本篇解讀包含四家公司：Salt Security、Eclypsium、ShiftLeft、Arkose Labs

【RSA2019創新沙盒】Salt Security  探測與防禦API攻擊的解決方案及平臺

公司介紹

Salt Security是一家起源於以色列的安全服務公司，公司於2016年成立，總部設在矽谷和以色列，創始人有以色列國防軍校友、網路安全領域專家等。該公司致力於為軟體即服務（SaaS）平臺、Web平臺、移動端、微服務和物聯網應用程式的核心API提供保護解決方案。該公司現已推出業界首個探測與防禦API攻擊的解決方案，以確保SaaS、Web、移動端、微服務以及物聯網應用的安全。

背景介紹

隨著網際網路應用的多元化複雜化，應用服務化成為顯著的趨勢，越來越多場景中的應用架構中採用應用程式設計介面（API）作為應用間資料傳輸和控制流程。同時API介面負責傳輸資料的資料量以及敏感性也在增加。因此針對API的攻擊已經變得越來越頻繁和複雜，成為當今不少公司的頭號安全威脅。在過去的幾年時間裡，市場上已經看到了API面臨的風險和攻擊的巨大增長，不僅出現了FaceBook、T-Mobile等公司的API違規事件，也出現了美國郵政服務（USPS）和Google+的最新漏洞洩露事件。

Gartner預測到2022年，API攻擊會成為導致企業應用程式資料洩露的最常見的攻擊。雲安全聯盟（CSA）在2018年將不安全的API列為雲端計算面臨的第三大威脅。開放Web應用程式安全專案（OWASP）在最新的報告中表示API安全性是一個重要關注點，其報告中披露的十大漏洞中有9個與API元件相關。

API是架構師設計，並由開發者實現，每個API都是唯一的，具有各自的邏輯，因而產生的漏洞也沒有統一的模式。目前傳統API安全解決方案僅關注已知的攻擊型別，缺乏對API的細粒度理解，忽略針對API邏輯的攻擊。例如，某些API的業務邏輯是訪問應用程式和敏感資料，如果攻擊者針對邏輯層面的漏洞進行攻擊，繞過傳統防護方案。例如，攻擊者可以合法身份的使用者訪問API，這些使用者採用不易覺察的手段，在偵查階段探測每個API以尋找到API中的漏洞。

產品介紹

2018年Salt Security推出了業界首個探測與防禦API攻擊的解決方案，以確保SaaS、Web、移動端、微服務和物聯網等應用的安全。Salt Security的API安全防護平臺能夠在攻擊者成功入侵關鍵業務應用程式和竊取敏感資料之前，檢測並阻斷威脅。

Salt Security的API防護平臺分三個階段執行：

檢測階段：Salt Security防護平臺會自動並持續的監控環境中所有API，當環境發生變化時防護平臺透過自動探測捕獲到API的變化，以便後續分析API背後的風險。透過洞察API環境中流動的資料來識別其中的敏感資料，便於評估敏感資料潛在的暴露風險。防護平臺跟蹤並驗證API更新後的最新狀態，確認所有的API都滿足安全需求。

防護階段：Salt Security防護平臺不僅對安全堆疊中現有的漏洞進行檢測，而且能針對API邏輯攻擊提供實時保護機制。防護平臺使用人工智慧（AI）技術和大資料技術，基於API的細粒度合法行為建立API正常行為基線，實時對API行為進行監控，一旦檢測到API活動中出現偏離基線的行為即作為可疑惡意行為進行API攻擊行為評估，該API防護平臺可以在攻擊者的偵察階段實時防止API攻擊的發生。

補救階段：透過防護階段對攻擊者行為的快速評估結果，補救階段自動化相應威脅並對攻擊者的惡意活動進行阻斷。為了向安全團隊提供有價值的情報，防護平臺向開發人員提供API原始碼相關漏洞資訊，以便從根源上阻止API攻擊進而提高API安全性。

下圖是API防護平臺經過三個階段為安全人員提供的API攻擊行為資訊。

公司聯合創始人兼執行長Roey Eliyahu表示“傳統的API安全解決方案無法檢測到最新的API攻擊，但透過應用人工智慧和大資料技術，我們的API安全解決方案可以在API攻擊成功之前識別並阻止攻擊者。”

