davly/rampart

# Rampart **一句话介绍：** 企业网络安全智能平台，用于检测威胁报告中的矛盾、证明漏洞利用的因果链，并识别跨组织的结构性攻击模式。 **类别：** B2B 企业 | 网络安全 **目标市场：** 企业（500名以上员工）的 SOC 团队、MSSP（托管安全服务提供商）、CISO 办公室、事件响应公司、网络保险承保人 **Trinity 引擎：** Echo（主要），Causal（主要），Parallax（次要），Phantom（次要） ## 问题陈述 网络安全团队正被警报、威胁情报源和漏洞报告所淹没，而这些内容经常相互矛盾。结果是警报疲劳、资源错配，以及攻击者利用已知漏洞实施的入侵： - **$10.5 万亿** — 预计到 2025 年网络犯罪的年度成本 (Cybersecurity Ventures) - **平均每个 SOC 每天接收 11,000 个警报**；分析师调查的比例不到 10% - **68% 的违规事件** 涉及人为因素，其中安全指导自相矛盾或模棱两可 - **检测到入侵的平均时间：197 天** — 主要是因为指标分散在相互矛盾的警报源中 - **70% 的 CVE** 在不同的威胁情报源中具有冲突的严重性评估 - **补丁优先级排序已崩溃：** CVSS 评分对实际利用的预测能力很差（与现实世界攻击的相关性低于 0.3） 核心问题：安全团队从 15 个以上的来源（NVD、MITRE、供应商公告、ISAC 源、商业威胁情报、内部扫描器）接收威胁情报，这些来源在严重性、可利用性和补救措施方面经常相互矛盾。没有人系统地解决这些矛盾，也没有人确定哪些从漏洞到利用的因果链真正影响了他们的环境。 ### 网络安全矛盾类别 1. **严重性矛盾** — NVD 将一个 CVE 评定为 9.8（严重）；供应商公告称“如果不使用默认配置则风险较低”；商业威胁情报称其在野外被主动利用 2. **补救措施矛盾** — 一个来源建议打补丁；另一个来源建议变通方案，因为补丁会破坏功能；第三个来源称该漏洞被错误标记 3. **威胁归因矛盾** — 不同的情报源将同一活动归因于具有不同 TTP 的不同威胁行为者 4. **配置矛盾** — 安全加固指南推荐的设置与应用程序供应商的部署要求相冲突 5. **策略与实践矛盾** — 安全策略规定的要求与实际系统配置相冲突 6. **事件时间线矛盾** — 来自不同系统的日志显示同一安全事件的时间线相互矛盾 ## 为什么 Trinity 引擎比现有解决方案好 10 倍 ### Echo（结构类比引擎） - **攻击模式识别：** Echo 识别当前威胁指标与历史攻击活动之间的结构相似性，即使表面级别的指标（IP、域、哈希）不同。结构 DNA 相同，指纹不同。 - **跨行业攻击转移：** 针对医疗保健的攻击模式可能在结构上类似于以前在金融服务中看到的模式。Echo 识别这些跨行业类比以提供早期预警。 - **漏洞利用模式匹配：** 当披露新的 CVE 时，Echo 将其结构特征与在野外实际被利用的 CVE 进行匹配，提供比单纯 CVSS 更好的可利用性预测。 ### Causal（因果推理引擎） - **利用因果链分析：** 证明哪些漏洞组合实际上导致了入侵。不是“这个漏洞存在并且发生了入侵”，而是“这特定的漏洞链，在这种配置下，导致了这种利用路径。” - **安全控制有效性：** 因果分析哪些安全控制实际上防止了入侵，而哪些只是合规表演。使用跨组织的观察数据来隔离控制有效性。 - **警报到事件的因果关系：** 确定哪些警报模式实际上导致（先于并预测）安全事件，从而显著提高警报分类的准确性。 ### Parallax（矛盾检测引擎） - **威胁情报冲突解决：** 摄取多个威胁情报源，并检测它们在严重性、归因、补救措施或指标方面存在矛盾的地方。 - **策略-配置矛盾检测：** 将安全策略与实际系统配置（通过 SIEM/SOAR 数据）进行交叉引用，以检测实践与策略相矛盾的地方。 - **事件日志矛盾解决：** 当来自不同系统的日志显示矛盾的时间线时，Parallax 识别矛盾并根据日志可靠性评分建议解决方案。 ## 5 大核心功能 ### 1. 威胁情报冲突解决 自动解决威胁源之间的矛盾： - 同时摄取 15 个以上的威胁情报源 - 检测并分类矛盾（严重性、归因、补救措施、IOC） - 加权置信度的情报综合 - 供分析师使用的已解决冲突的威胁简报 ### 2. 漏洞优先级引擎 用于漏洞管理的因果分析： - 基于与历史被利用 CVE 的结构类比（Echo）的利用概率评分 - 因果链分析，显示哪些漏洞组合创建了实际的攻击路径 - 环境特定的风险评分（而非通用的 CVSS） - 反映实际风险而非理论严重性的补丁优先级排序 ### 3. 攻击模式雷达 新兴攻击活动的早期预警系统： - Echo 模式匹配历史攻击活动 - 跨行业攻击模式转移警报 - 用于威胁行为者行为预测的 TTP 结构分析 - 随着攻击模式变异进行的活动演变跟踪 ### 4. 安全控制有效性分析器 安全投资的因果衡量： - 证明哪些控制实际上防止了入侵 - 基于因果有效性的安全支出 ROI 分析 - 具有风险加权优先级的控制缺口识别 - 根据匿名行业数据基准测试控制有效性 ### 5. 