RSA創新沙盒盤點 | WABBI ——面向應用全生命週期的安全防護方案

RSAConference2021將於舊金山時間5月17日召開，這將是RSA大會有史以來第一次採用網路虛擬會議的形式舉辦。大會的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網路安全行業技術創新和投資的風向標。

前不久，RSA官方宣佈了最終入選創新沙盒的十強初創公司：WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、WIZ。

綠盟君將透過背景介紹、產品特點、點評分析等，帶大家瞭解入圍的十強廠商。今天，我們要介紹的是廠商是：WABBI。

一、公司介紹

WABBI成立於2018年，總部位於美國波士頓州，該公司專注於SecDevOps領域，透過旗下的SecDevOps產品可使企業能夠更快、更安全的將軟體進行交付，目前公司人數大約20-30人左右，公司的執行長兼創始人為BrittanyGreenfield[1]，畢業於杜克大學，並在麻省理工學院讀取了MBA，單從其工作履歷來看，該創始人從事的多為市場營銷相關領域，與資訊保安領域並無太多交集，但優勢在於對現有軟體市場有著較深理解，並在DevOps方向有著前瞻性的研究，2019年5月份，該公司已經籌集了33萬美元的第一輪融資，投資者以Underscore VC[2]公司牽頭，Douglas Levin[3]、Ashley Smith[4]等人也參與了此輪融資。

二、背景介紹

隨著技術的不斷髮展，為促進開發運維一體化，DevOps應運而生，其代表的並非一種具體的實現技術，而是一種方法論，並在2009年被提出[1]。DevOps的出現最終目的是為了打破開發人員與運維人員之間的壁壘和鴻溝，高效的組織團隊透過自動化工具相互協作以完成軟體生命週期管理，從而更快且頻繁地交付高質量穩定的軟體。

如我們所知，DevOps影響的不僅包含開發團隊（Dev）和運維團隊(Ops)，還應包含安全團隊（Sec），在系統生命週期（SDLC Systems DevelopmentLife Cycle）中，安全團隊因常聚焦於運營階段，因而往往忽視了開發階段的安全，所以“安全左移”的理念在近些年非常的火，其強調安全因素應納入應用開發的早期階段，常見的，我們在開發（Dev）與運維（Ops）之間加入安全（Sec），也就是DevSecOps理念，其側重點是將安全工具自身整合至CI/CD工作流中，且安全工具主要納入應用的測試、釋出和運維階段，如下圖所示：

圖1 DevSecOps示意圖[6]

近些年來，隨著DevOps工具鏈激增，如Aqua、Twistlock等容器安全公司均支援了DevSecOps的解決方案[7][8]。

然而，從安全的角度上考慮，DevSecOps雖然在一定程度上保障了DevOps的安全，但由於其並未涵蓋DevOps的整個閉環流程，因而缺乏專案環境（應用的上下文環境），進而，DevSecOps無法解決應用安全的優先順序問題。此外，專案環境的缺失還會降低整體的開發運維效率。鑑於此，人們漸漸提出了SecDevOps的理念，即將安全部分（Sec）移至最左邊，SecDevOps遵循將安全部署至系統生命週期的每一個階段，而不僅僅是測試、部署、運維階段，如下圖所示：

圖2 SecDevOps示意圖[9]

透過安全流程與開發流程的一致性，我們可以預定義流程以確保在正確的時間進行安全檢測並按照優先順序順序逐一對安全問題進行修復。

為了較好地實踐SecDevOps理念，WABBI公司提供了一套平臺，該平臺負責管理安全工具及應用釋出前的程式碼安全，並能確保將安全工具無縫整合至現有的DevOps工作流中。具體的，WABBI對應用的安全防護能力可透過為不同應用分配不同的策略去實現，加之對每個策略的控制措施及對安全測試結果的分析方法，該平臺有效加速了應用的安全交付，為各企業的DevOps團隊提供了安全基礎架構。

三、產品介紹

WABBI公司提供一套SecDevOps平臺，該平臺主要由管理器（Manager）、策略編排器（Orchestrator）、版本控制器（Gatekeeper）三個功能模組組成，需要注意的是，官方並沒有明顯提及以上三個核心模組是如何與現有的DevOps流程進行融合的，筆者透過現有材料的分析推測，其管理器和策略編排器保證了應用程式碼設計、構建、測試階段的安全，而版本控制器保證了應用釋出、運維階段的安全，三者結合可以實現整個SecDevOps流程的閉環。

3.1 管理器

透過官網提供的資訊可以看出管理器主要為使用者提供專案管理功能，包括專案匯入、初始策略分配、應用漏洞檢測、視覺化展示等，使用者可透過平臺進行具體的操作，如下圖所示：

