RSA創新沙盒盤點 | Sevco Security——專注資料融合的資產管理平臺

RSA創新沙盒盤點 | Sevco Security——專注資料融合的資產管理平臺
RSAConference2022將於舊金山時間6月6日召開[1]。大會的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網路安全行業技術創新和投資的風向標。

前不久，RSA官方宣佈了最終入選創新沙盒的十強初創公司：Araali Networks、BastionZero、Cado Security、Cycode、Dasera、Lightspin、Neosec、Sevco Security、Talon Cyber Security和Torq。

綠盟君將通過背景介紹、產品特點、點評分析等，帶大家瞭解入圍的十強廠商。今天，我們要介紹的是廠商是：Sevco Security。

一、公司介紹
Sevco Security（以下簡稱Sevco）成立於2020年，總部位於得克薩斯州奧斯汀，是一家提供網路安全服務和產品的公司。核心產品Sevco資產管理平臺，可通過整合現有資產管理平臺的資產清單，對多源資產管理軟體的資料融合，建立更全面的資產庫，以識別企業網路中的脆弱資產，從而實時跟蹤資產庫中資產狀態變化情況。

Sevco的初創團隊主要來自Carbon Black（終端安全公司，2018年在納斯達克上市）和Cylance（人工智慧和網路安全公司，已被黑莓14億美金收購）等成功創業團隊，以及Proofpoint、Sophos和JASK等公司的安全專家，具體情況如圖1所示[2]。

圖1 Sevco團隊成員情況

截止目前Sevco共有兩輪融資，分別是2021年5月20日融資14999999美元，由406 Ventures和其他4家投資機構投資；2020年5月18日融資6749998美元，由406 Ventures投資。此外，2020年9月17日，Sevco被Welp Magazine 評選為網路安全領域50家最佳初創公司之一[3]。

二、背景介紹
2021年7月14日，Gartner釋出的《2021安全運營技術成熟度曲線》[11]提到了兩種新興技術，來進一步解決企業對外暴露資產的安全問題，分別是CAASM（網路資產攻擊面管理）和EASM（外部攻擊面管理）。最近ESG發起一項企業IT資產盤點頻率的調查，從圖2[4]調查結果可知，有79%的受訪企業資產盤點頻率在一個月一次以上，但在當前高度動態的環境中，定期資產快照幾乎馬上就會失效，所以目前大部分企業並不能準確掌握其組織內所有的資產清單。

圖2 ESG調研的企業資產盤點頻率情況

此外，企業資產安全管理的一個主要問題就是資產的“資料孤島”問題。具體來說，企業內部資產資料通常由不同的團隊或個人進行管理，目前IT資產管理沒有一個上層統一的管理平臺，並且各個團隊或個人對IT資產管理重要性的優先順序也各不相同。因此，當資產管理人員開始IT資產盤點時，就必須協調組織內的多個資產相關負責團隊，協作構建一個自動化IT資產清單。該做法不僅十分困難，而且成本高昂。

三、產品功能
針對上述難點，Sevco給出了一套可雲原生部署的IT資產管理解決方案，旨在解決企業物理和數字資產管理問題。Sevco能夠通過呼叫企業內現有資產管理產品的API，而不需要代理或掃描器等侵入性方法來實現這一全面檢視，接下來將詳細介紹Sevco的資產管理平臺功能。

01多源資產清單融合
為了獲得全面準確的企業資產資訊，需要融合環境中現有的不同資產資料來源。當資料來源達到一定量級的時候，資產重複必然會出現，只有把各種來源聯絡統一起來，我們才能準確給出企業的資產清單。Sevco提供了一個多源資產清單融合模型，如圖3 [4]所示，Sevco可以將終端管理軟體、AD域服務、補丁管理的資料來源進行融合分析，從而可以直觀看到企業資產清單及安全防護現狀。

圖3 Sevco資產多源資產資料融

Sevco資產管理平臺已支援5種產品的資產資料收集、分析與展示，分別是：Automox、CrowdStrike、Lansweeper、MalwareBytes Nebula、Microsoft AD，下面簡單介紹下這些產品。

Automox
Automox[5]成立於2015年，其核心產品是一款終端管理運營平臺，可以為IT團隊提供所需的可見性、自動化和控制能力，從而推進大規模運營、簡化IT工作流程、最大限度降低企業安全風險。IT運營團隊藉助該產品的自動化能力和實時可見性，可以輕鬆跟上企業基礎設施發展的步伐，為其業務提供更具戰略意義的價值和安全成果。

