本篇解讀包含三家公司：Duality、Capsule8、Axonius

【RSA2019創新沙盒】Duality: 基於同態加密的資料分析和隱私保護方案

Duality Technologies成立於2016年，總部位於美國馬薩諸塞州劍橋市，由著名的密碼專家和資料科學家聯合創立。公司致力於研究大資料/雲環境下的資料安全與隱私保護技術，為企業組織提供了一個安全的數字協作平臺，目前在美國和以色列開展業務。目前獲得了由Team8領導的400萬美元投資。2019年入選RSA大會的創新沙盒前十強，成為兩家入選的資料安全公司之一（另一家是Wirewheel公司）。

1 背景介紹

在人工智慧、大資料和雲端計算等資訊產業蓬勃發展的同時，資料安全和敏感資料（包括個人隱私）洩露問題日益嚴峻。僅2018年過去的一年，就發生了多起重大的（千萬級記錄以上）資料洩露事件，如國外Facebook 8700萬使用者資料洩露，國內圓通10億條使用者資訊資料在暗網被出售，華住旗下多個連鎖酒店的2.4億入住記錄洩露。

資料洩露不僅造成公司形象受損、公信力降低，也直接或間接地導致公司經濟的損失。隨著這些事件發生及影響的報導，企業對資料安全問題越來越重視，使用者的個人隱私保護意識也越來越強烈。同時，一些法律法規提出了更嚴格的資料安全與隱私保護要求。2018年5月25日，歐洲聯盟正式實施《通用資料保護條例》（General Data Protection Regulation，簡稱GDPR），對基本的個人身份資訊、醫療敏感資料和網路行為資訊等提出安全保護要求。國內，相繼也頒佈了類似的法律法規，如《資訊保安技術個人資訊保安規範》、《資訊保安技術大資料安全管理指南》和《資訊保安技術個人資訊去標識化指南》等。

為了應對資料安全與隱私保護挑戰，企業除了應用傳統的加解密技術外，還在根據不同的業務場景和需求，積極探索匿名化（Anonymity）、資料脫敏（Data Masking）和數字水印（Watermarking）等新型技術，甚至一些前沿技術的實踐與落地，如保留格式加密（Format-Preserving Encryption，簡稱FPE）和差分隱私（Differential Privacy）等關鍵技術。然而，上述提到的幾種技術無法解決第三方平臺（如雲環境）的資料處理過程的資料與隱私保護問題：① 傳統加密技術使得加密後資料失去可用性；② 脫敏等變換後的資料產生了失真，無法得到精確的處理結果。同態加密技術是近年來被學術界和工業界十分看好的一種加密技術，可實現資料加密後仍然可以被處理。但是，現有的多數同態加密方案由於佔用資源過大且速度過慢導致無法從理論實現實用化，目前仍然面臨各種問題與挑戰。

Duality Technologies公司結合自身在同態加密等先進密碼領域的研究和積累，聲稱突破了傳統實現的困難性，最終實現了商業化，提供資料分析和資料與隱私保護的數字協作平臺。接下來將對Duality公司、產品和關鍵技術進行一一解讀。

2 公司簡介

Duality公司強調“maximizing data utility, minimizing risk (最小化資料風險的同時，最大化資料利用價值)”的理念，在大資料隱私保護、模型的版權保護和資料合規等方面為客戶提供實用的的解決方案。得益於自主研究的同態加密（Homomorphic Encryption）等先進密碼技術，提供的安全產品可以使得資料在整個分析和處理生命週期中，始終保持加密狀態，使用者無需解密即可生成資料洞察結果。比如在雲端計算場景中，資料擁有方將資料加密儲存在雲端計算平臺中，資料擁有方提交資料統計或處理任務，直接對加密資料進行操作即可，不需要在雲平臺中進行解密，因此儲存方無法獲取真實的資料內容。Duality聲稱這項突破技術有利於企業內部和企業間的數字協作，實現安全的機器學習和資料探勘任務，降低了資料洩露風險，同時完全遵守隱私保護法規。

