RSAConference2021将于旧金山时间5月17日召开。大会的创新沙盒(Sandbox)大赛作为“安全界的奥斯卡”,每年都备受瞩目,已成为全球网络安全行业技术创新和投资的风向标。不久前,RSA官方公布了最终入选创新沙盒的十大初创公司:WABBI、Satori、AbnormalSecurity、Apiiro、AxisSecurity、CapePrivacy、Deduce、OpenRaven、STARATA、WIZ。绿盟科技将从背景介绍、产品特点、评论分析等方面为您介绍入围的十大厂商。今天,我们要介绍的厂商是:WABBI。一、公司介绍WABBI成立于2018年,总部位于美国波士顿。公司专注于SecDevOps领域。通过其SecDevOps产品,企业可以更快、更安全地交付软件。公司目前员工人数约为20-30人,公司CEO兼创始人为BrittanyGreenfield[1],毕业于杜克大学,获得麻省理工学院MBA学位。从他的工作履历来看,创始人多从事市场营销相关领域,与信息安全领域没有太多交集,但优点是对现有软件市场有深刻理解,对方向有前瞻性研究的DevOps。2019年5月,公司融资33万美元,首轮融资由UnderscoreVC[2]领投,DouglasLevin[3]、AshleySmith[4]等人也参与了本轮融资。2.背景介绍随着技术的不断发展,为了促进开发运维一体化,DevOps应运而生。它代表的不是一种具体的实现技术,而是一种方法论,于2009年提出[1]。DevOps出现的最终目的是打破开发人员和运维人员之间的壁垒和鸿沟。高效的组织团队通过自动化工具相互协作,完成软件生命周期管理,从而更快、更频繁地交付高质量、稳定的软件。我们知道,DevOps影响的不仅仅是开发团队(Dev)和运维团队(Ops),还有安全团队(Sec)。在系统生命周期(SDLCSystemsDevelopmentLifeCycle)中,安全团队往往侧重于运行阶段,开发阶段的安全往往被忽略。因此,“安全左移”的概念近年来非常流行。它强调在应用程序开发的早期阶段就应该包含安全因素。通常我们在运维(Ops)之间开发(Dev)和添加安全(Sec),即DevSecOps的概念,着重于将安全工具本身集成到CI/CD工作流中,安全工具主要包含在应用的测试、发布、运维阶段。如下图所示:图1DevSecOps示意图[6]近年来,随着DevOps工具链的激增,Aqua、Twistlock等容器安全公司纷纷支持DevSecOps解决方案[7][8]。但是,从安全的角度来看,DevSecOps虽然在一定程度上保证了DevOps的安全性,但是缺乏项目环境(应用上下文),因为它没有涵盖DevOps的整个闭环过程。安全优先级问题。此外,缺乏项目环境也会降低整体开发和运行效率。鉴于此,人们逐渐提出了SecDevOps的概念,即将安全部分(Sec)移到最左边。SecDevOps跟随安全部署到系统生命周期的每一个阶段,而不仅仅是测试、部署、运维阶段,如下图所示:图2SecDevOpsSchematicDiagram[9]通过安全过程的一致性以及开发流程,我们可以预先定义流程,保证安全检测在正确的时间进行,安全问题按照优先级逐一修复。为了更好地实践SecDevOps的理念,WABBI提供了一个在应用发布前管理安全工具和代码安全的平台,确保安全工具无缝集成到现有的DevOps工作流中。具体来说,WABBI对应用的安全保护能力可以通过为不同的应用分配不同的策略来实现。平台除了针对各项策略的管控措施和安全测试结果的分析方法,有效加速应用的安全交付,为各企业的DevOps团队提供安全基础设施。3.产品介绍WABBI提供了一套SecDevOps平台,主要由管理器(Manager)、策略编排器(Orchestrator)、版本控制器(Gatekeeper)三个功能模块组成。需要说明的是,官方并没有提及上述三个核心模块是如何与现有的DevOps流程相结合的,笔者通过对现有资料的分析推测其manager和policyorchestrator保证了应用代码设计、构建的安全性、和测试阶段,而版本控制器保证了应用发布和运维阶段的安全,三者结合可以实现整个SecDevOps流程的闭环。3.1Manager从官网提供的信息可以看出,manager主要为用户提供项目管理功能,包括项目导入、初始策略分配、应用漏洞检测、可视化展示等,用户可以通过平台,如下图所示:图3导入项目到WABBI平台的流程图3可以看到,用户导入项目的过程分为四个步骤,即项目选择、自定义设置、项目描述(初始化策略分配可以执行),项目概览(可视化展示),图4为导入项目成功后的概览页面:图4项目概览界面从概览页面可以看出WABBI平台为用户提供的安全问题包括项目安全问题、项目安全问题优先级排序、项目安全问题等候名单。这样,一方面可以在用户层面满足当前项目“即时可见”的需求,确保问题得到及时解决;另一方面,担保债权(SecurityDebt)可以有效地偿还债务)以确保按时交付申请。3.2策略编排器WABBI通过策略编排器实现策略的自动编排。它的核心是一个中心化的策略引擎,通过它可以将不同的策略分配给合适的项目。随着应用程序安全风险的不断变化,用户可以了解哪些项目受到政策变化的影响,确保应用程序始终符合当前的安全标准。通过观看其官方演示视频,笔者截取了平台策略管理相关的界面,如下图:图5策略管理界面1图6策略管理界面2可以看到平台默认提供了比较多的策略类型,包括鉴权、授权、恶意软件、通信、文件、业务逻辑等。每个策略类型包含许多策略,例如NIST安全标准策略。另外,从界面上看,策略管理部分也支持自定义策略类型,可以手动导入策略。