CrowdStrike
CrowdStrike[6]是全球知名的終端安全廠商，公司成立於2011年，核心產品為威脅情報平臺Falcon X和終端管理平臺（EDR）。這些產品不但能夠保護IT安全，還可以進行終端檢測和響應、統一管理威脅搜尋和威脅情報。CrowdStrike功能架構圖4所示。

圖4 CrowdStrike功能架構圖

Lansweeper
Lansweeper[7]可發現連線到網路的IT資產，並且無需在計算機上安裝任何探針。Lansweeper DeepScan引擎可以掃描並收集企業的資產資訊，包括：硬體資訊、安裝的軟體、使用者詳細資訊等。除Lansweeper DeepScan 技術外，Lansweeper還可以整合其他資產平臺，從而豐富其資產資料。Lansweeper可以通過介面獲取其他資產平臺的資料，從而給使用者提供詳細的資產清單。此外，Lansweeper還提供資產清單查詢介面，可以供組織內的其他資產平臺進行查詢，更新完善其資產庫。

MalwareBytes Nebula
Malwarebytes[8]成立於2008年，MalwareBytes Nebula平臺可在整個Malwarebytes產品組合中提供雲交付和系列產品統一管理，其安全能力包括事件響應、終端防護，以及終端檢測與響應。該產品的功能包括UI介面、威脅報告生成、資產報告生成和API整合。這些功能可以有效防止主機被篡改，並生成視覺化的威脅報告與資產報告，以證明安全管理的有效性。

Microsoft Active Directory
Microsoft Active Directory（AD）[9]是微軟基於LDAP提供給SERVER平臺的目錄服務。域（domain）是邏輯上的概念，通常是一個安全邊界，主要對資源進行集中控制和簡化管理。企業通常使用Microsoft Active Directory作為跟蹤使用者和相關網路資源的標準目錄服務。顯然它是資產資訊一個高度可信的來源。但是Active Directory不是作為資產清查系統設計的，它對不需要訪問和驗證Windows資源的系統並不關注。

Sevco可以對不同來源的資產清單資料進行交叉檢索，通過對各個資料來源的資產和漏洞清單進行對比，可以獲得更全的資產檢視。從Sevco資產管理平臺示介面圖5（圖5、圖6、圖7均來自該參考[10]）可知，Microsoft AD共發現了640個資產，但是其中有58個資產Automox和CrowdStrike資產管理平臺都沒有覆蓋到。就說明這些裝置很可能沒有及時進行漏洞檢測和補丁管理，這些被遺漏的資產都是企業的資訊保安風險點。當這些資產遭到漏洞利用攻擊時，Sevco可以及時對被攻擊資產做策略隔離，從而大大降低企業的資產感染擴散面。

圖5 Sevco資產管理平臺

Sevco可通過資產的交叉查詢，檢索到企業內的安全防護盲點。如圖6所示，通過簡單的搜尋配置即可找到沒有安裝CrowdStrike EDR的資產。該功能不僅方便資產管理員進行查漏補缺，而且這些資產也是企業威脅跟蹤和IoC（Indicator of Compromise）關聯的優先關注物件，因此該功能可以有效的完善企業的安全覆蓋面。

圖6 Sevco資產管理平臺交叉搜尋功能

02動態資產監控
Sevco使用網路遙測技術動態地對企業資產的屬性變化進行監控，通過對每個報告的資產狀態與之前報告的狀態進行比較，實時標記資產變化情況，檢測資產的變化主要包括兩方面：資產庫存變更和資產屬性變更。資產庫存變更包括：新增或刪除資產、歷史過時資產的監控；資產屬性變更包括：IP、主機名、MAC地址的監控。

具體功能如圖7所示，Sevco可以在資產管理頁面檢視資產的狀態，通過對多方資料來源的聚合分析，最後給出資產的最近活躍狀態。此外，Sevco可以通過不同源提供的資產快照，分析資產的安全屬性，比如最近一次打補丁的時間、是否安裝EDR等資訊；通過UI上展示的顏色深度表示上一次活躍的時間，顏色越深時間越久。

