RSA創新沙盒盤點｜Neosec——面向API安全的SaaS化防護方案

RSAConference2022將於舊金山時間6月6日召開。大會的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網路安全行業技術創新和投資的風向標。

前不久，RSA官方宣佈了最終入選創新沙盒的十強初創公司：Araali Networks、BastionZero、Cado Security、Cycode、Dasera、Lightspin、Neosec、Sevco Security、Talon Cyber Security和Torq。

綠盟君將通過背景介紹、產品特點、點評分析等，帶大家瞭解入圍的十強廠商。今天，我們要介紹的廠商是：Neosec。

一、背景介紹
Neosec成立於2020年1月，總部位於以色列，該公司專注於API安全領域，旗下的API安全SaaS平臺提供API資產發現、威脅狩獵、基於AI的行為和上下文威脅分析、自動化響應編排的能力，以保障API整個生命週期的安全。

目前Neosec團隊約15-20人左右，聯合創始人共兩名主要成員，如圖1所示[11]，其中一位是執行長兼創始人Giora Engel，2008年本科畢業於以色列希伯來大學，畢業後最初在以色列國防部擔任團隊負責人和專案經理職位，後於2011年創立了LightCyber[1]公司，LightCyber是一家專注於XDR(Extended Detection and Response)領域的安全創業公司，不過該公司在發展6年後被Palo Alto收購，並將其核心技術作為Palo Alto Cortex XDR平臺的基礎，Giora Engel也因此在Palo Alto擔任產品管理VP職位長達三年，2020年，Giora從Palo Alto離職並創立了Neosec公司。另一位是Ziv Sivan，目前擔任首席戰略官的職位，其本科和MBA均畢業於以色列巴伊蘭大學，與Giora Engel一樣，畢業後最初就職於以色列國防部，後陸續在Palo Alto、風投企業True Ventures[2]、Computer Startups[3]、TLV Partners[4]、SixThirty[9]任職。

圖1 Neosec聯合創始人(左為Giora Engel，右為Ziv Sivan)

2021年1月，Neosec籌集了570萬美元的第一輪融資，投資者僅有SixThirty一家風投企業，同年9月Neosec進行了第二輪融資，金額1500萬美元，投資者由True Ventures、SixThirty、TLV Partners牽頭，共9家風投企業參與融資，兩輪融資金額共2070萬美金。

Neosec在2021年被評為最熱門的10家網路安全初創企業之一[5], 並於2022年被選為RSAC創新沙盒Top 10企業之一。

二、產品介紹

圖2 Neosec平臺特性

我們通過檢視Neosec產品白皮書[10]，對其產品功能和特性進行了進一步瞭解，其平臺特性如圖2所示[10]，Neosec主打產品為一款基於AI驅動的API安全平臺，其以SaaS化的形式部署於雲中，自身設計支援可擴充套件，可整合，如可與使用者環境中的API閘道器、WAF、雲平臺、SIEM、CDN等系統進行整合。通過官網資訊[6]可以看出，該平臺主要功能包括可持續的API發現、基於API的行為和上下文威脅分析、API威脅狩獵、自動化響應編排。Neosec對外宣稱的產品亮點主要包含以下幾部分：

1、基於AI的行為和上下文分析是Neosec產品的一大亮點，與其它忽略歷史資料，僅對單一請求進行操作的解決方案不同，Neosec會儲存和檢測所有API活動資料集和歷史資料集，資料覆蓋的廣度使得使用者可以高度精確地發現其他方案所忽略的威脅點，從而更好的保障應用安全。

2、Neosec宣稱自己的API發現技術並未使用傳統的Agent而使用較為新的Agentless模式，並且易於部署。

3、鑑於Giora Engel在創辦Neosec之前有多年的XDR實踐經驗，因而其將XDR技術引入API安全也在意料範圍內，這也是Neosec產品以SaaS化形式進行部署的原因，API安全和XDR結合同樣也是產品的主要亮點之一。

下面我們將針對Neosec產品的功能進行分析介紹。

API發現
相對全面且持久的發現
可見才可防，API發現是第一步也是尤為重要的一步，API獲取的型別、數量和廣度體現了一家企業在API發現上的技術投入，通過官網資訊我們可以看到Neosec可發現使用者側的所有API，包括東西向/南北向API,、影子API、公/私有API、系統API、共享服務API等。如圖3所示[17]。

