创头条App
扫码下载APP
扫码下载APP

您是个人用户,您可以认领企业号

    免密码登录
  • 图形验证码
  • 获取验证码
  • 立即登录
第三方账号登录
·
·

Hello,新朋友

在发表评论的时候你至少需要一个响亮的昵称

GO
资讯 > 融资并购 > RSAC 创新沙盒解读,一网打尽
分享到

RSAC 创新沙盒解读,一网打尽

时间:03-01 11:44 阅读:4071次 转载来源:绿盟科技

往期解读

  • RSAC 创新沙盒解读,大波来袭

  • RSAC 创新沙盒|同态加密技术之于隐私保护

  • RSAC 创新沙盒|如何管理老板给的“特权”

Innovation Sandbox 冠军将在美国时间3月4日下午揭晓。绿盟君通过背景介绍、产品特点、点评分析带大家对入围厂商一探究竟。迄今为止,我们已经发布了六个入围厂商的分析解读。今天将余下的四个厂商解读全部放送。

近期还将在官方微博进行竞猜冠军赢好礼活动。请各位关注【绿盟科技】官方微博的最新动态。

ShiftLeft

该公司致力于将应用的静态防护和运行时防护与应用开发自动化工作流相结合以提升软件开发生命周期中的安全性。

Arkose Labs

该公司主要为全球大型机构提供网络防欺诈服务,客户行业包括电商、旅游、金融、社交媒体与网络游戏等。

Capsule8

Capsule8是一家由经验丰富的黑客和安全企业家创建的高新科技初创型企业,总部位于纽约布鲁克林。

WireWheel

该公司致力于降低数据隐私保护合规能力建设的难度,帮助企业来应对复杂、严厉的法案、条例规定。

ShiftLeft公司,成立于2016年,总部位于美国加利福尼亚州圣克拉拉市。该公司致力于将应用的静态防护和运行时防护与应用开发自动化工作流相结合以提升软件开发生命周期中的安全性。公司创始人Manish Gupta曾在FireEye、Cisco、McAfee等公司任重要职位。ShiftLeft在2019年2月获得了2000万美元的新一轮融资,总资金达到2930万美元。

背景介绍

在软件开发生命周期中,传统的安全防护都是人工在代码版本发布后通过执行相应脚本检测漏洞信息,之后再将漏洞信息提交至公司的漏洞管理平台或人工去做处理的。这样做有几个缺点,首先执行脚本通常误报率高,处理误报的漏洞无疑增加了人工成本,也非常耗时;其次检测漏洞的脚本非常多样化缺乏统一标准,也增加了人工维护的成本;最后检测和处理漏洞通常花费时间长达数小时或数天且准确率难以保障。随着技术和开发模式的不断更新换代,敏捷开发如DevOps、CI/CD等的出现解决了软件开发生命周期自动化的问题,很多企业在研究如何在整个过程保证安全性,即近年来很热的DevSecOps。但要实现DevSecOps的安全(Sec)部分还需要有公司提供相应的安全能力,Shiftleft将下一代静态代码分析与应用开发自动化工作流中涉及的安全工具(SAST、IAST、RASP)相结合,以提供应用在运行时的防护能力,相比于传统防护方式可能带来的漏洞误报率高、人工介入周期长等缺点,以上这种结合方式提供了更为准确,自动化和全面的应用安全解决方案。

ShiftLeft产品

Code Property Graph(CPG)

CPG代码逻辑图

传统的SAST(static application security testing)类工具在处理大量代码分析时具有误报率高、耗时长、资源占用比高、复杂度高等缺点,究其主要原因,是因为在审计代码的编译阶段需要针对不同的语言实现不同的语法树从而增加了复杂度和时间成本。CPG是一款可视化的代码分析产品,其为每个应用唯一的代码版本提供可扩展的和多层的逻辑表示,包括控制流图、调用图、程序依赖图、目录结构等。CPG创建了代码的多层三维表示,具有很强的洞察力,这使得开发人员可充分了解应用程序每个版本执行的内容及可能带来的风险。

CPG多层语义图

上图为CPG的多层语义图,从中可看出版本代码中的组件和流信息,CPG将这些代码元素(自定义代码,开源库,商业SDK)映射为各种抽象级别,包括抽象语法树,控制流图,调用图,程序依赖图和目录结构,通过这种方式可以快速连接至漏洞点,使漏洞变得更容易识别,并且对于复杂漏洞(传统工具无法发现)的识别非常有效。