目前，Duality產品在醫療、金融、汽車、保險、電信和教育等多個領域有應用。

3 公司產品

SecurePlus™平臺是Duality公司主打的產品。它允許資料的生命週期中，總是處於安全狀態，敏感資料或有價值的模型不會暴露。SecurePlus™支援多方參與計算，有利於數字化的協作。SecurePlus™平臺主要有三種應用場景：

(1) 安全資料分析

SecurePlus™平臺使得資料所有者在不公開敏感資料時（資料加密），仍然可以使用第三方分析工具，如機器學習、資料探勘工具進行分析和處理。使用抗量子的同態加密技術實現了資料端到端的保護。SecurePlus™平臺保護了有價值的資料在不可信的雲環境中的保密性和安全性。

(2) 機器學習模型的版權保護

該場景不同於前一個場景，即機器學習模型不屬於第三方，而是屬於客戶版權所有。SecurePlus™平臺確保模型擁有者將模型在不可信任的第三方部署、儲存和使用機器學習模型（一系列引數）在雲環境中一直處於加密狀態，客戶端將樣本後加密後上傳至雲端。透過同態加密運算，樣本和模型可以在密文域進行預測和分類任務，完成後雲端將結果返回給客戶端，客戶端將結果解密，得到真實的預測結果。由於沒有加解密金鑰一直儲存在合法方，因此即使駭客和第三方即使竊取模型，也無法完成機器學習任務的閉環。

(3) 資料共享的隱私保護

SecurePlus™平臺確保多方資料安全共享與協作。同態加密在連結和計算過程中保護了每一方的資產，在整個過程中保護隱私並且符合法律法規需求，特別是GDPR對於多方協同的資料隱私要求。

4 技術解讀

同態加密是Duality公司SecurePlus™產品的核心技術。同態加密是密碼學界近年來的一個研究熱點，主要應用在不可信的雲環境中。其加密函式具有以下性質， 該性質稱為同態性。通俗地講，在密文域進行操作相當於在明文域進行操作。這種性質使得密文域的資料處理、分析或檢索等成為可能。即，不解密任何密文的條件下對仍然可以對相應明文進行的運算，使得對加密資訊仍能進行深入和無限的分析和處理。

同態加密的研究可以追溯到20世紀70年代，在RSA密碼體制剛提出不久，Rivest （RSA公鑰密碼設計者）等人又提出了全同態加密的概念，但一直沒有尋找到符合的全同態加密方案。直到2009年，IBM的研究人員Gentry首次設計出一個真正的全同態加密體制，隨後許多其他同態加密方案被提出。然而，多數方案由於佔用資源過大且速度過慢導致方案無法實用化。根據該公司自身報導，其“同態加密”技術商用化和產品實現處在業界領先地位（由於無法獲得該產品的使用，無法真實地瞭解產品的效能如何，持質疑和有待驗證態度），該技術在多個場景和實踐中有廣泛的應用。

基於同態加密的機器學習是指在加密資料上實現機器學習任務，如分類和聚類等，是近年來新的學術研究熱點。它可以分為加密神經網路、加密KNN、加密決策樹和加密支援向量機等演算法。猜測Duality公司在方案實現上吸收和借鑑了這些已公開的研究成果。目前面臨一些問題與挑戰是[3]：

1. 如何在保證資料安全的前提下選擇合適的同態加密方案來實現不同的資料分析；

2. 如何解決全同態加密方案中存在的噪聲、運算複雜和運算效率低等問題；

3. 如何在確保演算法安全性的前提下，使加密機器學習演算法的準確度在可接受範圍內。

除了自身發展和產品化外，Duality公司在同態加密標準化工作中做出一些重要的貢獻。2016年6月，在第一次同態加密標準化研討會，與微軟、NIST等結果共同提出白皮書標準：1) 安全同態加密的安全設定；2) 同態加密的API標準；3) 同態加密的應用。後續，Duality公司主導併成立一個行業聯盟HomomorphicEncryption.org，定期召開後續會議來共同開發同態加密標準。該聯盟的參與者包括IBM和微軟等大型跨國公司、麻省理工學院(MIT)和史丹佛大學(Stanford)等領先學術機構等領先初創企業。

