创头条App
扫码下载APP
扫码下载APP

您是个人用户,您可以认领企业号

    免密码登录
  • 图形验证码
  • 获取验证码
  • 立即登录
第三方账号登录
·
·

Hello,新朋友

在发表评论的时候你至少需要一个响亮的昵称

GO
资讯 > 融资并购 > RSAC 创新沙盒解读,大波来袭
分享到

RSAC 创新沙盒解读,大波来袭

时间:03-08 18:34 阅读:4435次 转载来源:绿盟科技

往期解读

  • RSAC 创新沙盒|同态加密技术之于隐私保护

  • RSAC 创新沙盒|如何管理老板给的“特权”

作为RSAC的经典项目,Innovation Sandbox一直是RSAC的风向标,捧红了不少有创新尖端技术的公司。今年又有十家新星站在聚光灯下。绿盟君通过背景介绍、产品特点、点评分析带大家对入围厂商一探究竟。迄今为止,我们已经发布了两个入围厂商:Duality Technologies和CloudKnox的分析解读。今天将集体放送四个厂商,他们是:

Eclypsium

该公司专注于服务器、笔记本电脑和网络设备(交换机、路由器等)的固件层的检测和防护。

DisruptOps

该公司致力于通过为多云基础设施提供自动化的防护来提升云操作的安全性,实现对云基础设施的持续检测和控制。

Axonius

该公司致力于网络安全资产管理,主要是对用户的设备进行管理,包括资产管理、应用管理和补丁管理等。

Salt Security

该公司致力于为软件即服务(SaaS)平台、Web平台、移动端、微服务和物联网应用程序的核心API提供保护解决方案。

Eclypsium是晋级2019年RSAC创新沙盒决赛。该公司专注于服务器、笔记本电脑和网络设备(交换机、路由器等)的固件层的检测和防护。至今为止,该公司已经完成A轮融资,累计融资1105万美元。公司成员中,Yuriy Bulygin曾在英特尔工作11年(高级工程师),在McAfee工作了两个月(CTO)。Alex Bazhaniuk和John Loucaides也来自英特尔,在此之前,这三位均负责英特尔的硬件、固件安全。Ron Talwalkar在McAfee工作了11年,作为终端安全业务部产品管理高级总监,负责英特尔安全相关的业务。所以,该公司熟知采用英特尔处理器的设备在硬件和固件上的安全现状。

背景介绍

随着网络产品的普及,个人电脑、服务器、网络设备的数量在急剧增长。设备底层的固件也在不断地迭代,从BIOS到EFI再到UEFI,这些设备的底层固件的安全话题也一直是网络安全领域的热点,如2017年BlackHat Asia上,Matrosov和Vxradius两位研究员介绍了针对UEFI(Unified Extensible Firmware Interface)固件的渗透测试工具集,同年美国的BlackHat上,研究员介绍了近三年UEFI固件的大量安全漏洞。一些UEFI、bootloader等底层启动代码的检测工具和攻击工具层出不限,前述计算机产品的底层固件的安全防护已经变得越来越重要。在漏洞不断披露的过程中,英特尔、AMD和一些第三方厂商如phoenix、AMI不断地更新维护本厂的固件,以保证最新底层固件的安全性。

去年的创新沙盒的入围公司中,Refirm Labs专注于物联网设备的固件安全分析,我们也对其进行了技术解读。网络基础设施中不仅仅有物联网设备,还有服务器和路由器、交换机等网络设备,用户侧还有个人电脑,这些设备的底层和硬件的安全问题是否有人关注呢?

Eclypsium专注于企业内部计算机类设备的固件层的安全防护,下面介绍他们的产品、及其特点。Eclypsium所关注的固件和去年的ReFirm Labs关注的固件有所不同,这一点在产品特点中重点介绍。

产品介绍

该公司在固件的安全防护能力上独树一帜,其特点非常明显:在固件层做设备风险管理。固件的能力涉及对主板和与主板连接的外围设备的初始化、网络管理、内存管理、操作系统引导等。换句话说,该程序具备读取、更改设备硬件状态的能力,设备权限很高。这种状态下的代码一旦被更改,设备的运行状态也就被篡改了。该公司研究人员也是利用了该代码管理设备风险。风险管理的能力主要涉及4个方面:漏洞扫描、固件升级管理、防篡改(尤其是后门检测)、未知攻击检测。配置检查部分,可参考创始人维护的一个GitHub项目。