早在2014年,CPG就能够在Linux内核源代码中发现18个先前未知的漏洞。最近,以CPG驱动的代码分析准确性在OWASP(Open Web Application Security Project)基准测试中得到了验证,具体可参考官方文档。

 

ShiftLeft Protect

ShiftLeft Protect是一款RASP(Runtime application self-protection)类产品,它提供了一种在应用运行时自动执行漏洞防护的方法。在生产环境中,Protect利用“code-informed”特性发现每个应用版本开发周期中的漏洞,并建立指定的安全策略对运行时环境中存在的漏洞进行防护。Protect产品可集成CI/CD管道,从漏洞发现,pull request, commit, build到执行策略的过程是完全自动化的,只需要几分钟。以下为Protect产品的截图:

Protect产品界面图

ShiftLeft Inspect

ShiftLeft Inspect是将SAST和IAST(interactive application security testing)结合的一款漏洞检测产品。Inspect产品的设计理念是为了实现DevSecOps环境的高效性、准确性、扩展需求以及保护应用程序安全。

SAST类的产品在OWASP基准测试中最高可以达到检出率为85%,但同时误报率也高达52%,误报意味着会带来大量的人工成本,面对这种局面,Inspect将源代码进行多种类型的分析,从自定义代码到开源库以及商业SDK都有涉及(如图4所示),并且Inspect的效率极高,只需几分钟,就能准确识别复杂漏洞和敏感的数据泄露。

多维度进行代码检测

OWASP-SAS基准测试白皮书

从ShiftLeft 自己发布的Inspect产品在OWASP基准测试中的结果(图5所示)可看出检出率(TPR)为100%,误报率(FPR)为25%,最终得分为75%,这虽然是一个很高的分数,但也许是新兴创业型公司为了在业界增加曝光率在某种程度上的夸张说法,数据的可靠性还有待进一步观察,不过从图中结果至少可以得出ShiftLeft Inspect产品是非常具有竞争力的。

IAST相比于SAST有着明显的优势,比如误报率极低、检测速度快、漏洞详细度高、人工成本低等。ShiftLeft也将IAST融入到Inspect产品中,只不过在ShiftLeft中称为MicroAgent。 MicroAgent是IAST的关键模块,其与Security DNA(安全DNA指的是代码中容易出现攻击位置,像第三方开源库、敏感数据等)相互合作从而在一些细微处加强了漏洞检测能力。

 

Ocular

Ocular是一种类似于Google Maps的代码搜索方法,其利用CPG的强大特性,将应用版本代码的详细信息导入至Ocular中。类似于Google Maps提供地理位置,各种路线和可能的目的地供用户去查询。Ocular为代码审计人员提供了一个交互式平台,支持用户在他们的代码库和环境中进行自定义查询,从而识别更为复杂的漏洞信息。在CI/CD管道中,Ocular的自定义查询也可以自动化,以用作安全配置文件的“策略”,当查询出漏洞信息后,Ocular可以将漏洞的反馈信息提为issue上传至用户的Github仓库,Ocular的操作截图如下所示:

Ocular操作截图1

Ocular操作截图2

ShiftLeft解决方案

For 应用安全(AppSec)

随着技术日新月异的发展,软件开发生命周期(SDLC)变得更快,更自动化,与此同时,应用安全团队也必须紧跟其步伐,做好及时的应用安全检查与防护。ShiftLeft Inspect是业界较快,较全面的一款静态应用安全检查(SAST)产品,它将pull request, commit, build直接集成至DevOps管道中,官方提出可以在10分钟内分析50万行代码。ShiftLeft Inspect使应用安全团队能够在DevSecOps中实现Sec部分,理论上不会降低整个CI/CD管道的速度,下图展示了ShiftLeft和CI/CD管道的拓扑图:

ShiftLeft CI/CD管道拓扑图

For开发者(Developers)

对于开发者来说,传统的应用安全工具主要存在以下问题:

速度太慢,无法适应现代CI/CD管道

要求开发者在快速发布应用版本和安全的发布应用版本之间做出选择

误报率高

缺乏对数据的合规性管理

针对于以上问题,ShiftLeft Inspect首先将DevOps与安全结合,形成整个DevSecOps管道闭环,从而避免了安全人员与开发人员在处理误报上带来的时间浪费;其次通过ShiftLeft CPG的功能使得开发人员在开发过程中可以识别复杂漏洞和数据合规性等问题,从而可快速修复问题避免了后续可能带来的损失;最后从效率上来讲,相比于传统安全工具需要几小时或几天来分析及解决漏洞,ShiftLeft官网提出全过程只需要几分钟,并且误报率低。