圖3 Neosec API發現範圍

同時，API持續發現能力也很重要，Neosec宣稱全天線上不停歇，可不斷發現新的API和對現有API的更改，可見Neosec對自身的API發現技術非常自信。

識別敏感的API並確定優先順序
由於API數量龐大，有效識別哪些API需要優先處理成為首要解決問題，Neosec可識別並標記攜帶敏感資料的API, 並可以告知安全和開發人員哪些需要優先處理。

API全面Swagger化

圖4 Neosec的Swagger化API管理

當API發現完成後，讓API進行規範化顯示往往可以通過Swagger的方式生成API線上文件，使使用者易於進行安全審計和基線核查等操作，Neosec考慮到了資產清單視覺化帶來的優勢，於是也提供了針對每個API自動生成Swagger檔案的功能，如圖4所示[12], 通過利用自動化Swagger上傳作為CI/CD流程的一部分進行安全審計，當審計過程中發現錯誤配置和漏洞時，可立即通知安全、開發人員和API團隊進行快速修復處理。同時也支援開發人員對Swagger進行下載並基於Swagger規範進行基線核查。

基於AI的行為和上下文分析
基於AI的行為和上下文分析已不是新的技術，2019年創新沙盒十強中的API安全創業公司Salt Security就聲稱自己用的是基於AI和大資料分析技術對API進行分析，距離現在已經過去三年，使用者似乎已不再好奇技術的具體實現，轉而更加關心產品如何解決誤報率的問題，僅僅收集API引數作為所有資料集可能並不夠，結合業務自身資料進行分析才真正可能降低誤報率，那麼Neosec又是如何將API資料與業務關聯？是否有對歷史資料進行行為畫像？我們經過調研分析發現，Neosec似乎是將API引數、使用者、實體及它們之間的上下文關係進行了整合，通過與業務高度融合的方式來降低誤報率，官方提供的截圖[13]驗證了我們的這一觀點。

圖5 API資料與業務資料融合的分析

Neosec也一直強調豐富的資料集是它們的強項之一，如官網所說“Neosec提供所有API活動資料和歷史資料，這些資料集可以幫助安全團隊瞭解每個API之間的上下文關係和背景，每個API均可以使用自定義分類進行命名和標記，龐大的資料集為威脅研究人員提供了更好的輸入，從而可以改善機器學習檢測模型和演算法，為基線行為分析提供了有力支援”，但根據現有材料，我們暫未找到具體的技術實現。

Neosec強調資料儲存在其SaaS平臺上，但這種方式最大的風險就是如何保證資料的合規性，通過閱讀官方白皮書[7]，我們瞭解到這些資料儲存在Neosec雲（SaaS平臺）上，針對資料的隱私保護問題，Neosec在資料傳輸至雲上之前使用標記（Tokenization）進行匿名化處理，以此來避免資料隱私洩露問題。

此外，Neosec還提供了針對事件的特定告警功能，其類別包括賬戶接管、認證授權、資料洩露、影子API、RCE、注入等。如圖6所示[13]。

圖6 Neosec的事件告警截圖

API威脅狩獵
威脅查詢
威脅狩獵既需要運營者具有“假設驅動”的豐富安全經驗，也需要能支撐靈活查詢的狩獵平臺。Neosec平臺自身也提供威脅查詢功能，其優勢在於背後龐大的API資料集，安全團隊能夠藉助API資料集充分了解每條告警的上下文資訊以發現更多威脅，如圖7[14]所示，Neosec提供基於時間範圍、實體型別、API端點的告警查詢功能。

圖7 Neosec的威脅查詢功能截圖

威脅狩獵通常需要較高的安全水平，而大多數企業的安全團隊人員和技術水平不足，很少有時間或能力去進行威脅狩獵，Neosec還提供可管理的威脅狩獵功能，這也是為數不多可提供威脅狩獵支援的初創企業。

自動化響應編排
雖然有威脅狩獵在前方提供情報，輸送安全事件，但是如何做好事件響應仍然是一個不容忽視的問題。安全編排與自動化響應（Security Orchestration Automation Response SOAR）近年來非常火熱，已有大部分安全企業在生產環境中落地。SOAR的核心在於針對不同事件的劇本編排和執行能力（Actions）, 其中雖然劇本編排能力在於運維人員，但提供基礎可編排的機制則完全依賴於SOAR平臺，一般可以用支援的Action數量來衡量SOAR平臺編排機制的優劣。我們調研發現，Neosec基本提供SOAR的能力，如圖8所示[15]。

