作者:绿盟
Duality Technologies
Duality Technologies成立于2016年,总部位于美国马萨诸塞州剑桥市,由著名的密码专家和数据科学家联合创立。公司致力于研究大数据/云环境下的数据安全与隐私保护技术,为企业组织提供了一个安全的数字协作平台,目前在美国和以色列开展业务。目前获得了由Team8领导的400万美元投资。2019年入选RSA大会的创新沙盒前十强,成为两家入选的数据安全公司之一(另一家是Wirewheel公司)。
背景介绍
在人工智能、大数据和云计算等信息产业蓬勃发展的同时,数据安全和敏感数据(包括个人隐私)泄露问题日益严峻。仅2018年过去的一年,就发生了多起重大的(千万级记录以上)数据泄露事件,如国外Facebook 8700万用户数据泄露,国内圆通10亿条用户信息数据在暗网被出售,华住旗下多个连锁酒店的2.4亿入住记录泄露。
数据泄露不仅造成公司形象受损、公信力降低,也直接或间接地导致公司经济的损失。随着这些事件发生及影响的报道,企业对数据安全问题越来越重视,用户的个人隐私保护意识也越来越强烈。同时,一些法律法规提出了更严格的数据安全与隐私保护要求。2018年5月25日,欧洲联盟正式实施《通用数据保护条例》(General Data Protection Regulation,简称GDPR),对基本的个人身份信息、医疗敏感数据和网络行为信息等提出安全保护要求。国内,相继也颁布了类似的法律法规,如《信息安全技术个人信息安全规范》、《信息安全技术大数据安全管理指南》和《信息安全技术个人信息去标识化指南》等。
为了应对数据安全与隐私保护挑战,企业除了应用传统的加解密技术外,还在根据不同的业务场景和需求,积极探索匿名化(Anonymity)、数据脱敏(Data Masking)和数字水印(Watermarking)等新型技术,甚至一些前沿技术的实践与落地,如保留格式加密(Format-Preserving Encryption,简称FPE)和差分隐私(Differential Privacy)等关键技术。然而,上述提到的几种技术无法解决第三方平台(如云环境)的数据处理过程的数据与隐私保护问题:① 传统加密技术使得加密后数据失去可用性;② 脱敏等变换后的数据产生了失真,无法得到精确的处理结果。同态加密技术是近年来被学术界和工业界十分看好的一种加密技术,可实现数据加密后仍然可以被处理。但是,现有的多数同态加密方案由于占用资源过大且速度过慢导致无法从理论实现实用化,目前仍然面临各种问题与挑战。
Duality Technologies公司结合自身在同态加密等先进密码领域的研究和积累,声称突破了传统实现的困难性,最终实现了商业化,提供数据分析和数据与隐私保护的数字协作平台。接下来将对Duality公司、产品和关键技术进行一一解读。
公司简介
Duality公司强调“maximizing data utility, minimizing risk (最小化数据风险的同时,最大化数据利用价值)”的理念,在大数据隐私保护、模型的版权保护和数据合规等方面为客户提供实用的的解决方案。得益于自主研究的同态加密(Homomorphic Encryption)等先进密码技术,提供的安全产品可以使得数据在整个分析和处理生命周期中,始终保持加密状态,用户无需解密即可生成数据洞察结果。比如在云计算场景中,数据拥有方将数据加密存储在云计算平台中,数据拥有方提交数据统计或处理任务,直接对加密数据进行操作即可,不需要在云平台中进行解密,因此存储方无法获取真实的数据内容。Duality声称这项突破技术有利于企业内部和企业间的数字协作,实现安全的机器学习和数据挖掘任务,降低了数据泄露风险,同时完全遵守隐私保护法规。
目前,Duality产品在医疗、金融、汽车、保险、电信和教育等多个领域有应用。
公司产品
SecurePlus™平台是Duality公司主打的产品。它允许数据的生命周期中,总是处于安全状态,敏感数据或有价值的模型不会暴露。SecurePlus™支持多方参与计算,有利于数字化的协作。SecurePlus™平台主要有三种应用场景:
1安全数据分析
SecurePlus™平台使得数据所有者在不公开敏感数据时(数据加密),仍然可以使用第三方分析工具,如机器学习、数据挖掘工具进行分析和处理。使用抗量子的同态加密技术实现了数据端到端的保护。SecurePlus™平台保护了有价值的数据在不可信的云环境中的保密性和安全性。
2机器学习模型的版权保护
该场景不同于前一个场景,即机器学习模型不属于第三方,而是属于客户版权所有。SecurePlus™平台确保模型拥有者将模型在不可信任的第三方部署、存储和使用机器学习模型(一系列参数)在云环境中一直处于加密状态,客户端将样本后加密后上传至云端。通过同态加密运算,样本和模型可以在密文域进行预测和分类任务,完成后云端将结果返回给客户端,客户端将结果解密,得到真实的预测结果。由于没有加解密密钥一直保存在合法方,因此即使黑客和第三方即使窃取模型,也无法完成机器学习任务的闭环。
3数据共享的隐私保护
SecurePlus™平台确保多方数据安全共享与协作。同态加密在链接和计算过程中保护了每一方的资产,在整个过程中保护隐私并且符合法律法规需求,特别是GDPR对于多方协同的数据隐私要求。
技术解读
同态加密是Duality公司SecurePlus™产品的核心技术。同态加密是密码学界近年来的一个研究热点,主要应用在不可信的云环境中。其加密函数具有以下性质,
该性质称为同态性。通俗地讲,在密文域进行º操作相当于在明文域*进行操作。这种性质使得密文域的数据处理、分析或检索等成为可能。即,不解密任何密文的条件下对仍然可以对相应明文进行的运算,使得对加密信息仍能进行深入和无限的分析和处理。
同态加密的研究可以追溯到20世纪70年代,在RSA密码体制刚提出不久,Rivest (RSA公钥密码设计者)等人又提出了全同态加密的概念,但一直没有寻找到符合的全同态加密方案。直到2009年,IBM的研究人员Gentry首次设计出一个真正的全同态加密体制,随后许多其他同态加密方案被提出。然而,多数方案由于占用资源过大且速度过慢导致方案无法实用化。根据该公司自身报道,其“同态加密”技术商用化和产品实现处在业界领先地位(由于无法获得该产品的使用,无法真实地了解产品的性能如何,持质疑和有待验证态度),该技术在多个场景和实践中有广泛的应用。
基于同态加密的机器学习是指在加密数据上实现机器学习任务,如分类和聚类等,是近年来新的学术研究热点。它可以分为加密神经网络、加密KNN、加密决策树和加密支持向量机等算法。猜测Duality公司在方案实现上吸收和借鉴了这些已公开的研究成果。目前面临一些问题与挑战是[3]:
1. 如何在保证数据安全的前提下选择合适的同态加密方案来实现不同的数据分析;
2. 如何解决全同态加密方案中存在的噪声、运算复杂和运算效率低等问题;
3. 如何在确保算法安全性的前提下,使加密机器学习算法的准确度在可接受范围内。
除了自身发展和产品化外,Duality公司在同态加密标准化工作中做出一些重要的贡献。2016年6月,在第一次同态加密标准化研讨会,与微软、NIST等结果共同提出白皮书标准:1) 安全同态加密的安全设置;2) 同态加密的API标准;3) 同态加密的应用。后续,Duality公司主导并成立一个行业联盟HomomorphicEncryption.org,定期召开后续会议来共同开发同态加密标准。该联盟的参与者包括IBM和微软等大型跨国公司、麻省理工学院(MIT)和斯坦福大学(Stanford)等领先学术机构等领先初创企业。
总结
随着云计算和大数据技术的发展,越来越多的数据在第三方平台进行存储和计算。在云端实现数据处理的同时,如何保证数据的安全性是客户的一个普遍诉求。Duality公司的SecurePlus™平台基于自主研发的同态加密先进技术,提供了不一样的解决思路。提供的三种实际业务场景,抓住了客户的痛点,实现了“maximizing data utility, minimizing risk”,在第三方平台进行机器学习和数据挖掘任务同时,可以保证数据不会被泄露。将同态加密技术率先实现商业化与落地、并成功应用到数据安全领域中,是Duality公司在数据安全领域的差异化所在及创新亮点。
最近,一个鼓舞人心的消息是,微软开源了同态加密库,并“坚信”该技术已成熟到可用在现实世界应用的程度,源代码已放至GitHub[4]。随着GDPR法规的正式实施和RSA大会的宣传,势必该创新公司的同态加密解决方案将吸引大家强烈的关注与兴趣。SecurePlus™平台的成功案例将鼓舞其他安全公司重新评估该新型安全加密技术,甚至加入未来几年的重点投资选项。
参考链接:
[1] https://duality.cloud/products/.
[2] http://homomorphicencryption.org/.
[3] 崔建京, 龙军, 闵尔学, 于洋, & 殷建平. (2018). 同态加密在加密机器学习中的应用研究综述. 计算机科学, 45(4), 46-52.
