全、身份安全等，其余XDR組件通過API接口與業(yè)界知名的安全廠商合作，例如郵件MailDR、NDR等，本次展會(huì)CrowdStrike在大力宣傳推廣云安全模塊。

Microsoft

微軟在2019年進(jìn)入Gartner魔力象限的領(lǐng)導(dǎo)者象限，其EDR和云安全能力業(yè)界領(lǐng)先，并且能夠跟Office 365綁定銷售，端點(diǎn)安全市場(chǎng)占有率甚至高于CrowdStrike，微軟宣稱其Sentinel平臺(tái)是SIEM+XDR的混合平臺(tái)。

SentinelOne

SentinelOne在2022年的EPP魔力象限中排名從第四上升至第三名，今年的RSA大會(huì)上投入巨大來進(jìn)行宣傳，展臺(tái)引導(dǎo)區(qū)放置了一輛F1賽車，極具人氣。其展臺(tái)造型和亮紫色調(diào)科技感十足。SentinelOne的XDR平臺(tái)叫Singularity，包括了端點(diǎn)安全、云安全、身份安全等，走的也是Open XDR的路線，并且同AT&T等頗具實(shí)力的MDR服務(wù)商展開合作。本次展會(huì)SentinelOne在大力宣傳身份安全I(xiàn)TDR的重要性，并且強(qiáng)調(diào)其Deception欺騙技術(shù)，是其與CrowdStrike等其他端點(diǎn)安全大廠差異性的優(yōu)勢(shì)所在。

SentinelOne安排的Booth現(xiàn)場(chǎng)講解是屬于連場(chǎng)的，聽有顏值的市場(chǎng)小姐姐講解Singularity XDR平臺(tái)的架構(gòu)，徐老師給SentinelOne點(diǎn)了大大的贊！

SentinelOne本次展會(huì)上力推身份安全，由三個(gè)部件組成身份安全模塊：

• Ranger AD是為AD域控做加固的；

• ITDR（Identity Threat Detection & Response）實(shí)現(xiàn)比EDR、AV、XDR更為提前的身份攻擊檢測(cè)響應(yīng)；

• Hologram是來做身份欺騙和誤導(dǎo)的。

徐老師現(xiàn)場(chǎng)跟SentinelOne的技術(shù)小哥做了互動(dòng)交流，了解到SentinelOne的HoloGram可以軟件部署，但是沒能看到實(shí)際的demo效果，甚是可惜！

總體評(píng)價(jià)，SentinelOne的展臺(tái)在徐老師心目中是本次RSA大會(huì)最出色的，沒有之一，不論是人氣、科技感、互動(dòng)內(nèi)容，尤其是抽獎(jiǎng)獎(jiǎng)品和小禮品發(fā)放部分，把CrowdStrike、Cisco之流甩了幾條街。

Cybereason

Cybereason是一家以色列的端點(diǎn)安全公司，在2022年EPP魔力象限中首次沖入領(lǐng)導(dǎo)者象限，排名第四，由于軟銀日本為Cybereason投資成立了Cybereason Japan，因此在日本市場(chǎng)表現(xiàn)出色。Cybereason的XDR平臺(tái)名稱叫Defense，在宣傳中主打的是勒索防護(hù)能力。

Cybereason的品牌logo是一頭科技感十足的貓頭鷹，令人印象深刻。

昨天徐老師還去參加了Cybereasond的主題演講，題目為“勒索軟件團(tuán)伙當(dāng)下如何躲避檢測(cè)，他們未來可能怎么做”。演講人首先對(duì)Cybereason追蹤的勒索專業(yè)團(tuán)伙進(jìn)行了畫像分析，然后對(duì)一起勒索攻擊過程進(jìn)行了深入講解，徐老師也是印象深刻。

Cisco

Cisco在2022年EPP魔力象限中處于Visionary象限，Cisco的XDR平臺(tái)名稱是SecureX，包含了端點(diǎn)安全、網(wǎng)絡(luò)安全和身份安全等模塊，在展會(huì)上Cisco在宣傳其針對(duì)O365防欺詐攻擊的能力，其余能力還需要進(jìn)一步研究。

PaloAlto Networks

PaloAlto Networks是NGFW的領(lǐng)導(dǎo)者，通過歷史上的4次收購組合成EDR和XDR的解決方案，其EDR和XDR能力有待驗(yàn)證，不過其NFGW的市場(chǎng)帶貨能力毋庸置疑。

• 2014年收購以色列網(wǎng)絡(luò)安全公司Cyvera，構(gòu)建具備機(jī)器學(xué)習(xí)能力的防病毒產(chǎn)品；

• 2017年3月收購LightCyber，構(gòu)建具備EDR能力的端點(diǎn)安全產(chǎn)品；

• 收購Secdo，構(gòu)建具備XDR檢測(cè)響應(yīng)能力的XDR平臺(tái)；

• 2019年11月以5.6億美元收購Demisto，構(gòu)建具備自動(dòng)編排能力的XDR SOAR平臺(tái)。

VMware

VMware通過收購CarbonBlack來構(gòu)建自己的端點(diǎn)安全能力，遙想2018年徐老師首次參加RSA大會(huì)時(shí)，感覺CarbonBlack和CrowdStrike是一個(gè)級(jí)別的EDR公司，但是被收購后就泯然于VMware的海洋里了，徐老師記得到VMware官網(wǎng)上查詢EDR的產(chǎn)品頁面要點(diǎn)多次才能到達(dá)，其在VMware產(chǎn)品戰(zhàn)略中的地位可見一斑。