事件响应加速器 具有矛盾感知能力的事件调查： - 跨异构系统的日志冲突解决 - 解决矛盾时间戳的时间线重建 - 使用因果链映射的根因分析 - 基于结构攻击模式匹配的 Playbook 推荐 ## 收入模型 ### 定价结构 - **SOC 团队：** $10,000/月 — 针对安全运营的威胁冲突解决 + 漏洞优先级排序 - **企业安全：** $30,000/月 — 完整平台，API 访问，SIEM/SOAR 集成 - **MSSP：** $50,000/月 — 多租户部署，客户级分析，白标 - **网络保险：** $20,000/月 — 组合级风险分析，承保情报 ### 目标交易规模 - **中型市场企业：** $120K-360K ACV - **大型企业：** $360K-720K ACV - **MSSP：** $600K-1.2M ACV - **网络保险公司：** $240K-480K ACV ### 收入预估 - **Y1：** $1.8M ARR（10 个 SOC + 3 个企业 + 1 个 MSSP + 3 个网络保险） - **Y3：** $22M ARR（50 个 SOC + 20 个企业 + 8 个 MSSP + 15 个网络保险） - **Y5：** $60M+ ARR（网络安全支出每年增长 12%） ## 构建复杂度 **预计构建时间：** 18 周（从阶段 0 到生产 MVP） | 阶段 | 持续时间 | 交付物 | |-------|----------|-------------| | 阶段 0 | 4 周 | 威胁源摄取 (STIX/TAXII)，基础 Parallax 矛盾检测，NVD/CVE 集成 | | 阶段 1 | 5 周 | Echo 攻击模式匹配，漏洞利用类比评分 | | 阶段 2 | 5 周 | Causal 利用链分析，安全控制有效性，警报到事件建模 | | 阶段 3 | 4 周 | SIEM/SOAR 集成，事件响应工具，企业 API，MSSP 多租户 | **关键技术依赖：** - aicore v0.1.0+ 用于 Trinity 引擎集成 - STIX/TAXII 支持用于威胁情报源摄取 - Phantom 用于暗网监控，CVE 数据库更新，供应商公告抓取 - SIEM 集成层 (Splunk, Sentinel, Chronicle, QRadar) - 图数据库用于攻击链和漏洞关系建模 **合规要求：** - SOC 2 Type II（企业安全客户强制要求） - 针对政府客户的 FedRAMP 考量 - 用于威胁情报共享的数据处理协议 - 针对 EU SOC 运营的 GDPR 合规 ## Trinity 引擎集成详情 ``` Cybersecurity Data Sources | +-- Threat intelligence feeds (STIX/TAXII) +-- NVD/CVE databases +-- Vendor security advisories +-- SIEM alert data +-- Configuration management data +-- Incident logs and forensic data +-- Dark web monitoring (Phantom) | v [Rampart Ingestion Layer] | +---> Echo: Attack campaign pattern matching | CVE exploitation probability scoring | Cross-industry threat pattern transfer | TTP evolution tracking | +---> Causal: Exploitation causal chain analysis | Security control effectiveness measurement | Alert-to-incident causal modeling | Vulnerability chain risk quantification | +---> Parallax: Threat intel deconfliction | Policy-configuration contradiction detection | Log timeline contradiction resolution | Severity assessment conflict resolution | +---> Phantom: CVE update monitoring | Vendor advisory scraping | Dark web intelligence collection | v [Rampart Synthesis Layer] | v Deconflicted Threat Briefs + Risk-Ranked Vulnerability Queue + Attack Pattern Alerts + Control Effectiveness Scores ``` ## 竞争格局 | 竞争对手 | 他们的业务 | 他们无法做到的事 | |-----------|-------------|-------------------| | CrowdStrike/Falcon | 端点检测与响应 | 无法检测威胁情报源之间的矛盾 | | Recorded Future | 威胁情报平台 | 无法证明因果利用链或衡量控制有效性 | | Tenable/Nessus | 漏洞扫描 | 基于 CVSS 的优先级排序，无因果链分析 | | Mandiant | 事件响应与威胁情报 | 手动分析，无法大规模进行结构攻击模式匹配 | | Anomali | 威胁情报管理 | 仅聚合，无法解决矛盾 | **Rampart 的护城河：** 网络安全最大的问题不是检测——而是优先级排序。SOC 不堪重负，因为他们无法从相互矛盾的情报源中区分出真正的威胁和噪音。Parallax 解决矛盾。Echo 识别哪些模式在结构上类似于实际成功的攻击。Causal 证明哪些漏洞链产生了真正的风险。它们共同将 SOC 运营从警报处理转变为威胁理解。

标签：AMSI绕过, B2B企业服务, Beacon Object File, CISA项目, CISO, Cloudflare, CSV导出, CVE分析, DNS 反向解析, GPT, HTTP/HTTPS抓包, HTTP工具, IP 地址批量处理, MITRE ATT&CK, Mr. Robot, MSSP, PE 加载器, Web报告查看器, 去冲突, 后渗透, 告警疲劳, 因果分析, 威胁情报, 威胁检测, 安全分析平台, 安全运营中心, 密码管理, 开发者工具, 开源软件, 态势感知, 情报研判, 攻击模式识别, 数据融合, 无线安全, 流量嗅探, 漏洞管理, 网络保险, 网络信息收集, 网络安全, 网络安全审计, 网络映射, 补丁优先级, 隐私保护