產品特點

1. Salt Security的API防護平臺基於人工智慧和大資料技術，不需要透過配置的方式建立基線也不依賴於簽名技術，而是透過不斷的學習API行為來建立API細粒度正常行為基線，學習演算法隨著API的更新而發生變化，因此能夠檢測到針對API邏輯的攻擊，而傳統API安全解決方案無法檢測。

2. Salt Security的API防護平臺具備容易部署以及適用性普遍的優勢。API防護平臺只需幾分鐘即可完成部署，無需配置或自定義即可幫助保護應用程式並改善API防護等級。Salt Security 的API防護平臺可用於SaaS平臺或混合部署，適用於需要本地資料處理的情況。

3. Salt Security的API防護平臺為安全團隊提供最有價值的API安全資訊。防護方案利用平臺產生的警報來關聯攻擊者活動並與攻擊者所有事件進行組合，挖掘出一系列惡意API呼叫，大大減少了誤報的生成。為了便於安全團隊檢視和了解攻擊過程中的具體情況，API防護平臺提供整合過的時間表，其中包含攻擊者活動的詳細資訊。

目前許多企業客戶已經部署了Salt Security的API防護平臺，合作伙伴包括亞馬遜AWS、谷歌Cloud平臺、微軟Azure等明星公司。Salt Security API防護平臺在未來能夠持續的針對企業的業務增長以及差異化提供最新的API安全防護。

總結

隨著雲端計算的發展，越來越多的企業將服務或能力以API的方式呈現，API成為連線網際網路商業生態的重要環節。對於普通使用者來說API只是他們所使用的服務，但對於企業而言API在資料交換的過程具有重要的商業價值，一旦API服務在資料交換過程中出現安全隱患則會給企業帶來嚴重的利益損失。

相對於WEB安全監測和防護產品，API安全領域存在極大的空白。目前市場上落地的API安全防護平臺和解決方案很少，有的API防護解決方案依賴於特定的雲環境，例如Apigee適用於Google Cloud；有的API防護平臺無法應對新一代API攻擊，而是關注在API授權和管理策略層面，例如MuleSoft。Salt Security選擇以API安全為切入點，研發出新一代API安全防護平臺為SaaS平臺、Web端、移動端等提供應用API的安全防護機制。其API保護平臺是業界第一個利用人工智慧以及大資料技術對API行為建立基線並進行下一代API攻擊防護的解決方案。Salt Security的API防護平臺的創新之處在於利用API細粒度正常行為構建行為基線，監控API活動和流動的資料以確保API行為沒有偏離正常基線而且隱私資料不會被洩露。這種結合AI和大資料技術的解決方案能夠動態監控API安全做到API的實時防護。但是筆者的顧慮是部署其防護平臺的公司是否需要向Salt Security暴露部分API互動過程中的資料以做到更好地建立API行為基線，這一點沒有在其落地的產品中看到有關的解釋。

Salt Security的API安全解決方案具備快速部署的優勢，能夠持續的學習API中的細粒度行為並發現攻擊者的惡意活動，無需進行過多的自定義配置即可確保API安全。Salt Security的API防護平臺不僅具備適用性廣、API防護能力強、容易部署等優勢，並且其核心技術壁壘高、商業化落地性比較好，筆者認為Salt Security不僅在本次RSA創新沙盒競爭中非常具有競爭力，並且對Salt Security未來的發展前景看好。

—END—

【RSA2019創新沙盒】Eclypsium：專注裝置底層韌體的安全防護

一.  公司簡介

Eclypsium是晉級2019年RSA創新沙盒決賽的公司之一。該公司專注於伺服器、膝上型電腦和網路裝置（交換機、路由器等）的韌體層的檢測和防護。至今為止，該公司已經完成A輪融資，累計融資1105萬美元。公司成員中，Yuriy Bulygin曾在英特爾工作11年（高階工程師），在McAfee工作了兩個月（CTO）。Alex Bazhaniuk和John Loucaides也來自英特爾，在此之前，這三位均負責英特爾的硬體、韌體安全。Ron Talwalkar在McAfee工作了11年，作為終端安全業務部產品管理高階總監，負責英特爾安全相關的業務。所以，該公司熟知採用英特爾處理器的裝置在硬體和韌體上的安全現狀。

