绿盟科技解读2019创新沙盒

作者：绿盟

Duality Technologies

Duality Technologies成立于2016年，总部位于美国马萨诸塞州剑桥市，由著名的密码专家和数据科学家联合创立。公司致力于研究大数据/云环境下的数据安全与隐私保护技术，为企业组织提供了一个安全的数字协作平台，目前在美国和以色列开展业务。目前获得了由Team8领导的400万美元投资。2019年入选RSA大会的创新沙盒前十强，成为两家入选的数据安全公司之一（另一家是Wirewheel公司）。

背景介绍

在人工智能、大数据和云计算等信息产业蓬勃发展的同时，数据安全和敏感数据（包括个人隐私）泄露问题日益严峻。仅2018年过去的一年，就发生了多起重大的（千万级记录以上）数据泄露事件，如国外Facebook 8700万用户数据泄露，国内圆通10亿条用户信息数据在暗网被出售，华住旗下多个连锁酒店的2.4亿入住记录泄露。

数据泄露不仅造成公司形象受损、公信力降低，也直接或间接地导致公司经济的损失。随着这些事件发生及影响的报道，企业对数据安全问题越来越重视，用户的个人隐私保护意识也越来越强烈。同时，一些法律法规提出了更严格的数据安全与隐私保护要求。2018年5月25日，欧洲联盟正式实施《通用数据保护条例》（General Data Protection Regulation，简称GDPR），对基本的个人身份信息、医疗敏感数据和网络行为信息等提出安全保护要求。国内，相继也颁布了类似的法律法规，如《信息安全技术个人信息安全规范》、《信息安全技术大数据安全管理指南》和《信息安全技术个人信息去标识化指南》等。

为了应对数据安全与隐私保护挑战，企业除了应用传统的加解密技术外，还在根据不同的业务场景和需求，积极探索匿名化（Anonymity）、数据脱敏（Data Masking）和数字水印（Watermarking）等新型技术，甚至一些前沿技术的实践与落地，如保留格式加密（Format-Preserving Encryption，简称FPE）和差分隐私（Differential Privacy）等关键技术。然而，上述提到的几种技术无法解决第三方平台（如云环境）的数据处理过程的数据与隐私保护问题：① 传统加密技术使得加密后数据失去可用性；② 脱敏等变换后的数据产生了失真，无法得到精确的处理结果。同态加密技术是近年来被学术界和工业界十分看好的一种加密技术，可实现数据加密后仍然可以被处理。但是，现有的多数同态加密方案由于占用资源过大且速度过慢导致无法从理论实现实用化，目前仍然面临各种问题与挑战。

Duality Technologies公司结合自身在同态加密等先进密码领域的研究和积累，声称突破了传统实现的困难性，最终实现了商业化，提供数据分析和数据与隐私保护的数字协作平台。接下来将对Duality公司、产品和关键技术进行一一解读。

公司简介

Duality公司强调“maximizing data utility, minimizing risk (最小化数据风险的同时，最大化数据利用价值)”的理念，在大数据隐私保护、模型的版权保护和数据合规等方面为客户提供实用的的解决方案。得益于自主研究的同态加密（Homomorphic Encryption）等先进密码技术，提供的安全产品可以使得数据在整个分析和处理生命周期中，始终保持加密状态，用户无需解密即可生成数据洞察结果。比如在云计算场景中，数据拥有方将数据加密存储在云计算平台中，数据拥有方提交数据统计或处理任务，直接对加密数据进行操作即可，不需要在云平台中进行解密，因此存储方无法获取真实的数据内容。Duality声称这项突破技术有利于企业内部和企业间的数字协作，实现安全的机器学习和数据挖掘任务，降低了数据泄露风险，同时完全遵守隐私保护法规。

目前，Duality产品在医疗、金融、汽车、保险、电信和教育等多个领域有应用。

公司产品

SecurePlus™平台是Duality公司主打的产品。它允许数据的生命周期中，总是处于安全状态，敏感数据或有价值的模型不会暴露。SecurePlus™支持多方参与计算，有利于数字化的协作。SecurePlus™平台主要有三种应用场景：

1安全数据分析

SecurePlus™平台使得数据所有者在不公开敏感数据时（数据加密），仍然可以使用第三方分析工具，如机器学习、数据挖掘 工具 进行分析和处理。使用抗量子的同态加密技术实现了数据端到端的保护。SecurePlus™平台保护了有价值的数据在不可信的云环境中的保密性和安全性。

2机器学习模型的版权保护

该场景不同于前一个场景，即机器学习模型不属于第三方，而是属于客户版权所有。SecurePlus™平台确保模型拥有者将模型在不可信任的第三方部署、存储和使用机器学习模型（一系列参数）在云环境中一直处于加密状态，客户端将样本后加密后上传至云端。通过同态加密运算，样本和模型可以在密文域进行预测和分类任务，完成后云端将结果返回给客户端，客户端将结果解密，得到真实的预测结果。由于没有加解密密钥一直保存在合法方，因此即使黑客和第三方即使窃取模型，也无法完成机器学习任务的闭环。

3数据共享的隐私保护

SecurePlus™平台确保多方数据安全共享与协作。同态加密在链接和计算过程中保护了每一方的资产，在整个过程中保护隐私并且符合法律法规需求，特别是GDPR对于多方协同的数据隐私要求。