[4] https://www.secrss.com/articles/767,让专家和新手都轻松:微软开源同态加密库“SEAL”
Capsule8
公司介绍
Capsule8是一家由经验丰富的黑客和安全企业家创建的高新科技初创型企业,总部位于纽约布鲁克林,成立于2016年秋季,在2018年8月获得1500万美元的B轮融资。
Capsule8开发了业界第一个也是唯一一个针对Linux的实时0day攻击检测平台,可主动保护用户的Linux基础设施免受已知和未知的攻击。Capsule8实时0day攻击检测平台可显著改善和简化当今基础架构的安全性,同时为未来的容器化环境提供弹性的支持。
背景介绍
混合云架构已经成为企业IT基础设施的重要架构,但其复杂性也使企业面临多种攻击的风险,根据Capsule8与ESG Research赞助的一项新研究(针对混合云环境对北美和西欧地区的450名IT和安全专家进行的调查)表明,仅2017一年就有42%的企业报告了混合云环境受到攻击,28%的企业表示0day攻击是这些攻击的起源。
混合云环境由于存在多云服务商,缺乏中心控制和完整的合规性规划,存在边界模糊,访问策略不一致等问题,笔者曾探讨过[1]相关的访问控制机制,加上公有云的暴露面增大,攻击者容易通过进入薄弱点,这也是近年来如软件定义边界SDP、移动目标防护MTD等新方案兴起的原因。
攻击者进而借助利用0day漏洞,如在容器环境中利用逃逸漏洞(近日爆出在特权容器中逃逸的runc漏洞CVE-2019-5736),或虚拟化环境中的利用CPU漏洞Meltdown/Spectre等,进入宿主机,进而横向到企业的云内或企业侧网络,造成更大的威胁。
此外,传统的攻击检测平台的工作机制通常是分析网络和安全设备(如入侵检测系统)的大量日志告警,进行关联分析,最后还原出恶意攻击。然而多年来,设备日志告警的置信度不高等问题导致绝大多数平台告警是误报,也造成了企业的安全团队持续处于警报疲劳的状态。企业急需一种可以有效解决上述问题的安全方案。
无论是传统环境,还是混合环境,防护利用0day漏洞的高级威胁需要企业安全团队全方位持续防护资产、获得环境的可视度(visibility),检测恶意行为。
产品介绍
该公司推出的0day攻击实时检测平台Capsule8,在发生攻击时通过自动检测和关闭正在利用漏洞的恶意网络连接,从而大规模减少安全操作的工作量,而且不会给生产基础架构带来风险。
Capsules8平台整体架构图如下所示:
① Capsule8 OSS传感器,即Capsule8工作负载保护平台的探针,是许多威胁检测机制的基础。传感器旨在收集系统安全和性能数据,对服务的影响很小,它能够实时了解到生产环境正在做什么。该传感器软件已开源,项目地址是https://github.com/capsule8/capsule8
② Backplane,包含一个实时消息总线,可以获取到传感器传来的实时事件以及Flight Recorder记录的历史事件,它实现了背压从而确保了平台不会因为过多的Capsule8遥测事件而导致网络洪水事件;
③ The Capsule8 API server,提供了统一的接口,允许企业管理生产环境中基础设施架构所有跟安全相关的数据;
④ Capsulators封装了连接客户端软件的API,通过它企业可以快速集成实现特定功能的软件如Splunk和Hadoop,方便企业进行数据分析。通过Capsulators企业不仅可以实时感知集群信息,还可以通过Flight Recorders获得历史数据,依据IOC(Indicators of Compromise,包括MD5 hash、IP地址硬编码、注册表等),从而实现追溯调查;
⑤ 第三方工具,如Splunk和Spark等;
⑥ Capsule8 Console,前端可视化界面。
下面我们介绍Capsule8如何实时检测并阻止0day攻击。假设客户生产环境是一个混合云环境,服务器部署于客户侧数据中心、公有云AWS和Azure中。
Capsule8的整个工作流程主要分为以下几步:
>>>>
1. 感知
为了保护分布式环境,Capsule8传感器遍布在整个基础架构中-云环境和数据中心的裸机以及容器上。由于传感器运行在用户空间,捕获少量的安全关键数据,故不会对系统工作负载的稳定性和性能造成影响。
以容器环境为例,前述关键数据包括:
a.进程生命周期事件(fork,execve以及exit);
b.open(2)系统调用返回值;
c.匹配容器镜像名字的file open事件;
d.涉及IPv4的SyS_connect的内核函数调用事件;
e.容器生命周期事件(创建、运行、退出、销毁)。
>>>>
2.检测
感知阶段收集到的关键数据通过Capsule8 Backplane传送到企业侧临近位置的Capsule8 Detect分析引擎,利用云端专家的知识库将数据还原成事件,并对可疑事件进行分析。
>>>>
3.阻断
当Capsule8检测到攻击时,它可以在攻击发生之前自动关闭连接,重启工作负载或者立即警告安全团队。
>>>>
4.调查
由于0day攻击持续事件较长,所以除了实时检测外,Capsule8会在本地记录遥测数据,便于专家利用历史数据进行攻击朔源。
产品特点
检测和跟踪0day威胁从本质上是非常考验安全团队的日常运维和运营能力的,Capsule8可在如下方面有所帮助。
从安全运营团队角度来看
>>>>
1.实时检测漏洞
Capsule8使用分布式流分析与高置信数据相结合,在黑客企图攻击的实例中检测攻击。
在混合环境的检测引擎、数据本地化,专家云端化,并将两者结合形成类边缘计算的层级化检测模式,可在大规模环境下减少数据传输,避免合规性风险,同时提高检测精度和响应速度,使得Capsule8这样的小型安全企业提供大规模Sec-aaS/MDR服务变成可能。
>>>>
2.确保高置信度告警
Capsule8的系统级检测是不断更新的,它使用动态攻击指标(IOA,Indicator of Attack,其是一个实时记录器,包括代码执行等,专注于检测攻击者试图完成的目标)而不是行业标准的IOC指标来发现最新的0day攻击。因此,以前困扰客户的大量潜在威胁告警变成了少量的围绕实际场景的攻击告警。
>>>>
3.清晰和可行动(Actionable)的情报
Capsule8提供了一定程度的透明性,可以很容易的确定警报触发的原因,以及攻击者后续的操作。
>>>>
4.可适配多种环境
Capsule8可以轻松实现复杂且可自定义的策略,这些策略不仅在不同的基础设施环境中可能会不同,而且在更精细的系统项目中也会有差异。通过Capsule8可以最大限度地减少误报。
Capsule8可在各种环境(公有云,数据中心,容器,虚拟机或裸机)中Linux版本上提供无缝、易于部署的检测。同时保护所有主要的编排器,包括Kubernetes,Docker和CoreOS,以及Puppet和Ansible等配置管理工具。
此外,可与现有系统集成,充分利用现有的安全工具,如SIEMs日志分析工具(如Splunk和ELK Stack)和取证工具。
>>>>
5.自动化攻击响应
Capsule8可帮助客户实时检测和响应攻击。例如,客户可以在启动Capsule8时选择立即关闭攻击者连接、重新启动工作负载或立即向调查员发出警报。
2从安全运维团队角度来看
>>>>
1.系统稳定性好,性能影响小
Capsule8运行在用户空间,在不需要内核模块的情况下收集内核级数据。这就保证了生产环境(服务器和网络)的系统稳定性。
为确保对主机和网络的性能影响最小,Capsule8采用资源限制器,通过智能减载策略强制对系统CPU,磁盘和内存进行硬限制。
分布式的分析方法与边缘计算相似,将计算操作推向尽可能接近数据,确保就算是在系统最繁忙时候也对网络影响最小。
>>>>
2.简单的部署和维护
Capsule8代理是一个单一的静态Go二进制文件,它是可移植的,易于安装和通过各种编排机制进行更新,包括Puppet,Ansible,Kubernetes等。
总结
随着企业寻求基础设施现代化,DevSecOps的落地在现代混合云环境下就显得尤为重要。Capsule8可以无缝的集成到企业的Linux基础架构中,并在企业的整个平台上提供持续的安全响应。此外,它不是SaaS解决方案,它是与用户的IT基础设施一起部署。因此,数据完全保存在客户环境,消除了第三方传播、删除或损坏数据的风险,从而给企业带来更好的安全新体验。
参考链接:
[1]Yuxiang Dong, Wenmao Liu, Kun Wang,Research and Implementing of Software Defined Border Protection in Hybrid Cloud, Proceedings of 2016 3rd International Conference on Engineering Technology and Application,2016
CloudKnox
公司介绍
CloudKnox是一家位于美国加利福尼亚州森尼韦尔的初创高科技公司,成立于2015年9月。公司已经完成A轮融资,累计融资1075万美元。
介绍该公司前,我们先提出如下几个问题:
– 谁可以访问云环境?
– 这些用户都有哪些权限?
– 用户使用这些权限可以做什么?
– 用户实际使用过哪些权限?
– 风险是什么,我们如何可以降低风险?