二.  背景

隨著網路產品的普及，個人電腦、伺服器、網路裝置的數量在急劇增長。裝置底層的韌體也在不斷地迭代，從BIOS到EFI再到UEFI，這些裝置的底層韌體的安全話題也一直是網路安全領域的熱點，如2017年BlackHat Asia上，Matrosov和Vxradius兩位研究員介紹了針對UEFI（Unified Extensible Firmware Interface）韌體的滲透測試工具集，同年美國的BlackHat上，研究員介紹了近三年UEFI韌體的大量安全漏洞。一些UEFI、bootloader等底層啟動程式碼的檢測工具和攻擊工具層出不限，前述計算機產品的底層韌體的安全防護已經變得越來越重要。在漏洞不斷披露的過程中，英特爾、AMD和一些第三方廠商如phoenix、AMI不斷地更新維護本廠的韌體，以保證最新底層韌體的安全性。

去年的創新沙盒的入圍公司中，Refirm Labs專注於物聯網裝置的韌體安全分析，詳細介紹請參見【RSA2018】創新沙盒公司解讀（六）|ReFirm Labs簡介及技術解讀。網路基礎設施中不僅僅有物聯網裝置，還有伺服器和路由器、交換機等網路裝置，使用者側還有個人電腦，這些裝置的底層和硬體的安全問題是否有人關注呢？

Eclypsium專注於企業內部計算機類裝置的韌體層的安全防護，下面介紹他們的產品、及其特點。Eclypsium所關注的韌體和去年的ReFirm Labs關注的韌體有所不同，這一點在產品特點中重點介紹。

三.  產品介紹

該公司在韌體的安全防護能力上獨樹一幟，其特點非常明顯：在韌體層做裝置風險管理。韌體的能力涉及對主機板和與主機板連線的外圍裝置的初始化、網路管理、記憶體管理、作業系統引導等。換句話說，該程式具備讀取、更改裝置硬體狀態的能力，裝置許可權很高。這種狀態下的程式碼一旦被更改，裝置的執行狀態也就被篡改了。該公司研究人員也是利用了該程式碼管理裝置風險。風險管理的能力主要涉及4個方面：漏洞掃描、韌體升級管理、防篡改（尤其是後門檢測）、未知攻擊檢測。配置檢查部分，可參考創始人維護的一個GitHub專案8。

漏洞掃描：

該功能實現的意義在於識別裝置已存在的漏洞，包括非加密的通訊、韌體版本過時等漏洞的驗證。

韌體升級：

在掃描完漏洞後，如果韌體版本較低，透過升級韌體的方式能解決大多數的安全問題，其被利用的可能性也將大大降低，大部分惡意的駭客不會花大量的精力專門挖掘一個可遠端控制裝置的漏洞鏈。

防篡改：

如果裝置韌體升級完成，並實施了其他安全功能，如安全啟動等，就可以在裝置執行期間監控韌體的完整性，以防止攻擊者篡改韌體。

未知攻擊檢測：

由於韌體對硬體裝置的操作許可權最高，所以研究人員在韌體中加入了硬體行為監控的能力，目的是在裝置賣出以後或者租賃之後，檢測到未知的攻擊手段。

配置檢查：chipsec

配置檢查是找到軟體不正確的配置，源於創始人Yuriy Bulygin建立並維護的chipsec專案。chipsec在GitHub中開源，我們在一臺執行Linux作業系統的筆記本上安裝後，檢測結果如下所示：

該檢測過程最後會給出結果彙總，chipsec一共對我們的機器做了23項檢測，其中16項透過安全檢測。

四.  產品特點

Eclypsium的產品的特點在於專注韌體的防護。我們和ReFirm Labs做個對比就會發現，這兩家所關注的韌體是有很大區別的。這要從計算機的啟動過程說起，下面我們儘可能地通俗介紹。

計算機電源開啟，到正常看到登陸桌面，這個啟動過程中，計算機一共經歷了以下三個階段：

1. 引導階段（由uboot、BIOS、UEFI等底層機器碼引導，引導物件是作業系統核心）

2. 作業系統核心啟動、驅動載入階段

3. 應用程式啟動階段（shell、檔案系統、應用等程式的啟動）

Eclypsium關注的是執行在PC、伺服器和一些網路裝置的引導階段的底層機器碼，並把這部分程式碼稱為韌體。ReFirm Labs則針對物聯網裝置的全部三個階段，把三個階段所有的機器碼稱為韌體（有點類似於把整個硬碟的內容都當作韌體）。物聯網裝置從軟硬體上來看，和傳統的嵌入式軟硬體並無別，區別在於一些網路架構等宏觀的概念。這並非是指Eclypsium關注的少。由於PC、伺服器這類裝置的要比絕大部分物聯網裝置昂貴，且在網路中扮演著重要的角色，這些裝置的引導階段的機器碼並不比整個物聯網裝置的儲存器中儲存的所有機器碼簡單。物聯網安全中提倡的裝置安全啟動等系統底層保護措施，在十幾年前的UEFI韌體中已經實現了。