For代码审计人员(Code Auditors)

大部分的代码审计和漏洞研究人员擅长手动使用“grep”来处理大量的版本代码,究其原因是因为传统代码分析工具不灵活并且已逐渐退出大众视野。ShiftLeft Ocular可以对版本代码的CPG进行详细的挖掘,其中Ocular还支持在多编程语言环境下执行相同的查询,目前Ocular已被多家组织用于在大型复杂代码库中查找0 day漏洞。

代码审计人员在ShiftLeft Ocular中编写的自定义查询可以提交至DevOps管道中集成,以便于在pull request, commit, build时运行Ocular查询,与此同时也扩展了代码审计员和漏洞研究人员的专业知识。

分析点评

随着技术不断更新换代,软件开发生命周期逐渐缩短,在这个特殊阶段,DevOps应运而生成为了开发和运营的新组合模式。一方面通过自动化流程可使得软件构建、测试、发布变得更加快捷可靠,另一方面也减去了很多重复性的工作,降低了时间成本。与此同时,软件安全问题也同时得到了重视,那么如何将安全有效融入DevOps环境中成为了目前很多厂商难以解决的问题。早期的软件开发生命周期中,安全厂商使用安全工具对源代码进行检测,这些安全工具可大致分为SAST、IAST、DAST(dynamic application security testing)、RASP这四类,在DevSecOps中,许多国外的白盒厂商都将这几种安全工具集成至Jenkins和Gitlab,但效果普遍都达不到预期,主要原因还是安全工具在遇到大量代码时的效率慢问题,并且一直得不到解决,这与DevSecOps提倡的高效率理念背道而驰。 ShiftLeft将SAST、IAST、RASP融入其产品中,利用CPG技术让漏洞检测的检出率和误报率均得到了有效提升并且从漏洞检测、静态防护、运行时防护、自定制查询漏洞等多方面对软件开发生命周期进行安全防护从而实现了DevSecOps的落地,给大部分用户带来了收益。

从技术角度而言, ShiftLeft产品的创新度高,完成度也相对较高,且与DevOps、CI/CD的有力结合可以很大程度上提升其产品的竞争力。

从市场角度而言,ShiftLeft凭借实力在近期又获得了新一轮融资,其又可以招纳各路专家扩展其业务和专业知识,从而加快公司业务发展。

绿盟君认为ShiftLeft在今年入围的RSA创新沙盒中可以崭露头角,获得靠前的名次,不过最终结果还是要看各位评审意见,让我们拭目以待吧。

Arkose Labs 成立于2015年,公司位于旧金山,主要为全球大型机构提供网络防欺诈服务,客户行业包括电商、旅游、金融、社交媒体与网络游戏等。该公司通过极具创新性的全球遥感技术、用户行为风险评估技术和专利保护服务,帮助用户解决网络欺诈难题,规避每年上百万的经济损失。Arkose Labs号称能够在不影响用户体验和业务开展的情况下,可事先阻断欺诈和滥用行为。

背景介绍

当前一些主流的在线欺诈检测工具都是基于行为分析或风险评分的机制,这些方法都存在固有的不足。这些工具通过对收集到的大量数据进行分析,并通过监控用户行为的方式来对每个用户进行风险评分。但是这些风险评分机制通常给出的是一种概率,很少能给出一个确定的好坏判定。同时,当前欺诈检测工具大都是基于一些先验证知识的事后检测。

和其他的安全产品一样,这些工具确实能有效地防御一些并不复杂的攻击,但是对于一些具有强烈商业目的的高级欺诈来说,攻击者会不断的更新技术以绕过这些简单风险分析手段。此外,当前的在线欺诈检测方法无法给出明确的判定,主要是因为无法在保证不影响合法用户的前提下检测出恶意用户。

当前欺诈检测方法

当前的欺诈和滥用行为检测机制只是以缓解为目标, 无法做到完全精准。因为它们预先设定了一些基本的假设,这些假设表示人们对欺诈的一些先验知识,比如哪些用户登录行为有可能是非本人等。而基于这些假设的检测方法,一方面很难在实际的应用中真正地区分人和机器,另一方面这些基本的假设通常是以单一目的(性能或准确率),过度的强调单一目标会影响欺诈防御的整体效率。

