2020年2月24日-28日,網路安全行業盛會RSA Conference將在舊金山拉開帷幕。大會的創新沙盒環節備受矚目,成為全球網路安全行業技術創新和投資的風向標。
前不久,RSAC官方宣佈了最終入選今年的創新沙盒十強初創公司:AppOmni、BluBracket、Elevate Security、ForAllSecure、INKY、Obsidian、SECURITI.AI、Sqreen、Tala Security、Vulcan。
綠盟科技將透過背景介紹、產品特點、點評分析等,帶大家瞭解入圍的十強廠商。今天,我們要介紹的是廠商是:Elevate Security。
公司介紹
Elevate Security於2017年1月創立[1],總部位於美國舊金山灣區。兩位創始人Masha Sedova和Robert Fly都是前Salesforce負責安全和信任管理的高管,有豐富的安全管理經驗。公司經過兩輪融資,目前處於A輪融資階段,融資規模1000萬美元[2]。區別於多數重點關注技術(Technology)與流程(Processes)的安全創業公司,Elevate基於對當前網路安全風險的洞察,提供針對人(People)的安全行為改善平臺及定製化方案,能夠透過對員工行為的評估測量、資料視覺化提供對企業多層次的風險監控,進而提供個性化的員工評級反饋以及增強的安全培訓。Elevate Security正契合今年RSAC的“Human Element”主題,有些“應運而生”的意思,想必這也是助力它進入了創新沙盒決賽的一大因素。
背景介紹
2014年IBM安全服務的一項研究表明,95%的網路安全失陷是人為錯誤造成的。而近期卡巴斯基的研究則表明91%的涉及公有云使用者資料洩露事件的公司宣告社會工程學是其所遭受攻擊活動的一個環節[3]。人為因素一直以來都是網路空間安全的重要一環。隨著各種安全防禦自動化技術、產品、平臺的湧現,大幅提升了攻擊者入侵的難度。然而,在安全、利益攸關的關鍵場景下,由利益驅動的攻擊者無縫不鑽,高階持續攻防的戰場逐漸浮出水面。當前,即使是前沿的人工智慧驅動的防禦手段,也愈發強調“human-in-the-loop”的人機閉環協同能力。人既是防禦環節的重要組成,也同時可能成為攻擊者突破防禦的脆弱點。
隨著網路安全成為全球各方的關注熱點,網路安全從業者愈發感受到所處行業對世界的影響力。而這種影響力也逐漸透過各類安全教育、突發的安全事件、常規化的安全律法,深入到所有人的工作生活中。正如普通人愈發認識到到個人的健康管理尤為重要,大中小型企業乃至個人的網路安全意識、安全習慣、安全行為,將深刻影響到個人以及所處組織的安全基礎。然而網路安全文化氛圍的形成任重而道遠,從業者對安全能力提升和發展的認識也逐漸從追逐更快、更準、更智慧的技術、產品,轉而更加關注“以人為本”的技術、流程、法規甚至習慣和文化的新層次。
Gartner在自適應安全的體系[5]中,明確地將People-Centric作為了一個重要原則,在整個以人為本的安全體系內,安全教育是基石,只有提高員工的安全意識和安全技能,才能有效減少各種安全機制執行的開銷,提升整個安全體系的運轉效率。
行業已經有不少公司做安全意識培訓(Security Awareness Training),Gartner也釋出過魔力象限[4]。大部分傳統安全意識培訓產品的主要競爭力在於系統的、科學的培訓內容,以及與內容相匹配的計算機培訓輔助系統。而這些內容和工具則主要是圍繞透過“培訓”以提升“意識”的目標而構建的,這導致安全意識的提升過程更類似對機器打補丁升級的過程,難以明確度量個人在這一過程中的行為變化,而潛在的風險正蘊含於諸多人的行為細節當中。
Elevate Security提供的平臺旨在透過統一的視覺化手段,監測、管理員工的安全行為,並提供助於提升企業安全文化的郵件反饋和安全教育資源,以可量化的方式促進員工安全行為的改善,幫助企業管理者有效降低員工人為因素關聯的安全風險。有了評價指標,就能形成閉環,幫助企業迭代地改善員工在安全防護中的主觀能動性,提高企業整體的安全防護水平。
產品介紹
Elevate平臺主要提供以下四個功能模組,Reflex提供網路釣魚郵件攻擊模擬及相關結果評估;Vision是一個儀表盤,將釣魚郵件攻擊模擬結果及透過API整合的其他員工人為因素相關安全資料統一整合及分析,具備部門級和個人級的下鑽檢視;Pulse提供可配置的、基於郵件的員工評級反饋系統,以個性化的方式向員工提供整體的以及多個內容模組的安全行為評級;Hacker’s Mind提供攻擊者視角的安全培訓,以針對性提升關鍵部門、高風險員工的安全意識和防護能力。