当前的云平台大多采用基于角色的访问控制(RBAC)的访问控制模型,不同的角色具备不同的权限,然后赋予用户特定的角色以使其具备相应的权限。但是在云环境中,按照这样的策略所赋予用户的权限有可能过大。2017年2月,亚马逊AWS因为一名程序员的误操作导致大量服务器被删,最终导致Amazon S3宕机4小时。这说明,在云环境中,尤其需要对高风险权限的操作进行限制。
CloudKnox专注于访问控制领域,致力解决上述问题,关注于用户身份所具有的权限和其实际使用的权限,希望通过对用户操作时所用的身份、权限的梳理,并最小化其身份所需要的权限,从而降低未使用的权限泄露所带来的风险。
产品介绍
该公司提供一个云安全平台(CloudKnox Security Platform),用于混合云环境中的身份授权管理(Identity Authorization Administration,IAA),以降低凭据丢失、误操作和恶意的内部人员所带来的风险。目前该平台已经支持主流的云计算环境,如Microsoft Azure、VMWare vSphere、Amazon Web Services、Google Cloud等。
CloudKnox Security Platform有五大关键能力:
(1) 对于身份、权限、活动和资源的可视化和洞察力;
(2) 对身份进行基于活动的授权(Activity-based authorization),授权对象包括服务账户、API keys、第三方合作伙伴等;
(3) JEP(Just Enough Privileges)控制器可自动调整用户的权限,从而降低高权限用户所带来的风险;
(4) 在混合云环境中进行异常检测和身份活动分析;
(5) 提供高质量的活动数据用于合规性报告,提供强大的查询接口用于调查问题。
下面通过该平台的一些截图来对其功能进行介绍。
(1)CloudKnox Security Platform对用户的行为进行持续地监控,用户行为蕴含着系统对该用户进行该操作的授权。通过持续监控,平台可把用户所具有的权限分为两类,使用过和未使用过,如下图所示。
安全管理员在开始时会授予用户若干权限,但有些业务权限可能并不会被用到,且又存在被攻击者窃取并滥用的可能,造成不必要的风险,换言之,如果能裁剪这些未使用的权限,则将风险最小化。
(2)该平台会对上述风险进行评估,如果未使用的权限越多,或这些权限被滥用导致的风险越高,则整体风险分数越高。
(3)发现上述风险后,管理员可以通过点击鼠标来对身份所具备的权限进行取消或授权。
(4)可以直观看到用户的威胁分数等信息,也可以将其导出成CSV、PDF等格式的文件。
点评
传统的权限管理具有固定、不持续的特点,容易造成管理和运营的脱节。通过分析我们发现,CloudKnox的思路是一个用户具备某个权限,但是平时又不使用这个权限,则可以认为这个用户不具备这个权限并予以撤销。这其实也是对最小特权原理的一种实现方式,CloudKnox所提出的JEP,本质上也就是最小特权原理,但这种运行时进行闭环式的评估,比传统的权限管理更有实用性和更好的用户体验。
但实际环境中,身份、权限关系复杂,即便一些权限一直未使用,在某一刻也有可能需要使用。这一刻有可能对应凭据丢失、误操作和恶意的内部人员的操作,但也有可能是正常用户的需要。虽然管理员可以对已经撤销的权限进行再次授权,但从用户需要这一权限到管理员进行核实确认并授权中间会有一定的时间间隔,而这一间隔,有可能使得一些关键业务响应不够及时。
另外,当身份、权限众多时,管理员的工作量有可能很大。笔者从CloudKnox的公开资料中暂未看到对于这些问题的相关描述。但总的来说,通过对用户的实际未使用权限进行限制,确实可以有效降低凭据丢失、误操作和恶意的内部人员所带来的风险。
公司官网:http://www.cloudknox.io
Axonius
Axonius是一家做网络安全资产管理平台(cybersecurity asset management platform)的公司,该平台主要功能是对用户的设备进行管理,包括资产管理、应用管理和补丁管理等。该公司成立于2017年1月,并于2019年2月5日获得了1300万美元A轮融资。
背景介绍
近几年,智能设备使我们的生活发生了翻天覆地的变化。物联网、BYOD和云等方面的结合更是改变了对访问的定义,并且消除了工作和家庭之间的界限。但智能设备的保护仍然是技术人员和安全团队应该关心的问题。攻击者通常会寻找那些没有安全机制防护,或未被有效管理的设备,入侵并横向移动。
可见,资产管理是安全团队需要首要解决的问题,他们需要知道哪些设备是正在被安全或IT系统管理的,但哪些未被有效管理。如果设备没有可视度(visibility),我们如何管理未知设备?
传统上,技术人员和安全团队必须知道7件事情才能制定可行的资产与补丁管理流程:
1.哪些设备连接到网络?
2.目前安装的是什么版本的软件应用程序?
3.存在哪些安全漏洞?
4.漏洞有多严重?
5.新版本可用吗?
6.升级的影响是什么?
7.升级的紧迫程度是什么?
回答上面的问题对于确定是否应该对设备打补丁都至关重要,而其中的有些问题也确实是一种挑战。
目前随着物联网和移动办公的发展,大量的手机、电脑以及智能设备进入了企业网络中,显然这么多的设备还是没办法统一进行管理。目前的方法大都是基于资产、身份、网络等信息管理设备,每个系统(如终端安全:EPP、EDR,网络安全:漏扫、NGFW,虚拟化平台)都有自己的资产管理功能,但由于限于某个细分领域故而资产库不全,彼此没有互动形成竖井(Silo),因而安全团队没有办法给出各个系统的资产之间的交叉联系,也无法整合这些系统的知识完善资产属性。Axonius的网络安全资产管理平台,为每个设备提供一个管理的页面,可通过使用适配器通过API与现有系统连接,为每个设备创建唯一标识和配置文件,最后可通过插件实现跨设备的动作执行。
图1 Axonius可集成的安全方案
产品介绍
保护网络中的资产是否安全,第一步是了解网络中存在哪些设备,包括用户已知的设备和未知的设备。通过Axonius网络安全资产管理平台,使用者可只需从一个页面了解所有设备的情况,并且可以了解自己的设备是否安全。
1多输入源融合的资产管理
Axonius将客户现有的管理和安全技术集成到资产安全管理中,对个人和企业用户的设备类型进行识别,自动检测新上线的设备,并且能对笔记本电脑、服务器和物联网设备等不同类型的设备进行区分。使用可扩展的插件架构,让用户能自己添加自定义的逻辑,如下图所示,用户可以获得所有设备的界面,并能使用设备的属性进行搜索查看设备的信息和状态。
图2 Axonius资产管理页面
需要说明的是Axonius通过插件化的方式与各种IT、安全和网络平台对接,获得其管理的各类资源,所以Axonius中的资产更为广义,例如可与VMware Vsphere对接,那么虚拟机镜像ova就是一个资产,同时,Axonius也能通过关联多个第三方系统,交叉验证并资产,例如VMware vsphere的虚拟机可与终端安全管理平台EPP的主机融合,保证资产属性的完整性和一致性。
2补丁管理
补丁管理的核心是“知行合一”,就是将已知的漏洞的知识库,对应补丁打到每一个有漏洞的设备上。这就要求安全团队了解设备正在使用的软件的版本、漏洞以及不及时修复会带来的威胁。另一方面,在物联网设备较多的网络环境中,就需要一种新的方法来解决对未知设备的管理以及未知漏洞的发现。通过了解资产的具体版本、详细漏洞信息,Axonius可提供一套科学的补丁管理方案,来保护用户设备的安全性。
图3 补丁管理流程
3动态设备发现和策略执行
Axonius通过适配器连接到客户环境中的设备和管理系统,插件就可以使用跨设备管理功能。Axonius拥有70多个安全集成和资产管理的解决方案,只需要通过兼容插件连接到用户资产的最新数据,可以是Windows、Mac、Linux系统,甚至是物联网设备的嵌入式系统。例如:插件可以连接到Windows服务器的目录服务,并不断查询创建的任何新建的组织单位。一旦确定了设备是什么,Axonius就可以配置适当的权限和策略,以确保设备对数据的安全访问,下图为策略管理页面。
图4 Axonius设备策略管理
产品特点
1完整的资产发现和管理
将多个第三方系统发现的资产进行融合,得到环境中完整、一致的资产数据库,向SOC提供完整的资产信息,这对安全运营是非常必要的。
此外,对第三方系统的资产列表做对比,可及时发现某个系统未关注或未管理(Unmanaged)的资产,向安全团队提供如终端防护率、扫描覆盖率和可管理设备的覆盖率的报告,提高整个环境中的资产可视度(visibility)。
同时也借助第三方系统的更新通知,可及时对资产变更进行相应的处置,调整访问策略。
2可扩展的插件架构与统一视图管理
将客户现有的管理和安全技术集成到Axonius资产安全管理中,使用可扩展的插件架构,让用户能自己添加自定义的逻辑,并且用户可以获得所有设备的统一的界面——包括已知和未知的设备。
3支持对物联网设备管理
随着IoT的发展,智能设备走入千家万户,所以设备的可见性和控制对于网络安全而言是一个新的挑战。一方面,面对成百上千的物联网设备,安全管理员很难知道我们的网络中存在哪些设备;另一方面,物联网设备的成本竞争还是非常激烈的,所以安全往往不是首要考虑的问题,Axonius管理平台同样可以发现、管理并防护没有安全防护的智能设备,并可以从一个页面了解所有设备的情况以及设备是否安全。
4BYOD设备的可见性
虽然BYOD的模式方便了日常工作,但模糊了家庭和工作之间的界限。企业的员工拥有多设备,并且不断增加更多设备,这些设备是异构、复杂,且很多是非可管理的。Axonius管理平台可以告诉你这些设备何时连接和访问资源,尤其是当这些设备不做任何的安全防护时,Axonius管理平台的价值更为显著。
总结
IT环境的可视度始终是安全运营的第一步,Axonius的网络安全资产管理平台可通过整合客户现有的管理和安全技术,并使用可扩展的插件框架,让安全团队可以添加自定义的组件,获得网络中完整、一致的资产清单,且可随时查看这些资产状态变更。
Axonius的目标是成为技术人员最爱的安全工具,安全人员最喜欢的技术工具。更多信息可以访问Axonius官方网站https://www.axonius.com。
WireWheel
成立于2016年,总部位于华盛顿,该公司致力于降低数据隐私保护合规能力建设的难度,帮助企业来应对复杂、严厉的法案、条例规定。2018年10月,公司获得了PSP Growth领投的1000万美元的A轮融资。
背景介绍
据数字安全公司Gemalto 2018年10月发布的全球数据泄露水平指数(The Breach Level Index)报告,2018年上半年共发生了945次数据泄露事件,致使45亿条数据泄露。为加强消费者隐私权和数据安全保护,欧盟《一般数据保护条例》(GDPR)以及《加利福尼亚州消费者隐私保护法案》(CCPA)相继生效和通过。众多缺乏用户隐私、用户数据保护的意识和能力的企业亟需响应各种合规需求,否则将面临严厉的处罚措施。数据隐私安全保护公司BigID成为RSAC2018创新沙盒冠军,详细介绍参见我们去年的2018RSA创新沙盒公司解读(二)。今年的创新沙盒也同样关注数据隐私领域的创新,可见安全领域对数据隐私保护方面的创新需求之强。
隐私保护、数据安全已成为企业安全能力建设的重要环节,然而,在复杂的IT系统环境下加强数据隐私保护,对传统的数据防泄密技术及产品是非常大的挑战,也给企业的数据管理增加沉重的负担。大型企业内部网络环境、数据存储架构复杂,数据隐私保护依赖数据发现、管理、分类等多环节的技术支撑;多部门数据协作共享,需通过数据的关联、聚合分析才能更合理的发现隐私泄露隐患;与合作伙伴或供应商等第三方企业的数据共享环节,数据的管理、隐私策略的配置尤为关键。
特别是面对GDPR针对应用使用用户隐私数据的权限管理,以及数据流动过程中的合规问题,在复杂的企业多部门协同和跨企业的供应链数据流管理方面,存在巨大的合规性挑战。应对这些挑战需要专业的、自动化的管理流程和技术方案的支持。“法规是复杂的,但WireWheel能够使合规变得简单。”WireWheel公司提供的基于SaaS的数据隐私保护平台,旨在降低企业隐私数据处理合规的复杂性,帮助企业快速建立数据隐私保护能力,回答隐私合规性的4个关键问题:
1. 企业收集了哪些个人隐私信息?
2. 隐私信息存储在哪里?
3. 个人隐私信息在哪里处理?
4. 哪些第三方或合作伙伴有对个人隐私信息的访问权限?
产品介绍
该公司专注于基于SaaS的数据隐私保护,能够满足企业隐私影响评估(Privacy Impact Assessments, PIAs)、数据保护影响评估(Data Protection Impact Assessments, DPIAs)、供应商评估等多方面需求。其数据隐私保护平台的主要包含以下主要功能:
隐私数据发现及分类(Data Discovery & Classification)
发现并盘点个人信息,提供数据在组织中驻存、流动的可视化能力;在企业基础设施、数据存储及界面上集成隐私保护能力;支持识别、归类和保护个人隐私数据。
流程映射(Process Mapping)
支持云端资产发现,包括计算节点、存储及serverless组件;包括内置的业务流程映射;能够自动化识别并集成第三方流程。
任务计划(Tasking)
根据角色、业务类型、业务范围制定任务计划,促进和保障相关人员、业务按照计划执行行动。
隐私引擎(Privacy Engine)
提供用户友好的自助式隐私数据保护向导,降低隐私保护任务、操作相关步骤的行动难度。
产品特点
WireWheel提供基于SaaS的数据隐私保护平台,能够从多方面提升隐私保护合规能力建设的效率,降低隐私泄漏的风险。总结起来包括以下几点特征。
(1) 简单集成各类用户环境,持续监控可疑行为
WireWheel能够简单的集成到客户的云环境中,包括AWS、Azure及Google等额云计算平台。自动化的处理数据流,持续的监控各类隐私数据的处理环节,并对可疑的行为触发告警,能够减少大量人力资源。
(2) 快速发现、识别隐私数据,具有可视化能力
基于企业的云端基础设施,WireWheel提供了数据存储、流转的可视化能力,同时能够快速识别、归类和保护隐私数据。
(3) 预先配置的工作流,降低隐私合规工作的难度
根据相关法案、条例要求,辅助企业满足数据隐私保护合规要求,预置了多种过程、内容及模板,提升企业内部现有团队的数据隐私保护能力,降低隐私合规工作的难度,减少企业的人员培训成本。
(4) 跨部门跨企业的全方位协同
在保证数据隐私合规的基础上,大幅度提升业务范围内跨部门、跨企业数据的接入效率。尤其是在与第三方企业存在数据共享的情况下,通过SaaS服务统一监控、管理隐私数据的在云端的处理过程和流向,隐私保护过程不再局限在部门或者企业内部,大大降低了隐私保护在数据共享中的不可控性。
总结
针对新的数据隐私安全保护形势下,企业缺乏在复杂应用环境下满足合规要求能力的痛点,WireWheel通过自动化、模板化的方式提升隐私数据发现、监控和保护的能力,同时通过提供云服务,一方面借助数据在这些客户边界流转的可视度,提供对企业内部跨部门、供应链中跨企业的数据转移的隐私保护提供协同的解决方案;另一方面通过标准化的SaaS服务吸引大量客户,从而迅速提升有隐私合规需求的企业的数据隐私保护能力,促进企业满足多项数据隐私保护法案、条例的要求。
DisruptOps Inc.