技术解读

同态加密是Duality公司SecurePlus™产品的核心技术。同态加密是密码学界近年来的一个研究热点，主要应用在不可信的云环境中。其加密函数具有以下性质，

该性质称为同态性。通俗地讲，在密文域进行º操作相当于在明文域*进行操作。这种性质使得密文域的数据处理、分析或检索等成为可能。即，不解密任何密文的条件下对仍然可以对相应明文进行的运算，使得对加密信息仍能进行深入和无限的分析和处理。

同态加密的研究可以追溯到20世纪70年代，在RSA密码体制刚提出不久，Rivest （RSA公钥密码设计者）等人又提出了全同态加密的概念，但一直没有寻找到符合的全同态加密方案。直到2009年，IBM的研究人员Gentry首次设计出一个真正的全同态加密体制，随后许多其他同态加密方案被提出。然而，多数方案由于占用资源过大且速度过慢导致方案无法实用化。根据该公司自身报道，其“同态加密”技术商用化和产品实现处在业界领先地位（由于无法获得该产品的使用，无法真实地了解产品的性能如何，持质疑和有待验证态度），该技术在多个场景和实践中有广泛的应用。

基于同态加密的机器学习是指在加密数据上实现机器学习任务，如分类和聚类等，是近年来新的学术研究热点。它可以分为加密神经网络、加密KNN、加密决策树和加密支持向量机等算法。猜测Duality公司在方案实现上吸收和借鉴了这些已公开的研究成果。目前面临一些问题与挑战是[3]：

1. 如何在保证数据安全的前提下选择合适的同态加密方案来实现不同的数据分析；
2. 如何解决全同态加密方案中存在的噪声、运算复杂和运算效率低等问题；
3. 如何在确保算法安全性的前提下，使加密机器学习算法的准确度在可接受范围内。

除了自身发展和产品化外，Duality公司在同态加密标准化工作中做出一些重要的贡献。2016年6月，在第一次同态加密标准化研讨会，与微软、NIST等结果共同提出白皮书标准：1) 安全同态加密的安全设置；2) 同态加密的API标准；3) 同态加密的应用。后续，Duality公司主导并成立一个行业联盟HomomorphicEncryption.org，定期召开后续会议来共同开发同态加密标准。该联盟的参与者包括IBM和微软等大型跨国公司、麻省理工学院(MIT)和斯坦福大学(Stanford)等领先学术机构等领先初创企业。

总结

随着云计算和大数据技术的发展，越来越多的数据在第三方平台进行存储和计算。在云端实现数据处理的同时，如何保证数据的安全性是客户的一个普遍诉求。Duality公司的SecurePlus™平台基于自主研发的同态加密先进技术，提供了不一样的解决思路。提供的三种实际业务场景，抓住了客户的痛点，实现了“maximizing data utility, minimizing risk”，在第三方平台进行机器学习和数据挖掘任务同时，可以保证数据不会被泄露。将同态加密技术率先实现商业化与落地、并成功应用到数据安全领域中，是Duality公司在数据安全领域的差异化所在及创新亮点。

最近，一个鼓舞人心的消息是，微软开源了同态加密库，并“坚信”该技术已成熟到可用在现实世界应用的程度，源代码已放至GitHub[4]。随着GDPR法规的正式实施和RSA大会的宣传，势必该创新公司的同态加密解决方案将吸引大家强烈的关注与兴趣。SecurePlus™平台的成功案例将鼓舞其他安全公司重新评估该新型安全加密技术，甚至加入未来几年的重点投资选项。

参考链接：

[1] https://duality.cloud/products/.

[2] http://homomorphicencryption.org/.

[3] 崔建京, 龙军, 闵尔学, 于洋, & 殷建平. (2018). 同态加密在加密机器学习中的应用研究综述. 计算机科学, 45(4), 46-52.

[4] https://www.secrss.com/articles/767,让专家和新手都轻松：微软开源同态加密库“SEAL”

Capsule8

公司介绍

Capsule8是一家由经验丰富的黑客和安全企业家创建的高新科技初创型企业，总部位于纽约布鲁克林，成立于2016年秋季，在2018年8月获得1500万美元的B轮融资。

Capsule8开发了业界第一个也是唯一一个针对 Linux 的实时0day攻击检测平台，可主动保护用户的Linux基础设施免受已知和未知的攻击。Capsule8实时0day攻击检测平台可显著改善和简化当今基础架构的安全性，同时为未来的容器化环境提供弹性的支持。

背景介绍

混合云架构已经成为企业IT基础设施的重要架构，但其复杂性也使企业面临多种攻击的风险，根据Capsule8与ESG Research赞助的一项新研究（针对混合云环境对北美和西欧地区的450名IT和安全专家进行的调查）表明，仅2017一年就有42%的企业报告了混合云环境受到攻击，28%的企业表示0day攻击是这些攻击的起源。

混合云环境由于存在多云服务商，缺乏中心控制和完整的合规性规划，存在边界模糊，访问策略不一致等问题，笔者曾探讨过[1]相关的访问控制机制，加上公有云的暴露面增大，攻击者容易通过进入薄弱点，这也是近年来如软件定义边界SDP、移动目标防护MTD等新方案兴起的原因。

攻击者进而借助利用0day漏洞，如在容器环境中利用逃逸漏洞（近日爆出在特权容器中逃逸的runc漏洞CVE-2019-5736），或虚拟化环境中的利用CPU漏洞Meltdown/Spectre等，进入宿主机，进而横向到企业的云内或企业侧网络，造成更大的威胁。