针对上述基于行为分析和风险评分的方法的缺点,Arkose Labs采用了一种“遥感节点-决策引擎(Enforcement)”的双边人机识别方式,将分布在全球的遥测节点检测技术与决策引擎用可疑数据挑战遥感节点结合起来,可以在不影响用户体验和业务开展的情况下事先阻断欺诈和滥用行为。

已采用该技术的商业化产品介绍

该反欺诈技术已经应用到多个商业产品中。

Q2 电子银行(Q2 eBanking):检测窃取账户

Q2电子银行是由Q2公司开发的一个网上银行平台。该平台使用Arkose Labs的技术来防止银行客户的欺诈登录。账号窃取在金融领域是一个比较常见的问题,每次攻击都是利用被窃取的凭证,并借用快速自动化的攻击手段实施。Q2电子银行使用该技术后可以在恶意用户有机会窃取并转移资金前检测出来,该产品已经应用到多家社区银行。

IMVU:检测虚假账户

IMVU是一个3D人物和场景聊天软件,IMVU使用Arkose Labs的技术来实现恶意用户识别,主要是确保访问账号是本人,而不是恶意攻击者。在当前社交网络成为人们主要的通讯手段,而伪用户识别成为社交网络中一个基本的安全防御能力。

Kik:反垃圾邮件

Kik是一款手机通信录的社交软件。可基于本地通讯录直接建立与联系人的连接,并在此基础上实现免费短信聊天、来电大头贴、个人状态同步等功能。简单的说,Kik就是一款“可以与手机中同样安装了Kik的好友免费发消息的跨平台的应用软件”。Kik中的垃圾信息传播成为了影响用户安全和体验主要因素,Kik使用Arkose Labs的技术可减少发送给客户的垃圾邮件。

当前Arkose Labs的技术已经应用到如下领域。

Arkose Labs的技术的应用领域

分析点评

Arkose Labs通过其创新的全球遥测用户行为风险评估(正在申请专利)帮助企业解决在线欺诈问题。网络欺诈性活动越来越多,需要一种从源头解决问题的全新的解决方案。Arkose Labs在不影响用户体验的情况下阻止滥用。Arkose Labs提出一种双边方法,该方法主要包括人机识别技术和客户端遥感技术。

人机识别技术主要是依赖于三维模型图像识别,从三维模型中编排的数百万个安全图像,每次为用户生成唯一的视图图像,每个图像的识别蕴含了每个防御策略。这些图片对于人来说很易于区分,但是对于机器来说短时间内识别出来非常困难,从而大幅提升攻击成本。而基于商业目的,一些攻击者会通过更新技术手段达到攻击目的,为此,提供一些易于实现的动态转换机制来更新防御策略,可以有效提高在线欺诈检测效率。

人机识别的挑战策略中的三维模型变换

客户端遥感技术的核心是在全球部署验证点,对访问的客户端建立唯一的标识ID,并对其信誉进行评分,这样验证点A对客户端的评价能传递到其他验证点。此外,对那些使用人机识别技术后还存疑的客户端进行不同层级的验证,结合人机识别策略实现一种动态反馈循环防御策略。闭环化的双向验证大大提高了欺诈防御的效率,同时不会影响用户的体验。

遥测技术示例图

作为一种欺诈防御方法,Arkose Labs的技术已经应该到多个产品中,帮助用户解决网络欺诈难题,避免每年上百万的经济损失。Arkose Labs宣称“能够在不影响用户体验的情况下做到100%的服务级反欺诈与滥用防御”。

该公司的产品的第一点技术创新在于人机识别技术,当前已经的方法都无法做到绝对的准确,均是以减少识别误差为目的的,而Arkose Labs宣称它提出的一个完全安全可靠的识别技术,可以很准确的识别出人机。这里没有看到详细的技术内容,如果真能达到的话那么在技术上有了很大的创新。

第二点技术创新在动态识别上,基于商业目的攻击者的技术手段也会更新,针对这个问题,Arkose Labs提出了一套便于实现的3D图像转换的人机验证机制,这大大地增加了攻击者的攻击难度。

