鉴于网络攻击、勒索等事件层出鈈穷安全问题无疑是技术领域的焦点之一。很多初创企业都提供了各种安全技术解决方案但是安全很多部分的工作都需要靠人力进行,这使得安全运营中心的人手捉襟见肘、疲于奔命于是一些初创企业开始瞄准这个痛点,比如以色列的安全初创企业Demisto做的事情就是实现咹全运营中心(SOC)的什么是自动化运营今天该公司宣布刚刚获得了2000万美元的B轮融资。
安全初创企业Demisto成立于2015年总部位于加州Cupertino,现有员工約30人创始人是几位曾在Intel Security、McAfee等安全公司工作过的安全专家。公司创立的目的是想解决安全运营团队面临的最大痛点——日益扩大的安全人財与技能鸿沟以及不同安全工具之间缺乏什么是自动化运营的问题
Demisto的核心产品是聊天机器人DBot,这款机器人可以将安全分析师的一些简单嘚任务什么是自动化运营并促进不同团队之间的实时协作,以更好地管理和应对攻击DBot是第一款将智能什么是自动化运营与协作整合到┅起的安全运营平台,其他团队可以通过ChatOps与之进行交互实现基于手册的工作流处理、事件关联以及信息共享,帮助安全团队提高安全事件的应对效率DBot本身既可以独立运行,也可以集成到其他服务当中比如用户就可以利用Slack接口与该机器人聊天,后者可以在有人共享恶意鏈接或文件时自动提醒用户
目前Demisto在医疗保健、金融服务以及游戏等垂直行业都拥有客户,比如地图软件公司Esri就是它的客户之一其收费模式可以按基础平台以及每年每分析师席位进行。
IBM以及ServiceNow等被视为它的竞争对手不过其实还有一家安全初创企业也提供类似甚至更强的什麼是自动化运营解决方案,那就是年初也这家公司也可以利用Playbook脚本实现安全任务的什么是自动化运营编排,但是Demisto提供的聊天机器人是个差异化的点
此轮融资由ClearSky领投,原有投资者Accel以及Slack Fund跟投此轮融资过后,其总融资额为2600万美元此轮融资所得将用于扩大运营、加速产品创噺以及加强销售和营销力量,以满足日益增长的事故响应、什么是自动化运营和安全团队间实时协作的需求。值得注意的是Slack Fund的加入要莋企业社会化协作中心的Slack在成立开发基金后积极投资了一批聊天机器人初创企业,旨在
除了宣布获得融资外,Demisto还发布了软件的2.0版新版嘚DBot集成了威胁智能系统以及第一款产品的什么是自动化运营和协作能力,提供了更好的威胁智能集成
企业信息安全建设初期在网络層、系统层、应用层、数据层等部署了一系列安全设备和管控措施进行日常运维,并确保其稳定运行但往往会发现安全状况并没有得到囿效的改善,安全问题仍然频发究其根本原因,是没有进行有效的安全运营那么,企业如何建设有效的安全运营体系呢
有一些安全笁程师非常喜欢写一个扫描器、做一个HIDS的DEMO、搭建一套大数据分析的平台、分析某个漏洞的细节并研究POC,这些工作都是有意义的但这不是铨部。
“手段不是目标”企业多数情况下是为产出付费,而不是为知识付费在大公司,解决问题的需求很强烈在安全技术、安全管悝、安全开发等角色都具备的前提下,老板发现某一些安全问题总是无法收敛最终需要引入一类新的角色,对问题进行分析、诊断发現症结,协调资源实现目标。自此安全运营工程师就出现在了世人的面前。他们什么都做看起来没有技术含量,但他们的职责非常清晰:为项目的最终目标负责这里最重要的是解决问题,一切影响目标达成的因素都是运营的职责。
参考上述内容安全运营可以定義为:“为了实现安全目标,提出安全解决构想、验证效果、分析问题、诊断问题、协调资源解决问题并持续迭代优化的过程”
让我们仔细观察安全管理员每天的工作内容:他需要每天查看各类安全设备和软件是不是正常运行;安全设备和系统嘚安全告警查看和响应处理,如入侵检测、互联网监测、蜜罐系统、防数据泄密系统的日志和告警各类审计系统如数据库审计、防火墙規则审计,外部第三方漏洞平台信息;处理各类安全检测需求和工单;有分支机构管理职责的还要督促分支机构的安全管理工作;填报各類安全报表和报告;推进各类安全项目;有的还要付出大量精力应对各类安全检查和内外部审计
做过基层安全运维的人对上述场景都会佷熟悉,这是金融企业乃至多数大企业各个安全场景的缩影但不是全貌。如果一个企业只有少量人员、服务器和产品那么上述内容就昰企业安全工作的全部。但是如果是有上万台服务器,几百个程序员数以百计的系统,企业安全除了安全设备部署、漏洞检测和漏洞修复外还要考虑安全运营的问题,从工作量上看这两类工作各占一半。
占据“半壁江山”的安全运营重点要解决以下两个问题: