2020年2月24-28日,网络安全行业盛会RSA大会将在旧金山拉开帷幕。大会创新沙盒环节备受关注,已成为全球网络安全行业技术创新和投资的风向标。不久前,RSAC正式公布了入选今年创新沙盒的十大初创公司:AppOmni、BluBracket、ElevateSecurity、ForAllSecure、INKY、Obsidian、SECURITI.AI、Sqreen、TalaSecurity、Vulcan。绿盟科技将通过背景介绍、产品特点、点评分析等方式对排名前十的厂商进行介绍。今天,我们要介绍的厂商是:ElevateSecurity。公司介绍ElevateSecurity成立于2017年1月[1],总部位于美国旧金山湾区。两位创始人MashaSedova和RobertFly都是前Salesforce负责安全和信任管理的高管,在安全管理方面有着丰富的经验。经过两轮融资,公司目前处于A轮融资阶段,融资规模为1000万美元[2]。与大多数专注于技术和流程的安全初创企业不同,Elevate基于对当前网络安全风险的洞察,为人们提供安全行为改善平台和定制化解决方案。评估测量和数据可视化提供企业多层次的风险监控,进而提供个性化的员工评级反馈和强化安全培训。ElevateSecurity契合今年RSAC的“HumanElement”主题,意为“应运而生”,这想必是助力其进入创新沙盒决赛的一大因素。背景2014年IBM安全服务研究表明,95%的网络安全漏洞是由人为错误引起的。卡巴斯基最近的一项研究表明,91%涉及公共云用户数据泄露的公司宣称,社会工程是他们遭受的攻击的一部分[3]。人为因素一直是网络空间安全的重要组成部分。随着各种安全防御自动化技术、产品和平台的出现,大大增加了攻击者的入侵难度。但在危及安全和利益的关键场景中,利益驱动的攻击者天衣无缝,先进的连续攻防战场逐渐显现。目前,即使是前沿的人工智能驱动的防御手段也越来越强调“human-in-the-loop”的人在环路闭环协调能力。人不仅是防御环节的重要组成部分,也可能成为攻击者突破防御的薄弱点。随着网络安全成为全球各方关注的热点,网络安全从业者越来越感受到所在行业对世界的影响。而这种影响已经通过各种安全教育、突发安全事件、例行安全法规逐渐渗透到每个人的工作和生活中。正如普通人越来越意识到个人健康管理尤为重要一样,大中小型企业乃至个人的网络安全意识、安全习惯、安全行为,将对个人和组织的安全基础产生深远的影响。但是,网络安全文化氛围的形成还有很长的路要走。从业者对安全能力提升和发展的认识,逐渐从追逐更快、更准、更智能的技术和产品,转向更加关注“以人为本”的技术、新层次的流程、法规乃至习惯和文化。Gartner明确将以人为本作为自适应安全系统中的重要原则[5]。在整个以人为本的安全体系中,安全教育是基石。只有提高员工的安全意识和安全技能,才能有效降低运行各种安全机制的开销,提高整个安全系统的运行效率。业内很多公司都做过安全意识培训(SecurityAwarenessTraining),Gartner也发布了一个魔力象限[4]。大多数传统安全意识培训产品的主要竞争力在于系统、科学的培训内容和与之相匹配的计算机培训辅助系统。但这些内容和工具主要围绕通过“培训”提高“意识”的目标而构建,这使得安全意识提升的过程更类似于给机器打补丁升级的过程,难以明确衡量个??体在这个流程。很多人的行为细节中都包含着行为的变化和潜在的风险。ElevateSecurity提供的平台旨在通过统一的可视化方式监控和管理员工的安全行为,并提供有助于提升企业安全文化的邮件反馈和安全教育资源,以可量化的方式促进员工安全行为的改善,帮助企业管理者有效降低员工人为因素带来的安全风险。结合考核指标,形成闭环,帮助企业迭代提升员工安全防护主观能动性,提升企业整体安全防护水平。产品介绍Elevate平台主要提供以下四大功能模块。Reflex提供钓鱼邮件攻击模拟及相关结果评估;Vision是一个仪表盘,通过API集成了钓鱼邮件攻击模拟结果和其他员工人为因素相关的安全数据。和分析,具有部门级和个人级的向下钻取视图;Pulse提供可配置的、基于邮件的员工评级反馈系统,以个性化的方式为员工提供整体和多个内容模块的安全行为评级;Hacker'sMind从攻击者的角度提供安全培训,提高重点部门和高危员工的安全意识和防护能力。