Fortinet

Fortinet是UTM的領(lǐng)導(dǎo)者，跟PaloAlto類似都缺乏端點(diǎn)安全的基因，雖然可以構(gòu)建XDR的整體解決方案，但在XDR體系中的核心并非EDR，相比于靠端點(diǎn)安全EDR起家的CrowdStrike、SentinelOne、Cybereason等廠商，F(xiàn)ortinet在端點(diǎn)安全側(cè)的能力還需進(jìn)一步提升。

Trellix

徐老師到Trellix展臺(tái)聆聽的booth的現(xiàn)場(chǎng)講解，Trellix在強(qiáng)調(diào)其EDR和XDR的能力。

徐老師跟Trellix的技術(shù)專家現(xiàn)場(chǎng)做了互動(dòng)交流，徐老師講的是中國口音英語，接待徐老師的技術(shù)人員講的是印度口音英語，雙方表示在技術(shù)交流方面毫無障礙。這位技術(shù)人員為徐老師demo了如何通過Trellix的EDR來自動(dòng)化阻斷勒索病毒，并且通過快照備份和還原。相談甚歡之際，徐老師還詢問了從Trellix內(nèi)部如何看待McAfee和FireEye的合并，從技術(shù)人員答復(fù)來看是積極的，即McAfee強(qiáng)在端點(diǎn)的AV和EDR能力，F(xiàn)ireEye強(qiáng)在咨詢和合規(guī)，雙方能力是互補(bǔ)的，預(yù)祝Trellix作為新的端點(diǎn)安全和XDR安全品牌能夠越來越好。

Bitdefender

BitDefender是防病毒時(shí)代的強(qiáng)者，已推出GravityZone XDR的解決方案，亮點(diǎn)是引入了郵件安全作為XDR的組件，同時(shí)也支持基于AD域控的身份安全，對(duì)于依賴釣魚郵件為主要前置的勒索攻擊，有較好的防護(hù)場(chǎng)景能力。

Deep Instinct

Deep Instinct是一家以色列的網(wǎng)絡(luò)安全企業(yè)，現(xiàn)場(chǎng)booth講解中小姐姐強(qiáng)調(diào)了深度機(jī)器學(xué)習(xí)，對(duì)高于99%的未知威脅能夠?qū)崿F(xiàn)自動(dòng)防御，具體是否如此，還需要市場(chǎng)的進(jìn)一步檢驗(yàn)。

ESET

ESET是上一個(gè)防病毒時(shí)代的強(qiáng)者，但是在EDR大行其道的時(shí)代掉隊(duì)了，目前在Garner象限中的技術(shù)處于墊底狀態(tài)，徐老師到ESET展臺(tái)上跟接待人員做了簡(jiǎn)單交流，ESET還在強(qiáng)調(diào)其防病毒能力，感覺再這樣下去的話，靠吃防病毒時(shí)代的老本是很難在EDR/XDR時(shí)代存活下來的。

expel

expel在Forrester的MDR廠商評(píng)估中處于絕對(duì)領(lǐng)先地位，徐老師現(xiàn)場(chǎng)跟expel的人員進(jìn)行了互動(dòng)交流，了解到expel在去年是第一次參加RSA大會(huì)。徐老師跟其技術(shù)主管人員交流了EDR和NDR作為XDR組件的高誤報(bào)率問題，以及如何通過降噪和XDR內(nèi)部規(guī)則編寫來實(shí)現(xiàn)7*24托管服務(wù)可運(yùn)營的目標(biāo)。

徐老師跟expel的技術(shù)經(jīng)理交流得很開心，雙方合影留念，祝愿expel在MDR的服務(wù)賽道上一直領(lǐng)先下去。

Binary Defense

Binary Defense是一家提供XDR托管運(yùn)營服務(wù)的公司，徐老師現(xiàn)場(chǎng)跟Kevin進(jìn)行了深度交流，就如何降低EDR誤報(bào)率，通過XDR檢測(cè)規(guī)則檢測(cè)真實(shí)威脅，以及從MDR服務(wù)商角度如何看待XDR與SIEM的區(qū)別進(jìn)行了深度交流，雙方相見恨晚，最后合影留念。

徐老師在逛展臺(tái)時(shí)偶遇了這位有著猛虎背景圖的參展廠商小伙兒，當(dāng)他聽說我來自中國時(shí)，介紹說他在新冠疫情發(fā)生前在中國的西安工作了3年，非常懷念肉夾饃、涼皮和biangbiang面這些美食，而且小伙兒是用中文說的喔，一下子就拉近了雙方的距離，合影留念！疫情結(jié)束，預(yù)祝小伙兒能再來中國品嘗美食:)

在這家號(hào)稱“Protect JaveScript”的安全廠商展臺(tái)，徐老師偶遇了美女小姐姐一枚，當(dāng)她聽說我來自China后，馬上自行切換至中文頻道跟我聊起來，原來她在就讀Master Degree時(shí)是在天津的南開大學(xué)，在中國待了5年，雖然徐老師不懂如何保護(hù)JavaScript，但并不影響我和小姐姐合影留念的心情:)