SAP借助"网络安全维基百科"平台破解威胁数据难题

德国软件巨头SAP为全球数千客户提供关键业务支持，作为亚马逊云服务、谷歌云和微软Azure三大超大规模云服务商的最大客户之一，可能运营着世界最大的私有云。

在保护数千客户机密企业数据的同时，SAP面临着日益危险的威胁环境以及不断变化的数据安全合规和主权要求，这使得前国际象棋冠军、现任SAP企业云服务首席信息安全官Roland Costea成为世界上最忙碌的网络安全专家之一。

"安全方面的主要挑战是我们需要端到端的正确可见性，需要在身份识别、检测、保护、响应和恢复的所有层面快速行动，"Costea告诉《计算机周刊》。

数据分析成本高昂成为瓶颈

这确实是个艰巨任务。通过Splunk分析每月超过150TB的庞大数据集，成本变得难以承受，不仅体现在时间上，还有网络容量和财务成本。更糟糕的是，SAP甚至无法分析一半的数据。

这为SAP及其客户带来明显问题：无法找到所有相关安全信号，重要信息可能被遗漏。以漏洞管理为例，Costea表示这"一直以来"都是问题。传统做法是扫描环境寻找新漏洞，研究是否有可用攻击方法，然后尽可能修补。

"但每个攻击都有前提条件，"他说，"SAP如此复杂，攻击的前提条件可能是我想实时了解的10或12件事的清单。我想知道我是否容易受到攻击，为什么，并能够注入和搜索我拥有什么样的前提条件以及它们如何配置，根据应用程序今天的状态了解我是否容易受到攻击。"

"我无法用漏洞管理工具做到这一点，无法用扩展检测和响应系统做到，市场上任何工具都做不到，"Costea补充道。

Juno智能体平台登场

显然需要新的先进安全数据分析方法，为缓解负担，SAP现在与波士顿的生成式AI驱动混合云安全创新者Uptycs合作，实施其Juno智能体分析平台。

"Uptycs专注于云基础设施安全，"公司创始人兼首席执行官Ganesh Pai说。"当SAP等大型企业在超大规模云服务商部署大规模基础设施时，我们提供与其超大规模提供商和运行工作负载集成的技术。"

"我们提供安全可观测性，表现为一系列安全控制或云原生应用保护平台，这是一套工具，使组织能够执行主动和被动安全控制，主要涵盖治理、监管和合规，或威胁运营、检测和响应、事件响应等。"

Juno将智能体和人类网络安全分析师组成团队，人类专注于高级威胁追踪和深度攻击路径分析，而生成式AI处理基础工作。

据Pai介绍，Juno最初作为云原生和本地环境的威胁追踪工具构建，但与SAP等公司合作后，现在作为超越标准威胁检测的战略智能体顾问提供更多价值。

"重要的是，虽然今天有很多生成式AI可用，但我们利用遥测技术，以这样的方式提供，除了我们收集的内容外，我们还能够与客户数据湖集成，提供激发用户信心的界面，"他说。

与许多威胁追踪智能体会大声喊"火警"但不说明原因不同（就像过于敏感的火警警报经常对烧焦的吐司做出反应），Juno的输出是可验证的——人类可以根据相同信号检查其输出，它会引用来源并提供证据。

Pai创造了"网络安全维基百科"这个术语，声称Juno已能在几分钟内产生"麦肯锡级别"的战略风险报告。"行业厌倦了安全垃圾信息和猜测的生成式AI，"他说。"这种合作展示了我们如何安全地结合人类和生成式AI能力，从被动安全转向战略转型。"

实际应用效果显著

那么SAP如何使用Juno？Costea解释："我们在基于超大规模云服务商的每个订阅中都有较小的数据湖，但我们也有基于Databricks的大数据湖，这代表了我们的核心。"

"我们与Uptycs构建的实际上更像是私有云中的内部机制，基于我们在Databricks中存储的所有可能数据集和遥测数据进行实时活动、实时搜索和实时洞察，因为这比发送到Splunk便宜得多，我们可以达到Splunk永远无法达到的粒度级别。"

"我们一直在寻找的是我喜欢称之为'低速缓慢'的操作活动，这些活动可能成为可疑尝试。"

例如，拥有有效云身份会话的用户访问了AWS实例，并承担了标准持续集成和部署管道中看似正常的部署角色，但随后使用AWS中的系统管理器访问不同实例集合并在存储桶中进行其他操作：也许以某种方式增强权限，或向另一个账户泄露小快照。这可能没什么。

"这实际上很正常——没有什么花哨或广泛的，"Costea说。"使用普通工具集，比如端点上的扩展检测和响应系统，你可能会看到一个shell，但对于管理员来说，如果没有恶意，这很正常。"

"如果你没有精确查看并关联正确的上下文、正确的操作、正确的时机等等，很难得出实际可疑的结论。"

"使用Uptycs和Juno在大数据池中搜索，你可以说，向我展示一些证据，比如身份会话来源、角色假设或权限更改，然后向我展示所做的一些特定命令，"他说。"然后你可以搜索所有数据集并找到轨迹和发生的一切，最终可以说从操作角度来看，这对我们来说不是正常活动——有些奇怪的事情正在发生。"

Costea表示，这些细节对SAP最重要，因为最终使他的防御者能够在异常爆发成更嘈杂的东西之前发现差异和异常——在最坏情况下是勒索软件。

团队反应如获新玩具般兴奋

对Costea来说，当他思考团队如何响应时，SAP从Juno实现的价值显而易见。他将他们比作向父母炫耀新玩具的孩子（这种比喻并无恶意）。

"就是那种感觉，就像他们得到了新玩具，对此非常兴奋，他们试图利用它到能做更多事情的程度，"他说。"他们正在发现以前无法看到或认为不存在的事物。"

Costea说，Juno发现的大部分内容在当下并不恶意或甚至不一定可疑，而是表明人们在做他们不应该做或不应该能够做的事情。

这种以前无法获得的数据对安全团队极其宝贵，因为如果SAP的随机管理员能够执行危险操作，已经在组织网络内部的攻击者当然也能做到。这种知识使他们能够处理以前可能不明显的潜在攻击场景。

"当今以云为中心的世界中的安全需要不仅能检测威胁，还能提升战略决策的工具，"他说。"我们与Uptycs的合作反映了对可验证、智能网络安全解决方案的共同承诺，使团队能够保持领先风险，同时转变企业安全运营方式。"

Q&A

Q1：Juno AI分析平台是什么？它有什么特别之处？

A：Juno是由Uptycs开发的智能体分析平台，它将智能体和人类网络安全分析师组成团队。与其他威胁追踪智能体不同，Juno的输出是可验证的，能够引用来源并提供证据，被称为"网络安全维基百科"，可在几分钟内产生战略风险报告。

Q2：SAP为什么要使用Juno平台替代Splunk？

A：SAP每月需要分析超过150TB的庞大数据集，通过Splunk分析的成本过高，不仅体现在时间上，还有网络容量和财务成本，而且无法分析一半的数据。Juno平台成本更低，能达到Splunk无法达到的粒度级别，提供实时活动、搜索和洞察。

Q3：Juno平台如何帮助SAP发现安全威胁？

A：Juno能够识别"低速缓慢"的操作活动，通过在大数据池中搜索，关联正确的上下文、操作和时机，发现看似正常但实际异常的活动模式。它能追踪身份会话、权限更改等细节，帮助防御者在威胁爆发成勒索软件等严重问题前发现异常。