此外，传统的攻击检测平台的工作机制通常是分析网络和安全设备（如入侵检测系统）的大量日志告警，进行关联分析，最后还原出恶意攻击。然而多年来，设备日志告警的置信度不高等问题导致绝大多数平台告警是误报，也造成了企业的安全团队持续处于警报疲劳的状态。企业急需一种可以有效解决上述问题的安全方案。

无论是传统环境，还是混合环境，防护利用0day漏洞的高级威胁需要企业安全团队全方位持续防护资产、获得环境的可视度（visibility），检测恶意行为。

产品介绍

该公司推出的0day攻击实时检测平台Capsule8，在发生攻击时通过自动检测和关闭正在利用漏洞的恶意网络连接，从而大规模减少安全操作的工作量，而且不会给生产基础架构带来风险。

Capsules8平台整体架构图如下所示：

① Capsule8 OSS传感器,即Capsule8工作负载保护平台的探针，是许多威胁检测机制的基础。传感器旨在收集系统安全和性能数据，对服务的影响很小，它能够实时了解到生产环境正在做什么。该传感器软件已开源，项目地址是https://github.com/capsule8/capsule8

② Backplane，包含一个实时消息总线，可以获取到传感器传来的实时事件以及Flight Recorder记录的历史事件，它实现了背压从而确保了平台不会因为过多的Capsule8遥测事件而导致网络洪水事件；

③ The Capsule8 API server，提供了统一的接口，允许企业管理生产环境中基础设施架构所有跟安全相关的数据；

④ Capsulators封装了连接客户端软件的API,通过它企业可以快速集成实现特定功能的软件如Splunk和Hadoop，方便企业进行数据分析。通过Capsulators企业不仅可以实时感知集群信息，还可以通过Flight Recorders获得历史数据，依据IOC（Indicators of Compromise，包括MD5 hash、IP地址硬编码、注册表等），从而实现追溯调查；

⑤ 第三方工具，如Splunk和Spark等；

⑥ Capsule8 Console，前端可视化界面。

下面我们介绍Capsule8如何实时检测并阻止0day攻击。假设客户生产环境是一个混合云环境，服务器部署于客户侧数据中心、公有云AWS和Azure中。

Capsule8的整个工作流程主要分为以下几步：

>>>>

1. 感知

为了保护分布式环境，Capsule8传感器遍布在整个基础架构中-云环境和数据中心的裸机以及容器上。由于传感器运行在用户空间，捕获少量的安全关键数据，故不会对系统工作负载的稳定性和性能造成影响。

以容器环境为例，前述关键数据包括：

a.进程生命周期事件（fork，execve以及exit）；

b.open(2)系统调用返回值;

c.匹配容器镜像名字的file open事件；

d.涉及IPv4的SyS_connect的内核函数调用事件；

e.容器生命周期事件（创建、运行、退出、销毁)。

>>>>

2.检测

感知阶段收集到的关键数据通过Capsule8 Backplane传送到企业侧临近位置的Capsule8 Detect分析引擎，利用云端专家的知识库将数据还原成事件，并对可疑事件进行分析。

>>>>

3.阻断

当Capsule8检测到攻击时，它可以在攻击发生之前自动关闭连接，重启工作负载或者立即警告安全团队。

>>>>

4.调查

由于0day攻击持续事件较长，所以除了实时检测外，Capsule8会在本地记录遥测数据，便于专家利用历史数据进行攻击朔源。

产品特点

检测和跟踪0day威胁从本质上是非常考验安全团队的日常运维和运营能力的，Capsule8可在如下方面有所帮助。

从安全运营团队角度来看

>>>>

1.实时检测漏洞

Capsule8使用分布式流分析与高置信数据相结合，在黑客企图攻击的实例中检测攻击。

在混合环境的检测引擎、数据本地化，专家云端化，并将两者结合形成类边缘计算的层级化检测模式，可在大规模环境下减少数据传输，避免合规性风险，同时提高检测精度和响应速度，使得Capsule8这样的小型安全企业提供大规模Sec-aaS/MDR服务变成可能。

>>>>

2.确保高置信度告警

Capsule8的系统级检测是不断更新的，它使用动态攻击指标（IOA，Indicator of Attack，其是一个实时记录器，包括代码执行等，专注于检测攻击者试图完成的目标）而不是行业标准的IOC指标来发现最新的0day攻击。因此，以前困扰客户的大量潜在威胁告警变成了少量的围绕实际场景的攻击告警。

>>>>

3.清晰和可行动（Actionable）的情报

Capsule8提供了一定程度的透明性，可以很容易的确定警报触发的原因，以及攻击者后续的操作。

>>>>

4.可适配多种环境

Capsule8可以轻松实现复杂且可自定义的策略，这些策略不仅在不同的基础设施环境中可能会不同，而且在更精细的系统项目中也会有差异。通过Capsule8可以最大限度地减少误报。

Capsule8可在各种环境（公有云，数据中心，容器，虚拟机或裸机）中Linux版本上提供无缝、易于部署的检测。同时保护所有主要的编排器，包括Kubernetes，Docker和CoreOS，以及Puppet和Ansible等配置管理工具。

