离群,在网络安全完善的谱系启动,正在启动的端点威胁检测系统,该系统集本身竞争对手区分开来的,而不需要为每台机器上的代理工作。
霍格伦德
该系统的联合创始人Greg Hoglund说,该系统不是在每个终端上安装软件来收集取证,而是使用Windows Network Services和Windows Management Instrumentation收集的数据来收集有关终端的信息。
他说,该系统会分析这些数据,如果发现可能有攻击者入侵,就会发出警报。该公司的目标是减轻负担的分析人士回应事件通过减少假阳性的数量必须立即处理,凭他们的证据系统用于在第一时间发送警报,这样他们就可以算出,如果任何行动,。
+[也在网络世界:足球竞猜app软件10个值得关注的安全初创企业;“带上你自己的身份”是安全风险还是优势?;机器人牧人可以从烘干机、冰箱和其他物联网设备上发起DDoS攻击) +
离群自动化的过程中,豪格伦德说,通过减少误报和节省时间,也能获得理想的投资回报。他说,他的希望该系统能降低误报10%,低于10%至终点防病毒注册的,超过20%的误报。
该公司今天在佛罗里达州奥兰多市的Gartner Symposium/ITxpo上发布了这一消息。
Outlier的联合创始人是霍格伦德,现任首席执行官、首席运营官彭妮•利维(Penny Leavy)和首席营收官鲍勃•斯拉特尼克(Bob Slatnik),他们都是HBGary公司的关键人物。HBGary是一家开发检测高级持续性威胁的软件的公司,已被出售给Mantech International。
安全咨询和研究公司Securosis的迈克·罗斯曼布什总统说,对第9位的喜欢离群竞速赛,美国麦迪安网络安全公司和CrowdStrike在端点取证市场。它是由不依赖于客户端软件分开设置。“它收集数据,他们中的大多数都有一个相当沉重的客户。”他说。“乡亲们都推出了药物耐药。”
他表示,该工具的取证性质意味着其技术是为了应对受损的系统,因此使用Outlier的企业应该已经拥有成熟的安全环境,使用SIEM、下一代防火墙等防御手段,试图阻止攻击。
在离群值系统,端点监控本地管理的设备被称为数据保险库,软件在Windows机器上运行,并使用算法寻找可疑活动和等级。数据库为可能的入侵分配一个从- 1到+ 1的怀疑值,超过5就会触发警报。霍格伦德说,如果分析师“想看看这堆干草垛”,他们也可以看看得分为0到5的事件。
该公司之所以得名,是因为它的算法会寻找统计上可能表明它们是恶意的异常值事件。
该系统可以用于监视终端,提供了事件响应小组和其他防御机制,如SIEM系统,下一代防火墙和IDS产生双重检查警报支持/ IPS系统,该公司表示。
对于每个设备,它收集关于运行进程、dll之类的数据,并创建存储在数据库里的结果的散列。它检查哪些程序被配置为在启动时启动,并查看注册表项。
系统会创建一个时间线,记录文件被修改的时间,以显示恶意软件可能被安装在设备上。霍格伦德说,这种装置的有效载荷可能是隐蔽的,但安装时噪音很大。它查找用户行为的可疑模式,比如一个用户的帐户登录了多少台机器,这可能表明帐户或机器受到了威胁。
Hoglund将离群点描述为软件即服务(SaaS)。该服务的云部分收集有关单个恶意活动的元数据,并更新和配置数据库。
霍格伦德说,Outlier目前处于测试阶段,但本月底就会上市。它有三种定价模式:站点许可证、每个端点的价格和一个时间框架许可证,供那些想要使用该工具进行特定活动的咨询分析师使用。
Tim Greene负责安全并关注微软的网络世界。足球竞猜app软件达到他tgreene@nww.com关注他的推特@ tim_greene。