基於以上四個功能模組,提升組織內部人員安全意識、培育安全文化可以分步進行,即透過Reflex完成釣魚郵件攻擊模擬,建立安全基線評級;透過Vision儀表盤分析並跟蹤企業各層級人員的整體、總體安全行為風險;透過Pulse郵件評分卡機制反饋人員行為評分,激勵行為改進;最後,針對高風險個人或部門,提供針對性個性化的安全培訓強化。
Elevate提供了平臺的基本試用功能,在此簡單介紹。該互動式Demo主要包括Vision和Pulse兩部分。可以看到Vision Dashboard提供的檢視很簡約。從部門級別上,包括總體安全風險值、風險分佈、部門評分以及行為對映。行為對映(Behavior Map)是以部門為單位,對所收集的安全行為資料的整合評級,直觀反映部門在各維度上,包括整體、桌面清理、惡意軟體、密碼安全、釣魚攻擊測試、培訓等維度的風險等級。從當前資訊看,該Elevate Demo所整合和展現的大部分資料來源需要透過外部API接入,平臺內部只提供基於Reflex的釣魚郵件攻擊模擬的評級資料。
Vision檢視下還提供各部門內部的總體和個人評級及排序,提供更細節、直觀的安全風險檢視。
在Pulse標籤下,提供Campaigns功能。該功能應可提供可配置的,基於郵件的安全評級反饋及管理。在Demo中,只能夠向試者用郵件傳送樣例反饋郵件,包括不同等級評分的三份郵件。以一份評級為“Sturdy”的反饋郵件為例,評分分為Phishing & Reporting、Password Manager、Training、Malware、Clean Desk這五個部分,對應Vision儀表盤中整合的五項內容。每一項內容都有對應具體內容,例如對於Phishing & Reporting,包含釣魚郵件攻擊的具體時間、員工個人評估結果以及與同部門其他員工的橫向對比結果。當然,如果某一項評估達標,郵件中會有類似於徽章的激勵機制,以鼓勵員工集齊所有安全徽章,完成對應的完全行為標準。
公司解讀
“以人為本”,以人及其行為為核心,關注人員因素在網路空間安全中的關鍵作用,從組織、策略、流程、法律法規等角度持續管理、監控企業安全風險,進而針對性、系統性的發現脆弱性,降低安全風險,已成為網路安全防禦的關鍵一環。國內許多大型企業的安全管理部門也開始具備包括職工安全培訓、安全評估檢查等能力。Elevate Security基於平臺提供的釣魚郵件攻擊模擬、視覺化分析、郵件反饋系統及場景式的安全培訓能力,向業界提供了一個企業安全文化培育的平臺化範本,能夠給各型別組織對個人安全行為的管理機制和方法提供有力的模板。同時,以面向人的安全行為因素在網路安全場景下的風險管控閉環為主題,講述了一個完整並且切中管理痛點的好故事。不止於此,Elevate Security提供的不止是思路和機制的創新。該公司基於已有平臺,提供面向各客戶組織的定製化解決方案,包括資料接入、安全流程等層面的定製和諮詢,這些平臺技術之外的能力補充同樣是該公司的核心競爭力。
從現有資料來看,Elevate平臺提供的功能可以用簡約而不簡單來概括。Elevate平臺所展現的功能一目瞭然,也沒有呈現複雜的流程,平臺背後所使用的技術不是其核心競爭力。“Let's target security behavior change, not awareness.”Elevate的核心功能路線很清晰,以員工安全行為的改善作為目標,提供包含定製化的資料測量、整合、分析、反饋、行動(培訓)的流程迭代和閉環,以及持續的、量化的風險評估機制與平臺,提升管理者對企業整體到員工個人的安全風險等級的洞見、監控和管理能力。以量化的方式關注人的安全行為改善而不停留於填鴨式的安全培訓,Elevate Security是打破傳統安全意識培訓產品形態固有思路的先行者。相信未來Elevate平臺會提供更多的平臺化元件,滿足各型別組織對內部人員的動態、持續、自適應的安全行為風險量化評估與安全行為提升需求,以適應更高階的攻防場景、更嚴謹的法律法規要求。
參考文獻
[1] https://elevatesecurity.com/
[2] https://www.crunchbase.com/organization/elevate-security
[3] 《Understanding Security of the Cloud: from Adoption Benefits to Threats and Concerns》
[4] https://www.gartner.com/doc/3950454
[5] Top Cybersecurity Trends for 2016-2017, Gartner Security & Risk Management Summit 2016