此外，可与现有系统集成，充分利用现有的安全工具，如SIEMs日志分析工具(如Splunk和ELK Stack)和取证工具。

>>>>

5.自动化攻击响应

Capsule8可帮助客户实时检测和响应攻击。例如，客户可以在启动Capsule8时选择立即关闭攻击者连接、重新启动工作负载或立即向调查员发出警报。

2从安全运维团队角度来看

>>>>

1.系统稳定性好，性能影响小

Capsule8运行在用户空间，在不需要内核模块的情况下收集内核级数据。这就保证了生产环境（服务器和网络）的系统稳定性。

为确保对主机和网络的性能影响最小，Capsule8采用资源限制器，通过智能减载策略强制对系统CPU，磁盘和内存进行硬限制。

分布式的分析方法与边缘计算相似，将计算操作推向尽可能接近数据，确保就算是在系统最繁忙时候也对网络影响最小。

>>>>

2.简单的部署和维护

Capsule8代理是一个单一的静态 Go 二进制文件，它是可移植的，易于安装和通过各种编排机制进行更新，包括Puppet，Ansible，Kubernetes等。

总结

随着企业寻求基础设施现代化，DevSecOps的落地在现代混合云环境下就显得尤为重要。Capsule8可以无缝的集成到企业的Linux基础架构中，并在企业的整个平台上提供持续的安全响应。此外，它不是SaaS解决方案，它是与用户的IT基础设施一起部署。因此，数据完全保存在客户环境，消除了第三方传播、删除或损坏数据的风险，从而给企业带来更好的安全新体验。

参考链接：

[1]Yuxiang Dong, Wenmao Liu, Kun Wang,Research and Implementing of Software Defined Border Protection in Hybrid Cloud, Proceedings of 2016 3rd International Conference on Engineering Technology and Application,2016

CloudKnox

公司介绍

CloudKnox是一家位于美国加利福尼亚州森尼韦尔的初创高科技公司，成立于2015年9月。公司已经完成A轮融资，累计融资1075万美元。

介绍该公司前，我们先提出如下几个问题：

– 谁可以访问云环境？
– 这些用户都有哪些权限？
– 用户使用这些权限可以做什么？
– 用户实际使用过哪些权限？
– 风险是什么，我们如何可以降低风险？

当前的云平台大多采用基于角色的访问控制（RBAC）的访问控制模型，不同的角色具备不同的权限，然后赋予用户特定的角色以使其具备相应的权限。但是在云环境中，按照这样的策略所赋予用户的权限有可能过大。2017年2月，亚马逊AWS因为一名 程序员 的误操作导致大量服务器被删，最终导致Amazon S3宕机4小时。这说明，在云环境中，尤其需要对高风险权限的操作进行限制。

CloudKnox专注于访问控制领域，致力解决上述问题，关注于用户身份所具有的权限和其实际使用的权限，希望通过对用户操作时所用的身份、权限的梳理，并最小化其身份所需要的权限，从而降低未使用的权限泄露所带来的风险。

产品介绍

该公司提供一个云安全平台（CloudKnox Security Platform），用于混合云环境中的身份授权管理（Identity Authorization Administration，IAA），以降低凭据丢失、误操作和恶意的内部人员所带来的风险。目前该平台已经支持主流的云计算环境，如Microsoft Azure、VMWare vSphere、Amazon Web Services、Google Cloud等。

CloudKnox Security Platform有五大关键能力：

（1） 对于身份、权限、活动和资源的可视化和洞察力；

（2） 对身份进行基于活动的授权（Activity-based authorization），授权对象包括服务账户、API keys、第三方合作伙伴等；

（3） JEP（Just Enough Privileges）控制器可自动调整用户的权限，从而降低高权限用户所带来的风险；

（4） 在混合云环境中进行异常检测和身份活动分析；

（5） 提供高质量的活动数据用于合规性报告，提供强大的查询接口用于调查问题。

下面通过该平台的一些截图来对其功能进行介绍。

（1）CloudKnox Security Platform对用户的行为进行持续地监控，用户行为蕴含着系统对该用户进行该操作的授权。通过持续监控，平台可把用户所具有的权限分为两类，使用过和未使用过，如下图所示。

安全管理员在开始时会授予用户若干权限，但有些业务权限可能并不会被用到，且又存在被攻击者窃取并滥用的可能，造成不必要的风险，换言之，如果能裁剪这些未使用的权限，则将风险最小化。

（2）该平台会对上述风险进行评估，如果未使用的权限越多，或这些权限被滥用导致的风险越高，则整体风险分数越高。

（3）发现上述风险后，管理员可以通过点击鼠标来对身份所具备的权限进行取消或授权。

（4）可以直观看到用户的威胁分数等信息，也可以将其导出成CSV、PDF等格式的文件。

点评

传统的权限管理具有固定、不持续的特点，容易造成管理和运营的脱节。通过分析我们发现，CloudKnox的思路是一个用户具备某个权限，但是平时又不使用这个权限，则可以认为这个用户不具备这个权限并予以撤销。这其实也是对最小特权原理的一种实现方式，CloudKnox所提出的JEP，本质上也就是最小特权原理，但这种运行时进行闭环式的评估，比传统的权限管理更有实用性和更好的用户体验。