5 總結

隨著雲端計算和大資料技術的發展，越來越多的資料在第三方平臺進行儲存和計算。在雲端實現資料處理的同時，如何保證資料的安全性是客戶的一個普遍訴求。Duality公司的SecurePlus™平臺基於自主研發的同態加密先進技術，提供了不一樣的解決思路。提供的三種實際業務場景，抓住了客戶的痛點，實現了“maximizing data utility, minimizing risk”，在第三方平臺進行機器學習和資料探勘任務同時，可以保證資料不會被洩露。將同態加密技術率先實現商業化與落地、併成功應用到資料安全領域中，是Duality公司在資料安全領域的差異化所在及創新亮點。最近，一個鼓舞人心的訊息是，微軟開源了同態加密庫，並“堅信”該技術已成熟到可用在現實世界應用的程度，原始碼已放至GitHub[4]。隨著GDPR法規的正式實施和RSA大會的宣傳，勢必該創新公司的同態加密解決方案將吸引大家強烈的關注與興趣。SecurePlus™平臺的成功案例將鼓舞其他安全公司重新評估該新型安全加密技術，甚至加入未來幾年的重點投資選項。

參考連結

[1] https://duality.cloud/products/.

[2] http://homomorphicencryption.org/.

[3] 崔建京, 龍軍, 閔爾學, 於洋, & 殷建平. (2018). 同態加密在加密機器學習中的應用研究綜述. 電腦科學, 45(4), 46-52.

[4] https://www.secrss.com/articles/767,讓專家和新手都輕鬆：微軟開源同態加密庫“SEAL”

—END—

【RSA2019創新沙盒】Capsule8：混合環境中的實時0day攻擊檢測、朔源和響應平臺

1. 公司介紹

Capsule8是一家由經驗豐富的駭客和安全企業家建立的高新科技初創型企業，總部位於紐約布魯克林，成立於2016年秋季，在2018年8月獲得1500萬美元的B輪融資。

Capsule8開發了業界第一個也是唯一一個針對Linux的實時0day攻擊檢測平臺，可主動保護使用者的Linux基礎設施免受已知和未知的攻擊。Capsule8實時0day攻擊檢測平臺可顯著改善和簡化當今基礎架構的安全性，同時為未來的容器化環境提供彈性的支援。

2. 背景介紹

混合雲架構已經成為企業IT基礎設施的重要架構，但其複雜性也使企業面臨多種攻擊的風險，根據Capsule8與ESG Research贊助的一項新研究（針對混合雲環境對北美和西歐地區的450名IT和安全專家進行的調查）表明，僅2017一年就有42%的企業報告了混合雲環境受到攻擊，28%的企業表示0day攻擊是這些攻擊的起源。 

混合雲環境由於存在多雲服務商，缺乏中心控制和完整的合規性規劃，存在邊界模糊，訪問策略不一致等問題，筆者曾探討過[1]相關的訪問控制機制，加上公有云的暴露面增大，攻擊者容易透過進入薄弱點，這也是近年來如軟體定義邊界SDP、移動目標防護MTD等新方案興起的原因。

攻擊者進而藉助利用0day漏洞，如在容器環境中利用逃逸漏洞（近日爆出在特權容器中逃逸的runc漏洞CVE-2019-5736），或虛擬化環境中的利用CPU漏洞Meltdown/Spectre等，進入宿主機，進而橫向到企業的雲內或企業側網路，造成更大的威脅。

此外，傳統的攻擊檢測平臺的工作機制通常是分析網路和安全裝置（如入侵檢測系統）的大量日誌告警，進行關聯分析，最後還原出惡意攻擊。然而多年來，裝置日誌告警的置信度不高等問題導致絕大多數平臺告警是誤報，也造成了企業的安全團隊持續處於警報疲勞的狀態。企業急需一種可以有效解決上述問題的安全方案。