DisruptOps Inc.成立于2014年,位于密苏里州堪萨斯城,该公司致力于通过为多云基础设施提供自动化的防护来提升云操作的安全性,实现对云基础设施的持续检测和控制。2018年10月,公司获得了由Rally Ventures领投的250万美元的种子轮融资。
背景介绍
近年来,公有云在国外得到快速发展,大量中小公司开始积极拥抱云计算。然而,公有云服务商的技术能力、安全水平始终成为客户上云的最大顾虑。在这样的背景下,多云(Multi-Cloud)架构成为云计算IT架构的下一个飞跃,在多云架构下,用户同时使用多个公有云提供商和内部私有云资源来实现业务目标。可有效提高公有云基础设施可用性,且降低厂商锁定(Vendor Lock-in)的风险。
然而,管理多个云环境的运营团队面临大规模和复杂的云环境,将很快导致运营成本不断上升;此外,敏捷开发也为越来越多的开发团队所亲睐,云中开发、运营复用的系统将越来越多,DevOps将成为新的云应用常态,那么不同环境中的配置不一致会导致安全风险的显著增加。常见错误包括存储系统的数据被非授权访问、错误配置的安全组导致的内部网络可被外部访问,以及过度分配的资源所导致的资金浪费。例如2017年曝光的美国陆军及NSA情报平台将绝密文件放在可公开访问的Amazon S3存储桶中,这个错误配置的S3存储桶, 只要输入正确的URL,任何人都能看到AWS子域名“inscom”上存储的内容。这包含有47个文件和目录,其中3个甚至可以任意下载。
如果通过手动操作的方式来应对这些挑战,效率低下且无效。DisruptOps通过实施可自定义的最佳实践库来确保一致性和安全性,从而使DevOps团队能够快速无风险地迁移,从而实现云管理的自动化。
产品介绍
该公司推出的基于SaaS的云管理平台,实现对云基础设施的自动控制。通过持续评估和执行安全、运营和经济的防护栏,企业可以在保持运营控制的同时,可以安全的享受云计算提供的灵活性,速度和创新等好处。
1安全防护栏(Security Guardrail)
DevOps的模式促使开发团队和运营团队能够更快地行动、更快地部署和更快地适应。因此,安全问题不能妨碍或减慢整个DevOps进程。安全防护栏会自动执行安全最佳实践,不仅可以发现错误配置和攻击,而且通常可以在发现问题之前修复它们。这样使得DevOps团队能够在没有风险的情况下快速执行。
具体包括:
(1)身份管理。确保身份策略在整个云中保持一致,从而消除过多的权限问题。
例如,在S3、EC2的服务中,实现对需要具有API和命令行访问权限的控制台用户的MFA管理;删除未使用的IAM用户和角色;删除过多的特权;删除未使用的默认VPCs等。
(2)监控。确保在多个帐户中一致的设置日志记录和告警,确保所有云活动的完全可见。
例如,提供最佳安全实践的配置;设置AWS Log Rotation和Archiving;实施集中式的配置监控;实施集中式的告警;创建安全组更改的告警等。
(3)网络安全。管理适当的网络访问策略,确保正确配置安全组以最小化攻击面。
例如,锁定默认的安全组;锁定安全组到当前配置;评估或限制VPC peering;寻找具有过多权限的安全组;启用VPS流量日志等。
(4)存储安全。确保通过自动执行基于策略的标记、访问和加密规则来保护存储的关键数据。
例如,限制S3 Bucket到已知的IP地址;识别没有合适标签的S3 Buckets;识别公共S3 Buckets;使用KMS Keys加密S3 Buckets等。
2运营防护栏(Operations Guardrail)
成熟的云组织在其所有云环境中实施共享服务,包括监控/日志记录、IAM和备份等。运营防护栏可以实现这些共享服务的最佳操作实践,而不需要脚本或任何其它本地的解决方案。
例如,虽然AWS允许用户在控制台中更改资源的类型和大小,但这些都不是以编程的方式提供,使用Trinity API就可以直接的调整资源。
再比如,通过标记的方式,用户可以按照计划自动化的对实例进行快照制作备份,同时还可以将较旧的快照迁移到Glacier,以节省成本。
3经济防护栏(Economic Guardrail)
通常,开发团队会将更多的精力致力于如何更好的构建并快速的部署相关的应用。然而,却很少会有明确的意识,在资源不使用时主动的去关闭它们,这样就会造成云成本的失控。经济防护栏使用预先构建的策略,自动化的关闭不需要的云资源,在不影响开发人员效率或需要本地脚本的情况下节省用户的资金。
例如,可以通过标签设置,在工作时间之外关闭开发实例和其它一些不用的实例,以节约成本;可以调整自动缩放配置,以减少非工作时间的成本;根据实例的具体资源利用率,调整实例的大小,实现成本的降低;分析S3的存储Buckets使用情况,并将其优化到正确的存储层,以降低成本等。
产品特征
无论云的规模大小如何,DisruptOps云管理平台都能及时发现并修复安全、运营和成本管理问题。总结起来包括以下几点特征。
(1)持续评估
开发人员不断地对业务系统进行迭代改变,运营团队不断地进行相关的更新。每做一次更改,都会有违反公司安全策略和偏离最佳实践的风险。因此,需要持续监控和评估环境,进而发现违规行为,然后采取各种行动。
DisruptOps维护所有云平台的多帐户资源,可以为这些资源进行标记分配,并支持基于标记的单独策略。例如,用户可以针对开发和生产环境,实现不同的安全策略。DisruptOps允许开发人员快速进行迁移,而运维团队可以快速的实施最佳实践。
(2)自动执行
DisruptOps在识别到问题之后,可以自动化的提供许多补救方案。通过自动化的执行更改,将环境恢复到最佳实践配置。DisruptOps的防护检测配置,与运维团队为实施策略而构建的许多脚本不同,这是经过生产测试和自动化维护的。
(3)护栏而不是拦截
实现云安全的一个重要的宗旨就是:需要保护公司数据,并执行安全策略和最佳实践,但不要减慢DevOps进程。护栏不会阻挡活动,而是按预期执行安全策略,用户可以为不适用的资源设置白名单和黑名单。
例如,如果为安全组打开了管理员访问权限,那么就不会阻止管理员对这个安全组范围的访问。相反,DisruptOps将策略设置为只允许来自授权公司IP范围的连接。同样,如果管理员帐户需要MFA(AWS Multi-Factor Authentication,多因子认证)并且该帐户已关闭,而不是阻止所有访问(并使管理员脱机),则DisruptOps会将策略重置为需要MFA。
(4)DevSecOps的最佳实践方式
当前,在DevOps过程中添加“Sec”需要大量手工工作来构建、测试和维护脚本。使用DisruptOps Guardrails,无需编程,通过一键式处理进行配置,并通过直观的用户体验来实施和管理Ops。DisruptOps提供报告并支持基于角色的访问控制,以确保只有授权方才能对其管理的云进行更改。
(5)支持云计算的最佳实践
DisruptOps可以帮助用户实施多帐户管理策略,并提供Guardrails来遵循来自CIS等组织的云安全准则和基准。此外,DisruptOps的许多策略源于创始人的实际设计和架构工作,他们拥有多年帮助客户实施世界级云安全建设和运营的经验。
(6) 最低权限原则
在DisruptOps中,最小特权的安全标准是宗旨。始终只为相应操作分配所需的最少权限,然后在进行更改后删除这些权限。通过积极且持续地管理权限,确保不会因自动化而在云安全和操作的关键方面而产生额外的攻击面。
(7) 云原生
DisruptOps构建于云中,用于云,并利用云最佳实践,包括多个帐户组织、无处不在的加密、平台即服务产品,并大量利用API、容器、微服务和功能即服务。这种方法既可以最大限度地减少应用程序的攻击面,又可以与云环境进行即时集成。DisruptOps的创始人近十年来一直倡导云原生架构的理念。
(8) SaaS交付
DisruptOps以SaaS服务交付,也就是说用户环境中无需安装任何软件。一键式配置流程和内置的Ops库,确保用户不再需要投入资源来实施、构建、更新、修补或重新调整护栏的大小。因此,用户可以把精力放回到构建、运行云和DevOps的业务中。
总结
多云和敏捷开发是云计算的热点,DisruptOps以SaaS化的服务方式,通过对用户的多个云资源进行安全与操作问题的快速检测并自动修复,一方面节省了客户上云的成本,另一方面实现对云基础架构的持续安全控制,在安全、运营和成本等方面,给用户带来最大的收益。此外,借助自动化和服务编排的技术,推动云原生应用和DevSecOps的落地。
Salt Security
公司介绍
Salt Security是一家起源于以色列的安全服务公司,公司于2016年成立,总部设在硅谷和以色列,创始人有以色列国防军校友、网络安全领域专家等。该公司致力于为软件即服务(SaaS)平台、Web平台、移动端、微服务和物联网应用程序的核心API提供保护解决方案。该公司现已推出业界首个探测与防御API攻击的解决方案,以确保SaaS、Web、移动端、微服务以及物联网应用的安全。
背景介绍
随着互联网应用的多元化复杂化,应用服务化成为显著的趋势,越来越多场景中的应用架构中采用应用编程接口(API)作为应用间数据传输和控制流程。同时API接口负责传输数据的数据量以及敏感性也在增加。因此针对API的攻击已经变得越来越频繁和复杂,成为当今不少公司的头号安全威胁。在过去的几年时间里,市场上已经看到了API面临的风险和攻击的巨大增长,不仅出现了FaceBook、T-Mobile等公司的API违规事件,也出现了美国邮政服务(USPS)和Google+的最新漏洞泄露事件。
Gartner预测到2022年,API攻击会成为导致企业应用程序数据泄露的最常见的攻击。云安全联盟(CSA)在2018年将不安全的API列为云计算面临的第三大威胁。开放Web应用程序安全项目(OWASP)在最新的报告中表示API安全性是一个重要关注点,其报告中披露的十大漏洞中有9个与API组件相关。