圖3 匯入專案至WABBI平臺的流程

圖3我們可以看出使用者匯入專案的過程分為四步，分別為專案選擇、自定義設定、專案描述（可進行初始化策略分配）、專案概覽（視覺化展示），圖4為成功匯入專案後的概覽頁面：

圖4 專案概覽介面

從概覽頁面可以看出WABBI平臺為使用者提供了包括專案存在的安全問題、專案安全問題的優先順序排序、專案安全問題的待辦數、專案總體的安全性評分等視覺化展示，這樣，一方面可在使用者層面滿足對當前專案的“即時可見性”的需求，確保問題得到及時解決；另一方面可有效對安全債務（Security debt）進行控制，確保應用的按時交付。

3.2 策略編排器

WABBI透過策略編排器實現策略的自動化編排，其核心為集中式策略引擎，透過引擎可將不同的策略分配至合適的專案，隨著應用安全風險的不斷變化，使用者可以得知哪些專案受到了策略變化帶來的影響，從而可確保應用始終符合當前的安全標準。筆者透過觀看其官方Demo影片，擷取了平臺策略管理相關的介面，如下所示：

圖5 策略管理介面1

圖6 策略管理介面2

我們可以看出，該平臺預設提供的策略型別還是相對較多的，包括認證、授權、惡意軟體、通訊、檔案、業務邏輯等，每個策略型別下面又包含許多策略，例如NIST安全標準策略等。

此外，從介面上來看，策略管理部分還支援使用者自定義策略型別，並可手動匯入策略，例如我們可以將OWASP安全標準匯入到策略管理模組中，如圖4所示，這樣可在一定程度上加強策略的擴充套件性。

圖7 策略管理介面3

3.3 版本控制器

從官網資訊中，筆者瞭解到版本控制器主要用於確保每次應用版本的釋出都能遵循安全標準，具體的版本控制器可協調所有的安全質量檢查，當遇到不符合安全標準的狀況時，版本控制器可以通知具體使用者需要修復什麼，從而可促使程式碼按時進行交付。另外，使用者可透過該平臺針對專案不同版本檢視相應的安全問題，這個功能對於使用者來說還是相當直觀有用的，具體如下圖所示：

圖8 專案不同版本檢視頁面

此外，透過版本控制器我們可以在DevOps流程的每個階段檢視應用程式碼交付是否滿足安全標準，從而簡化了事後合規性檢查的過程，例如WABBI平臺在整合Azure Pipelines後，我們可以檢視系統釋出未能透過的詳細資訊，如圖9所示：

圖9 CI/CD流中WABBI的版本控制器報錯頁面

圖10 與圖9對應的釋出失敗資訊

圖10可以看出，使用者可針對流程手動進行審批，以滿足現有環境不符合安全標準但仍需釋出的場景。

四、解決方案介紹

4.1 提供CMCC方案

CMCC全稱為CybersecurityMaturity Modle Certification，即網路安全成熟度模型認證，其是由美國國防部發起的一項計劃，目的是為了衡量企業在網路安全領域的能力、準備程度及複雜程度。具體的，CMCC側重於採用實踐和流程，以便企業在各方面可切實的實施網路安全，將企業從被動的網路安全模式轉變為主動的網路安全模式。WABBI宣稱其SecDevOps 平臺可以使企業在面對CMMC標準時，實施必要的實踐及流程，下圖是WABBI提供的CMCC方案流程圖：

圖11 CMCC方案實現流程[10]

圖11可以看出，透過WABBI SecDevOps平臺的集中化策略管理，可使所有記錄在案的應用安全實踐被執行。此外，透過WABBI SecDevOps平臺對應用開發和運維流程的全面監控，可使使用者在最短時間內接收有效資訊，在一定程度上降低了流程的複雜度，以促進企業向CMCC標準的方向邁進。

4.2提供可持續性的ATO

ATO全稱為Authority-to-Operate，即運營授權，具體指授權運營一個系統並在一套安全控制措施的基礎上，明確接受企業運作、企業資產可能帶來的風險。由於傳統的授權運營流程無法跟上現今軟體開發的速度，因而導致ATO流程往往無法持續進行，而WABBI宣稱其SecDevOps平臺可透過自動化和協調應用的安全流程作為系統生命週期的一部分，進而降低應用的執行維護成本以及專案交付的風險，實現持續的ATO。持續的ATO對於滿足快速且安全地將軟體交付至使用者的需求來說至關重要。下圖為WABBI官方提供的實現持續性ATO的流程。

圖12 CMCC方案實現流程[11]

五、與現有DevOps生態鏈的整合

透過官網介紹，筆者發現WABBI與現有DevOps生態鏈的結合還是相對比較全面的，下圖可以看出，涉及的生態鏈幾乎能覆蓋DevOps流程的每個階段，但同時我們也能發現每個階段整合的工具數量較少，這可能也和WABBI公司處在創業期有關，其產品仍在不斷迭代擴充套件，以滿足更多使用者的需求。