無論是傳統環境，還是混合環境，防護利用0day漏洞的高階威脅需要企業安全團隊全方位持續防護資產、獲得環境的可視度（visibility），檢測惡意行為。

3.產品介紹

該公司推出的0day攻擊實時檢測平臺Capsule8，在發生攻擊時透過自動檢測和關閉正在利用漏洞的惡意網路連線，從而大規模減少安全操作的工作量，而且不會給生產基礎架構帶來風險。

Capsules8平臺整體架構圖如下所示：

① Capsule8 OSS感測器,即Capsule8工作負載保護平臺的探針，是許多威脅檢測機制的基礎。感測器旨在收集系統安全和效能資料，對服務的影響很小，它能夠實時瞭解到生產環境正在做什麼。該感測器軟體已開源，專案地址是https://github.com/capsule8/capsule8

② Backplane，包含一個實時訊息匯流排，可以獲取到感測器傳來的實時事件以及Flight Recorder記錄的歷史事件，它實現了背壓從而確保了平臺不會因為過多的Capsule8遙測事件而導致網路洪水事件；

③ The Capsule8 API server，提供了統一的介面，允許企業管理生產環境中基礎設施架構所有跟安全相關的資料；

④ Capsulators封裝了連線客戶端軟體的API,透過它企業可以快速整合實現特定功能的軟體如Splunk和Hadoop，方便企業進行資料分析。透過Capsulators企業不僅可以實時感知叢集資訊，還可以透過Flight Recorders獲得歷史資料，依據IOC（Indicators of Compromise，包括MD5 hash、IP地址硬編碼、登錄檔等），從而實現追溯調查；

⑤ 第三方工具，如Splunk和Spark等；

⑥ Capsule8 Console，前端視覺化介面。

下面我們介紹Capsule8如何實時檢測並阻止0day攻擊。假設客戶生產環境是一個混合雲環境，伺服器部署於客戶側資料中心、公有云AWS和Azure中。

Capsule8的整個工作流程主要分為以下幾步：

1. 感知。為了保護分散式環境，Capsule8感測器遍佈在整個基礎架構中-雲環境和資料中心的裸機以及容器上。由於感測器執行在使用者空間，捕獲少量的安全關鍵資料，故不會對系統工作負載的穩定性和效能造成影響。

以容器環境為例，前述關鍵資料包括：

a.程式生命週期事件（fork，execve以及exit）；

b.open(2)系統呼叫返回值;

c.匹配容器映象名字的file open事件；

d.涉及IPv4的SyS_connect的核心函式呼叫事件；

e.容器生命週期事件（建立、執行、退出、銷燬）)。

2.檢測。感知階段收集到的關鍵資料透過Capsule8 Backplane傳送到企業側臨近位置的Capsule8 Detect分析引擎，利用雲端專家的知識庫將資料還原成事件，並對可疑事件進行分析。

3.阻斷。當Capsule8檢測到攻擊時，它可以在攻擊發生之前自動關閉連線，重啟工作負載或者立即警告安全團隊。

4.調查。由於0day攻擊持續事件較長，所以除了實時檢測外，Capsule8會在本地記錄遙測資料，便於專家利用歷史資料進行攻擊朔源。

4.產品特點

檢測和跟蹤0day威脅從本質上是非常考驗安全團隊的日常運維和運營能力的，Capsule8可在如下方面有所幫助。

4.1從安全運營團隊角度來看

1.實時檢測漏洞

Capsule8使用分散式流分析與高置信資料相結合，在駭客企圖攻擊的例項中檢測攻擊。

在混合環境的檢測引擎、資料本地化，專家雲端化，並將兩者結合形成類邊緣計算的層級化檢測模式，可在大規模環境下減少資料傳輸，避免合規性風險，同時提高檢測精度和響應速度，使得Capsule8這樣的小型安全企業提供大規模Sec-aaS/MDR服務變成可能。