Eclypsium面向企業使用者推廣韌體防護平臺，並且只針對引導階段機器碼本身的完整性和可用性，防止企業的產品在被攻擊者利用底層的漏洞而產生無法挽回的後果。

五.  解讀

除了韌體保護平臺之外，該公司深入研究了UEFI韌體中的安全問題，並在BlackHat USA 2018會議上介紹基於UEFI的系統的遠端攻擊面，在DEFCON 26會議上也介紹了相似話題，由此可見該公司在計算機韌體安全方面的功力之深厚。除了UEFI和BIOS這類韌體之外，該公司在BMC（Baseboard Management Controller）方面也具備豐富的安全研究積累4。

從研究的角度看，該公司成員在底層韌體的研究上非常深入。但是觀其產品，漏洞掃描、韌體升級、防篡改這類技術已經非常成熟，亮點較少。比較新穎的功能是未知攻擊的檢測。可以想到的思路是透過硬體裝置相關的日誌來捕獲，但是這需要看UEFI這類底層韌體中是否有日誌，量是否足夠大，以滿足較長時間段內的裝置行為檢測、外部介面訪問的檢測等，並需要對UEFI韌體做一定的更改。該公司的成員在這方面比較擅長，問題在於，如果該團隊研發了一個UEFI韌體，客戶是否有一個必須使用該韌體和平臺的理由，來滿足企業內裝置的安全需求？很明顯，現在缺少一個理由說服客戶必須用該平臺，以保證裝置足夠安全。

好在公司有了1000萬美元的融資，能支援其一段時間的研究、研發、運營等，這段時間內能否開發出客戶必須使用的底層韌體和配套的平臺，尚未可知。一旦提供了一個必須使用Eclypsium的平臺的理由，該平臺的盈利也將相當可觀，畢竟亞馬遜、阿里巴巴、騰訊等企業的伺服器的數量加起來也有數百萬臺。

技術創新不會非常的密集，創新沙盒舉辦幾屆之後，各個新公司的產品在創新方面的吸引力可能會降低。在這樣的背景下，能否誕生一家大家都十分信服的企業，非常值得期待。

參考文獻

1. Millions of Computers Are at Risk of Hacks That Crack Into Their Core，https://www.bloomberg.com/news/articles/2018-05-17/millions-of-computers-are-at-risk-from-the-next-gen-spectre-bug

http://www.10tiao.com/html/793/201805/2247484648/1.html，中文版

2. 找出駭客攻擊的漏洞，http://hk.bbwc.cn/2y32dk.html

3. Firmware Security Leader Eclypsium Raises $8.75M Series A，https://www.globalbankingandfinance.com/firmware-security-leader-eclypsium-raises-8-75m-series-a/

4. Insecure Firmware Updates in Server Management Systems，https://eclypsium.com/2018/09/06/insecure-firmware-updates-in-server-management-systems/

5. 近三年的UEFI漏洞統計，https://raw.githubusercontent.com/rrbranco/BlackHat2017/master/BlackHat2017-BlackBIOS-v0.13-Published.pdf

6. UEFI滲透測試工具集，

7. https://www.blackhat.com/docs/asia-17/materials/asia-17-Matrosov-The-UEFI-Firmware-Rootkits-Myths-And-Reality.pdf

8. Chipsec github 專案，https://github.com/chipsec/chipsec

—END—

【RSA2019創新沙盒】ShiftLeft：面向軟體開發生命週期的持續性安全防護

公司介紹

ShiftLeft公司，成立於2016年，總部位於美國加利福尼亞州聖克拉拉市。該公司致力於將應用的靜態防護和執行時防護與應用開發自動化工作流相結合以提升軟體開發生命週期中的安全性。公司創始人Manish Gupta曾在FireEye、Cisco、McAfee等公司任重要職位。ShiftLeft在2019年2月獲得了2000萬美元的新一輪融資，總資金達到2930萬美元。

