RSA 創新沙盒盤點| AppOmni——面向SaaS資料洩漏的持續性監控和告警防護

2020年2月24日-28日，網路安全行業盛會RSA Conference將在舊金山拉開帷幕。前不久，RSAC官方宣佈了最終入選今年的創新沙盒十強初創公司：AppOmni、BluBracket、Elevate Security、ForAllSecure、INKY、Obsidian、SECURITI.AI、Sqreen、Tala Security、Vulcan。

昨天綠盟君已經向大家介紹了Elevate Security 和Sqreen兩家廠商，今天，我們要介紹的是廠商是：AppOmni。

一、公司介紹

AppOmni成立於2018年，總部位於舊金山卡本代爾，該公司致力於保護、管理和監控公有云上的應用程式（SaaS），從而解決了絕大多數企業SaaS產品上雲後面臨的安全風險。目前公司人數大約40-50人左右，公司的創始人大部分來自Salesforce、Palo Alto Networks公司，在今年1月28日，該公司已經籌集了1300萬美元的A輪融資，投資者以ClearSky牽頭，Inner Loop Capital公司也參與了這一輪融資。

​

二、背景介紹

隨著雲技術的蓬勃發展，企業紛紛選擇上雲。然而，面臨複雜多變的雲環境，企業也因擔心資料洩漏問題而經常問雲服務商“你的雲安全嗎？”

隨著技術的不斷積累，雲端計算的技術手段越來越成熟，雖然如今的雲環境逐漸趨向於穩定和安全，但是企業上雲暴露出來的安全問題仍然層出不窮，歸根到底是什麼原因？

Gartner曾預測到2022年，至少有95%的雲安全問題是客戶的過錯。因為技術提升的同時，雲上應用變得普適廣泛，雲上的業務複雜性也在提高，我們知道在一些規模比較大的生產級IaaS、PaaS平臺上，通常會有上百個配置選項、每日千萬級的API呼叫頻次以及各種資料訪問模型。雲服務面臨的安全挑戰不在於雲自身的安全，而在於有效的安全管理、技術控制、實施安全策略等。所以問題不應該是“你的雲安全嗎？”而是“你是否有安全的使用雲？”  

SaaS安全防護面臨的問題

SaaS服務在IT成熟市場已被廣泛應用，相關資料表明，到2024年全球SaaS的市場規模將達到1800億美金，年複合增長率超過20%。與此同時，SaaS的安全問題也成為技術人員討論的熱點，近年來大規模的資料洩漏事件已造成數以萬計的損失，綜合原因不外乎以下幾點：

1、雲端不安全的訪問控制

訪問控制、包括特權使用者訪問是資料洩漏的最大原因，而根源在於不安全的預設配置以及對訪問控制的濫用造成，比如舊的使用者未刪除或過度使用管理控制等。面對以上這些問題，一些企業採用RBAC機制來管理使用者的許可權訪問控制，這看上去是沒問題的，但在實際運用當中，沒有良好安全基礎背景的運維人員是很難做到完全可控的，畢竟隨著企業規模的增大，人員會越來越多，角色許可權也會增多，沒有一個統一的管理平臺光靠專業的維護人員去管理未免要求太高。

2、錯誤的雲端儲存配置

許多企業選擇將SaaS服務部署在公有云上，卻對雲上的儲存配置並不關心，他們認為這是雲服務商的責任。但現實很殘酷，在購買雲服務商服務時大多數中小企業甚至沒有仔細閱讀過條款。據Macfee調查聲稱99%的雲端和IaaS錯誤配置都是在終端使用者的控制範圍內，而且並不為人所知，造成這一現象的主要原因是“公開資料”在很多雲服務中是雲資料儲存配置的預設訪問設定，所以企業需要受過良好教育的架構師和安全人員對服務進行適當的管理，以免資料洩漏的慘案再次發生。

3、SaaS服務缺乏持續性的監控告警

當服務被黑客攻陷導致資料洩漏時，持續的監控告警可以將使用者的損失降到最低。目前企業大多數使用雲服務商提供的監控告警，但因為服務商針對的是普遍使用者群體，所以其安全功能存在單一性、反饋使用者資訊不夠友好、缺乏持續性的監控等不足，最終導致了黑客入侵造成了不可收拾的局面。為保證SaaS服務的安全，企業急需一個專業的雲告警平臺處理所有入侵事件。

2018年9月，Veeam公司客戶資料洩漏，有200GB與4.4億條客戶記錄相關的資料在網上公開。2019年12月，雷鋒網報導了 Elasticsearch 伺服器 12 億個人資料遭洩露的事件，造成如此之大的損失原因竟然都是因為錯誤的雲例項配置導致，想起來讓人唏噓不已。