Arkose Labs更注重的是在线提供一种不影响用户体验的服务,这从用户使用角度来说是一个很好的方法。作为业务安全问题,Arkose Labs的欺诈防御技术是企业的刚需,而且其商业价值是可以直接衡量的,但是对于仅基于这种双边方法实现100%的服务级反欺诈防御是存疑的。

从技术角度上来看,Arkose Labs确实做了一定的技术创新,并有效地应用到了多个产品中,但是技术思路依然是采用传统的人机识别框架,感觉依然类似于Google的reCAPTCHA,只是在细节上实现了改进,而所提脱离了以减少识别误差为目的传统方法,技术介绍中并没有看到,大家如有机会可以到会场北区的4504跟技术人员聊聊。

 

Capsule8是一家由经验丰富的黑客和安全企业家创建的高新科技初创型企业,总部位于纽约布鲁克林,成立于2016年秋季,在2018年8月获得1500万美元的B轮融资。

Capsule8开发了业界第一个也是唯一一个针对Linux的实时0day攻击检测平台,可主动保护用户的Linux基础设施免受已知和未知的攻击。Capsule8实时0day攻击检测平台可显著改善和简化当今基础架构的安全性,同时为未来的容器化环境提供弹性的支持。

背景介绍

混合云架构已经成为企业IT基础设施的重要架构,但其复杂性也使企业面临多种攻击的风险,根据Capsule8与ESG Research赞助的一项新研究(针对混合云环境对北美和西欧地区的450名IT和安全专家进行的调查)表明,仅2017一年就有42%的企业报告了混合云环境受到攻击,28%的企业表示0day攻击是这些攻击的起源。

混合云环境由于存在多云服务商,缺乏中心控制和完整的合规性规划,存在边界模糊,访问策略不一致等问题,绿盟君曾探讨过相关的访问控制机制,加上公有云的暴露面增大,攻击者容易通过进入薄弱点,这也是近年来如软件定义边界SDP、移动目标防护MTD等新方案兴趣的原因。

攻击者进而借助利用0day漏洞,如在容器环境中利用逃逸漏洞(近日爆出在特权容器中逃逸的runc漏洞CVE-2019-5736),或虚拟化环境中的利用CPU漏洞Meltdown/Spectre等,进入宿主机,进而横向到企业的云内或企业侧网络,造成更大的威胁。

此外,传统的攻击检测平台的工作机制通常是分析网络和安全设备(如入侵检测系统)的大量日志告警,进行关联分析,最后还原出恶意攻击。然而多年来,设备日志告警的置信度不高等问题导致绝大多数平台告警是误报,也造成了企业的安全团队持续处于警报疲劳的状态。企业急需一种可以有效解决上述问题的安全方案。

无论是传统环境,还是混合环境,防护利用0day漏洞的高级威胁需要企业安全团队全方位持续防护资产、获得环境的可视度(visibility),检测恶意行为。

产品介绍

该公司推出的0day攻击实时检测平台Capsule8,在发生攻击时通过自动检测和关闭正在利用漏洞的恶意网络连接,从而大规模减少安全操作的工作量,而且不会给生产基础架构带来风险。

Capsules8平台整体架构图如下所示:

①  Capsule8 OSS传感器,即Capsule8工作负载保护平台的探针,是许多威胁检测机制的基础。传感器旨在收集系统安全和性能数据,对服务的影响很小,它能够实时了解到生产环境正在做什么。该传感器软件已开源,项目地址是https://github.com/capsule8/capsule8

②  Backplane,包含一个实时消息总线,可以获取到传感器传来的实时事件以及Flight Recorder记录的历史事件,它实现了背压从而确保了平台不会因为过多的Capsule8遥测事件而导致网络洪水事件;

③  The Capsule8 API server,提供了统一的接口,允许企业管理生产环境中基础设施架构所有跟安全相关的数据;

④  Capsulators封装了连接客户端软件的API,通过它企业可以快速集成实现特定功能的软件如Splunk和Hadoop,方便企业进行数据分析。通过Capsulators企业不仅可以实时感知集群信息,还可以通过Flight Recorders获得历史数据,依据IOC(Indicators of Compromise,包括MD5 hash、IP地址硬编码、注册表等),从而实现追溯调查;

⑤  第三方工具,如Splunk和Spark等;

⑥  Capsule8 Console,前端可视化界面。

下面我们介绍Capsule8如何实时检测并阻止0day攻击。假设客户生产环境是一个混合云环境,服务器部署于客户侧数据中心、公有云AWS和Azure中。

 