API是架构师设计,并由开发者实现,每个API都是唯一的,具有各自的逻辑,因而产生的漏洞也没有统一的模式。目前传统API安全解决方案仅关注已知的攻击类型,缺乏对API的细粒度理解,忽略针对API逻辑的攻击。例如,某些API的业务逻辑是访问应用程序和敏感数据,如果攻击者针对逻辑层面的漏洞进行攻击,绕过传统防护方案。例如,攻击者可以合法身份的用户访问API,这些用户采用不易觉察的手段,在侦查阶段探测每个API以寻找到API中的漏洞。
产品介绍
2018年Salt Security推出了业界首个探测与防御API攻击的解决方案,以确保SaaS、Web、移动端、微服务和物联网等应用的安全。Salt Security的API安全防护平台能够在攻击者成功入侵关键业务应用程序和窃取敏感数据之前,检测并阻断威胁。
Salt Security的API防护平台分三个阶段运行:
检测阶段:Salt Security防护平台会自动并持续的监控环境中所有API,当环境发生变化时防护平台通过自动探测捕获到API的变化,以便后续分析API背后的风险。通过洞察API环境中流动的数据来识别其中的敏感数据,便于评估敏感数据潜在的暴露风险。防护平台跟踪并验证API更新后的最新状态,确认所有的API都满足安全需求。
防护阶段:Salt Security防护平台不仅对安全堆栈中现有的漏洞进行检测,而且能针对API逻辑攻击提供实时保护机制。防护平台使用人工智能(AI)技术和大数据技术,基于API的细粒度合法行为建立API正常行为基线,实时对API行为进行监控,一旦检测到API活动中出现偏离基线的行为即作为可疑恶意行为进行API攻击行为评估,该API防护平台可以在攻击者的侦察阶段实时防止API攻击的发生。
补救阶段:通过防护阶段对攻击者行为的快速评估结果,补救阶段自动化响应威胁并对攻击者的恶意活动进行阻断。为了向安全团队提供有价值的情报,防护平台向开发人员提供API源代码相关漏洞信息,以便从根源上阻止API攻击进而提高API安全性。
下图是API防护平台经过三个阶段为安全人员提供的API攻击行为信息。
公司联合创始人兼首席执行官Roey Eliyahu表示“传统的API安全解决方案无法检测到最新的API攻击,但通过应用人工智能和大数据技术,我们的API安全解决方案可以在API攻击成功之前识别并阻止攻击者。”
产品特点
1. Salt Security的API防护平台基于人工智能和大数据技术,不需要通过配置的方式创建基线也不依赖于签名技术,而是通过不断的学习API行为来建立API细粒度正常行为基线,学习算法随着API的更新而发生变化,因此能够检测到针对API逻辑的攻击,而传统API安全解决方案无法检测。
2. Salt Security的API防护平台具备容易部署以及适用性普遍的优势。API防护平台只需几分钟即可完成部署,无需配置或自定义即可帮助保护应用程序并改善API防护等级。Salt Security 的API防护平台可用于SaaS平台或混合部署,适用于需要本地数据处理的情况。
3. Salt Security的API防护平台为安全团队提供最有价值的API安全信息。防护方案利用平台产生的警报来关联攻击者活动并与攻击者所有事件进行组合,挖掘出一系列恶意API调用,大大减少了误报的生成。为了便于安全团队查看和了解攻击过程中的具体情况,API防护平台提供整合过的时间表,其中包含攻击者活动的详细信息。
目前许多企业客户已经部署了Salt Security的API防护平台,合作伙伴包括亚马逊AWS、谷歌Cloud平台、微软Azure等明星公司。Salt Security API防护平台在未来能够持续的针对企业的业务增长以及差异化提供最新的API安全防护。
总结
随着云计算的发展,越来越多的企业将服务或能力以API的方式呈现,API成为连接互联网商业生态的重要环节。对于普通用户来说API只是他们所使用的服务,但对于企业而言API在数据交换的过程具有重要的商业价值,一旦API服务在数据交换过程中出现安全隐患则会给企业带来严重的利益损失。
相对于WEB安全监测和防护产品,API安全领域存在极大的空白。目前市场上落地的API安全防护平台和解决方案很少,有的API防护解决方案依赖于特定的云环境,例如Apigee适用于Google Cloud;有的API防护平台无法应对新一代API攻击,而是关注在API授权和管理策略层面,例如MuleSoft。Salt Security选择以API安全为切入点,研发出新一代API安全防护平台为SaaS平台、Web端、移动端等提供应用API的安全防护机制。其API保护平台是业界第一个利用人工智能以及大数据技术对API行为建立基线并进行下一代API攻击防护的解决方案。Salt Security的API防护平台的创新之处在于利用API细粒度正常行为构建行为基线,监控API活动和流动的数据以确保API行为没有偏离正常基线而且隐私数据不会被泄露。这种结合AI和大数据技术的解决方案能够动态监控API安全做到API的实时防护。但是笔者的顾虑是部署其防护平台的公司是否需要向Salt Security暴露部分API交互过程中的数据以做到更好地建立API行为基线,这一点没有在其落地的产品中看到有关的解释。
Salt Security的API安全解决方案具备快速部署的优势,能够持续的学习API中的细粒度行为并发现攻击者的恶意活动,无需进行过多的自定义配置即可确保API安全。Salt Security的API防护平台不仅具备适用性广、API防护能力强、容易部署等优势,并且其核心技术壁垒高、商业化落地性比较好,笔者认为Salt Security不仅在本次RSA创新沙盒竞争中非常具有竞争力,并且对Salt Security未来的发展前景看好
Eclypsium
公司简介
Eclypsium是晋级2019年RSA创新沙盒决赛的公司之一。该公司专注于服务器、笔记本电脑和网络设备(交换机、路由器等)的固件层的检测和防护。至今为止,该公司已经完成A轮融资,累计融资1105万美元。公司成员中,Yuriy Bulygin曾在英特尔工作11年(高级工程师),在McAfee工作了两个月(CTO)。Alex Bazhaniuk和John Loucaides也来自英特尔,在此之前,这三位均负责英特尔的硬件、固件安全。Ron Talwalkar在McAfee工作了11年,作为终端安全业务部产品管理高级总监,负责英特尔安全相关的业务。所以,该公司熟知采用英特尔处理器的设备在硬件和固件上的安全现状。
背景介绍
随着网络产品的普及,个人电脑、服务器、网络设备的数量在急剧增长。设备底层的固件也在不断地迭代,从BIOS到EFI再到UEFI,这些设备的底层固件的安全话题也一直是网络安全领域的热点,如2017年BlackHat Asia上,Matrosov和Vxradius两位研究员介绍了针对UEFI(Unified Extensible Firmware Interface)固件的渗透测试工具集,同年美国的BlackHat上,研究员介绍了近三年UEFI固件的大量安全漏洞。一些UEFI、bootloader等底层启动代码的检测工具和攻击工具层出不限,前述计算机产品的底层固件的安全防护已经变得越来越重要。在漏洞不断披露的过程中,英特尔、AMD和一些第三方厂商如phoenix、AMI不断地更新维护本厂的固件,以保证最新底层固件的安全性。
去年的创新沙盒的入围公司中,Refirm Labs专注于物联网设备的固件安全分析,详细介绍请参见【RSA2018】创新沙盒公司解读(六)|ReFirm Labs简介及技术解读。网络基础设施中不仅仅有物联网设备,还有服务器和路由器、交换机等网络设备,用户侧还有个人电脑,这些设备的底层和硬件的安全问题是否有人关注呢?
Eclypsium专注于企业内部计算机类设备的固件层的安全防护,下面介绍他们的产品、及其特点。Eclypsium所关注的固件和去年的ReFirm Labs关注的固件有所不同,这一点在产品特点中重点介绍。
产品介绍
该公司在固件的安全防护能力上独树一帜,其特点非常明显:在固件层做设备风险管理。固件的能力涉及对主板和与主板连接的外围设备的初始化、网络管理、内存管理、操作系统引导等。换句话说,该程序具备读取、更改设备硬件状态的能力,设备权限很高。这种状态下的代码一旦被更改,设备的运行状态也就被篡改了。该公司研究人员也是利用了该代码管理设备风险。风险管理的能力主要涉及4个方面:漏洞扫描、固件升级管理、防篡改(尤其是后门检测)、未知攻击检测。配置检查部分,可参考创始人维护的一个GitHub项目8。
漏洞扫描:
该功能实现的意义在于识别设备已存在的漏洞,包括非加密的通信、固件版本过时等漏洞的验证。
固件升级:
在扫描完漏洞后,如果固件版本较低,通过升级固件的方式能解决大多数的安全问题,其被利用的可能性也将大大降低,大部分恶意的黑客不会花大量的精力专门挖掘一个可远程控制设备的漏洞链。
防篡改:
如果设备固件升级完成,并实施了其他安全功能,如安全启动等,就可以在设备运行期间监控固件的完整性,以防止攻击者篡改固件。
未知攻击检测:
由于固件对硬件设备的操作权限最高,所以研究人员在固件中加入了硬件行为监控的能力,目的是在设备卖出以后或者租赁之后,检测到未知的攻击手段。
配置检查:chipsec
配置检查是找到软件不正确的配置,源于创始人Yuriy Bulygin创建并维护的chipsec项目。chipsec在GitHub中开源,我们在一台运行Linux操作系统的笔记本上安装后,检测结果如下所示:
该检测过程最后会给出结果汇总,chipsec一共对我们的机器做了23项检测,其中16项通过安全检测。
产品特点
Eclypsium的产品的特点在于专注固件的防护。我们和ReFirm Labs做个对比就会发现,这两家所关注的固件是有很大区别的。这要从计算机的启动过程说起,下面我们尽可能地通俗介绍。
计算机电源打开,到正常看到登陆桌面,这个启动过程中,计算机一共经历了以下三个阶段:
1. 引导阶段(由uboot、BIOS、UEFI等底层机器码引导,引导对象是操作系统内核)
