RSAConference2021將於舊金山時間5月17日召開，這將是RSA大會有史以來第一次採用網路虛擬會議的形式舉辦。大會的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網路安全行業技術創新和投資的風向標。

前不久，RSA官方宣佈了最終入選創新沙盒的十強初創公司：WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、WIZ。

綠盟君將透過背景介紹、產品特點、點評分析等，帶大家瞭解入圍的十強廠商。今天，我們要介紹的是廠商是：Deduce。

公司介紹

Deduce於2019年5月創立，總部位於美國紐約[1]。公司創始人、現任CEO Ari Jacoby具有豐富的創業經驗，是Circulate，Voicestar，Solve Media等技術服務型別公司的創始人之一。目前Deduce經過兩輪融資，處於種子輪次的融資階段，融資規模達730萬美元[2]。

Deduce能夠向不同規模的企業，提供成熟的行業級使用者身份及行為分析介面，幫助企業構建身份認證風險分析、身份欺詐檢測及使用者告警能力，以輔助企業對抗潛在的攻擊行為，滿足合規要求以及提升客戶的信任度。如果從本屆RSAC的主題“Resilience”來看，Deduce公司透過打造身份智慧，為企業及其客戶提供基於資料與分析的身份安全彈性。

背景介紹

調查表明，2020年由使用者身份失竊、濫用、欺詐等攻擊造成的關聯損失高達560億美元，並已成為發展速度最快的網路空間威脅之一[3]。企業的客戶身份被竊取、盜用，帶來的不止是由資料洩露、資產失陷、交易欺詐等攻擊導致的直接經濟損失，所產生的使用者信任度降級，將給企業業務和信譽帶來持久和深遠的影響。

為應對網路空間威脅的動態演進，Gartner提出的自適應風險和信任評估框架CARTA（Continuous Adaptive Risk and Trust Assessment），為業界帶來系統的防禦視角。其中，針對使用者身份、裝置的認證與訪問，CARTA給出了自適應訪問保護（Adaptive Access Protection）框架[4]，如圖1所示。

圖1 CARTA Adaptive Access Protection架構圖

該框架的核心在於，需要對使用者身份、裝置、應用、行為及關聯資訊，提供持續的可見性與核實，來適應業務的動態需求與網路環境變化。類似於針對攻擊防護的“預測-預防-檢測-響應”的PPDR迴圈，針對訪問防護也需要構建需求發現（Discover requirements）-自適應訪問（Adaptive access）-用途驗證（Verify usage）-用途管理（Manage usage）的防護閉環，以提供持續的、可迭代的訪問控制及防禦能力。

Deduce公司提供的產品及方案，正是針對身份欺詐這一主要業務領域，主要涵蓋CARTA訪問防護的用途驗證（Verify usage）與用途管理（Manage usage）這兩個階段，為企業提供成熟的並且可適應企業業務流的客戶身份及行為動態分析介面，能夠有效降低中小型企業自建相關能力的成本。

產品介紹

Deduce官網目前主要提供了兩款SaaS產品，分別是“Customer Alerts”和“Identity Risk Index”。

Customer Alerts，即客戶告警[wl1] ，能夠檢測使用者登入行為的異常，並觸發告警通知到客戶，以供客戶決策判斷，是否是其個人行為。該產品功能目標，是在企業原有的認證流程之外，提供使用者登入訪問行為異常的告警。Deduce該產品的賣點在於，能夠向中小型企業提供成熟的身份登入異常驗證的介面，並只需按需付費。[wl2] 

Deduce提供一個用於分析客戶當前裝置及地理位置資訊的API，可無縫整合到企業的業務流程當中，如圖2所示。

圖2 Deduce Customer Alerts工作流

該API呼叫過程中，需企業採集使用者的裝置標識資訊和地理位置資訊。根據採集的資料樣本，基於可配置的規則，Deduce分析使用者關聯裝置及登入點地理位置的異常，進而觸發告警，並以企業定製的模板傳送給客戶，請求客戶確認。該API的結構如圖3所示。

圖3 Deduce Customer Alerts API示例

Identity Risk Index，該產品提供針對身份關聯行為的風險分數計算。用來預防和檢測由社交釣魚或資訊洩露引發的身份盜用、賬戶失竊、交易欺詐等惡意行為，同時幫助企業提升使用者信任和滿足合規需求。基本的功能如圖4，選自官網展示的功能示意圖。

圖4 Identity Risk Index功能示意

Identity Risk Index產品即身份風險指標。可直觀的理解為基於大資料的使用者身份異常檢測及風險評估。由於該功能公司未給出具體的技術細節介紹，我們無從得知其技術核心的實現方法。