圖13 WABBI支援的DevOps生態鏈[13]

六、優勢與挑戰

透過上文對WABBI平臺的介紹，我們可以看出其一大亮點是較好的實踐了“安全左移”（SecDevOps）的理念，透過將安全機制部署至系統生命週期的每個階段，可使安全流程與開發運維流程保持一致，從而從根源處消除了開發團隊在選擇敏捷性和安全性之間的顧慮，相比DevSecOps，SecDevOps理念更好的貫穿了開發、運維、安全的一體化。

然而，WABBI也存在著一些挑戰，筆者從技術角度出發總結為以下三點：

1)應用漏洞的誤報或漏報問題

WABBI公司宣稱其產品的版本控制器可以代替人工進行審批，並在出現問題後及時通知相關使用者，但如我們所知，自動化是無法完全替代人工的，只能一定程度上降低人工成本，並且由於自動化響應是基於規則，規則的不完善可能會進一步導致系統的誤報或漏報的增多，針對此情況，筆者在官網上並未看到WABBI是如何進行處理的，因而對於WABBI來說無疑是一項挑戰。

2)策略編排器的效能問題

WABBI透過策略編排器實現了策略的自動化編排，這確實在一定程度上解決了手動管理多專案帶來的問題，但從其官網提供的Demo中，我們可以看到其支援策略的不斷擴充套件，且每個策略類別下又可以新增不同的策略，那麼隨著管理專案數量地不斷增多，策略數量將會呈指數增長，最終策略編排引擎的效能是否會受到影響是WABBI需要關心的問題。

3)與DevOps工具適配介面的效能問題

從WABBI公司目前的發展來看，筆者認為WABBI想不斷擴充套件其與主流DevOps工具的適配，然而更多適配必然會導致一定的效能問題，如何將不同DevOps工具的適配介面進行整合形成一套通用的介面，並能透過引數指定的方式去驅動適配性是可選擇的手段，WABBI究竟會如何考慮我們並不得知，但這一定是WABBI面臨的一項挑戰。

七、總結

今年入圍RSA創新沙盒的十大公司在應用安全方向有兩家，一家為Apiiro，我們在另一篇文章中對其進行了解讀。另一家就是今天我們談論的WABBI, 從其融資水平以及團隊背景來看，筆者認為WABBI想在最終的決賽中脫穎而出還是有一定的難度。從其背後的產品力來看，筆者認為WABBI還是具備一定的創新性及優勢，畢竟目前市場上的產品多是實踐了DevSecOps理念，例如2020年入圍RSA創新沙盒的ForAllSecure公司，2019年入圍的DisruptOps（雲基礎設施檢測與修復）、ShiftLeft（軟體程式碼防護與審計）公司。但成功實踐了SecDevOps理念的產品卻少之又少。

值得注意的是從2019-2020年，DevSecOps方向入圍的公司均未進入過最終的Top 3，這一方面反映了DevSecOps方向可能相比其它方向受到的關注度要更低一些，另一方面也間接說明了該領域很難再出現顛覆性的創新點，無論最終結果如何，希望WABBI可以繼續延續其創新性和優勢，為市場帶來更好的產品。

·  參考連結    ·    

1] https://www.linkedin.com/in/brittanygreenfield/

[2] https://www.linkedin.com/company/_underscore.vc/

[3] https://www.linkedin.com/in/bduck1/

[4] https://www.linkedin.com/in/ashley5/

[5] https://en.wikipedia.org/wiki/DevOps

[6] 圖片來自https://wabbisoft.com/wp-content/uploads/2019/11/DevSecOps.png

[7] https://www.aquasec.com/use-cases/devops-security/

[8]https://ibm-gsi-ecosystem.github.io/ibm-gsi-cloudnative-journey/developer-advanced-2/devsecops-twistlock/

[9]圖片來自https://wabbisoft.com/wp-content/uploads/2019/11/SecDevOps-no-questions.png

[10]圖片來自https://wabbisoft.com/wp-content/uploads/2020/12/CMMC.gif

[11]圖片來自https://wabbisoft.com/wp-content/uploads/2020/11/Continuous-ATO.gif

[12]https://wabbisoft.com/secdevops-integrations/

[13]圖片來自https://wabbisoft.com/secdevops-integrations/

[14]WABBI SecDevOps Orchestration https://www.youtube.com/watch?v=JcL1D_CneeM

[15]https://WABBIsoft.com/getting-started-with-secdevops-the-what-the-how-and-the-why/

[16]https://WABBIsoft.com/what-is-secdevops/

[17]https://wabbisoft.com/platform/

[18]https://wabbisoft.com/solutions/cmmc-compliance/

[19]https://wabbisoft.com/solutions/continuous-ato-2/

[20] https://www.nsfocus.com.cn/