检测和停止旨在窃取敏感信息的隐形恶意软件意味着快速移动。启动Netcitadel希望将其新的威胁管理平台与现在的许多其他玩家一起放在安全响应游戏的中间 - 沙箱,防火墙和公司可能会使用的其他技术来提供一种编排和决策点。
Netcitadel设备旨在成为安全脑力,以决定沙箱产品(例如FireEye)做出决定,例如在安全地“爆炸”文件以检查可能的恶意活动之后,检测到零日攻击,这不一定是签名-基于。预计将在下个月发货的Netcitadel设备的第一个版本也被认为具有一种按需,即时的取证能力来收集基于宿主的感染数据。
但是,这一初创企业的雄心勃勃的努力能否吸引企业客户的注意安全初创企业吹牛他们的商品?
总部位于加利福尼亚的律师事务所Fenwick&West信息技术总监Kevin Moore正在踢Netcitadel Gear的轮胎。He’s been running a beta test of the Threat Management Platform for about two months, mainly to find out how an alert from the FireEye detection product he uses to check incoming files can be sent along to NetCitadel, which in turn can instruct the law firm’s firewall’s Cisco and Palo Alto Networks to take appropriate action. NetCitadel is really a kind of “workflow you have to design,” says Moore. “You have to set up the rules.”
因为检测想要窃取敏感数据的高级恶意软件可能会有时间滞后,因此感染点可能试图将其连接回某个地方的命令和控制服务器。Netcitadel可以指示思科和帕洛阿尔托防火墙阻止该连接和IP地址。由于律师事务所没有大型信息安全人员,因此自动化具有特别的吸引力。摩尔说,Netcitadel可以赢得一席之地,因为它将充当“编排者”。
一个问题是Netcitadel是否会碰到安全信息和事件管理(SIEM)产品的角色。摩尔说,他的律师事务所将Solarwinds和Splunk用作对数管理平台,但他们并没有扮演Netcitadel的角色。但是他指出,一些非常高端的SIEM,例如HP ArcSight,可能被视为在功能上更接近Netcitadel。
Netcitadel的联合创始人兼首席执行官迈克·霍恩(Mike Horn)表示,即将到来的威胁管理平台还旨在用于手动更改以及不同安全设备之间的自动化平台。
Netcitadel正在开发与SIEM互动,包括Arcsight和IBM的Qradar。在首次版本中,Netcitadel提供了支持思科防火墙和路由器的访问控制列表,杜松防火墙,Plus Check Point,Palo Alto,Fortinet和Blue Coat Web Web代理。它与Virustotal数据库有一个联系,以获取有关恶意软件的信息。Cisco尚未与SourceFire产品集成,该产品获得了最近对该公司的收购,但Netcitadel表示,这是“路线图上”。
霍恩说,Netcitadel仍在与Microsoft Active Director进行一种集成,该主管将允许Enterprise Security Manager添加更新,该更新将确定任何用户计算机被感染并限制对某些应用程序的访问(如果需要)。下个月发货的法证组件将使按需代理立即获取有关感染的信息。Horn承认,他希望Netcitadel将来能够在网络数据包捕获或与McAfee的Epolicy Orchestrator集成的领域中能够做到很多。
根据霍恩(Horn)在年底之前发货时,Netcitadel产品的第一版预计将在“六位数”中介于“六位数”中。企业会在越来越拥挤的安全装备中找到它的空间吗?到目前为止,Fenwick&West的凯文·摩尔(Kevin Moore)认为,它看起来不错,因为它可能是可能的“玻璃单窗格”,以确定和自动化对高级恶意软件的响应。
Ellen Messmer是IDG出版物和网站Network Wor有个足球雷竞技appld的高级编辑,她涵盖了与信息安全有关的新闻和技术趋势。Twitter:Messmere。电子邮件:emessmer@nww.com