綜上，相關領域如雲中的資料的可訪問性如何實現，使用者訪問控制，跨雲的應用程式安全性和資料訪問策略成為了客戶側安全防護面臨的最大問題。

三、產品介紹

AppOmni平臺是由一個具有豐富經驗並瞭解安全性、合規性、IT團隊需求的專家團隊設計和構建的。通過使用AppOmni自研的策略引擎深度掃描SaaS服務的API和配置，可在數分鐘內識別出資料洩漏，並生成相應報告；其次，AppOmni還持續提供監控使用者的SaaS程式是否發生安全事件併產生相應告警；最後，AppOmni的“SaaS許可權建模” 專利可使使用者能夠立即、切實並可行的洞察對SaaS應用程式中關鍵業務資料的有效訪問許可權。綜合以上三點，AppOmni在訪問控制、資料洩漏、資料訪問策略方面均有著一定程度的創新，從而為SaaS服務全力保障護航。

四、產品特點

AppOmni 的解決方案主要是：安全自動化、合規控制和IT管理，我們逐一進行介紹。

01

安全自動化

1、配置防火牆

AppOmni支援配置防火牆功能，並可以定義資料訪問的安全規則，以防止資料暴露給第三方或公共網路。

2、一致的訪問控制

基於角色的訪問控制（RBAC）仍然是對SaaS使用者訪問許可權控制和授權的行業標準策略，在大型企業必須支援成千上萬內部使用者時，IT團隊將不得不面臨授予訪問許可權的壓力，並且此時很容易造成配置許可權超越了其自身原本應有許可權的事件發生，而且不正確的刪除許可權可能會對業務造成嚴重影響。AppOmni遵循RBAC的原則，提供視覺化的角色使用者管理介面，可以顯示哪些使用者共享同一許可權哪些不共享，並且可以標識異常的使用者許可權繫結，使運維人員清晰的對使用者及角色進行有效分配。

3、24*7的持續監控

有了一致的訪問控制往往還不夠，一旦SaaS應用程式處於已知良好的訪問控制狀態，就需要不斷的保持這種良好的狀態並將一致性延續下去。AppOmni提供了24*7的持續監控，其內部通過“許可權模型”可以評估SaaS應用程式配置和有效訪問，與設定的安全策略或繫結的使用者許可權有任何偏差都會立即告警並進行相應的處理措施。

02

合規控制

1、合規報告

AppOmni支援在“數分鐘”內執行對SaaS的訪問檢查並匯出對應合規性報告，這在企業中是非常必要的，因為企業會不定期的查詢當前部署的SaaS服務是否一切合規。

2、資料清單

AppOmni會根據型別、業務需求、合規性需求對資料進行分類提供使用者視覺化資料清單, 並且可以將資料接入任何SIEM系統（SOAR）、日誌管理系統、漏洞管理系統做進一步的資料分析。

3、控制匹配

AppOmni中提供了業界的一些標準，例如ISO 27001、PCI、NIST等，作為基線與SaaS的應用程式進行匹配，從而可以看出SaaS應用程式使用是否合規。

03

IT管理

1、配置管理

AppOmni可以配置使用者角色許可權、防火牆安全策略、配置檔案等，為使用者、雲環境和應用程式建立了良好的基礎配置模版。

2、功能測試

在IT流程中，將自動化測試納入其中可以在使用者升級和部署新的應用程式時不擔心會出現影響線上版本的事件發生，AppOmni具備這項能力。

五、總結

AppOmni在官網未說明其使用的掃描引擎運用了哪些技術，只是說是一項專利，但可由此推斷這一定是AppOmni的核心賣點。畢竟在數分鐘內即可掃描完SaaS服務並輸出相應的合規性報告及資料清單，同時又可以做到24*7的持續性服務監控和告警並且不會太影響效能，試問誰不好奇AppOmni是怎麼做到的呢？

對於公有云上的配置進行核查，Gartner將該細分市場稱為CSPM（Cloud Security Posture Management），目前大部分公司的配置核查主要是對如儲存資源的訪問憑證進行檢查，避免弱口令或無口令拖庫的事件，AppOmni的創新之處在於結合合規性要求，視覺化地還原業務層面的訪問邏輯關係，並通過持續性的監控告警保證訪問策略隨著業務遷移和人員變更後的一致性。

AppOmni可提供持續的監控和告警這一優勢使得使用者層面具備了“即時可見性”，從而在很大程度上改善了雲中的安全現狀。另外，AppOmni平臺通過使用者定義的安全策略評估資料暴露風險，以提供警告和見解，為使用者節省了大量的補救時間。在企業發展業務速度跟不上上雲引起的安全問題這一普遍趨勢下，AppOmni可以說是該領域的首批著眼於解決如何安全的使用SaaS雲的公司，未來隨著業務越發複雜，雲中面臨的安全問題只會越來越多，希望AppOmni可以保持其創新性和優勢，繼續努力，同時也祝願AppOmni在2020年RSAC創新沙盒十強賽中可以取得好的成績。 

    ·    參考連結    ·    

[1] https://appomni.com/

[2] https://appomni.com/appomni-raises-10-million-in-series-a/

[3] https://appomni.com/using-roles-for-continuous-saas-security-monitoring/

[4] https://appomni.com/is-the-cloud-secure/

[5] https://www.infosecurity-magazine.com/news/orgs-failing-protect-data-cloud/

[6] https://www.cbronline.com/news/iaas-misconfiguration-mcafee

[7] https://thehackernews.com/2019/10/data-breach-protection.html