但实际环境中，身份、权限关系复杂，即便一些权限一直未使用，在某一刻也有可能需要使用。这一刻有可能对应凭据丢失、误操作和恶意的内部人员的操作，但也有可能是正常用户的需要。虽然管理员可以对已经撤销的权限进行再次授权，但从用户需要这一权限到管理员进行核实确认并授权中间会有一定的时间间隔，而这一间隔，有可能使得一些关键业务响应不够及时。

另外，当身份、权限众多时，管理员的工作量有可能很大。笔者从CloudKnox的公开资料中暂未看到对于这些问题的相关描述。但总的来说，通过对用户的实际未使用权限进行限制，确实可以有效降低凭据丢失、误操作和恶意的内部人员所带来的风险。

公司官网：http://www.cloudknox.io

Axonius

Axonius是一家做网络安全资产管理平台（cybersecurity asset management platform）的公司，该平台主要功能是对用户的设备进行管理，包括资产管理、应用管理和补丁管理等。该公司成立于2017年1月，并于2019年2月5日获得了1300万美元A轮融资。

背景介绍

近几年，智能设备使我们的生活发生了翻天覆地的变化。物联网、BYOD和云等方面的结合更是改变了对访问的定义，并且消除了工作和家庭之间的界限。但智能设备的保护仍然是技术人员和安全团队应该关心的问题。攻击者通常会寻找那些没有安全机制防护，或未被有效管理的设备，入侵并横向移动。

可见，资产管理是安全团队需要首要解决的问题，他们需要知道哪些设备是正在被安全或IT系统管理的，但哪些未被有效管理。如果设备没有可视度（visibility），我们如何管理未知设备？

传统上，技术人员和安全团队必须知道7件事情才能制定可行的资产与补丁管理流程：

1.哪些设备连接到网络？
2.目前安装的是什么版本的软件应用程序？
3.存在哪些安全漏洞？
4.漏洞有多严重？
5.新版本可用吗？
6.升级的影响是什么？
7.升级的紧迫程度是什么？

回答上面的问题对于确定是否应该对设备打补丁都至关重要，而其中的有些问题也确实是一种挑战。

目前随着物联网和移动办公的发展，大量的手机、电脑以及智能设备进入了企业网络中，显然这么多的设备还是没办法统一进行管理。目前的方法大都是基于资产、身份、网络等信息管理设备，每个系统（如终端安全：EPP、EDR，网络安全：漏扫、NGFW，虚拟化平台）都有自己的资产管理功能，但由于限于某个细分领域故而资产库不全，彼此没有互动形成竖井（Silo），因而安全团队没有办法给出各个系统的资产之间的交叉联系，也无法整合这些系统的知识完善资产属性。Axonius的网络安全资产管理平台，为每个设备提供一个管理的页面，可通过使用适配器通过API与现有系统连接，为每个设备创建唯一标识和配置文件，最后可通过插件实现跨设备的动作执行。

图1  Axonius可集成的安全方案

产品介绍

保护网络中的资产是否安全，第一步是了解网络中存在哪些设备，包括用户已知的设备和未知的设备。通过Axonius网络安全资产管理平台，使用者可只需从一个页面了解所有设备的情况，并且可以了解自己的设备是否安全。

1多输入源融合的资产管理

Axonius将客户现有的管理和安全技术集成到资产安全管理中，对个人和企业用户的设备类型进行识别，自动检测新上线的设备，并且能对笔记本电脑、服务器和物联网设备等不同类型的设备进行区分。使用可扩展的插件架构，让用户能自己添加自定义的逻辑，如下图所示，用户可以获得所有设备的界面，并能使用设备的属性进行搜索查看设备的信息和状态。

图2  Axonius资产管理页面

需要说明的是Axonius通过插件化的方式与各种IT、安全和网络平台对接，获得其管理的各类资源，所以Axonius中的资产更为广义，例如可与VMware Vsphere对接，那么虚拟机镜像ova就是一个资产，同时，Axonius也能通过关联多个第三方系统，交叉验证并资产，例如VMware vsphere的虚拟机可与终端安全管理平台EPP的主机融合，保证资产属性的完整性和一致性。

2补丁管理

补丁管理的核心是“知行合一”，就是将已知的漏洞的知识库，对应补丁打到每一个有漏洞的设备上。这就要求安全团队了解设备正在使用的软件的版本、漏洞以及不及时修复会带来的威胁。另一方面，在物联网设备较多的网络环境中，就需要一种新的方法来解决对未知设备的管理以及未知漏洞的发现。通过了解资产的具体版本、详细漏洞信息，Axonius可提供一套科学的补丁管理方案，来保护用户设备的安全性。

图3 补丁管理流程

3动态设备发现和策略执行

Axonius通过适配器连接到客户环境中的设备和管理系统，插件就可以使用跨设备管理功能。Axonius拥有70多个安全集成和资产管理的解决方案，只需要通过兼容插件连接到用户资产的最新数据，可以是Windows、Mac、Linux系统，甚至是物联网设备的嵌入式系统。例如：插件可以连接到Windows服务器的目录服务，并不断查询创建的任何新建的组织单位。一旦确定了设备是什么，Axonius就可以配置适当的权限和策略，以确保设备对数据的安全访问，下图为策略管理页面。

图4  Axonius设备策略管理

产品特点

1完整的资产发现和管理

将多个第三方系统发现的资产进行融合，得到环境中完整、一致的资产数据库，向SOC提供完整的资产信息，这对安全运营是非常必要的。

此外，对第三方系统的资产列表做对比，可及时发现某个系统未关注或未管理（Unmanaged）的资产，向安全团队提供如终端防护率、扫描覆盖率和可管理设备的覆盖率的报告，提高整个环境中的资产可视度（visibility）。