圖8 Neosec的自動化響應編排功能截圖

三、解決方案介紹

Kong與Neosec組合提供API安全企業級解決方案
Kong是一個雲原生、快速可擴充套件的分散式微服務抽象層（通常被稱作API閘道器、API中介軟體），Kong於2015年被Mashape公司開源，其在Github上擁有31.6K的Star及4.2K的Fork數量。Kong的核心價值主要體現在高效能和可擴充套件性上。

API閘道器中，安全策略通常可抽象為兩種型別：一種是基於請求的策略，即分析每個請求以確保請求可以較為可靠地路由到上游服務中；另一種是基於行為狀態的策略，可通過建立請求資料基線進行異常行為分析。目前業界使用的API閘道器多能通過外掛整合的形式實現基於請求的策略，如Kong的企業級API閘道器整合了各種外掛，例如OpenID Connect、JWT、mTLS、開放策略代理 (OPA Open Policy Agent)等。針對第二種策略型別，Kong之前並未有可整合的外掛支援該策略型別，這也是Kong需要將Neosec能力整合至自身的主要目的。我們調研發現，Kong的Neosec外掛主要提供TCP日誌傳輸功能，外掛負責將流經Kong閘道器的所有處理日誌資訊傳送至客戶端執行的Neosec Collector中，再由Neosec Collector轉發至Neosec Cloud進行處理。圖9[16]大致展示了整個過程。

圖9 Neosec與Kong結合方案事件流處理圖

以下是整個環境的事件處理流程：
1、API流量通過Kong閘道器直接流入Service服務，同時生成請求的日誌資訊；
2、Kong閘道器使用標準的TCP日誌外掛將日誌傳送至客戶端執行的Neosec Collector；
3、Neosec Collector對收集到的日誌進行規範化處理並將最終日誌資訊傳送至Neosec Cloud進行處理；
4、若Neosec Cloud檢測到惡意流量，Neosec的分析告警引擎會觸發生成一條告警資訊，假設使用者已通過Neosec配置了自動化響應策略，那麼該響應策略會通過Neosec Responder元件執行，具體是依賴於Kong Manager Admin API將響應策略應用於API閘道器配置並執行。

通過調研可以發現，Kong的TCP外掛配置很簡單，如圖10所示[16]。

圖10 TCP日誌外掛配置截圖

可以看出我們只需要在Kong Manager中建立一個新的TCP外掛，並輸入Neosec Collector的URL和埠即可，Neosec Collector自身可以容器或FaaS函式的形式進行部署。

我們認為，Neosec和Kong的組合為API安全帶來了一定的創新性，原因主要有以下三點：

1、Neosec自身主打可持續性的API發現功能，那麼這種功能特性進而可以幫助Kong的使用者去發現更多API資產，從而提升了API的可見性；
2、Neosec基於AI的行為和上下文分析可以讓Kong的使用者區分正常和異常行為，從而提升了使用者對API流量的洞察力；
3、Neosec的自動化響應編排能力可讓使用者瞭解事前（日誌分析、策略劇本制定）、事中（告警觸發）、事後（響應操作）整個閉環，期間無縫連線。

四、總結
近年來，隨著企業越來越關注API安全，API安全的發展趨勢也越來越猛烈，如從依賴於預定義的策略檢測轉向基於人工智慧和行為分析檢測，產品部署形式從企業內部部署轉向為SaaS形式部署，傳統的僅針對單獨API呼叫或短生命週期會話活動的安全防護方法正在被可分析API活動數天甚至數週的新方法取代。再看Neosec, 基本符合API安全的未來發展趨勢。

Neosec雖然有很多優勢，但同時也具備一些挑戰和來自競品的壓力，可總結為以下幾部分。

技術優勢
API發現技術是Neosec產品的一大賣點，Neosec宣稱其既未使用傳統的Agent方式，也未使用近年來比較火的Sidecar技術，值得注意的是，2021年入圍RSAC創新沙盒的WIZ也採用Agentless和No sidecar方案[8]，並且今年入圍雲原生安全方向的SEVCO、資料治理（DataGovOps）方向的Dasera也採用Agentless API方式收集大量資料來源資訊，可以看出近年來國內外企業API發現技術都在走Agentless的路子。我們大膽猜測這些企業可能是使用近年來比較火熱的eBPF技術，原因主要有以下幾點：

