RSA Conference 2023將於舊金山時間4月24日正式啟幕。作為全球網路安全行業創新風向標，一直以來，大會的Innovation Sandbox（創新沙盒）大賽不斷為網路安全領域的初創企業提供著創新技術思維的展示平臺。

近日，RSA Conference正式公佈RSAC 2023創新沙盒競賽的10名決賽入圍者，分別為AnChain.AI、Astrix、DAZZ、Endor Labs、Hidden Layer、Pangea、RELYANCE AI、SafeBase、Valence、Zama。

4月24日（美國舊金山時間），創新沙盒將決出本年度冠軍，綠盟君在此立足背景介紹、產品特點、核心能力等，帶大家走進入圍十強廠商，洞悉創新發展趨勢。今天，我們要介紹的廠商是：Astrix。

公司介紹

Astrix Security 於2021年在特拉維夫成立（以色列），致力於保護現代企業不斷增長的第三方應用互連。透過利用其獨特的“攻擊者”觀點，Astrix Security設計了一種新穎的零信任解決方案，以應對針對企業關鍵系統的領先網路安全威脅。Astrix 安全平臺不僅提供企業整體風險可見性，還提供生命週期管理，以搶先保護企業最敏感的資料免受第三方威脅和違規風險。

圖 1 Astrix Security公司創始人

Astrix Security由執行長 Alon Jackson 和技術長 Idan Gour 共同創立，他們曾經在以色列國防軍的8200精銳網路部隊中任職。在2021年Astrix Security 獲得了Bessemer Venture Partners 和 F2 Capital 為主的 1500萬美元種子輪融資。

背景介紹

在SaaS時代，企業應用會使用大量的第三方SaaS服務，服務的安全性良莠不齊，且有大量的非可管理的SaaS，因此業務會存在影子應用連線（Shadow Connection）；其次，連線方式差異很大，有API key、OAuth、Web hook等，造成了當前技術上缺乏統一的連線管理和控制方式，所以Astrix security嘗試透過統一的訪問控制方式監控和管理所有第三方的應用連線。

在最近的 Gartner 報告中[1]，Astrix Security 被稱為SaaS安全態勢管理 (SSPM)市場的代表供應商。根據Gartner的報告“管理雲環境的態勢越來越重要，但存在令人眼花繚亂的安全態勢管理方法，安全和風險管理領導者需要選擇正確的方法來實現這些工具的優勢”。在談到SSPM解決方案時，Gartner分析師認為SaaS 防禦與IaaS和PaaS區分，需要由一個單獨的SSPM產品系列涵蓋。雖然這種觀點佔據主導，但Astrix平臺旨在為客戶提供完整的安全解決方案，用於非人工訪問基於雲的核心繫統，保護他們的應用程式到應用程式連線跨SaaS、IaaS和PaaS環境。

最近對Microsoft、Github、Mailchimp和CircleCI的嚴重攻擊揭示了新一代供應鏈攻擊，攻擊者利用授予第三方雲服務的訪問許可權作為進入公司最敏感核心系統的後門。

一切即服務鼓勵使用者不斷將第三方應用程式整合到企業結構中，這將導致越來越多的影子資產或行為使企業系統面臨供應鏈攻擊、資料洩露、帳戶接管和違規行為。

Astrix 平臺之所以成為該領域的規則改變者，是因為它透過釋出的OAuth 令牌、API 金鑰，為安全領導者提供了整體可見性以及威脅檢測和補救能力。

Gartner在報告中還提到“SSPM產品專注於一組SaaS平臺的配置和SaaS平臺互連的某種組合”。Astrix安全平臺從專注於非人類連線的獨特角度解決了這兩種方法，持續監控客戶的整個應用程式到應用程式連線。Astrix分析這些連線背後的身份並提供可操作的上下文，包括它們的潛在風險、暴露級別、許可權、業務理由和使用級別。這有助於安全團隊快速檢測和應對與第三方服務的風險連線。

當前應用程式到應用程式的連線將繼續呈指數級增長。保障其連線的安全性將成為一個關注重點，Astrix Security針對這一挑戰提出了創新性的解決方案，其未來發展潛力還是巨大的。

Astrix平臺介紹

為了確定使用者的核心繫統能夠安全的連線到第三方雲服務，Astrix Security提出了Astrix平臺[2]。

圖 2 Astrix平臺

直觀可視的是各種型別連線的統計顯示，把所有的連線分為高風險連線、開放連線、進行中連線與風險可控連線四類。其中左側顯示開放連線的問題型別，有可疑行為、非信任供應商等。中間是顯示高風險連線監控的平臺。最下面是對連線按型別顯示。