2. 操作系统内核启动、驱动加载阶段
3. 应用程序启动阶段(shell、文件系统、应用等程序的启动)
Eclypsium关注的是运行在PC、服务器和一些网络设备的引导阶段的底层机器码,并把这部分代码称为固件。ReFirm Labs则针对物联网设备的全部三个阶段,把三个阶段所有的机器码称为固件(有点类似于把整个硬盘的内容都当作固件)。物联网设备从软硬件上来看,和传统的嵌入式软硬件并无别,区别在于一些网络架构等宏观的概念。这并非是指Eclypsium关注的少。由于PC、服务器这类设备的要比绝大部分物联网设备昂贵,且在网络中扮演着重要的角色,这些设备的引导阶段的机器码并不比整个物联网设备的存储器中存储的所有机器码简单。物联网安全中提倡的设备安全启动等系统底层保护措施,在十几年前的UEFI固件中已经实现了。
Eclypsium面向企业用户推广固件防护平台,并且只针对引导阶段机器码本身的完整性和可用性,防止企业的产品在被攻击者利用底层的漏洞而产生无法挽回的后果。
总结
除了固件保护平台之外,该公司深入研究了UEFI固件中的安全问题,并在BlackHat USA 2018会议上介绍基于UEFI的系统的远程攻击面,在DEFCON 26会议上也介绍了相似话题,由此可见该公司在计算机固件安全方面的功力之深厚。除了UEFI和BIOS这类固件之外,该公司在BMC(Baseboard Management Controller)方面也具备丰富的安全研究积累[4]。
从研究的角度看,该公司成员在底层固件的研究上非常深入。但是观其产品,漏洞扫描、固件升级、防篡改这类技术已经非常成熟,亮点较少。比较新颖的功能是未知攻击的检测。可以想到的思路是通过硬件设备相关的日志来捕获,但是这需要看UEFI这类底层固件中是否有日志,量是否足够大,以满足较长时间段内的设备行为检测、外部接口访问的检测等,并需要对UEFI固件做一定的更改。该公司的成员在这方面比较擅长,问题在于,如果该团队研发了一个UEFI固件,客户是否有一个必须使用该固件和平台的理由,来满足企业内设备的安全需求?很明显,现在缺少一个理由说服客户必须用该平台,以保证设备足够安全。
好在公司有了1000万美元的融资,能支持其一段时间的研究、研发、运营等,这段时间内能否开发出客户必须使用的底层固件和配套的平台,尚未可知。一旦提供了一个必须使用Eclypsium的平台的理由,该平台的盈利也将相当可观,毕竟亚马逊、阿里巴巴、腾讯等企业的服务器的数量加起来也有数百万台。
技术创新不会非常的密集,创新沙盒举办几届之后,各个新公司的产品在创新方面的吸引力可能会降低。在这样的背景下,能否诞生一家大家都十分信服的企业,非常值得期待。
参考文献:
[1]. Millions of Computers Are at Risk of Hacks That Crack Into Their Core,https://www.bloomberg.com/news/articles/2018-05-17/millions-of-computers-are-at-risk-from-the-next-gen-spectre-bug
http://www.10tiao.com/html/793/201805/2247484648/1.html,中文版
[2]. 找出黑客攻击的漏洞,http://hk.bbwc.cn/2y32dk.html
[3]. Firmware Security Leader Eclypsium Raises $8.75M Series A,https://www.globalbankingandfinance.com/firmware-security-leader-eclypsium-raises-8-75m-series-a/
[4]. Insecure Firmware Updates in Server Management Systems,https://eclypsium.com/2018/09/06/insecure-firmware-updates-in-server-management-systems/
[5]. 近三年的UEFI漏洞统计,https://raw.githubusercontent.com/rrbranco/BlackHat2017/master/BlackHat2017-BlackBIOS-v0.13-Published.pdf
[6]. UEFI渗透测试工具集,
[7]. https://www.blackhat.com/docs/asia-17/materials/asia-17-Matrosov-The-UEFI-Firmware-Rootkits-Myths-And-Reality.pdf
[8]. Chipsec github 项目,https://github.com/chipsec/chipsec
ShiftLeft
公司简介
ShiftLeft公司,成立于2016年,总部位于美国加利福尼亚州圣克拉拉市。该公司致力于将应用的静态防护和运行时防护与应用开发自动化工作流相结合以提升软件开发生命周期中的安全性。公司创始人Manish Gupta曾在FireEye、Cisco、McAfee等公司任重要职位。ShiftLeft在2019年2月获得了2000万美元的新一轮融资,总资金达到2930万美元。
背景介绍
Code PropertyGraph(CPG)
图1 CPG代码逻辑图
传统的SAST(static application security testing)类工具在处理大量代码分析时具有误报率高、耗时长、资源占用比高、复杂度高等缺点,究其主要原因,是因为在审计代码的编译阶段需要针对不同的语言实现不同的语法树从而增加了复杂度和时间成本。CPG是一款可视化的代码分析产品,其为每个应用唯一的代码版本提供可扩展的和多层的逻辑表示,包括控制流图、调用图、程序依赖图、目录结构等。CPG创建了代码的多层三维表示,具有很强的洞察力,这使得开发人员可充分了解应用程序每个版本执行的内容及可能带来的风险。
图2 CPG多层语义图
上图为CPG的多层语义图,从中可看出版本代码中的组件和流信息,CPG将这些代码元素(自定义代码,开源库,商业SDK)映射为各种抽象级别,包括抽象语法树,控制流图,调用图,程序依赖图和目录结构,通过这种方式可以快速连接至漏洞点,使漏洞变得更容易识别,并且对于复杂漏洞(传统工具无法发现)的识别非常有效。
早在2014年,CPG就能够在Linux内核源代码中发现18个先前未知的漏洞。最近,以CPG驱动的代码分析准确性在OWASP(Open Web Application Security Project)基准测试中得到了验证,具体可参考官方文档。
ShiftLeft Protect
ShiftLeft Protect是一款RASP(Runtime application self-protection)类产品,它提供了一种在应用运行时自动执行漏洞防护的方法。在生产环境中,Protect利用“code-informed”特性发现每个应用版本开发周期中的漏洞,并建立指定的安全策略对运行时环境中存在的漏洞进行防护。Protect产品可集成CI/CD管道,从漏洞发现,pull request, commit, build到执行策略的过程是完全自动化的,只需要几分钟。以下为Protect产品的截图:
图3 Protect产品界面图
ShiftLeft Inspect
ShiftLeft Inspect是将SAST和IAST(interactive application security testing)结合的一款漏洞检测产品。Inspect产品的设计理念是为了实现DevSecOps环境的高效性、准确性、扩展需求以及保护应用程序安全。
SAST类的产品在OWASP基准测试中最高可以达到检出率为85%,但同时误报率也高达52%,误报意味着会带来大量的人工成本,面对这种局面,Inspect将源代码进行多种类型的分析,从自定义代码到开源库以及商业SDK都有涉及(如图4所示),并且Inspect的效率极高,只需几分钟,就能准确识别复杂漏洞和敏感的数据泄露。
图4 多维度进行代码检测
图5 OWASP-SAS基准测试白皮书
从ShiftLeft 自己发布的Inspect产品在OWASP基准测试中的结果(图5所示)可看出检出率(TPR)为100%,误报率(FPR)为25%,最终得分为75%,这虽然是一个很高的分数,但也许是新兴创业型公司为了在业界增加曝光率在某种程度上的夸张说法,数据的可靠性还有待进一步观察,不过从图中结果至少可以得出ShiftLeft Inspect产品是非常具有竞争力的。
IAST相比于SAST有着明显的优势,比如误报率极低、检测速度快、漏洞详细度高、人工成本低等。ShiftLeft也将IAST融入到Inspect产品中,只不过在ShiftLeft中称为MicroAgent。MicroAgent是IAST的关键模块,其与Security DNA(安全DNA指的是代码中容易出现攻击位置,像第三方开源库、敏感数据等)相互合作从而在一些细微处加强了漏洞检测能力。
Ocular
Ocular是一种类似于Google Maps的代码搜索方法,其利用CPG的强大特性,将应用版本代码的详细信息导入至Ocular中。类似于Google Maps提供地理位置,各种路线和可能的目的地供用户去查询。Ocular为代码审计人员提供了一个交互式平台,支持用户在他们的代码库和环境中进行自定义查询,从而识别更为复杂的漏洞信息。在CI/CD管道中,Ocular的自定义查询也可以自动化,以用作安全配置文件的“策略”,当查询出漏洞信息后,Ocular可以将漏洞的反馈信息提为issue上传至用户的Github仓库,Ocular的操作截图如下所示:
图6 Ocular操作截图1
图7 Ocular操作截图2
解决方案
For 应用安全(AppSec)
