MicrosoftInternetExplorer402DocumentNotSpecified7.8磅Normal0RSAConference2021将于旧金山时间5月17日举行。这将是RSA大会历史上第一次以虚拟会议的形式举行。大会的创新沙盒(Sandbox)大赛作为“安全界的奥斯卡”,每年都备受瞩目,已成为全球网络安全行业技术创新和投资的风向标。不久前,RSA官方公布了最终入选创新沙盒的十大初创公司:WABBI、Satori、AbnormalSecurity、Apiiro、AxisSecurity、CapePrivacy、Deduce、OpenRaven、STARATA、WIZ。绿盟科技将从背景介绍、产品特点、评论分析等方面为大家介绍入围的十大厂商。今天,我们要介绍的厂商是:演绎。公司介绍Deduce成立于2019年5月,总部位于美国纽约[1]。公司创始人兼现任CEOAriJacoby拥有丰富的创业经验,是Circulate、Voicestar、SolveMedia等技术服务公司的创始人之一。目前,Deduce已完成两轮融资,处于种子轮融资中,融资规模为730万美元。Deduce可以为不同规模的企业提供成熟的行业级用户身份和行为分析接口,帮助企业构建身份认证风险分析、身份欺诈检测和用户告警能力,协助企业抵御潜在攻击、满足合规要求和提高客户信任度。从今年RSAC的主题“Resilience”来看,Deduce通过构建身份智能,为企业及其客户提供基于数据和分析的身份安全弹性。背景介绍调查显示,2020年,因用户身份盗用、滥用、欺诈等攻击造成的相关损失高达560亿美元,已成为增长最快的网络空间威胁之一。企业客户身份被窃取和盗用,不仅会带来数据泄露、资产损失、交易欺诈等攻击造成的直接经济损失,由此引发的用户信任度下降,将给企业业务带来持久而深远的影响和声誉。影响。为应对网络空间威胁的动态演变,Gartner的自适应风险与信任评估框架CARTA(ContinuousAdaptiveRiskandTrustAssessment)为业界带来了系统的防御视角。其中,针对用户身份、设备认证和访问,CARTA提供了一个自适应访问保护(AdaptiveAccessProtection)框架[4],如图1所示。图1CARTA自适应访问保护架构图框架的核心在于需要提供对用户身份、设备、应用程序、行为和相关信息的持续可见性和验证,以适应动态业务需求和网络环境的变化。类似于攻击防护的“预测-预防-检测-响应”PPDR循环,同样需要构建需求发现(Discoverrequirements)-自适应访问(Adaptiveaccess)-使用验证(Verifyusage)-使用管理(Manageusage)提供持续迭代的访问控制和防御能力。Deduce提供的产品和解决方案针对身份欺诈的主要业务领域,主要涵盖CARTA访问保护的验证使用和管理使用两个阶段,为企业提供成熟可靠的适配客户身份和行为动态分析接口企业业务流可有效降低中小企业自建相关能力的成本。产品介绍推导官网目前提供两款SaaS产品,分别是“客户预警”和“身份风险指数”。CustomerAlerts,即客户告警,可以检测异常的用户登录行为,并触发告警通知客户,让客户判断是否是自己的个人行为。本产品的功能目标是在企业原有的认证流程之外,对异常的用户登录和访问行为进行告警。Deduce的产品卖点在于可以为中小企业提供成熟的身份登录异常验证接口,按需付费。Deduce提供API,用于分析客户当前的设备和地理位置信息,可以无缝集成到企业的业务流程中,如图2所示。图2DeduceCustomerAlerts工作流程在API调用过程中,企业需要:收集用户的设备识别信息和地理位置信息。根据采集到的数据样本,基于可配置的规则,Deduce分析用户关联设备的异常情况和登录点的地理位置,然后触发告警,以企业定制的模板发送给客户,要求客户确认。API的结构如图3所示。图3DeduceCustomerAlertsAPI示例IdentityRiskIndex,本产品提供身份关联行为的风险评分计算。用于防范和检测因社交钓鱼或信息泄露导致的身份盗用、账户盗用、交易欺诈等恶意行为,同时帮助企业提高用户信任度,满足合规要求。基本功能如图4所示,选自官网展示的功能示意图。图4IdentityRiskIndex函数表明,IdentityRiskIndex乘积为身份风险指数。