漏洞扫描

该功能实现的意义在于识别设备已存在的漏洞,包括非加密的通信、固件版本过时等漏洞的验证。

固件升级

在扫描完漏洞后,如果固件版本较低,通过升级固件的方式能解决大多数的安全问题,其被利用的可能性也将大大降低,大部分恶意的黑客不会花大量的精力专门挖掘一个可远程控制设备的漏洞链。

防篡改

如果设备固件升级完成,并实施了其他安全功能,如安全启动等,就可以在设备运行期间监控固件的完整性,以防止攻击者篡改固件。

未知攻击检测

由于固件对硬件设备的操作权限最高,所以研究人员在固件中加入了硬件行为监控的能力,目的是在设备卖出以后或者租赁之后,检测到未知的攻击手段。

配置检查:chipsec

配置检查是找到软件不正确的配置,源于创始人Yuriy Bulygin创建并维护的chipsec项目。chipsec在GitHub中开源,我们在一台运行Linux操作系统的笔记本上安装后,检测结果如下所示:

该检测过程最后会给出结果汇总,chipsec一共对我们的机器做了23项检测,其中16项通过安全检测。

产品特点

Eclypsium的产品的特点在于专注固件的防护。我们和ReFirm Labs做个对比就会发现,这两家所关注的固件是有很大区别的。这要从计算机的启动过程说起,下面我们尽可能地通俗介绍。

计算机电源打开,到正常看到登陆桌面,这个启动过程中,计算机一共经历了以下三个阶段:

1.      引导阶段(由uboot、BIOS、UEFI等底层机器码引导,引导对象是操作系统内核)

2.      操作系统内核启动、驱动加载阶段

3.      应用程序启动阶段(shell、文件系统、应用等程序的启动)

Eclypsium关注的是运行在PC、服务器和一些网络设备的引导阶段的底层机器码,并把这部分代码称为固件。ReFirm Labs则针对物联网设备的全部三个阶段,把三个阶段所有的机器码称为固件(有点类似于把整个硬盘的内容都当作固件)。物联网设备从软硬件上来看,和传统的嵌入式软硬件并无别,区别在于一些网络架构等宏观的概念。这并非是指Eclypsium关注的少。由于PC、服务器这类设备的要比绝大部分物联网设备昂贵,且在网络中扮演着重要的角色,这些设备的引导阶段的机器码并不比整个物联网设备的存储器中存储的所有机器码简单。物联网安全中提倡的设备安全启动等系统底层保护措施,在十几年前的UEFI固件中已经实现了。

Eclypsium面向企业用户推广固件防护平台,并且只针对引导阶段机器码本身的完整性和可用性,防止企业的产品在被攻击者利用底层的漏洞而产生无法挽回的后果。

分析点评

除了固件保护平台之外,该公司深入研究了UEFI固件中的安全问题,并在BlackHat USA 2018会议上介绍基于UEFI的系统的远程攻击面,在DEFCON 26会议上也介绍了相似话题,由此可见该公司在计算机固件安全方面的功力之深厚。除了UEFI和BIOS这类固件之外,该公司在BMC(Baseboard Management Controller)方面也具备丰富的安全研究积累。

从研究的角度看,该公司成员在底层固件的研究上非常深入。但是观其产品,漏洞扫描、固件升级、防篡改这类技术已经非常成熟,亮点较少。比较新颖的功能是未知攻击的检测。可以想到的思路是通过硬件设备相关的日志来捕获,但是这需要看UEFI这类底层固件中是否有日志,量是否足够大,以满足较长时间段内的设备行为检测、外部接口访问的检测等,并需要对UEFI固件做一定的更改。该公司的成员在这方面比较擅长,问题在于,如果该团队研发了一个UEFI固件,客户是否有一个必须使用该固件和平台的理由,来满足企业内设备的安全需求?很明显,现在缺少一个理由说服客户必须用该平台,以保证设备足够安全。

好在公司有了1000万美元的融资,能支持其一段时间的研究、研发、运营等,这段时间内能否开发出客户必须使用的底层固件和配套的平台,尚未可知。一旦提供了一个必须使用Eclypsium的平台的理由,该平台的盈利也将相当可观,毕竟亚马逊、阿里巴巴、腾讯等企业的服务器的数量加起来也有数百万台。