2.確保高置信度告警

Capsule8的系統級檢測是不斷更新的，它使用動態攻擊指標（IOA，Indicator of Attack，其是一個實時記錄器，包括程式碼執行等，專注於檢測攻擊者試圖完成的目標）而不是行業標準的IOC指標來發現最新的0day攻擊。因此，以前困擾客戶的大量潛在威脅告警變成了少量的圍繞實際場景的攻擊告警。

3.清晰和可行動（Actionable）的情報

Capsule8提供了一定程度的透明性，可以很容易的確定警報觸發的原因，以及攻擊者後續的操作。

4.可適配多種環境

Capsule8可以輕鬆實現複雜且可自定義的策略，這些策略不僅在不同的基礎設施環境中可能會不同，而且在更精細的系統專案中也會有差異。透過Capsule8可以最大限度地減少誤報。

Capsule8可在各種環境（公有云，資料中心，容器，虛擬機器或裸機）中Linux版本上提供無縫、易於部署的檢測。同時保護所有主要的編排器，包括Kubernetes，Docker和CoreOS，以及Puppet和Ansible等配置管理工具。

此外，可與現有系統整合，充分利用現有的安全工具，如SIEMs日誌分析工具(如Splunk和ELK Stack)和取證工具。

5.自動化攻擊響應

Capsule8可幫助客戶實時檢測和響應攻擊。例如，客戶可以在啟動Capsule8時選擇立即關閉攻擊者連線、重新啟動工作負載或立即向調查員發出警報。

4.2從安全運維團隊角度來看

1.系統穩定性好，效能影響小

Capsule8執行在使用者空間，在不需要核心模組的情況下收集核心級資料。這就保證了生產環境（伺服器和網路）的系統穩定性。

為確保對主機和網路的效能影響最小，Capsule8採用資源限制器，透過智慧減載策略強制對系統CPU，磁碟和記憶體進行硬限制。

分散式的分析方法與邊緣計算相似，將計算操作推向儘可能接近資料，確保就算是在系統最繁忙時候也對網路影響最小。

2.簡單的部署和維護

Capsule8代理是一個單一的靜態Go二進位制檔案，它是可移植的，易於安裝和透過各種編排機制進行更新，包括Puppet，Ansible，Kubernetes等。

5.總結

隨著企業尋求基礎設施現代化，DevSecOps的落地在現代混合雲環境下就顯得尤為重要。Capsule8可以無縫的整合到企業的Linux基礎架構中，並在企業的整個平臺上提供持續的安全響應。此外，它不是SaaS解決方案，它是與使用者的IT基礎設施一起部署。因此，資料完全儲存在客戶環境，消除了第三方傳播、刪除或損壞資料的風險，從而給企業帶來更好的安全新體驗。

[1] Yuxiang Dong, Wenmao Liu, Kun Wang, Research and Implementing of Software Defined Border Protection in Hybrid Cloud, Proceedings of 2016 3rd International Conference on Engineering Technology and Application,2016

—END—

【RSA2019創新沙盒】Axonius：融合多方系統的外掛化資產管理

Axonius介紹

Axonius是一家做網路安全資產管理平臺（cybersecurity asset management platform）的公司，該平臺主要功能是對使用者的裝置進行管理，包括資產管理、應用管理和補丁管理等。該公司成立於2017年1月，並於2019年2月5日獲得了1300萬美元A輪融資。

背景介紹

近幾年，智慧裝置使我們的生活發生了翻天覆地的變化。物聯網、BYOD和雲等方面的結合更是改變了對訪問的定義，並且消除了工作和家庭之間的界限。但智慧裝置的保護仍然是技術人員和安全團隊應該關心的問題。攻擊者通常會尋找那些沒有安全機制防護，或未被有效管理的裝置，入侵併橫向移動。

可見，資產管理是安全團隊需要首要解決的問題，他們需要知道哪些裝置是正在被安全或IT系統管理的，但哪些未被有效管理。如果裝置沒有可視度（visibility），我們如何管理未知裝置？