Capsule8的整个工作流程主要分为以下几步:

 1.  感知。为了保护分布式环境,Capsule8传感器遍布在整个基础架构中-云环境和数据中心的裸机以及容器上。由于传感器运行在用户空间,捕获少量的安全关键数据,故不会对系统工作负载的稳定性和性能造成影响。

以容器环境为例,前述关键数据包括:

a.进程生命周期事件(fork,execve以及exit);

b.open(2)系统调用返回值;

c.匹配容器镜像名字的file open事件;

d.涉及IPv4的SyS_connect的内核函数调用事件;

e.容器生命周期事件(创建、运行、退出、销毁)。

2.检测。感知阶段收集到的关键数据通过Capsule8 Backplane传送到企业侧临近位置的Capsule8 Detect分析引擎,利用云端专家的知识库将数据还原成事件,并对可疑事件进行分析。

3.阻断。当Capsule8检测到攻击时,它可以在攻击发生之前自动关闭连接,重启工作负载或者立即警告安全团队。

4.调查。由于0day攻击持续事件较长,所以除了实时检测外,Capsule8会在本地记录遥测数据,便于专家利用历史数据进行攻击朔源。

 

产品特点

检测和跟踪0day威胁从本质上是非常考验安全团队的日常运维和运营能力的,Capsule8可在如下方面有所帮助。

1

从安全运营团队角度来看

实时检测漏洞

Capsule8使用分布式流分析与高置信数据相结合,在黑客企图攻击的实例中检测攻击。

在混合环境的检测引擎、数据本地化,专家云端化,并将两者结合形成类边缘计算的层级化检测模式,可在大规模环境下减少数据传输,避免合规性风险,同时提高检测精度和响应速度,使得Capsule8这样的小型安全企业提供大规模Sec-aaS/MDR服务变成可能。

确保高置信度告警

Capsule8的系统级检测是不断更新的,它使用动态攻击指标(IOA,Indicator of Attack,其是一个实时记录器,包括代码执行等,专注于检测攻击者试图完成的目标)而不是行业标准的IOC指标来发现最新的0day攻击。因此,以前困扰客户的大量潜在威胁告警变成了少量的围绕实际场景的攻击告警。

清晰和可行动(Actionable)的情报

Capsule8提供了一定程度的透明性,可以很容易的确定警报触发的原因,以及攻击者后续的操作。

可适配多种环境

Capsule8可以轻松实现复杂且可自定义的策略,这些策略不仅在不同的基础设施环境中可能会不同,而且在更精细的系统项目中也会有差异。通过Capsule8可以最大限度地减少误报。

Capsule8可在各种环境(公有云,数据中心,容器,虚拟机或裸机)中Linux版本上提供无缝、易于部署的检测。同时保护所有主要的编排器,包括Kubernetes,Docker和CoreOS ,以及Puppet和Ansible等配置管理工具。

此外,可与现有系统集成,充分利用现有的安全工具,如SIEMs日志分析工具(如Splunk和ELK Stack)和取证工具。

自动化攻击响应

Capsule8可帮助客户实时检测和响应攻击。例如,客户可以在启动Capsule8时选择立即关闭攻击者连接、重新启动工作负载或立即向调查员发出警报。

2

从安全运维团队角度来看

系统稳定性好,性能影响小

Capsule8运行在用户空间,在不需要内核模块的情况下收集内核级数据。这就保证了生产环境(服务器和网络)的系统稳定性。

为确保对主机和网络的性能影响最小,Capsule8采用资源限制器,通过智能减载策略强制对系统CPU,磁盘和内存进行硬限制。

分布式的分析方法与边缘计算相似,将计算操作推向尽可能接近数据,确保就算是在系统最繁忙时候也对网络影响最小。

简单的部署和维护

Capsule8代理是一个单一的静态Go二进制文件,它是可移植的,易于安装和通过各种编排机制进行更新,包括Puppet,Ansible,Kubernetes等。

分析点评

随着企业寻求基础设施现代化,DevSecOps的落地在现代混合云环境下就显得尤为重要。Capsule8可以无缝的集成到企业的Linux基础架构中,并在企业的整个平台上提供持续的安全响应。