背景介紹

在軟體開發生命週期中，傳統的安全防護都是人工在程式碼版本釋出後透過執行相應指令碼檢測漏洞資訊，之後再將漏洞資訊提交至公司的漏洞管理平臺或人工去做處理的。這樣做有幾個缺點，首先執行指令碼通常誤報率高，處理誤報的漏洞無疑增加了人工成本，也非常耗時；其次檢測漏洞的指令碼非常多樣化缺乏統一標準，也增加了人工維護的成本；最後檢測和處理漏洞通常花費時間長達數小時或數天且準確率難以保障。隨著技術和開發模式的不斷更新換代，敏捷開發如DevOps、CI/CD等的出現解決了軟體開發生命週期自動化的問題，很多企業在研究如何在整個過程保證安全性，即近年來很熱的DevSecOps。但要實現DevSecOps的安全（Sec）部分還需要有公司提供相應的安全能力，Shiftleft將下一代靜態程式碼分析與應用開發自動化工作流中涉及的安全工具（SAST、IAST、RASP）相結合，以提供應用在執行時的防護能力，相比於傳統防護方式可能帶來的漏洞誤報率高、人工介入週期長等缺點，以上這種結合方式提供了更為準確，自動化和全面的應用安全解決方案。

ShiftLeft產品

Code Property Graph（CPG）

圖1 CPG程式碼邏輯圖

傳統的SAST（static application security testing）類工具在處理大量程式碼分析時具有誤報率高、耗時長、資源佔用比高、複雜度高等缺點，究其主要原因，是因為在審計程式碼的編譯階段需要針對不同的語言實現不同的語法樹從而增加了複雜度和時間成本。CPG是一款視覺化的程式碼分析產品，其為每個應用唯一的程式碼版本提供可擴充套件的和多層的邏輯表示，包括控制流圖、呼叫圖、程式依賴圖、目錄結構等。CPG建立了程式碼的多層三維表示，具有很強的洞察力，這使得開發人員可充分了解應用程式每個版本執行的內容及可能帶來的風險。

圖2 CPG多層語義圖

上圖為CPG的多層語義圖，從中可看出版本程式碼中的元件和流資訊，CPG將這些程式碼元素（自定義程式碼，開源庫，商業SDK）對映為各種抽象級別，包括抽象語法樹，控制流圖，呼叫圖，程式依賴圖和目錄結構，透過這種方式可以快速連線至漏洞點，使漏洞變得更容易識別，並且對於複雜漏洞（傳統工具無法發現）的識別非常有效。

早在2014年，CPG就能夠在Linux核心原始碼中發現18個先前未知的漏洞。最近，以CPG驅動的程式碼分析準確性在OWASP（Open Web Application Security Project）基準測試中得到了驗證，具體可參考官方文件。

ShiftLeft Protect

ShiftLeft Protect是一款RASP（Runtime application self-protection）類產品，它提供了一種在應用執行時自動執行漏洞防護的方法。在生產環境中，Protect利用“code-informed”特性發現每個應用版本開發週期中的漏洞，並建立指定的安全策略對執行時環境中存在的漏洞進行防護。Protect產品可整合CI/CD管道，從漏洞發現，pull request, commit, build到執行策略的過程是完全自動化的，只需要幾分鐘。以下為Protect產品的截圖：

圖3 Protect產品介面圖

ShiftLeft Inspect

ShiftLeft Inspect是將SAST和IAST（interactive application security testing）結合的一款漏洞檢測產品。Inspect產品的設計理念是為了實現DevSecOps環境的高效性、準確性、擴充套件需求以及保護應用程式安全。

SAST類的產品在OWASP基準測試中最高可以達到檢出率為85%，但同時誤報率也高達52%，誤報意味著會帶來大量的人工成本，面對這種局面，Inspect將原始碼進行多種型別的分析，從自定義程式碼到開源庫以及商業SDK都有涉及（如圖4所示），並且Inspect的效率極高，只需幾分鐘，就能準確識別複雜漏洞和敏感的資料洩露。

圖4 多維度進行程式碼檢測

圖5 OWASP-SAS基準測試白皮書

從ShiftLeft 自己釋出的Inspect產品在OWASP基準測試中的結果（圖5所示）可看出檢出率（TPR）為100%，誤報率（FPR）為25%，最終得分為75%，這雖然是一個很高的分數，但也許是新興創業型公司為了在業界增加曝光率在某種程度上的誇張說法，資料的可靠性還有待進一步觀察，不過從圖中結果至少可以得出ShiftLeft Inspect產品是非常具有競爭力的。