傳統上，技術人員和安全團隊必須知道7件事情才能制定可行的資產與補丁管理流程：

Ø 哪些裝置連線到網路？

Ø 目前安裝的是什麼版本的軟體應用程式？

Ø 存在哪些安全漏洞？

Ø 漏洞有多嚴重？

Ø 新版本可用嗎？

Ø 升級的影響是什麼？

Ø 升級的緊迫程度是什麼？

回答上面的問題對於確定是否應該對裝置打補丁都至關重要，而其中的有些問題也確實是一種挑戰。

目前隨著物聯網和移動辦公的發展，大量的手機、電腦以及智慧裝置進入了企業網路中，顯然這麼多的裝置還是沒辦法統一進行管理。目前的方法大都是基於資產、身份、網路等資訊管理裝置，每個系統（如終端安全：EPP、EDR，網路安全：漏掃、NGFW，虛擬化平臺）都有自己的資產管理功能，但由於限於某個細分領域故而資產庫不全，彼此沒有互動形成豎井（Silo），因而安全團隊沒有辦法給出各個系統的資產之間的交叉聯絡，也無法整合這些系統的知識完善資產屬性。Axonius的網路安全資產管理平臺，為每個裝置提供一個管理的頁面，可透過使用介面卡透過API與現有系統連線，為每個裝置建立唯一標識和配置檔案，最後可透過外掛實現跨裝置的動作執行。

產品介紹

保護網路中的資產是否安全，第一步是瞭解網路中存在哪些裝置，包括使用者已知的裝置和未知的裝置。透過Axonius網路安全資產管理平臺，使用者可只需從一個頁面瞭解所有裝置的情況，並且可以瞭解自己的裝置是否安全。

l 多輸入源融合的資產管理

Axonius將客戶現有的管理和安全技術整合到資產安全管理中，對個人和企業使用者的裝置型別進行識別，自動檢測新上線的裝置，並且能對膝上型電腦、伺服器和物聯網裝置等不同型別的裝置進行區分。使用可擴充套件的外掛架構，讓使用者能自己新增自定義的邏輯，如下圖所示，使用者可以獲得所有裝置的介面，並能使用裝置的屬性進行搜尋檢視裝置的資訊和狀態。

圖1  Axonius資產管理頁面

需要說明的是Axonius透過外掛化的方式與各種IT、安全和網路平臺對接，獲得其管理的各類資源，所以Axonius中的資產更為廣義，例如可與VMware Vsphere對接，那麼虛擬機器映象ova就是一個資產，同時，Axonius也能透過關聯多個第三方系統，交叉驗證並資產，例如VMware vsphere的虛擬機器可與終端安全管理平臺EPP的主機融合，保證資產屬性的完整性和一致性。

l 補丁管理

補丁管理的核心是“知行合一”，就是將已知的漏洞的知識庫，對應補丁打到每一個有漏洞的裝置上。這就要求安全團隊瞭解裝置正在使用的軟體的版本、漏洞以及不及時修復會帶來的威脅。另一方面，在物聯網裝置較多的網路環境中，就需要一種新的方法來解決對未知裝置的管理以及未知漏洞的發現。透過了解資產的具體版本、詳細漏洞資訊，Axonius可提供一套科學的補丁管理方案，來保護使用者裝置的安全性。

圖2  補丁管理流程

l 動態裝置發現和策略執行

Axonius透過介面卡連線到客戶環境中的裝置和管理系統，外掛就可以使用跨裝置管理功能。Axonius擁有70多個安全整合和資產管理的解決方案，只需要透過相容外掛連線到使用者資產的最新資料，可以是Windows、Mac、Linux系統，甚至是物聯網裝置的嵌入式系統。例如：外掛可以連線到Windows伺服器的目錄服務，並不斷查詢建立的任何新建的組織單位。一旦確定了裝置是什麼，Axonius就可以配置適當的許可權和策略，以確保裝置對資料的安全訪問，下圖為策略管理頁面。