随着技术日新月异的发展,软件开发生命周期(SDLC)变得更快,更自动化,与此同时,应用安全团队也必须紧跟其步伐,做好及时的应用安全检查与防护。ShiftLeft Inspect是业界较快,较全面的一款静态应用安全检查(SAST)产品,它将pull request, commit, build直接集成至DevOps管道中,官方提出可以在10分钟内分析50万行代码。ShiftLeft Inspect使应用安全团队能够在DevSecOps中实现Sec部分,理论上不会降低整个CI/CD管道的速度,下图展示了ShiftLeft和CI/CD管道的拓扑图:
图8 ShiftLeft CI/CD管道拓扑图
For开发者(Developers)
对于开发者来说,传统的应用安全工具主要存在以下问题:
- 速度太慢,无法适应现代CI/CD管道
- 要求开发者在快速发布应用版本和安全的发布应用版本之间做出选择
- 误报率高
- 缺乏对数据的合规性管理
针对于以上问题,ShiftLeft Inspect首先将DevOps与安全结合,形成整个DevSecOps管道闭环,从而避免了安全人员与开发人员在处理误报上带来的时间浪费;其次通过ShiftLeft CPG的功能使得开发人员在开发过程中可以识别复杂漏洞和数据合规性等问题,从而可快速修复问题避免了后续可能带来的损失;最后从效率上来讲,相比于传统安全工具需要几小时或几天来分析及解决漏洞,ShiftLeft官网提出全过程只需要几分钟,并且误报率低。
For代码审计人员(Code Auditors)
大部分的代码审计和漏洞研究人员擅长手动使用”grep”来处理大量的版本代码,究其原因是因为传统代码分析工具不灵活并且已逐渐退出大众视野。ShiftLeft Ocular可以对版本代码的CPG进行详细的挖掘,其中Ocular还支持在多编程语言环境下执行相同的查询,目前Ocular已被多家组织用于在大型复杂代码库中查找0 day漏洞。
代码审计人员在ShiftLeft Ocular中编写的自定义查询可以提交至DevOps管道中集成,以便于在pull request, commit, build时运行Ocular查询,与此同时也扩展了代码审计员和漏洞研究人员的专业知识。
总结
随着技术不断更新换代,软件开发生命周期逐渐缩短,在这个特殊阶段,DevOps应运而生成为了开发和运营的新组合模式。一方面通过自动化流程可使得软件构建、测试、发布变得更加快捷可靠,另一方面也减去了很多重复性的工作,降低了时间成本。与此同时,软件安全问题也同时得到了重视,那么如何将安全有效融入DevOps环境中成为了目前很多厂商难以解决的问题。早期的软件开发生命周期中,安全厂商使用安全工具对源代码进行检测,这些安全工具可大致分为SAST、IAST、DAST(dynamic application security testing)、RASP这四类,在DevSecOps中,许多国外的白盒厂商都将这几种安全工具集成至Jenkins和Gitlab,但效果普遍都达不到预期,主要原因还是安全工具在遇到大量代码时的效率慢问题,并且一直得不到解决,这与DevSecOps提倡的高效率理念背道而驰。 ShiftLeft将SAST、IAST、RASP融入其产品中,利用CPG技术让漏洞检测的检出率和误报率均得到了有效提升并且从漏洞检测、静态防护、运行时防护、自定制查询漏洞等多方面对软件开发生命周期进行安全防护从而实现了DevSecOps的落地,给大部分用户带来了收益。
从技术角度而言, ShiftLeft产品的创新度高,完成度也相对较高,
且与DevOps、CI/CD的有力结合可以很大程度上提升其产品的竞争力。
从市场角度而言,ShiftLeft凭借实力在近期又获得了新一轮融资,其又可以招纳各路专家扩展其业务和专业知识,从而加快公司业务发展。
笔者认为ShiftLeft在今年入围的RSA创新沙盒中可以崭露头角,获得靠前的名次,不过最终结果还是要看各位评审意见,让我们拭目以待吧。
公司介绍
Arkose Labs 成立于2015年,公司位于旧金山,主要为全球大型机构提供网络防欺诈服务,客户行业包括电商、旅游、金融、社交媒体与网络游戏等。该公司通过极具创新性的全球遥感技术、用户行为风险评估技术和专利保护服务,帮助用户解决网络欺诈难题,规避每年上百万的经济损失。Arkose Labs号称能够在不影响用户体验和业务开展的情况下,可事先阻断欺诈和滥用行为。
背景介绍
当前一些主流的在线欺诈检测工具都是基于行为分析或风险评分的机制,这些方法都存在固有的不足。这些工具通过对收集到的大量数据进行分析,并通过监控用户行为的方式来对每个用户进行风险评分。但是这些风险评分机制通常给出的是一种概率,很少能给出一个确定的好坏判定。同时,当前欺诈检测工具大都是基于一些先验证知识的事后检测。
和其他的安全产品一样,这些工具确实能有效地防御一些并不复杂的攻击,但是对于一些具有强烈商业目的的高级欺诈来说,攻击者会不断的更新技术以绕过这些简单风险分析手段。此外,当前的在线欺诈检测方法无法给出明确的判定,主要是因为无法在保证不影响合法用户的前提下检测出恶意用户。
图1当前欺诈检测方法
当前的欺诈和滥用行为检测机制只是以缓解为目标, 无法做到完全精准。因为它们预先设定了一些基本的假设,这些假设表示人们对欺诈的一些先验知识,比如哪些用户登录行为有可能是非本人等。而基于这些假设的检测方法,一方面很难在实际的应用中真正地区分人和机器,另一方面这些基本的假设通常是以单一目的(性能或准确率),过度的强调单一目标会影响欺诈防御的整体效率。
针对上述基于行为分析和风险评分的方法的缺点,Arkose Labs采用了一种”遥感节点-决策引擎(Enforcement)”的双边人机识别方式,将分布在全球的遥测节点检测技术与决策引擎用可疑数据挑战遥感节点结合起来,可以在不影响用户体验和业务开展的情况下事先阻断欺诈和滥用行为。
产品介绍
该反欺诈技术已经应用到多个商业产品中。
3.1 Q2 电子银行(Q2 eBanking):检测窃取账户
Q2电子银行是由Q2公司开发的一个网上银行平台。该平台使用Arkose Labs的技术来防止银行客户的欺诈登录。账号窃取在金融领域是一个比较常见的问题,每次攻击都是利用被窃取的凭证,并借用快速自动化的攻击手段实施。Q2电子银行使用该技术后可以在恶意用户有机会窃取并转移资金前检测出来,该产品已经应用到多家社区银行。
3.2IMVU:检测虚假账户
IMVU是一个3D人物和场景聊天软件,IMVU使用Arkose Labs的技术来实现恶意用户识别,主要是确保访问账号是本人,而不是恶意攻击者。在当前社交网络成为人们主要的通讯手段,而伪用户识别成为社交网络中一个基本的安全防御能力。
3.3 Kik:反垃圾邮件
Kik是一款手机通信录的社交软件。可基于本地通讯录直接建立与联系人的连接,并在此基础上实现免费短信聊天、来电大头贴、个人状态同步等功能。简单的说,Kik就是一款”可以与手机中同样安装了Kik的好友免费发消息的跨平台的应用软件”。Kik中的垃圾信息传播成为了影响用户安全和体验主要因素,Kik使用Arkose Labs的技术可减少发送给客户的垃圾邮件。
当前Arkose Labs的技术已经应用到如下领域。
图2 Arkose Labs的技术的应用领域
技术详解
Arkose Labs通过其创新的全球遥测用户行为风险评估(正在申请专利)帮助企业解决在线欺诈问题。网络欺诈性活动越来越多,需要一种从源头解决问题的全新的解决方案。Arkose Labs在不影响用户体验的情况下阻止滥用。Arkose Labs提出一种双边方法,该方法主要包括人机识别技术和客户端遥感技术。
人机识别技术主要是依赖于三维模型图像识别,从三维模型中编排的数百万个安全图像,每次为用户生成唯一的视图图像,每个图像的识别蕴含了每个防御策略。这些图片对于人来说很易于区分,但是对于机器来说短时间内识别出来非常困难,从而大幅提升攻击成本。而基于商业目的,一些攻击者会通过更新技术手段达到攻击目的,为此,提供一些易于实现的动态转换机制来更新防御策略,可以有效提高在线欺诈检测效率。
图 3 人机识别的挑战策略中的三维模型变换
客户端遥感技术的核心是在全球部署验证点,对访问的客户端建立唯一的标识ID,并对其信誉进行评分,这样验证点A对客户端的评价能传递到其他验证点。此外,对那些使用人机识别技术后还存疑的客户端进行不同层级的验证,结合人机识别策略实现一种动态反馈循环防御策略。闭环化的双向验证大大提高了欺诈防御的效率,同时不会影响用户的体验。
图4 遥测技术示例图
总结
作为一种欺诈防御方法,Arkose Labs的技术已经应该到多个产品中,帮助用户解决网络欺诈难题,避免每年上百万的经济损失。Arkose Labs宣称”能够在不影响用户体验的情况下做到100%的服务级反欺诈与滥用防御”。
该公司的产品的第一点技术创新在于人机识别技术,当前已经的方法都无法做到绝对的准确,均是以减少识别误差为目的的,而Arkose Labs宣称它提出的一个完全安全可靠的识别技术,可以很准确的识别出人机。这里没有看到详细的技术内容,如果真能达到的话那么在技术上有了很大的创新。
第二点技术创新在动态识别上,基于商业目的攻击者的技术手段也会更新,针对这个问题,Arkose Labs提出了一套便于实现的3D图像转换的人机验证机制,这大大地增加了攻击者的攻击难度。
Arkose Labs更注重的是在线提供一种不影响用户体验的服务,这从用户使用角度来说是一个很好的方法。作为业务安全问题,Arkose Labs的欺诈防御技术是企业的刚需,而且其商业价值是可以直接衡量的,但是对于仅基于这种双边方法实现100%的服务级反欺诈防御是存疑的。
从技术角度上来看,Arkose Labs确实做了一定的技术创新,并有效地应用到了多个产品中,但是技术思路依然是采用传统的人机识别框架,感觉依然类似于Google的reCAPTCHA,只是在细节上实现了改进,而所提脱离了以减少识别误差为目的传统方法,技术介绍中并没有看到,大家如有机会可以到会场北区的4504跟技术人员聊聊。