例如我们可以将OWASP安全标准导入到策略管理模块中,如图4加强策略的可扩展性图7策略管理界面33.3版本控制器笔者从官网的信息了解到,版本控制器主要用于保证每个应用版本的发布都能遵循安全标准,具体的版本控制器可以协调所有的安全质量检查,当遇到不符合安全标准的情况时,版本控制器可以通知特定的用户需要什么修复,以便代码可以按时交付。此外,用户可以通过该平台查看项目不同版本对应的安全问题。这个功能对于用户来说还是比较直观和实用的,如下图所示:图8查看项目不同版本的页面另外,通过版本控制器,我们可以在每个阶段检查应用代码交付是否满足安全标准DevOps流程,从而简化事后合规性检查的流程。例如WABBI平台集成AzurePipelines后,我们可以查看到系统发布失败的详细信息,如图9所示:图9CI/CD流程中WABBI版本控制器错误页面图10发布失败信息对应图9图10可以看出,用户可以手动审批流程来满足现有环境不满足安全要求但仍需要发布的场景。4.方案介绍4.1提供CMCC解决方案CMCC全称Cyber??securityMaturityModelCertification,即网络安全成熟度模型认证。它是美国国防部发起的一项衡量企业在网络安全领域的能力和准备程度的计划。和复杂性。具体而言,中国移动注重采用实践和流程,让企业切实落实网络安全的方方面面,将企业从被动的网络安全模式转变为主动的网络安全模式。WABBI声称其SecDevOps平台可以使企业在面对CMMC标准时实施必要的实践和流程。下图是WABBI提供的CMCC解决方案的流程图:图11CMCC解决方案实施流程[10]图11展示了通过WABBISecDevOps平台的集中策略管理,使得所有文档化的应用安全实践得以强制执行。此外,通过WABBISecDevOps平台对应用开发和运维过程的全面监控,用户可以在最短的时间内收到有效的信息,一定程度上降低了流程的复杂度,推动企业向中国移动标准。4.2提供可持续性的ATOATO全称是Authority-to-Operate,即操作授权,具体是指授权一个系统的运行,并在一套安全控制措施的基础上,明确接受可能存在的风险。由企业的经营和企业的资产所带来。由于传统的授权操作流程跟不上当今软件开发的速度,ATO流程往往无法继续,WABBI声称其SecDevOps平台可以将应用程序的安全流程自动化并协调为系统生命周期的一部分,从而降低应用成本。运维成本和项目交付风险实现持续ATO。连续ATO对于满足快速安全地向用户交付软件的需求至关重要。下图是WABBI官方提供的实现连续ATO的过程。图12CMCC解决方案实施流程[11]五、与现有DevOps生态链的整合通过官网的介绍,笔者发现WABBI与现有DevOps生态链的结合比较全面。从下图可以看出,涉及的生态链几乎可以涵盖DevOps流程的每一个阶段,但同时我们也可以发现,每个阶段集成的工具数量很少,这可能也与到了WABBI的创业阶段,其产品还在不断迭代拓展,以满足更多的用户需求。图13WABBI支持的DevOps生态链[13]六、优势与挑战通过上面对WABBI平台的介绍,我们可以看出其亮点之一是更好地践行了“SecDevOps”的理念。通过将安全机制部署到系统生命周期的各个阶段,可以使安全过程与开发运维过程保持一致,从而从根源上消除开发团队对敏捷性和安全性的顾虑。与DevSecOps相比,SecDevOps的理念更好的贯穿于开发、运维、安全的融合。然而,WABBI也面临一些挑战。从技术角度,笔者总结了以下三点:1)应用漏洞的误报或误报问题。WABBI声称其产品的版本控制器可以替代人工审批,出现问题后会及时通知相关用户,但众所周知,自动化并不能完全替代人工,只能在一定程度上降低人工成本,由于自动响应是基于规则的,不完善的规则可能会进一步导致系统中的误报或误报。漏报增加,针对这种情况,笔者在官网没有看到WABBI是如何处理的,所以对于WABBI来说无疑是一个挑战。2)策略编排器的性能问题WABBI通过策略编排器实现了策略的自动编排,确实在一定程度上解决了多项目手动管理带来的问题,但是从其官网提供的demo来看,我们可以看到它支持策略的不断扩展,每个策略类别下可以添加不同的策略。那么随着管理项的数量不断增加,策略的数量就会呈指数增长。最终策略编排引擎的性能是否会受到影响是WABBI关注的问题。3)适配接口与DevOps工具的性能问题从WABBI目前的发展来看,笔者认为WABBI想要不断扩展与主流DevOps工具的适配,但是更多的适配必然会带来一定的性能问题。将不同DevOps工具的适配接口整合成一个通用接口,通过参数规范来驱动适配,是一种可选的手段。我们不知道WABBI会如何考虑,但这一定是WABBI面临的问题。一个挑战。7.总结今年入围RSAInnovationSandbox的前十名公司中有两家是应用安全方向的,一家是Apiiro,我们在另一篇文章中解读。另一个就是我们今天要说的WABBI。从其融资水平和团队背景来看,笔者认为WABBI想要在总决赛中脱颖而出还是有难度的。从背后的产品力来看,笔者认为WABBI还是有一定的创新和优势的。毕竟目前市面上的大部分产品都践行着DevSecOps的理念。DisruptOps(云基础设施检测和修复)、ShiftLeft(软件代码保护和审计)公司。但是很少有产品能够成功实现SecDevOps的概念。值得注意的是,从2019年到2020年,DevSecOps方向的入围企业均未进入最终的Top3,这反映出DevSecOps方向受到的关注度可能低于其他方向。另一方面,也间接表明,颠覆性创新很难在这个领域出现。不管最终结果如何,希望WABBI能够继续延续创新和优势,为市场带来更好的产品。
