Outlier是一家在网络安全方面有着良好血统的初创公司,它推出了一款终端威胁检测系统,无需在每台机器上安装代理,就能工作,从而使自己有别于竞争对手。
霍格伦德
该系统的联合创始人Greg Hoglund说,该系统不是在每个终端上安装软件来收集取证,而是使用Windows Network Services和Windows Management Instrumentation收集的数据来收集端点的信息。
他说,该系统会分析这些数据,如果发现可能有攻击者入侵,就会发出警报。该公司的目标是减轻负担的分析人士回应事件通过减少假阳性的数量必须立即处理,凭他们的证据系统用于在第一时间发送警报,这样他们就可以算出,如果任何行动,。
+[也在网络世界:有个足球雷竞技app10个值得关注的安全初创企业;“带上你自己的身份”是安全风险还是优势?;机器人牧人可以从烘干机、冰箱和其他物联网设备上发起DDoS攻击]+
霍格伦德说,“离群值”使整个过程自动化,通过减少误报和节省时间,还可以获得投资回报。他说,他希望该系统能将假阳性降低10%,低于endpoint anti-virus注册的10%到20%以上的假阳性。
该公司今天在佛罗里达州奥兰多市的Gartner Symposium/ITxpo上发布了这一消息。
Outlier的联合创始人是霍格伦德,现任首席执行官、首席运营官彭妮•利维(Penny Leavy)和首席营收官鲍勃•斯拉特尼克(Bob Slatnik),他们都是HBGary公司的关键人物。HBGary是一家开发检测高级持续性威胁的软件的公司,已被出售给Mantech International。
Mike Rothman是安全咨询和研究公司Securosis的总裁,他说,在终端取证市场,Outlier公司将与Bit 9、Mandiant和CrowdStrike等公司展开竞争。它的独特之处在于不依赖于客户端软件。“他们中的大多数都有一个收集数据的重量级客户,”他说。“人们都不愿意推出经纪人。”
他表示,该工具的取证性质意味着其技术是为了应对受损的系统,因此使用Outlier的企业应该已经拥有成熟的安全环境,使用SIEM、下一代防火墙等防御手段,试图阻止攻击。
在离群点系统中,端点监控由一个名为Data Vault的内部设备管理,该软件运行在Windows机器上,使用算法发现可疑活动并对其进行排序。数据库为可能的入侵分配一个从- 1到+ 1的怀疑值,超过5就会触发警报。霍格伦德说,如果分析师“想看看这堆干草垛”,他们也可以看看得分为0到5的事件。
该公司之所以得名,是因为它的算法会寻找统计上可能表明它们是恶意的异常值事件。
该公司表示,该系统可用于监控端点,为事件响应团队提供支持,并对其他防御系统(如SIEM系统、下一代防火墙和IDS/IPS系统)产生的警报进行双重检查。
对于每个设备,它收集关于运行进程、dll之类的数据,并创建存储在数据库里的结果的散列。它检查哪些程序被配置为在启动时启动,并查看注册表项。
系统会创建一个时间线,记录文件被修改的时间,以显示恶意软件可能被安装在设备上。霍格伦德说,这种装置的有效载荷可能是隐蔽的,但安装时噪音很大。它查找用户行为的可疑模式,比如一个用户的帐户登录了多少台机器,这可能表明帐户或机器受到了威胁。
Hoglund将异常值描述为软件即服务(SaaS)。该服务的云部分收集有关单个恶意活动的元数据,并更新和配置数据库。
霍格伦德说,Outlier目前处于测试阶段,但本月底就会上市。它有三种定价模式:站点许可证、每个端点的价格和一个时间框架许可证,供那些想要使用该工具进行特定活动的咨询分析师使用。
Tim Greene负责安全并关注微软的网络世界。有个足球雷竞技app达到他tgreene@nww.com关注他的推特@ tim_greene。