技术创新不会非常的密集,创新沙盒举办几届之后,各个新公司的产品在创新方面的吸引力可能会降低。在这样的背景下,能否诞生一家大家都十分信服的企业,非常值得期待。

 

DisruptOps Inc.成立于2014年,位于密苏里州堪萨斯城,该公司致力于通过为多云基础设施提供自动化的防护来提升云操作的安全性,实现对云基础设施的持续检测和控制。2018年10月,公司获得了由Rally Ventures领投的250万美元的种子轮融资。

背景介绍

近年来,公有云在国外得到快速发展,大量中小公司开始积极拥抱云计算。然而,公有云服务商的技术能力、安全水平始终成为客户上云的最大顾虑。在这样的背景下,多云(Multi-Cloud)架构成为云计算IT架构的下一个飞跃,在多云架构下,用户同时使用多个公有云提供商和内部私有云资源来实现业务目标。可有效提高公有云基础设施可用性,且降低厂商锁定(Vendor Lock-in)的风险。

然而,管理多个云环境的运营团队面临大规模和复杂的云环境,将很快导致运营成本不断上升;此外,敏捷开发也为越来越多的开发团队所亲睐,云中开发、运营复用的系统将越来越多,DevOps将成为新的云应用常态,那么不同环境中的配置不一致会导致安全风险的显著增加。常见错误包括存储系统的数据被非授权访问、错误配置的安全组导致的内部网络可被外部访问,以及过度分配的资源所导致的资金浪费。例如2017年曝光的美国陆军及NSA情报平台将绝密文件放在可公开访问的Amazon S3存储桶中,这个错误配置的S3存储桶,只要输入正确的URL,任何人都能看到AWS子域名“inscom”上存储的内容。这包含有47个文件和目录,其中3个甚至可以任意下载。

如果通过手动操作的方式来应对这些挑战,效率低下且无效。DisruptOps通过实施可自定义的最佳实践库来确保一致性和安全性,从而使DevOps团队能够快速无风险地迁移,从而实现云管理的自动化。

产品介绍

该公司推出的基于SaaS的云管理平台,实现对云基础设施的自动控制。通过持续评估和执行安全、运营和经济的防护栏,企业可以在保持运营控制的同时,可以安全的享受云计算提供的灵活性,速度和创新等好处。

安全防护栏(Security Guardrail)

DevOps的模式促使开发团队和运营团队能够更快地行动、更快地部署和更快地适应。因此,安全问题不能妨碍或减慢整个DevOps进程。安全防护栏会自动执行安全最佳实践,不仅可以发现错误配置和攻击,而且通常可以在发现问题之前修复它们。这样使得DevOps团队能够在没有风险的情况下快速执行。

具体包括:

(1)身份管理。确保身份策略在整个云中保持一致,从而消除过多的权限问题。

例如,在S3、EC2的服务中,实现对需要具有API和命令行访问权限的控制台用户的MFA管理;删除未使用的IAM用户和角色;删除过多的特权;删除未使用的默认VPCs等。

(2)监控。确保在多个帐户中一致的设置日志记录和告警,确保所有云活动的完全可见。

例如,提供最佳安全实践的配置;设置AWS Log Rotation和Archiving;实施集中式的配置监控;实施集中式的告警;创建安全组更改的告警等。

(3)网络安全。管理适当的网络访问策略,确保正确配置安全组以最小化攻击面。

例如,锁定默认的安全组;锁定安全组到当前配置;评估或限制VPC peering;寻找具有过多权限的安全组;启用VPS流量日志等。

(4)存储安全。确保通过自动执行基于策略的标记、访问和加密规则来保护存储的关键数据。

例如,限制S3 Bucket到已知的IP地址;识别没有合适标签的S3 Buckets;识别公共S3 Buckets;使用KMS Keys加密S3 Buckets等。

运营防护栏(Operations Guardrail)

成熟的云组织在其所有云环境中实施共享服务,包括监控/日志记录、IAM和备份等。运营防护栏可以实现这些共享服务的最佳操作实践,而不需要脚本或任何其它本地的解决方案。

例如,虽然AWS允许用户在控制台中更改资源的类型和大小,但这些都不是以编程的方式提供,使用Trinity API就可以直接的调整资源。

再比如,通过标记的方式,用户可以按照计划自动化的对实例进行快照制作备份,同时还可以将较旧的快照迁移到Glacier,以节省成本。

经济防护栏(Economic Guardrail)