同时也借助第三方系统的更新通知，可及时对资产变更进行相应的处置，调整访问策略。

2可扩展的插件架构与统一视图管理

将客户现有的管理和安全技术集成到Axonius资产安全管理中，使用可扩展的插件架构，让用户能自己添加自定义的逻辑，并且用户可以获得所有设备的统一的界面——包括已知和未知的设备。

3支持对物联网设备管理

随着IoT的发展，智能设备走入千家万户，所以设备的可见性和控制对于网络安全而言是一个新的挑战。一方面，面对成百上千的物联网设备，安全管理员很难知道我们的网络中存在哪些设备；另一方面，物联网设备的成本竞争还是非常激烈的，所以安全往往不是首要考虑的问题，Axonius管理平台同样可以发现、管理并防护没有安全防护的智能设备，并可以从一个页面了解所有设备的情况以及设备是否安全。

4BYOD设备的可见性

虽然BYOD的模式方便了日常工作，但模糊了家庭和工作之间的界限。企业的员工拥有多设备，并且不断增加更多设备，这些设备是异构、复杂，且很多是非可管理的。Axonius管理平台可以告诉你这些设备何时连接和访问资源，尤其是当这些设备不做任何的安全防护时，Axonius管理平台的价值更为显著。

总结

IT环境的可视度始终是安全运营的第一步，Axonius的网络安全资产管理平台可通过整合客户现有的管理和安全技术，并使用可扩展的插件框架，让安全团队可以添加自定义的组件，获得网络中完整、一致的资产清单，且可随时查看这些资产状态变更。

Axonius的目标是成为技术人员最爱的安全工具，安全人员最喜欢的技术工具。更多信息可以访问Axonius官方网站https://www.axonius.com。

WireWheel

成立于2016年，总部位于华盛顿，该公司致力于降低数据隐私保护合规能力建设的难度，帮助企业来应对复杂、严厉的法案、条例规定。2018年10月，公司获得了PSP Growth领投的1000万美元的A轮融资。

背景介绍

据数字安全公司Gemalto 2018年10月发布的全球数据泄露水平指数（The Breach Level Index）报告，2018年上半年共发生了945次数据泄露事件，致使45亿条数据泄露。为加强消费者隐私权和数据安全保护，欧盟《一般数据保护条例》（GDPR）以及《加利福尼亚州消费者隐私保护法案》（CCPA）相继生效和通过。众多缺乏用户隐私、用户数据保护的意识和能力的企业亟需响应各种合规需求，否则将面临严厉的处罚措施。数据隐私安全保护公司BigID成为RSAC2018创新沙盒冠军，详细介绍参见我们去年的 2018RSA创新沙盒公司解读（二） 。今年的创新沙盒也同样关注数据隐私领域的创新，可见安全领域对数据隐私保护方面的创新需求之强。

隐私保护、数据安全已成为企业安全能力建设的重要环节，然而，在复杂的IT系统环境下加强数据隐私保护，对传统的数据防泄密技术及产品是非常大的挑战，也给企业的数据管理增加沉重的负担。大型企业内部网络环境、数据存储架构复杂，数据隐私保护依赖数据发现、管理、分类等多环节的技术支撑；多部门数据协作共享，需通过数据的关联、聚合分析才能更合理的发现隐私泄露隐患；与合作伙伴或供应商等第三方企业的数据共享环节，数据的管理、隐私策略的配置尤为关键。

特别是面对GDPR针对应用使用用户隐私数据的权限管理，以及数据流动过程中的合规问题，在复杂的企业多部门协同和跨企业的供应链数据流管理方面，存在巨大的合规性挑战。应对这些挑战需要专业的、自动化的管理流程和技术方案的支持。“法规是复杂的，但WireWheel能够使合规变得简单。”WireWheel公司提供的基于SaaS的数据隐私保护平台，旨在降低企业隐私数据处理合规的复杂性，帮助企业快速建立数据隐私保护能力，回答隐私合规性的4个关键问题：

1. 企业收集了哪些个人隐私信息？
2. 隐私信息存储在哪里？
3. 个人隐私信息在哪里处理？
4. 哪些第三方或合作伙伴有对个人隐私信息的访问权限？

产品介绍

该公司专注于基于SaaS的数据隐私保护，能够满足企业隐私影响评估（Privacy Impact Assessments, PIAs）、数据保护影响评估（Data Protection Impact Assessments, DPIAs）、供应商评估等多方面需求。其数据隐私保护平台的主要包含以下主要功能：

隐私数据发现及分类（Data Discovery & Classification）

发现并盘点个人信息，提供数据在组织中驻存、流动的可视化能力；在企业基础设施、数据存储及界面上集成隐私保护能力；支持识别、归类和保护个人隐私数据。

流程映射（Process Mapping）

支持云端资产发现，包括计算节点、存储及serverless组件；包括内置的业务流程映射；能够自动化识别并集成第三方流程。

任务计划（Tasking）

根据角色、业务类型、业务范围制定任务计划，促进和保障相关人员、业务按照计划执行行动。

隐私引擎（Privacy Engine）

提供用户友好的自助式隐私数据保护向导，降低隐私保护任务、操作相关步骤的行动难度。

产品特点

WireWheel提供基于SaaS的数据隐私保护平台，能够从多方面提升隐私保护合规能力建设的效率，降低隐私泄漏的风险。总结起来包括以下几点特征。

（1） 简单集成各类用户环境，持续监控可疑行为

WireWheel能够简单的集成到客户的云环境中，包括AWS、Azure及Google等额云计算平台。自动化的处理数据流，持续的监控各类隐私数据的处理环节，并对可疑的行为触发告警，能够减少大量人力资源。