Capsule8产品的特点是提供混合云架构下的主机保护,亮点是实时0day攻击检测、溯源和响应。对于0day攻击相信大家并不陌生,其最大的特点是未知安全漏洞的持续威胁,完成0day攻击检测需要具备的条件是在不影响生产环境完整性的情况下执行轻量级、事件驱动和收集内核数据的操作。Capsule8推出的感知程序是基于GO语言开发的单一的二进制包,与时下容器市场遍地GO语言相一致,足够轻量,可移植性好,它是基于KProbes来采集系统内核数据。相较于Facebookk开发的开源但只支持auditd的osquery,Capsule8还是比较有优势的。

此外,Capsule8对于客户数据处理策略是实行本地化,避免了数据传播、篡改等风险,类似于边缘计算的分布式分析方法将计算尽可能推近数据,最小化了数据分析对系统网络可能造成的压力。

同时Capsule8官网上发布了他们针对Meltdown和Spectre攻击的一些变种提供的通用检测探测器案例,这在一定程度上显示了其团队在应对生产环境中0day攻击的安全能力,但让绿盟君比较疑惑的是其官网只是简单提到感知程序将安全关键数据传入客户侧附近的Capsule8 Detect分析引擎,并未提及对其如何做分析处理,以及数据处理和云端Capsule8专家处置是如何协同的,不过按照往年的经验,Capsule8很难在创新沙盒竞赛短短3分钟内介绍这些技术细节…

WireWheel成立于2016年,位于弗吉尼亚州阿灵顿,该公司致力于降低数据隐私保护合规能力建设的难度,帮助企业来应对复杂、严厉的法案、条例规定。2018年10月,公司获得了PSP Growth领投的1000万美元的A轮融资。

背景介绍

据数字安全公司Gemalto 2018年10月发布的全球数据泄露水平指数(The Breach Level Index)报告,2018年上半年共发生了945次数据泄露事件,致使45亿条数据泄露。为加强消费者隐私权和数据安全保护,欧盟《一般数据保护条例》(GDPR)以及《加利福尼亚州消费者隐私保护法案》(CCPA)相继生效和通过。众多缺乏用户隐私、用户数据保护的意识和能力的企业亟需响应各种合规需求,否则将面临严厉的处罚措施。今年的创新沙盒也同样关注数据隐私领域的创新,可见安全领域对数据隐私保护方面的创新需求是多么强烈之强。

隐私保护、数据安全已成为企业安全能力建设的重要环节,然而,在复杂的IT系统环境下加强数据隐私保护,对传统的数据防泄密技术及产品是非常大的挑战,也给企业的数据管理增加沉重的负担。大型企业内部网络环境、数据存储架构复杂,数据隐私保护依赖数据发现、管理、分类等多环节的技术支撑;多部门数据协作共享,需通过数据的关联、聚合分析才能更合理的发现隐私泄露隐患;与合作伙伴或供应商等第三方企业的数据共享环节,数据的管理、隐私策略的配置尤为关键。特别是面对GDPR针对应用使用用户隐私数据的权限管理,以及数据流动过程中的合规问题,在复杂的企业多部门协同和跨企业的供应链数据流管理方面,存在巨大的合规性挑战。应对这些挑战需要专业的、自动化的管理流程和技术方案的支持。“法规是复杂的,但WireWheel能够使合规变得简单。”WireWheel公司提供的基于SaaS的数据隐私保护平台,旨在降低企业隐私数据处理合规的复杂性,帮助企业快速建立数据隐私保护能力,回答隐私合规性的4个关键问题:

1. 企业收集了哪些个人隐私信息?

2. 隐私信息存储在哪里?

3. 个人隐私信息在哪里处理?

4. 哪些第三方或合作伙伴有对个人隐私信息的访问权限?

产品介绍

该公司专注于基于SaaS的数据隐私保护,能够满足企业隐私影响评估(Privacy Impact Assessments, PIAs)、数据保护影响评估(Data Protection Impact Assessments, DPIAs)、供应商评估等多方面需求。其数据隐私保护平台的主要包含以下主要功能:

隐私数据发现及分类(Data Discovery & Classification)

发现并盘点个人信息,提供数据在组织中驻存、流动的可视化能力;在企业基础设施、数据存储及界面上集成隐私保护能力;支持识别、归类和保护个人隐私数据。

流程映射(Process Mapping)

支持云端资产发现,包括计算节点、存储及serverless组件;包括内置的业务流程映射;能够自动化识别并集成第三方流程。

任务计划(Tasking)