IAST相比於SAST有著明顯的優勢，比如誤報率極低、檢測速度快、漏洞詳細度高、人工成本低等。ShiftLeft也將IAST融入到Inspect產品中，只不過在ShiftLeft中稱為MicroAgent。 MicroAgent是IAST的關鍵模組，其與Security DNA（安全DNA指的是程式碼中容易出現攻擊位置，像第三方開源庫、敏感資料等）相互合作從而在一些細微處加強了漏洞檢測能力。

Ocular

Ocular是一種類似於Google Maps的程式碼搜尋方法，其利用CPG的強大特性，將應用版本程式碼的詳細資訊匯入至Ocular中。類似於Google Maps提供地理位置，各種路線和可能的目的地供使用者去查詢。Ocular為程式碼審計人員提供了一個互動式平臺，支援使用者在他們的程式碼庫和環境中進行自定義查詢，從而識別更為複雜的漏洞資訊。在CI/CD管道中，Ocular的自定義查詢也可以自動化，以用作安全配置檔案的“策略”，當查詢出漏洞資訊後，Ocular可以將漏洞的反饋資訊提為issue上傳至使用者的Github倉庫，Ocular的操作截圖如下所示：

圖6 Ocular操作截圖1

圖7 Ocular操作截圖2

ShiftLeft解決方案

For 應用安全（AppSec）

隨著技術日新月異的發展，軟體開發生命週期（SDLC）變得更快，更自動化，與此同時，應用安全團隊也必須緊跟其步伐，做好及時的應用安全檢查與防護。ShiftLeft Inspect是業界較快，較全面的一款靜態應用安全檢查（SAST）產品，它將pull request, commit, build直接整合至DevOps管道中，官方提出可以在10分鐘內分析50萬行程式碼。ShiftLeft Inspect使應用安全團隊能夠在DevSecOps中實現Sec部分，理論上不會降低整個CI/CD管道的速度，下圖展示了ShiftLeft和CI/CD管道的拓撲圖：

 

圖8 ShiftLeft CI/CD管道拓撲圖

For開發者（Developers）

對於開發者來說，傳統的應用安全工具主要存在以下問題：

• 速度太慢，無法適應現代CI/CD管道
  
• 要求開發者在快速釋出應用版本和安全的釋出應用版本之間做出選擇
  
• 誤報率高
  
• 缺乏對資料的合規性管理
  

針對於以上問題，ShiftLeft Inspect首先將DevOps與安全結合，形成整個DevSecOps管道閉環，從而避免了安全人員與開發人員在處理誤報上帶來的時間浪費；其次透過ShiftLeft CPG的功能使得開發人員在開發過程中可以識別複雜漏洞和資料合規性等問題，從而可快速修復問題避免了後續可能帶來的損失；最後從效率上來講，相比於傳統安全工具需要幾小時或幾天來分析及解決漏洞，ShiftLeft官網提出全過程只需要幾分鐘，並且誤報率低。

For程式碼審計人員（Code Auditors）

大部分的程式碼審計和漏洞研究人員擅長手動使用“grep”來處理大量的版本程式碼，究其原因是因為傳統程式碼分析工具不靈活並且已逐漸退出大眾視野。ShiftLeft Ocular可以對版本程式碼的CPG進行詳細的挖掘，其中Ocular還支援在多程式語言環境下執行相同的查詢，目前Ocular已被多家組織用於在大型複雜程式碼庫中查詢0 day漏洞。

程式碼審計人員在ShiftLeft Ocular中編寫的自定義查詢可以提交至DevOps管道中整合，以便於在pull request, commit, build時執行Ocular查詢，與此同時也擴充套件了程式碼審計員和漏洞研究人員的專業知識。