通常,开发团队会将更多的精力致力于如何更好的构建并快速的部署相关的应用。然而,却很少会有明确的意识,在资源不使用时主动的去关闭它们,这样就会造成云成本的失控。经济防护栏使用预先构建的策略,自动化的关闭不需要的云资源,在不影响开发人员效率或需要本地脚本的情况下节省用户的资金。

例如,可以通过标签设置,在工作时间之外关闭开发实例和其它一些不用的实例,以节约成本;可以调整自动缩放配置,以减少非工作时间的成本;根据实例的具体资源利用率,调整实例的大小,实现成本的降低;分析S3的存储Buckets使用情况,并将其优化到正确的存储层,以降低成本等。

 

产品特点

无论云的规模大小如何,DisruptOps云管理平台都能及时发现并修复安全、运营和成本管理问题。总结起来包括以下几点特征。

1

持续评估

开发人员不断地对业务系统进行迭代改变,运营团队不断地进行相关的更新。每做一次更改,都会有违反公司安全策略和偏离最佳实践的风险。因此,需要持续监控和评估环境,进而发现违规行为,然后采取各种行动。

DisruptOps维护所有云平台的多帐户资源,可以为这些资源进行标记分配,并支持基于标记的单独策略。例如,用户可以针对开发和生产环境,实现不同的安全策略。DisruptOps允许开发人员快速进行迁移,而运维团队可以快速的实施最佳实践。

2

自动执行

DisruptOps在识别到问题之后,可以自动化的提供许多补救方案。通过自动化的执行更改,将环境恢复到最佳实践配置。DisruptOps的防护检测配置,与运维团队为实施策略而构建的许多脚本不同,这是经过生产测试和自动化维护的。

3

护栏而不是拦截

实现云安全的一个重要的宗旨就是:需要保护公司数据,并执行安全策略和最佳实践,但不要减慢DevOps进程。护栏不会阻挡活动,而是按预期执行安全策略,用户可以为不适用的资源设置白名单和黑名单。

例如,如果为安全组打开了管理员访问权限,那么就不会阻止管理员对这个安全组范围的访问。相反,DisruptOps将策略设置为只允许来自授权公司IP范围的连接。同样,如果管理员帐户需要MFA(AWS Multi-Factor Authentication,多因子认证)并且该帐户已关闭,而不是阻止所有访问(并使管理员脱机),则DisruptOps会将策略重置为需要MFA。

4

DevSecOps的最佳实践方式

当前,在DevOps过程中添加“Sec”需要大量手工工作来构建、测试和维护脚本。使用DisruptOps Guardrails,无需编程,通过一键式处理进行配置,并通过直观的用户体验来实施和管理Ops。DisruptOps提供报告并支持基于角色的访问控制,以确保只有授权方才能对其管理的云进行更改。

5

支持云计算的最佳实践

DisruptOps可以帮助用户实施多帐户管理策略,并提供Guardrails来遵循来自CIS等组织的云安全准则和基准。此外,DisruptOps的许多策略源于创始人的实际设计和架构工作,他们拥有多年帮助客户实施世界级云安全建设和运营的经验。

6

最低权限原则

在DisruptOps中,最小特权的安全标准是宗旨。始终只为相应操作分配所需的最少权限,然后在进行更改后删除这些权限。通过积极且持续地管理权限,确保不会因自动化而在云安全和操作的关键方面而产生额外的攻击面。

7

云原生

DisruptOps构建于云中,用于云,并利用云最佳实践,包括多个帐户组织、无处不在的加密、平台即服务产品,并大量利用API、容器、微服务和功能即服务。这种方法既可以最大限度地减少应用程序的攻击面,又可以与云环境进行即时集成。DisruptOps的创始人近十年来一直倡导云原生架构的理念。

8

SaaS交付

DisruptOps以SaaS服务交付,也就是说用户环境中无需安装任何软件。一键式配置流程和内置的Ops库,确保用户不再需要投入资源来实施、构建、更新、修补或重新调整护栏的大小。因此,用户可以把精力放回到构建、运行云和DevOps的业务中。

分析点评

多云和敏捷开发是云计算的热点,DisruptOps以SaaS化的服务方式,通过对用户的多个云资源进行安全与操作问题的快速检测并自动修复,一方面节省了客户上云的成本,另一方面实现对云基础架构的持续安全控制,在安全、运营和成本等方面,给用户带来最大的收益。此外,借助自动化和服务编排的技术,推动云原生应用和DevSecOps的落地。