根据角色、业务类型、业务范围制定任务计划,促进和保障相关人员、业务按照计划执行行动。

隐私引擎(Privacy Engine)

提供用户友好的自助式隐私数据保护向导,降低隐私保护任务、操作相关步骤的行动难度。

产品特点

WireWheel提供基于SaaS的数据隐私保护平台,能够从多方面提升隐私保护合规能力建设的效率,降低隐私泄漏的风险。总结起来包括以下几点特征。

(1)   简单集成各类用户环境,持续监控可疑行为

WireWheel能够简单的集成到客户的云环境中,包括AWS、Azure及Google等额云计算平台。自动化的处理数据流,持续的监控各类隐私数据的处理环节,并对可疑的行为触发告警,能够减少大量人力资源。

(2)   快速发现、识别隐私数据,具有可视化能力

基于企业的云端基础设施,WireWheel提供了数据存储、流转的可视化能力,同时能够快速识别、归类和保护隐私数据。

(3)   预先配置的工作流,降低隐私合规工作的难度

根据相关法案、条例要求,辅助企业满足数据隐私保护合规要求,预置了多种过程、内容及模板,提升企业内部现有团队的数据隐私保护能力,降低隐私合规工作的难度,减少企业的人员培训成本。

(4)   跨部门跨企业的全方位协同

在保证数据隐私合规的基础上,大幅度提升业务范围内跨部门、跨企业数据的接入效率。尤其是在与第三方企业存在数据共享的情况下,通过SaaS服务统一监控、管理隐私数据的在云端的处理过程和流向,隐私保护过程不再局限在部门或者企业内部,大大降低了隐私保护在数据共享中的不可控性。

分析点评

数据隐私保护能力不应仅仅是企业满足合规要求的突击应对,面对不断曝光的数据隐私泄露事件,企业不可以再闻隐私保护而色变,而要将隐私保护能力纳入企业安全能力建设、数据分析处理的常规计划中。

从官网资料中,我们很难看到WireWheel在相关技术,如隐私数据发现及分类技术、预置工作流、任务管理等方面的独创之处。不过,针对新的数据隐私安全保护形势下,企业缺乏在复杂应用环境下满足合规要求能力的痛点,WireWheel通过自动化、模板化的方式提升隐私数据发现、监控和保护的能力,能够降低隐私防护工作的门槛。WireWheel提供的不仅仅是技术层面的隐私保护技术和流程,更为企业隐私保护能力建设提供一种不再望而生畏的执行思路。

此外,绿盟君认为云计算环境下多方协同的隐私保护能力是WireWheel最值得关注的技术创新。通过提供SaaS服务,借助数据在客户边界流转的可视度,提供对企业内部跨部门、供应链中跨企业的数据转移的隐私保护提供协同的解决方案;随着使用其SaaS服务的客户的增加,WireWheel可以建立更为完善的数据隐私协同防护生态,企业接入WireWheel服务的意愿和信心能够持续增强。通过多方协同,数据流转中的隐私保护看似能够有清晰的解决方案,但实际操作中,跨云端平台的数据交互、异构的数据存储形式下的隐私数据管理等,会给隐私保护协同方案带来挑战,如何应对这些挑战将直接影响其协同能力的可用性。

如果说2018年创新沙盒BigID一举夺冠的背后,当时即将颁布的GDPR起到了重要的推手作用,那么今年以及未来创新沙盒对数据安全隐私保护的关注,将逐渐褪去投资人对追逐热点的诉求,而转向更理性的技术层面、市场层面的剖析。此外,初期生态没有足够组成数据流转链的企业客户,也可能会影响企业运营中自动化隐私数据保护的效果。WireWheel想要争夺安全创新桂冠,还需要为评委展示出有说服力的技术亮点和商业推广思路。

END

请点击屏幕右上方“…”

关注绿盟科技公众号NSFOCUS-weixin

↑↑↑长按二维码,下载绿盟云APP

声明:该文章版权归原作者所有,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系。

评论

未登录的游客
游客

    为您推荐
  • 推荐
  • 人物
  • 专题
  • 干货
  • 地方
  • 行业
+加载更多资讯

阅读下一篇

十二载变与不变,绿盟科技的RSA之路

十二载变与不变,绿盟科技的RSA之路

返回创头条首页

©2015 创头条版权所有ICP许可证书京ICP备15013664号RSS