解讀

隨著技術不斷更新換代，軟體開發生命週期逐漸縮短，在這個特殊階段，DevOps應運而生成為了開發和運營的新組合模式。一方面透過自動化流程可使得軟體構建、測試、釋出變得更加快捷可靠，另一方面也減去了很多重複性的工作，降低了時間成本。與此同時，軟體安全問題也同時得到了重視，那麼如何將安全有效融入DevOps環境中成為了目前很多廠商難以解決的問題。早期的軟體開發生命週期中，安全廠商使用安全工具對原始碼進行檢測，這些安全工具可大致分為SAST、IAST、DAST（dynamic application security testing）、RASP這四類，在DevSecOps中，許多國外的白盒廠商都將這幾種安全工具整合至Jenkins和Gitlab，但效果普遍都達不到預期，主要原因還是安全工具在遇到大量程式碼時的效率慢問題，並且一直得不到解決，這與DevSecOps提倡的高效率理念背道而馳。 ShiftLeft將SAST、IAST、RASP融入其產品中，利用CPG技術讓漏洞檢測的檢出率和誤報率均得到了有效提升並且從漏洞檢測、靜態防護、執行時防護、自定製查詢漏洞等多方面對軟體開發生命週期進行安全防護從而實現了DevSecOps的落地，給大部分使用者帶來了收益。

從技術角度而言， ShiftLeft產品的創新度高，完成度也相對較高，

且與DevOps、CI/CD的有力結合可以很大程度上提升其產品的競爭力。

 從市場角度而言，ShiftLeft憑藉實力在近期又獲得了新一輪融資，其又可以招納各路專家擴充套件其業務和專業知識，從而加快公司業務發展。

 筆者認為ShiftLeft在今年入圍的RSA創新沙盒中可以嶄露頭角，獲得靠前的名次，不過最終結果還是要看各位評審意見，讓我們拭目以待吧。 

—END—

【RSA2019創新沙盒】

Arkose Labs—基於客戶遙感和影像編排人機識別的高置信度反欺詐機制

1. 公司介紹

Arkose Labs 成立於2015年，公司位於舊金山，主要為全球大型機構提供網路防欺詐服務，客戶行業包括電商、旅遊、金融、社交媒體與網路遊戲等。該公司透過極具創新性的全球遙感技術、使用者行為風險評估技術和專利保護服務，幫助使用者解決網路欺詐難題，規避每年上百萬的經濟損失。Arkose Labs號稱能夠在不影響使用者體驗和業務開展的情況下，可事先阻斷欺詐和濫用行為。

2. 背景介紹

當前一些主流的線上欺詐檢測工具都是基於行為分析或風險評分的機制，這些方法都存在固有的不足。這些工具透過對收集到的大量資料進行分析，並透過監控使用者行為的方式來對每個使用者進行風險評分。但是這些風險評分機制通常給出的是一種機率，很少能給出一個確定的好壞判定。同時，當前欺詐檢測工具大都是基於一些先驗證知識的事後檢測。

和其他的安全產品一樣，這些工具確實能有效地防禦一些並不複雜的攻擊，但是對於一些具有強烈商業目的的高階欺詐來說，攻擊者會不斷的更新技術以繞過這些簡單風險分析手段。此外，當前的線上欺詐檢測方法無法給出明確的判定，主要是因為無法在保證不影響合法使用者的前提下檢測出惡意使用者。

圖1當前欺詐檢測方法

當前的欺詐和濫用行為檢測機制只是以緩解為目標, 無法做到完全精準。因為它們預先設定了一些基本的假設，這些假設表示人們對欺詐的一些先驗知識，比如哪些使用者登入行為有可能是非本人等。而基於這些假設的檢測方法，一方面很難在實際的應用中真正地區分人和機器，另一方面這些基本的假設通常是以單一目的（效能或準確率），過度的強調單一目標會影響欺詐防禦的整體效率。

針對上述基於行為分析和風險評分的方法的缺點，Arkose Labs採用了一種“遙感節點-決策引擎（Enforcement）”的雙邊人機識別方式，將分佈在全球的遙測節點檢測技術與決策引擎用可疑資料挑戰遙感節點結合起來，可以在不影響使用者體驗和業務開展的情況下事先阻斷欺詐和濫用行為。

3. 已採用該技術的商業化產品介紹

該反欺詐技術已經應用到多個商業產品中。

3.1 Q2 電子銀行（Q2 eBanking）：檢測竊取賬戶

Q2電子銀行是由Q2公司開發的一個網上銀行平臺。該平臺使用Arkose Labs的技術來防止銀行客戶的欺詐登入。賬號竊取在金融領域是一個比較常見的問題，每次攻擊都是利用被竊取的憑證，並借用快速自動化的攻擊手段實施。Q2電子銀行使用該技術後可以在惡意使用者有機會竊取並轉移資金前檢測出來，該產品已經應用到多家社群銀行。