圖7 Sevco資產管理平臺資產詳情展示

03雲原生可擴充套件部署
Sevco資產管理平臺用雲原生的方式進行部署，該部署方式的優勢包含：極致彈效能力，可以實現服務的快速啟動和停止；服務自治能力，當某個應用出現故障時，編排系統能夠及時發現並自動摘除問題應用並智慧排程，保證了應用系統的穩定執行；擴充套件性，可以跨越部署到不同的環境中擴充套件，以此作為容災備份。此外，Sevco還具備以下特點：

基於API體系結構設計
Sevco通過API連線到現有工具只需要簡單配置即可實現。無需安裝的代理，也不用部署網路掃描服務。

安全且可擴充套件部署
Sevco資產管理平臺自身會做嚴格安全檢查，所以使用者可以放心地進行本地部署，此外Sevco採用雲原生的方式進行部署，可以跨越部署到不同環境中擴充套件，以此作為容災備份。

資產清單推送
Sevco合併的資產清單和資產遙測事件可以推送給企業的SIEMS、CMDB等IT系統。準確、高保真的資料可以在不更改現有流程或程式的情況下，共享給現有資產平臺。

四、發展趨勢分析
近年來，CAASM（網路資產攻擊面管理）和EASM（外部攻擊面管理）被作為新型技術與大家見面。我們知道無論是“資產管理”或“脆弱性管理”都是安全圈的老面孔，資產和漏洞管理雖然是“昨天”的問題，但是做得確實還不夠好。並且技術和業務推進導致的資產動態變更，以及“Shadow IT”帶來的安全風險目前並沒有很好的解決辦法，所以CAASM和EASM才被Gartner定義為新興的安全技術。

2019年RSAC做資產管理的產品Axonius奪得冠軍[12]，當時我們同樣寫過該產品的分析文章[13]，Axonius不需要安裝終端或者代理，也不做資產掃描和被動流量監測，而是通過資產外掛相容其他的資產管理類軟體，對資產清單進行融合管理。截止目前其官網宣稱已經支援了451個系統和裝置的對接和適配。不難發現，Sevco的理念和Axonius十分接近，同樣不做資產採集，只做資料融合和資產分析，只是支援的資產資料來源和分析的方式略有差異，Sevco更致力於對不同平臺的資料進行交叉分析，通過對不同的資料來源關聯，分析企業現有資產管理的薄弱點。此外，從這兩款資產管理產品的功能可以看出，對多方資產資料的整合是資產管理的一種趨勢，至少目前還沒有一個“all in one”資產解決方案，資料融合共享是一個可以快速達到資產管理目的的方法；但該模式的產品技術壁壘相對模糊，有較被高替代和複製的風險。

從冠軍預測的角度來看，RSAC已經有了一個資產管理產品奪冠（Axonius），所以Sevco的壓力仍然比較大，無論是產品理念還是功能至少都要超過前面的“前輩”們。拋開奪冠預測不談，近年來資產安全管理的話題越來越熱，目前並沒有一款產品能解決所有的企業資產管理問題。隨著IT環境的變化、攻防博弈日益“內卷”，企業的資產管理的問題越來越細緻和具體。從產品形態來看，Sevco的資料融合理念無疑是一種資產管理的趨勢，對企業現有產品的掃描能力、終端檢測、被動流量、威脅情報等能力進行復用整合，大大減少重複造輪子，這樣可以更專注於資產平臺的管理屬性，這恰恰是使用者更需要的能力。最後，我們認為企業資產安全建設，不能全部依賴於安全廠商的盒子去做安全防護，安全廠商同樣也不能只站在傳統安全的角度去對待企業資產，資產管理需要二者相互配合，共同建立資產發現能力，通過不斷的迭代和運營，才能真正解決企業資產安全管理這一“進行時”的問題。

參考文獻
[1]https://www.rsaconference.com/usa/programs/innovation-sandbox
[2]https://sevcosecurity.com
[3]https://www.crunchbase.com/organization/sevco-security/company_financials
[4]https://content.sevcosecurity.com/hubfs/Sevco_Report_V3.1.pdf?hsLang=en
[5]https://www.automox.com/features
[6]https://www.CrowdStrike.com/
[7]https://content.lansweeper.com/
[8]https://try.malwarebytes.com/
[9]https://www.quest.com/cn-zh/solutions/active-directory/what-is-active-directory.aspx
[10]Gartner《2021安全運營技術成熟度曲線》Hype Cycle for Security Operations, 2021
[11]https://www.axonius.com/adapters
[12]http://blog.nsfocus.net/rsa2019-axonius-plug-in-asset-management-integrating-multi-party-systems/