 

DisruptOps的官方介绍中,结合了众多当前的热点词汇,比如DevSecOps、云原生、编排、敏捷等,通过SaaS化的服务方式,为多云基础设施提供自动化的防护来提升云操作的安全性,实现对云基础设施的持续检测和控制。

首先从产品设计的出发点来看,一方面,应用场景是面向多云基础设施,而多云的这种架构,对于积极拥抱云计算的用户来说,考虑到公有云服务商的技术能力、安全水平等因素,已经成为云计算IT架构的下一个飞跃,而管理多个云环境的运营团队在大规模和复杂的云环境下,面临着运营成本不断上升的巨大挑战,因此在使用场景上有着很好的发展前景;另一方面,考虑到DevOps的敏捷特性,在整个DevOps流程中,无缝的嵌入安全能力,更好的提升开发、运维和安全人员的效率,也是毫无疑问的发展趋势。因此,DisruptOps在产品设计上所选择的场景,确实是用户实实在在的痛点,也是云原生应用在接下来的发展中所必须要解决的问题。

然后从产品的实现来看,DisruptOps更多的是进行了多云的管理,比如多云用户的管理、备份的管理、资源的管理以及作为产品一个重要卖点的成本控制等。在安全角度上,其实基本上就是做了一个安全的基线,根据不同的云平台、不同的资源,通过安全基线的方式,自动化的进行相关的监控、管理和控制。因此,该公司选择的场景确实占据了一定的优势,但是产品在实现上,似乎并没有什么特别突出的亮点。

总结一下,单纯从使用场景的需求上来看, DisruptOps确实是能够给客户带来一定的便利,但是从安全创新上来看,绿盟君个人认为,还是有很大的提升空间。

Axonius是一家做网络安全资产管理平台(cybersecurity asset management platform)的公司,该平台主要功能是对用户的设备进行管理,包括资产管理、应用管理和补丁管理等。该公司成立于2017年1月,并于2019年2月5日获得了1300万美元A轮融资。

背景介绍

近几年,智能设备使我们的生活发生了翻天覆地的变化。物联网、BYOD和云等方面的结合更是改变了对访问的定义,并且消除了工作和家庭之间的界限。但智能设备的保护仍然是技术人员和安全团队应该关心的问题。攻击者通常会寻找那些没有安全机制防护,或未被有效管理的设备,入侵并横向移动。

可见,资产管理是安全团队需要首要解决的问题,他们需要知道哪些设备是正在被安全或IT系统管理的,但哪些未被有效管理。如果设备没有可视度(visibility),我们如何管理未知设备?

传统上,技术人员和安全团队必须知道7件事情才能制定可行的资产与补丁管理流程:

哪些设备连接到网络?

目前安装的是什么版本的软件应用程序?

存在哪些安全漏洞?

漏洞有多严重?

新版本可用吗?

升级的影响是什么?

升级的紧迫程度是什么?

回答上面的问题对于确定是否应该对设备打补丁都至关重要,而其中的有些问题也确实是一种挑战。

目前随着物联网和移动办公的发展,大量的手机、电脑以及智能设备进入了企业网络中,显然这么多的设备还是没办法统一进行管理。目前的方法大都是基于资产、身份、网络等信息管理设备,每个系统(如终端安全:EPP、EDR,网络安全:漏扫、NGFW,虚拟化平台)都有自己的资产管理功能,但由于限于某个细分领域故而资产库不全,彼此没有互动形成竖井(Silo),因而安全团队没有办法给出各个系统的资产之间的交叉联系,也无法整合这些系统的知识完善资产属性。

Axonius的网络安全资产管理平台,为每个设备提供一个管理的页面,可通过使用适配器通过API与现有系统连接,为每个设备创建唯一标识和配置文件,最后可通过插件实现跨设备的动作执行。

产品介绍

保护网络中的资产是否安全,第一步是了解网络中存在哪些设备,包括用户已知的设备和未知的设备。通过Axonius网络安全资产管理平台,使用者可只需从一个页面了解所有设备的情况,并且可以了解自己的设备是否安全。

多输入源融合的资产管理

Axonius将客户现有的管理和安全技术集成到资产安全管理中,对个人和企业用户的设备类型进行识别,自动检测新上线的设备,并且能对笔记本电脑、服务器和物联网设备等不同类型的设备进行区分。使用可扩展的插件架构,让用户能自己添加自定义的逻辑,如下图所示,用户可以获得所有设备的界面,并能使用设备的属性进行搜索查看设备的信息和状态。