3.2IMVU：檢測虛假賬戶

IMVU是一個3D人物和場景聊天軟體，IMVU使用Arkose Labs的技術來實現惡意使用者識別，主要是確保訪問賬號是本人，而不是惡意攻擊者。在當前社交網路成為人們主要的通訊手段，而偽使用者識別成為社交網路中一個基本的安全防禦能力。

3.3 Kik：反垃圾郵件

Kik是一款手機通訊錄的社交軟體。可基於本地通訊錄直接建立與聯絡人的連線，並在此基礎上實現免費簡訊聊天、來電大頭貼、個人狀態同步等功能。簡單的說，Kik就是一款“可以與手機中同樣安裝了Kik的好友免費發訊息的跨平臺的應用軟體”。Kik中的垃圾資訊傳播成為了影響使用者安全和體驗主要因素，Kik使用Arkose Labs的技術可減少傳送給客戶的垃圾郵件。

當前Arkose Labs的技術已經應用到如下領域。

圖2 Arkose Labs的技術的應用領域

4. 技術詳解

Arkose Labs透過其創新的全球遙測使用者行為風險評估（正在申請專利）幫助企業解決線上欺詐問題。網路欺詐性活動越來越多，需要一種從源頭解決問題的全新的解決方案。Arkose Labs在不影響使用者體驗的情況下阻止濫用。Arkose Labs提出一種雙邊方法，該方法主要包括人機識別技術和客戶端遙感技術。

人機識別技術主要是依賴於三維模型影像識別，從三維模型中編排的數百萬個安全影像，每次為使用者生成唯一的檢視影像，每個影像的識別蘊含了每個防禦策略。這些圖片對於人來說很易於區分，但是對於機器來說短時間內識別出來非常困難，從而大幅提升攻擊成本。而基於商業目的，一些攻擊者會透過更新技術手段達到攻擊目的，為此，提供一些易於實現的動態轉換機制來更新防禦策略，可以有效提高線上欺詐檢測效率。

圖 3 人機識別的挑戰策略中的三維模型變換

客戶端遙感技術的核心是在全球部署驗證點，對訪問的客戶端建立唯一的標識ID，並對其信譽進行評分，這樣驗證點A對客戶端的評價能傳遞到其他驗證點。此外，對那些使用人機識別技術後還存疑的客戶端進行不同層級的驗證，結合人機識別策略實現一種動態反饋迴圈防禦策略。閉環化的雙向驗證大大提高了欺詐防禦的效率，同時不會影響使用者的體驗。

圖4 遙測技術示例圖

5. 解讀

作為一種欺詐防禦方法，Arkose Labs的技術已經應該到多個產品中，幫助使用者解決網路欺詐難題，避免每年上百萬的經濟損失。Arkose Labs宣稱“能夠在不影響使用者體驗的情況下做到100%的服務級反欺詐與濫用防禦”。

該公司的產品的第一點技術創新在於人機識別技術，當前已經的方法都無法做到絕對的準確，均是以減少識別誤差為目的的，而Arkose Labs宣稱它提出的一個完全安全可靠的識別技術，可以很準確的識別出人機。這裡沒有看到詳細的技術內容，如果真能達到的話那麼在技術上有了很大的創新。

第二點技術創新在動態識別上，基於商業目的攻擊者的技術手段也會更新，針對這個問題，Arkose Labs提出了一套便於實現的3D影像轉換的人機驗證機制，這大大地增加了攻擊者的攻擊難度。

Arkose Labs更注重的是線上提供一種不影響使用者體驗的服務，這從使用者使用角度來說是一個很好的方法。作為業務安全問題，Arkose Labs的欺詐防禦技術是企業的剛需，而且其商業價值是可以直接衡量的，但是對於僅基於這種雙邊方法實現100%的服務級反欺詐防禦是存疑的。

從技術角度上來看，Arkose Labs確實做了一定的技術創新，並有效地應用到了多個產品中，但是技術思路依然是採用傳統的人機識別框架，感覺依然類似於Google的reCAPTCHA，只是在細節上實現了改進，而所提脫離了以減少識別誤差為目的傳統方法，技術介紹中並沒有看到，大家如有機會可以到會場北區的4504跟技術人員聊聊。

—END—