（2） 快速发现、识别隐私数据，具有可视化能力

基于企业的云端基础设施，WireWheel提供了数据存储、流转的可视化能力，同时能够快速识别、归类和保护隐私数据。

（3） 预先配置的工作流，降低隐私合规工作的难度

根据相关法案、条例要求，辅助企业满足数据隐私保护合规要求，预置了多种过程、内容及模板，提升企业内部现有团队的数据隐私保护能力，降低隐私合规工作的难度，减少企业的人员培训成本。

（4） 跨部门跨企业的全方位协同

在保证数据隐私合规的基础上，大幅度提升业务范围内跨部门、跨企业数据的接入效率。尤其是在与第三方企业存在数据共享的情况下，通过SaaS服务统一监控、管理隐私数据的在云端的处理过程和流向，隐私保护过程不再局限在部门或者企业内部，大大降低了隐私保护在数据共享中的不可控性。

总结

针对新的数据隐私安全保护形势下，企业缺乏在复杂应用环境下满足合规要求能力的痛点，WireWheel通过自动化、模板化的方式提升隐私数据发现、监控和保护的能力，同时通过提供云服务，一方面借助数据在这些客户边界流转的可视度，提供对企业内部跨部门、供应链中跨企业的数据转移的隐私保护提供协同的解决方案；另一方面通过标准化的SaaS服务吸引大量客户，从而迅速提升有隐私合规需求的企业的数据隐私保护能力，促进企业满足多项数据隐私保护法案、条例的要求。

DisruptOps Inc.

DisruptOps Inc.成立于2014年，位于密苏里州堪萨斯城，该公司致力于通过为多云基础设施提供自动化的防护来提升云操作的安全性，实现对云基础设施的持续检测和控制。2018年10月，公司获得了由Rally Ventures领投的250万美元的种子轮融资。

背景介绍

近年来，公有云在国外得到快速发展，大量中小公司开始积极拥抱云计算。然而，公有云服务商的技术能力、安全水平始终成为客户上云的最大顾虑。在这样的背景下，多云（Multi-Cloud）架构成为云计算IT架构的下一个飞跃，在多云架构下，用户同时使用多个公有云提供商和内部私有云资源来实现业务目标。可有效提高公有云基础设施可用性，且降低厂商锁定（Vendor Lock-in）的风险。

然而，管理多个云环境的运营团队面临大规模和复杂的云环境，将很快导致运营成本不断上升；此外，敏捷开发也为越来越多的开发团队所亲睐，云中开发、运营复用的系统将越来越多，DevOps将成为新的云应用常态，那么不同环境中的配置不一致会导致安全风险的显著增加。常见错误包括存储系统的数据被非授权访问、错误配置的安全组导致的内部网络可被外部访问，以及过度分配的资源所导致的资金浪费。例如2017年曝光的美国陆军及NSA情报平台将绝密文件放在可公开访问的Amazon S3存储桶中，这个错误配置的S3存储桶，  只要输入正确的URL，任何人都能看到AWS子域名“inscom”上存储的内容。这包含有47个文件和目录，其中3个甚至可以任意下载。

如果通过手动操作的方式来应对这些挑战，效率低下且无效。DisruptOps通过实施可自定义的最佳实践库来确保一致性和安全性，从而使DevOps团队能够快速无风险地迁移，从而实现云管理的自动化。

产品介绍

该公司推出的基于SaaS的云管理平台，实现对云基础设施的自动控制。通过持续评估和执行安全、运营和经济的防护栏，企业可以在保持运营控制的同时，可以安全的享受云计算提供的灵活性，速度和创新等好处。

1安全防护栏（Security Guardrail）

DevOps的模式促使开发团队和运营团队能够更快地行动、更快地部署和更快地适应。因此，安全问题不能妨碍或减慢整个DevOps进程。安全防护栏会自动执行安全最佳实践，不仅可以发现错误配置和攻击，而且通常可以在发现问题之前修复它们。这样使得DevOps团队能够在没有风险的情况下快速执行。

具体包括：

（1）身份管理。确保身份策略在整个云中保持一致，从而消除过多的权限问题。

例如，在S3、EC2的服务中，实现对需要具有API和命令行访问权限的控制台用户的MFA管理；删除未使用的IAM用户和角色；删除过多的特权；删除未使用的默认VPCs等。

（2）监控。确保在多个帐户中一致的设置日志记录和告警，确保所有云活动的完全可见。

例如，提供最佳安全实践的配置；设置AWS Log Rotation和Archiving；实施集中式的配置监控；实施集中式的告警；创建安全组更改的告警等。

（3）网络安全。管理适当的网络访问策略，确保正确配置安全组以最小化攻击面。

例如，锁定默认的安全组；锁定安全组到当前配置；评估或限制VPC peering；寻找具有过多权限的安全组；启用VPS流量日志等。

（4）存储安全。确保通过自动执行基于策略的标记、访问和加密规则来保护存储的关键数据。

例如，限制S3 Bucket到已知的IP地址；识别没有合适标签的S3 Buckets；识别公共S3 Buckets；使用KMS Keys加密S3 Buckets等。