從當前業界類似產品及技術的層次來看，實現有效的基於身份的風險分析依賴兩個關鍵條件，一個是大規模的使用者身份行為資料及情報資料，另一個是以UEBA為代表的異常行為分析技術棧。從Deduce的宣傳資料和相關報導來看，大規模收集的身份及行為資料集是支撐其Identity Risk Index產品技術的核心。Deduce透過持續的運營積累，打造了Identity Network身份及行為資料庫。在滿足GDPR和CCPA合規要求下，Deduce從超過15萬網站和應用，收集了涉及超2億個美國賬號及其相關認證、訪問、交易等行為的資訊和資料。這些賬號及身份資料在Identity Network以雜湊的形式進行了匿名化，以保護使用者的個人隱私。

我們可以看到，Deduce透過這種搭建平臺、提供服務的方式，在向企業提供客戶身份行為分析能力的同時，也在授權下持續收集不同站點、應用的相關資訊。這種大規模、多維度資料集的構建，能夠為Deduce持續提供行業的影響力及技術核心競爭力基礎。

除了資料層面的機制，我們只在Deduce宣傳中看到使用了機器學習方法來識別身份行為異常，並能夠將賬戶竊取的傷害降低90%。我們尚未看到具體的分析方法及模型的介紹。

公司解讀

身份的管理及關聯行為的分析，已成為網路安全邁入主動防禦和零信任時代後，威脅檢測與響應的關鍵技術手段。Deduce提供的兩款產品，針對身份風險分析，提供了不同的服務價值。Customer Alerts產品透過簡潔的API，能夠無縫的整合到企業已有的身份認證業務流中，提供資訊收集、基於裝置和位置的異常分析、使用者告警通知和使用者決策反饋收集服務。Identity Risk Index產品則基於Deduce的Identity Network資料集，提供具有更高維度、更深層次關聯的深度身份及行為風險分析服務，能夠與IAM系統打通，根據量化的身份及其行為風險值，來呼叫不同級別的認證方法，以增強對身份欺詐等攻擊行為的防禦能力。

相較而言，Identity Risk Index產品更值得我們深入的關注。基於SaaS的運營模式，該產品能夠為企業提供一個匿名化的身份及行為資料湖資源。基於該資料湖，Deduce有機會提供深度的身份風險評估能力，例如可實現透過單一身份不同應用、站點的多行為維度與長週期記錄跨度，實現細粒度的身份行為特徵畫像，進而提供更精準的風險評分指標。更關鍵的，基於身份社交網路的學習，能夠識別可疑的行為傳播規律、異常社群行為以及欺詐團伙行為。如下圖5所示，就是基於身份認證與訪問行為資料的社群分析方法[5]，該技術方案來源於同為身份欺詐檢測領域的創業公司Silverfort。在身份行為資料湖的基礎上，透過抽取身份（圖中圓點）、服務端點（圖中三角點）等實體的關聯，以及訪問行為的統計屬性，構建圖左側的實體行為關聯網路。進而，基於Louvain社群發現演算法，能夠將網路中的實體和行為劃分為多個社群，如圖右側的顏色標註。最終，在該社群劃分結果上，可得到更多維度的分析結論，如定位高度異常的特定型別社群活動、抽取有跨社群行為的高風險身份實體等等。儘管Deduce官網並未給出Identity Risk Index產品的詳細技術方案，其Identity Network資料庫的構建足以給我們帶來更多的技術想象空間。

圖5 基於認證和訪問行為的社群發現

除了以上產品特性，能夠進入RSAC創新沙盒十強，Deduce有其獨特的“商業化”的技術理念。首先，透過SaaS模式向中小型企業提供簡單易用的身份認證分析告警介面，減輕企業自建和維護成本的同時，能夠提供足以匹敵FAANG（Facebook, Apple, Amazon, Netflix, Google）等大型企業類似功能的身份賬戶異常分析機制，這與Deduce“Democratize Cybersecurity”——民主化網路安全的企業願景相契合；其次，提供服務的同時，Deduce在合法合規的策略下，構建了具備相當大規模及多樣性的匿名化身份行為資料庫，這能夠讓投資者看到Deduce當前所具備的“資料壁壘”。於此同時，透過可持續的服務提供與資訊採集，Deduce的Identity Network能夠為該公司提供亦可持續的技術演進和最佳化保障機制。

可以預見，創新沙盒評委對Deduce可持續身份資料運營的商業模式的認可程度，以及對身份欺詐領域技術市場的期待度，將是決定Deduce本次創新沙盒能否進入前三的關鍵因素，讓我們拭目以待。

參考文獻

[1]    https://www.deduce.com/

[2]    https://www.crunchbase.com/organization/deduce/company_financials

[3]    https://www.businesswire.com/news/home/20210323005370/en/Total-Identity-Fraud-Losses-Soar-to-56-Billion-in-2020

[4]    《Seven Imperatives to Adopt a CARTA Strategic Approach》

[5]    https://www.silverfort.com/blog/detecting-and-predicting-malicious-access-in-enterprise-networks-using-the-louvain-community-detection-algorithm