Axonius资产管理页面

 

需要说明的是Axonius通过插件化的方式与各种IT、安全和网络平台对接,获得其管理的各类资源,所以Axonius中的资产更为广义,例如可与VMware Vsphere对接,那么虚拟机镜像ova就是一个资产,同时,Axonius也能通过关联多个第三方系统,交叉验证并资产,例如VMware vsphere的虚拟机可与终端安全管理平台EPP的主机融合,保证资产属性的完整性和一致性。

补丁管理

补丁管理的核心是“知行合一”,就是将已知的漏洞的知识库,对应补丁打到每一个有漏洞的设备上。这就要求安全团队了解设备正在使用的软件的版本、漏洞以及不及时修复会带来的威胁。另一方面,在物联网设备较多的网络环境中,就需要一种新的方法来解决对未知设备的管理以及未知漏洞的发现。通过了解资产的具体版本、详细漏洞信息,Axonius可提供一套科学的补丁管理方案,来保护用户设备的安全性。

补丁管理流程

动态设备发现和策略执行

Axonius通过适配器连接到客户环境中的设备和管理系统,插件就可以使用跨设备管理功能。Axonius拥有70多个安全集成和资产管理的解决方案,只需要通过兼容插件连接到用户资产的最新数据,可以是Windows、Mac、Linux系统,甚至是物联网设备的嵌入式系统。例如:插件可以连接到Windows服务器的目录服务,并不断查询创建的任何新建的组织单位。一旦确定了设备是什么,Axonius就可以配置适当的权限和策略,以确保设备对数据的安全访问,下图为策略管理页面。

Axonius设备策略管理

产品特点

完整的资产发现和管理

将多个第三方系统发现的资产进行融合,得到环境中完整、一致的资产数据库,向SOC提供完整的资产信息,这对安全运营是非常必要的。

此外,对第三方系统的资产列表做对比,可及时发现某个系统未关注或未管理(Unmanaged)的资产,向安全团队提供如终端防护率、扫描覆盖率和可管理设备的覆盖率的报告,提高整个环境中的资产可视度(visibility)。

同时也借助第三方系统的更新通知,可及时对资产变更进行相应的处置,调整访问策略。

可扩展的插件架构与统一视图管理

将客户现有的管理和安全技术集成到Axonius资产安全管理中,使用可扩展的插件架构,让用户能自己添加自定义的逻辑,并且用户可以获得所有设备的统一的界面——包括已知和未知的设备。

支持对物联网设备管理

随着IoT的发展,智能设备走入千家万户,所以设备的可见性和控制对于网络安全而言是一个新的挑战。一方面,面对成百上千的物联网设备,安全管理员很难知道我们的网络中存在哪些设备;另一方面,物联网设备的成本竞争还是非常激烈的,所以安全往往不是首要考虑的问题,Axonius管理平台同样可以发现、管理并防护没有安全防护的智能设备,并可以从一个页面了解所有设备的情况以及设备是否安全。

BYOD设备的可见性

虽然BYOD的模式方便了日常工作,但模糊了家庭和工作之间的界限。企业的员工拥有多设备,并且不断增加更多设备,这些设备是异构、复杂,且很多是非可管理的。Axonius管理平台可以告诉你这些设备何时连接和访问资源,尤其是当这些设备不做任何的安全防护时,Axonius管理平台的价值更为显著。

 Axonius可集成的安全方案

分析点评

IT环境的可视度始终是安全运营的第一步,其最大的价值是作为其他安全管理的基础。并且伴随着近些年物联网设备数量的剧增,资产管理问题也越来越复杂。Axonius的网络安全资产管理平台可通过整合客户现有的管理和安全技术,并使用可扩展的插件框架,让安全团队可以添加自定义的组件,获得网络中完整、一致的资产清单。对现有安全管理平台的整合确实是一种资产管理的解决思路,但如果企业中的管理及安全技术不能被Axonius集成,或是在网络复杂且此前没有对资产进行管理的企业中,Axonius的如何对资产进行管理呢?所以绿盟君认为资产管理单做集成是不够的,还需要建立多场景下的资产识别管理模型,从更底层做起,减少对环境的依赖,或者添加采集控制节点形成闭环,不然Axonius的独立发展空间还是十分有限。此外仅从官网资料看,Axonius的资产管理、补丁管理、对各个平台兼容等功能,并不是颠覆性的创新,国内已经有一些安全公司在这些方面都做的比较好了,从技术实现上来看,只是可视化和API的编写集成,不具有一定技术壁垒,很容易其他的资产安全管理平台公司复制并超越,也可能是Axonius面临的问题。