圖3  Axonius裝置策略管理

產品特點

l 完整的資產發現和管理

將多個第三方系統發現的資產進行融合，得到環境中完整、一致的資產資料庫，向SOC提供完整的資產資訊，這對安全運營是非常必要的。

此外，對第三方系統的資產列表做對比，可及時發現某個系統未關注或未管理（Unmanaged）的資產，向安全團隊提供如終端防護率、掃描覆蓋率和可管理裝置的覆蓋率的報告，提高整個環境中的資產可視度（visibility）。

同時也藉助第三方系統的更新通知，可及時對資產變更進行相應的處置，調整訪問策略。

l 可擴充套件的外掛架構與統一檢視管理

將客戶現有的管理和安全技術整合到Axonius資產安全管理中，使用可擴充套件的外掛架構，讓使用者能自己新增自定義的邏輯，並且使用者可以獲得所有裝置的統一的介面——包括已知和未知的裝置。

l 支援對物聯網裝置管理

隨著IoT的發展，智慧裝置走入千家萬戶，所以裝置的可見性和控制對於網路安全而言是一個新的挑戰。一方面，面對成百上千的物聯網裝置，安全管理員很難知道我們的網路中存在哪些裝置；另一方面，物聯網裝置的成本競爭還是非常激烈的，所以安全往往不是首要考慮的問題，Axonius管理平臺同樣可以發現、管理並防護沒有安全防護的智慧裝置，並可以從一個頁面瞭解所有裝置的情況以及裝置是否安全。

l BYOD裝置的可見性

雖然BYOD的模式方便了日常工作，但模糊了家庭和工作之間的界限。企業的員工擁有多裝置，並且不斷增加更多裝置，這些裝置是異構、複雜，且很多是非可管理的。Axonius管理平臺可以告訴你這些裝置何時連線和訪問資源，尤其是當這些裝置不做任何的安全防護時，Axonius管理平臺的價值更為顯著。

 

圖4  Axonius可整合的安全方案

解讀

IT環境的可視度始終是安全運營的第一步，其最大的價值是作為其他安全管理的基礎。並且伴隨著近些年物聯網裝置數量的劇增，資產管理問題也越來越複雜。Axonius的網路安全資產管理平臺可透過整合客戶現有的管理和安全技術，並使用可擴充套件的外掛框架，讓安全團隊可以新增自定義的元件，獲得網路中完整、一致的資產清單。對現有安全管理平臺的整合確實是一種資產管理的解決思路，但如果企業中的管理及安全技術不能被Axonius整合，或是在網路複雜且此前沒有對資產進行管理的企業中，Axonius的如何對資產進行管理呢？所以筆者認為資產管理單做整合是不夠的，還需要建立多場景下的資產識別管理模型，從更底層做起，減少對環境的依賴，或者新增採集控制節點形成閉環，不然Axonius的獨立發展空間還是十分有限。此外僅從官網資料看，Axonius的資產管理、補丁管理、對各個平臺相容等功能，並不是顛覆性的創新，國內已經有一些安全公司在這些方面都做的比較好了，從技術實現上來看，只是視覺化和API的編寫整合，不具有一定技術壁壘，很容易其他的資產安全管理平臺公司複製並超越，也可能是Axonius面臨的問題。

Axonius官網多個模組出現諸如物聯網、EDR、DevOps、零信任等現在熱度很高的名詞，但並沒有他們產品與這些領域結合的詳細的資料，給人一種團隊的產品營銷超於技術的感覺。筆者本想去試用下這款產品，給出更客觀的評價，但很遺憾，他們的業務人員回覆目前還沒有對中國市場進行覆蓋。綜上所述，只是筆者基於可獲得Axonius資料的一點拙見，僅供參考，還是很期待Axonius在RSA展示講解中，可以給我們帶來不一樣的東西。更多資訊可以訪問Axonius官方網站https://www.axonius.com/。

—END—