可以直观理解为基于大数据的用户身份异常检测和风险评估。由于该公司并未给出该功能的具体技术细节,因此我们无从知晓其技术核心的实现方式。从目前业界同类产品和技术的水平来看,有效的基于身份的风险分析取决于两个关键条件,一是大规模的用户身份行为数据和情报数据,二是以UEBA技术栈为代表的异常行为分析.从Deduce的宣传资料和相关报道来看,大规模收集身份和行为数据集是其IdentityRiskIndex产品技术的核心。Deduce通过不断的运营积累,创建了IdentityNetwork身份和行为数据库。在GDPR和CCPA的合规要求下,Deduce从超过15万个网站和应用程序中收集了涉及超过2亿个美国账户及其相关认证、访问、交易等行为的信息和数据。这些账户和身份数据在IdentityNetwork中以哈希的形式进行匿名处理,以保护用户的个人隐私。我们可以看到,通过这种搭建平台和提供服务的方式,Deduce不仅为企业提供了分析客户身份和行为的能力,而且还在授权的情况下不断收集不同站点和应用的相关信息。这个大规模、多维度的数据集的构建,可以持续为行业影响力和技术核心竞争力的推导提供基础。除了数据层面的机制,我们只看到Deduce推广中使用机器学习的方法识别异常身份行为,可以减少90%的盗号损失。我们还没有看到具体的分析方法和模型的介绍。公司解读身份的管理和相关行为的分析,成为网络安全进入主动防御和零信任时代后威胁检测和响应的关键技术手段。Deduce提供的两款产品为身份风险分析提供了不同的服务价值。CustomerAlerts产品可以通过简洁的API无缝集成到企业现有的身份认证业务流程中,提供信息采集、基于设备和位置的异常分析、用户告警通知和用户决策反馈收集等服务。IdentityRiskIndex产品基于Deduce的IdentityNetwork数据集,提供更高维度、更深连接的深度身份和行为风险分析服务。可与IAM系统对接,调用不同级别的认证方式,增强对身份欺诈等攻击的防御能力。相比之下,身份风险指数产品更值得我们深入关注。该产品基于SaaS运营模式,可为企业提供匿名身份和行为数据湖资源。基于这个数据湖,Deduce有机会提供深入的身份风险评估能力。例如,可以通过单一身份的不同应用、站点的多个行为维度、长期的记录跨度,实现身份行为特征的细粒度画像,从而提供更准确的风险评分指标。更关键的是,基于身份社交网络的学习,可以识别可疑行为传播模式、异常社区行为和欺诈团伙行为。如下图5所示,是一种基于身份认证和访问行为数据的社区分析方法[5]。该技术方案来自身份欺诈检测领域的初创公司Silverfort。在身份行为数据湖的基础上,通过提取身份(图中的圆点)、服务端点(图中的三角点)等实体的关联,以及访问行为的统计属性,构建实体行为关联网络图中的左侧已构建。此外,基于Louvain社区发现算法,网络中的实体和行为可以划分为多个社区,如图右侧颜色所示。最终,根据社区划分的结果,可以得到更多维度的分析结论,如定位高度异常的特定类型社区活动,提取具有跨社区行为的高风险身份实体等。虽然Deduce官网并未给出IdentityRiskIndex产品的详细技术方案,但其IdentityNetwork数据库的建设足以给我们更多的技术想象空间。图5基于认证和访问行为的社区发现除了以上产品特点,Deduce还有其独特的“商业化”技术理念,可以进入RSAC创新沙箱前十。首先,它通过SaaS模式为中小企业提供了一个简单易用的身份认证分析和告警接口,可以降低企业自建和维护的成本,同时提供与FAANG(Facebook、Apple、Amazon、Netflix、Google)等大型企业类似的服务,这符合Deduce的“DemocratizeCyber??security”民主化网络安全的企业愿景;其次,Deduce在提供服务的同时,构建了一个规模化、多元化的匿名身份行为数据库,让投资者看到了Deduce目前存在的“数据壁垒”。同时,通过可持续的服务提供和信息收集,Deduce的IdentityNetwork可以为企业提供可持续的技术演进和优化保障机制。可以预见,创新沙盒评委对Deduce可持续身份数据运营商业模式的认可,以及对身份欺诈领域技术市场的预期,将是决定Deduce创新沙盒能否进入前三的关键因素。让我们拭目以待。