Axonius官网多个模块出现诸如物联网、EDR、DevOps、零信任等现在热度很高的名词,但并没有他们产品与这些领域结合的详细的资料,给人一种团队的产品营销超于技术的感觉。绿盟君本想去试用下这款产品,给出更客观的评价,但很遗憾,他们的业务人员回复目前还没有对中国市场进行覆盖。以上仅供参考,还是很期待Axonius在RSAC展示讲解中,可以给我们带来不一样的东西。

Salt Security是一家起源于以色列的安全服务公司,公司于2016年成立,总部设在硅谷和以色列,创始人有以色列国防军校友、网络安全领域专家等。该公司致力于为软件即服务(SaaS)平台、Web平台、移动端、微服务和物联网应用程序的核心API提供保护解决方案。该公司现已推出业界首个探测与防御API攻击的解决方案,以确保SaaS、Web、移动端、微服务以及物联网应用的安全。

 

背景介绍

随着互联网应用的多元化复杂化,应用服务化成为显著的趋势,越来越多场景中的应用架构中采用应用编程接口(API)作为应用间数据传输和控制流程。同时API接口负责传输数据的数据量以及敏感性也在增加。因此针对API的攻击已经变得越来越频繁和复杂,成为当今不少公司的头号安全威胁。在过去的几年时间里,市场上已经看到了API面临的风险和攻击的巨大增长,不仅出现了FaceBook、T-Mobile等公司的API违规事件,也出现了美国邮政服务(USPS)和Google+的最新漏洞泄露事件。

Gartner预测到2022年,API攻击会成为导致企业应用程序数据泄露的最常见的攻击。云安全联盟(CSA)在2018年将不安全的API列为云计算面临的第三大威胁。开放Web应用程序安全项目(OWASP)在最新的报告中表示API安全性是一个重要关注点,其报告中披露的十大漏洞中有9个与API组件相关。

API是架构师设计,并由开发者实现,每个API都是唯一的,具有各自的逻辑,因而产生的漏洞也没有统一的模式。目前传统API安全解决方案仅关注已知的攻击类型,缺乏对API的细粒度理解,忽略针对API逻辑的攻击。例如,某些API的业务逻辑是访问应用程序和敏感数据,如果攻击者针对逻辑层面的漏洞进行攻击,绕过传统防护方案。例如,攻击者可以合法身份的用户访问API,这些用户采用不易觉察的手段,在侦查阶段探测每个API以寻找到API中的漏洞。

产品介绍

2018年Salt Security推出了业界首个探测与防御API攻击的解决方案,以确保SaaS、Web、移动端、微服务和物联网等应用的安全。Salt Security的API安全防护平台能够在攻击者成功入侵关键业务应用程序和窃取敏感数据之前,检测并阻断威胁。

Salt Security的API防护平台分三个阶段运行:

检测阶段:Salt Security防护平台会自动并持续的监控环境中所有API,当环境发生变化时防护平台通过自动探测捕获到API的变化,以便后续分析API背后的风险。通过洞察API环境中流动的数据来识别其中的敏感数据,便于评估敏感数据潜在的暴露风险。防护平台跟踪并验证API更新后的最新状态,确认所有的API都满足安全需求。

防护阶段:Salt Security防护平台不仅对安全堆栈中现有的漏洞进行检测,而且能针对API逻辑攻击提供实时保护机制。防护平台使用人工智能(AI)技术和大数据技术,基于API的细粒度合法行为建立API正常行为基线,实时对API行为进行监控,一旦检测到API活动中出现偏离基线的行为即作为可疑恶意行为进行API攻击行为评估,该API防护平台可以在攻击者的侦察阶段实时防止API攻击的发生。

补救阶段:通过防护阶段对攻击者行为的快速评估结果,补救阶段自动化相应威胁并对攻击者的恶意活动进行阻断。为了向安全团队提供有价值的情报,防护平台向开发人员提供API源代码相关漏洞信息,以便从根源上阻止API攻击进而提高API安全性。