2运营防护栏（Operations Guardrail）

成熟的云组织在其所有云环境中实施共享服务，包括监控/日志记录、IAM和备份等。运营防护栏可以实现这些共享服务的最佳操作实践，而不需要脚本或任何其它本地的解决方案。

例如，虽然AWS允许用户在控制台中更改资源的类型和大小，但这些都不是以编程的方式提供，使用Trinity API就可以直接的调整资源。

再比如，通过标记的方式，用户可以按照计划自动化的对实例进行快照制作备份，同时还可以将较旧的快照迁移到Glacier，以节省成本。

3经济防护栏（Economic Guardrail）

通常，开发团队会将更多的精力致力于如何更好的构建并快速的部署相关的应用。然而，却很少会有明确的意识，在资源不使用时主动的去关闭它们，这样就会造成云成本的失控。经济防护栏使用预先构建的策略，自动化的关闭不需要的云资源，在不影响开发人员效率或需要本地脚本的情况下节省用户的资金。

例如，可以通过标签设置，在工作时间之外关闭开发实例和其它一些不用的实例，以节约成本；可以调整自动缩放配置，以减少非工作时间的成本；根据实例的具体资源利用率，调整实例的大小，实现成本的降低；分析S3的存储Buckets使用情况，并将其优化到正确的存储层，以降低成本等。

产品特征

无论云的规模大小如何，DisruptOps云管理平台都能及时发现并修复安全、运营和成本管理问题。总结起来包括以下几点特征。

（1）持续评估

开发人员不断地对业务系统进行迭代改变，运营团队不断地进行相关的更新。每做一次更改，都会有违反公司安全策略和偏离最佳实践的风险。因此，需要持续监控和评估环境，进而发现违规行为，然后采取各种行动。

DisruptOps维护所有云平台的多帐户资源，可以为这些资源进行标记分配，并支持基于标记的单独策略。例如，用户可以针对开发和生产环境，实现不同的安全策略。DisruptOps允许开发人员快速进行迁移，而运维团队可以快速的实施最佳实践。

（2）自动执行

DisruptOps在识别到问题之后，可以自动化的提供许多补救方案。通过自动化的执行更改，将环境恢复到最佳实践配置。DisruptOps的防护检测配置，与运维团队为实施策略而构建的许多脚本不同，这是经过生产测试和自动化维护的。

（3）护栏而不是拦截

实现云安全的一个重要的宗旨就是：需要保护公司数据，并执行安全策略和最佳实践，但不要减慢DevOps进程。护栏不会阻挡活动，而是按预期执行安全策略，用户可以为不适用的资源设置白名单和黑名单。

例如，如果为安全组打开了管理员访问权限，那么就不会阻止管理员对这个安全组范围的访问。相反，DisruptOps将策略设置为只允许来自授权公司IP范围的连接。同样，如果管理员帐户需要MFA（AWS Multi-Factor Authentication，多因子认证）并且该帐户已关闭，而不是阻止所有访问（并使管理员脱机），则DisruptOps会将策略重置为需要MFA。

（4）DevSecOps的最佳实践方式

当前，在DevOps过程中添加“Sec”需要大量手工工作来构建、测试和维护脚本。使用DisruptOps Guardrails，无需编程，通过一键式处理进行配置，并通过直观的用户体验来实施和管理Ops。DisruptOps提供报告并支持基于角色的访问控制，以确保只有授权方才能对其管理的云进行更改。

（5）支持云计算的最佳实践

DisruptOps可以帮助用户实施多帐户管理策略，并提供Guardrails来遵循来自CIS等组织的云安全准则和基准。此外，DisruptOps的许多策略源于创始人的实际设计和架构工作，他们拥有多年帮助客户实施世界级云安全建设和运营的经验。

（6） 最低权限原则

在DisruptOps中，最小特权的安全标准是宗旨。始终只为相应操作分配所需的最少权限，然后在进行更改后删除这些权限。通过积极且持续地管理权限，确保不会因自动化而在云安全和操作的关键方面而产生额外的攻击面。

（7） 云原生

DisruptOps构建于云中，用于云，并利用云最佳实践，包括多个帐户组织、无处不在的加密、平台即服务产品，并大量利用API、容器、微服务和功能即服务。这种方法既可以最大限度地减少应用程序的攻击面，又可以与云环境进行即时集成。DisruptOps的创始人近十年来一直倡导云原生架构的理念。

（8） SaaS交付

DisruptOps以SaaS服务交付，也就是说用户环境中无需安装任何软件。一键式配置流程和内置的Ops库，确保用户不再需要投入资源来实施、构建、更新、修补或重新调整护栏的大小。因此，用户可以把精力放回到构建、运行云和DevOps的业务中。

总结

多云和敏捷开发是云计算的热点，DisruptOps以SaaS化的服务方式，通过对用户的多个云资源进行安全与操作问题的快速检测并自动修复，一方面节省了客户上云的成本，另一方面实现对云基础架构的持续安全控制，在安全、运营和成本等方面，给用户带来最大的收益。此外，借助自动化和服务编排的技术，推动云原生应用和DevSecOps的落地。