1、eBPF作為一種較新的技術，由於對系統核心要求較高，還未有很成熟的落地實現案例，因而擁有更多可能性；
2、eBPF程式在核心層面執行，執行效率很高；
3、eBPF既不基於Sidecar，也非傳統的Agent；
4、eBPF相較其他類似技術，部署成本低。

Agentless的口號或許只是噱頭，畢竟總得有API發現機制被部署，如果將這種機制看作Agent，許多產品也不能真正的實現Agentless。應該是出於商業利益，僅從現網Neosec的公開資料我們暫未發現具體技術實現細節。

市場優勢
對初創公司而言，即使產品做的足夠創新，技術佔絕對優勢，融資足夠多，缺乏商業合作也寸步難行。我們觀察到，Neosec與API閘道器（apigee、Kong）、雲提供商（AWS、Azure、Google Cloud）、容器編排和服務網格環境(Kubernetes、Envoy)、反向代理（Apache、Nginx等）、CDN（Cloudflare等）、WAF（F5）、WAAPs產品均有一定程度的合作。可以看出，Neosec與這些產品的最終整合可將安全防護範圍覆蓋至各個領域，如API安全、應用安全、雲原生安全、公有云安全等，因此對於市場發展而言有一定優勢。

其中，以Neosec與Kong閘道器的結合思路舉例，依賴於Kong在API閘道器界的知名度，Neosec可以擁有大量試用資源，讓更多的使用者體驗其技術上的優勢，同時也能開拓市場，引入更多的融資金額機會，做第一個吃螃蟹的人。

挑戰
通過前文分析，我們知道Neosec的種種功能特性典型如基於AI的行為分析檢測，主要都是依賴於儲存在SaaS端的資料集作為基礎，那麼將使用者的資料全部儲存至SaaS平臺上一方面增大了單點故障的風險，另一方面也引入了其他風險，如使用者的資料隱私洩露、資料傳輸加密等。雖然Neosec聲稱可通過標記匿名化處理的方式規避隱私洩露風險，但攻擊手段的多元變化總是讓人防不勝防，我們認為Neosec的下一步關注點應該聚焦在資料安全方向。

競品比對
值得注意的是，2019年RSAC創新沙盒十強，同做API安全的Salt Security公司經過了三年的發展，從最初的小型創業公司到目前已經佔據了一定的API安全市場，且被各個國內外企業當成競爭對手看待，Salt Security的成長值得我們去關注。我們發現Salt Security產品主要涵蓋的功能包括以下幾部分：

1、API發現/納管
2、利用所屬專利AI技術(patented API Context Engine (ACE) architecture)阻止API攻擊並且可以實時識別攻擊者
3、提供API漏洞管理功能
4、提供API風險評估報告

可以看出，與Neosec相比，Salt Security的優勢除了市場磨練時間久之外，還額外提供了API漏洞管理及API風險報告的功能，另外同是基於AI的基線分析，兩者究竟有何不同？儘管從現網資料無法獲取技術實現細節，但我們認為Neosec在解決誤報率問題上，相比於當年的Salt Security有著更多及更深的思考（從將API資料和業務資料深度融合就可以看出來），也許是因為前輩們踩過的坑，Neosec很注重資料集的廣度和深度，這些也確實成為了其產品的主要賣點。
參考文獻
[1]https://www.crunchbase.com/organization/light-cyber
[2]https://www.crunchbase.com/hub/true-ventures-portfolio-companies
[3]https://www.crunchbase.com/hub/computer-startups
[4]https://www.crunchbase.com/hub/tlv-partners-portfolio-companies
[5]https://www.Neosec.com/news/the-10-hottest-cybersecurity-startups-of-2021
[6]https://www.Neosec.com/why-Neosec
[7]https://www.Neosec.com/hubfs/Data%20Sheets/Neosec%20%7C%20Oveview%20Data%20Sheet.pdf
[8]https://mp.weixin.qq.com/s/LH6n7w_Ar4pQiJtZ-K-ucA#at
[9]https://www.crunchbase.com/organization/sixthirty
[10]https://www.neosec.com/hubfs/Data%20Sheets/Neosec%20%7C%20Oveview%20Data%20Sheet.pdf
[11]https://www.neosec.com/about
[12]https://www.neosec.com/platform-discovery-risk-audit
[13]https://www.neosec.com/platform-security
[14]https://www.neosec.com/investigate-and-hunt
[15]https://www.neosec.com/platform-response-prevention
[16]https://konghq.com/blog/neosec
[17]https://www.neosec.com/platform-discovery-risk-audit