基于以上四个功能模块,提高组织内部人员的安全意识,培育安全文化可以分步进行,即通过Reflex完成钓鱼邮件攻击模拟,建立安全基线评分;分析和跟踪整体、总体安全行为风险;通过Pulse邮件记分卡机制反馈人员行为评分,激励行为改进;最后,为高风险个人或部门提供有针对性和个性化的安全培训增强。Elevate提供了平台的基本试用功能,这里简单介绍一下。交互Demo主要包括Vision和Pulse。可以看到VisionDashboard提供的视图非常简单。在部门层面,包括总体安全风险值、风险分布、部门评分和行为映射。行为地图是对采集到的安全行为数据以部门为单位进行综合评级,直观反映部门在各个维度的整体、桌面清理、恶意软件、密码安全、钓鱼攻击测试、培训等维度的风险等级。从目前的信息来看,ElevateDemo中集成展示的大部分数据源需要通过外部API访问,平台仅提供基于Reflex的钓鱼邮件攻击模拟的评级数据。远景视图还提供每个部门内的整体和个人评级和分类,提供更详细和直观的安全风险视图。在Pulse选项卡下,提供了Campaigns功能。此功能应提供可配置的、基于电子邮件的反馈和安全评级管理。在Demo中,只能通过邮件向被测者发送反馈邮件样本,包括三封不同评分的邮件。以评级为“Sturdy”的反馈邮件为例,评级分为五个部分:Phishing&Reporting、PasswordManager、Training、Malware和CleanDesk,对应Visiondashboard中集成的五个项目。每一项都有对应的具体内容。例如Phishing&Reporting,包括钓鱼邮件攻击的具体时间、员工的个人评价结果,以及与同部门其他员工的横向对比结果。当然,如果某项考核达标,在邮件中会有类似于徽章的激励机制,鼓励员工收集所有安全徽章,完成相应的完整行为标准。公司诠释“以人为本”,以人和人的行为为核心,重视人事因素在网络空间安全中的关键作用,从组织、战略、流程、法律、法规等方面持续管理和监控企业安全风险。法规等,进而有针对性、系统性地及时发现漏洞,降低安全风险,已成为网络安全防御的关键一环。国内许多大型企业的安全管理部门也开始具备包括员工安全培训、安全评估和检查在内的能力。基于平台提供的钓鱼邮件攻击模拟、可视化分析、邮件反馈体系和场景化安全培训能力,ElevateSecurity为业界提供了培育企业安全文化的平台模型,可为各类组织提供个人安全行为管理机制和方法提供了强大的模板。同时,以网络安全场景下以人为本的安全行为因素闭环风险管控为主题,讲述了一个完整的、直击管理痛点的好故事。不仅如此,ElevateSecurity提供的不仅仅是理念和机制上的创新。公司以现有平台为基础,为各类客户组织提供定制化解决方案,包括数据访问、安全流程等层面的定制化咨询。这些平台技术之外的互补能力也是公司的核心竞争力。从现有资料来看,Elevate平台提供的功能可以概括为简单而不简单。Elevate平台展示的功能一目了然,没有复杂的流程。平台背后的技术并不是其核心竞争力。“让我们瞄准安全行为的改变,而不是意识。”Elevate的核心功能路线非常清晰,以改善员工安全行为为目标,提供流程迭代和闭环、持续、量化的风险评估机制和平台,提高管理者对安全风险等级的查看、监控和管理能力企业整体和员工个人。ElevateSecurity专注于量化提升人的安全行为,而不是死记硬背安全培训,是打破传统安全意识培训产品固有思维的先行者。相信Elevate平台未来会提供更多的平台化组件,以满足各类组织对内部人员安全行为风险动态、连续、自适应量化评估和安全行为改进的需求,以适应更高级的攻防场景和更严格的法律法规要求。参考资料[1]https://elevatesecurity.com/[2]https://www.crunchbase.com/organization/elevate-security[3]《Understanding Security of the Cloud: from Adoption Benefits to Threats and Concerns》[4]https://www.gartner.com/doc/3950454[5]2016-2017年顶级网络安全趋势,Gartner安全与风险管理峰会2016