下图是API防护平台经过三个阶段为安全人员提供的API攻击行为信息。

公司联合创始人兼首席执行官Roey Eliyahu表示“传统的API安全解决方案无法检测到最新的API攻击,但通过应用人工智能和大数据技术,我们的API安全解决方案可以在API攻击成功之前识别并阻止攻击者。”

产品特点

01

Salt Security的API防护平台基于人工智能和大数据技术,不需要通过配置的方式创建基线也不依赖于签名技术,而是通过不断的学习API行为来建立API细粒度正常行为基线,学习算法随着API的更新而发生变化,因此能够检测到针对API逻辑的攻击,而传统API安全解决方案无法检测。

02

Salt Security的API防护平台具备容易部署以及适用性普遍的优势。API防护平台只需几分钟即可完成部署,无需配置或自定义即可帮助保护应用程序并改善API防护等级。Salt Security 的API防护平台可用于SaaS平台或混合部署,适用于需要本地数据处理的情况。

03

Salt Security的API防护平台为安全团队提供最有价值的API安全信息。防护方案利用平台产生的警报来关联攻击者活动并与攻击者所有事件进行组合,挖掘出一系列恶意API调用,大大减少了误报的生成。为了便于安全团队查看和了解攻击过程中的具体情况,API防护平台提供整合过的时间表,其中包含攻击者活动的详细信息。

目前许多企业客户已经部署了Salt Security的API防护平台,合作伙伴包括亚马逊AWS、谷歌Cloud平台、微软Azure等明星公司。Salt Security API防护平台在未来能够持续的针对企业的业务增长以及差异化提供最新的API安全防护。

分析点评

随着云计算的发展,越来越多的企业将服务或能力以API的方式呈现,API成为连接互联网商业生态的重要环节。对于普通用户来说API只是他们所使用的服务,但对于企业而言API在数据交换的过程具有重要的商业价值,一旦API服务在数据交换过程中出现安全隐患则会给企业带来严重的利益损失。

相对于WEB安全监测和防护产品,API安全领域存在极大的空白。目前市场上落地的API安全防护平台和解决方案很少,有的API防护解决方案依赖于特定的云环境,例如Apigee适用于Google Cloud;有的API防护平台无法应对新一代API攻击,而是关注在API授权和管理策略层面,例如MuleSoft。Salt Security选择以API安全为切入点,研发出新一代API安全防护平台为SaaS平台、Web端、移动端等提供应用API的安全防护机制。其API保护平台是业界第一个利用人工智能以及大数据技术对API行为建立基线并进行下一代API攻击防护的解决方案。Salt Security的API防护平台的创新之处在于利用API细粒度正常行为构建行为基线,监控API活动和流动的数据以确保API行为没有偏离正常基线而且隐私数据不会被泄露。这种结合AI和大数据技术的解决方案能够动态监控API安全做到API的实时防护。但是绿盟君的顾虑是部署其防护平台的公司是否需要向Salt Security暴露部分API交互过程中的数据以做到更好地建立API行为基线,这一点没有在其落地的产品中看到有关的解释。

Salt Security的API安全解决方案具备快速部署的优势,能够持续的学习API中的细粒度行为并发现攻击者的恶意活动,无需进行过多的自定义配置即可确保API安全。Salt Security的API防护平台不仅具备适用性广、API防护能力强、容易部署等优势,并且其核心技术壁垒高、商业化落地性比较好,绿盟君认为Salt Security不仅在本次RSAC创新沙盒竞争中非常具有竞争力,并且对Salt Security未来的发展前景看好。

END

请点击屏幕右上方“…”

关注绿盟科技公众号NSFOCUS-weixin

↑↑↑长按二维码,下载绿盟云APP

声明:本文由绿盟科技企业号发布,依据企业号用户协议,该企业号为文章的真实性和准确性负责。创头条作为品牌传播平台,只为传播效果负责,在文章不存在违反法律规定的情况下,不继续承担甄别文章内容和观点的义务。

评论

未登录的游客
游客

    为您推荐
  • 推荐
  • 人物
  • 专题
  • 干货
  • 地方
  • 行业
+加载更多资讯

阅读下一篇

【纵联读报】苹果联合创始人沃兹尼亚克:我真的很想要可折叠手机

【纵联读报】苹果联合创始人沃兹尼亚克:我真的很想要可折叠手机

返回创头条首页

©2015 创头条版权所有ICP许可证书京ICP备15013664号RSS