Astrix安全平臺對第三方應用程式連線的控制與安全管理的創新能力主要體現在以下四個方面：1 全域性可見性；2 威脅檢測能力；3 快速修復；4 生命週期管理。

直觀可視的是各種型別連線的統計顯示，把所有的連線分為高風險連線、開放連線、進行中連線與風險可控連線四類。其中左側顯示開放連線的問題型別，有可疑行為、非信任供應商等。中間是顯示高風險連線監控的平臺。最下面是對連線按型別顯示。

Astrix安全平臺對第三方應用程式連線的控制與安全管理的創新能力主要體現在以下四個方面：1 全域性可見性；2 威脅檢測能力；3 快速修復；4 生命週期管理。

3.1 全域性可見性

全域性可見性即Astrix平臺能夠發現與核心系統的所有連線。對於客戶來說Astrix能夠發現內部和第三方應用程式與客戶核心系統之間的所有連線，然後呈現出一種簡單的、全域性的綜合檢視。

圖 3 全域性可見檢視

這個全域性可見的綜合檢視提供如下內容：

• 與第三方應用程式的連線詳情；

• 頒發的 OAuth 令牌、API 金鑰、服務帳戶、SSH 金鑰和 webhook詳情；

• 連線使用者以及其使用級別詳情；

• 供應商供應鏈清單；

• 影子連線（例如，開發人員釋出的用於測試新 CI/CD 服務的 API 金鑰）；

• 授予的許可權和暴露的資料；

• 透過無程式碼（低程式碼）自動化平臺的間接連線
  

全域性的可見性以圖譜的形式進行視覺化，能直接的顯示不同的實體之間的上下文化關係，同時也可以藉助圖譜的能力實現對連線的風險進行準確評估。

3.2 威脅檢測

通常核心系統有比較多的與內部和第三方應用的連線，使用者只需要關注其中比較重要的連線風險。Astrix僅針對因約束、不必要和惡意的第三方連線觸發相應的告警，這樣可以降低使用者面臨供應鏈攻擊、資料洩露與合規風險。

圖 4 Astrix平臺的威脅檢測能力

Astrix平臺可以持續地檢測風險連線，同時還需要有效風險優先順序排序能力讓使用者關注風險度高的告警。例如：

• 惡意第三方連線，例如冒充應用程式和 OAuth 網路釣魚攻擊；

• 配置錯誤和過度許可的連線；

• 離職員工和無效應用程式的冗餘應用程式、令牌和金鑰；

• 異常和可疑的連線行為，例如可疑的源 IP 位置；

• 危險的行為，例如將相同的訪問金鑰授予多個服務
  

Astrix平臺藉助圖譜的關聯能力與上下文語義來增強威脅檢測能力，其威脅檢測引擎使用三層上下文來準確檢測關鍵和高風險連線。首先是分析使用者的第三方供應商和應用程式，然後監控它們如何與使用者的核心繫統連線，最後是Astrix 需要關聯威脅情報。

3.3 快速修復

威脅檢測給使用者提供了關鍵與高風險連線的告警，接下來使用者需要對其進行有效處置。Astrix透過自動化補救工作流程、與使用者的日常 IT 服務管理工具整合並使終端使用者能夠解決流程中的安全問題來減輕安全團隊的負擔。

圖 5 Astrix自動化修復

在保證團隊的工作效率的同時有效的降低連線風險。

接收帶有使用者反饋、威脅上下文和建議補救步驟的高優先順序警報。

獲取 Slack 通知，自動開啟 Jira 工單，或在問題解決後將其關閉。

提高終端使用者對他們授予第三方整合的許可權的認識。

3.4 生命週期管理

Astrix 從連線到使用者的核心繫統的那一刻起就持續監控每個第三方應用程式，並在發生任何重大變化時調整安全控制，以儘量減少使用者的攻擊面。

圖 6 Astrix 平臺生命週期管理

Astrix平臺透過對每個連線使用者核心系統的連線進行有效的生命週期管理來了解每個階段的連線風險。

• 可以檢視與可疑連線行為、提權和許可權更新相關的問題；

• 可以檢測可重複的連線來增強威脅響應；

• 監控風險變化以識別可能受Log4j等漏洞影響的連線

生命週期的管理可以實現對第三方應用連線的有效監控以達到在其發生變化時盡最大可能控制其攻擊面。

總結

Astrix Security提出的是企業用於保護應用到應用連線的可信解決方案。Astrix的無代理、非侵入式解決方案跨 SaaS、PaaS 和 IaaS 環境監控核心系統，並及時檢測和補救濫用非人類身份的攻擊。Astrix安全平臺不斷減少攻擊面，暴露可疑或惡意的連線行為、過度特權或未使用的連線以及不受信任的供應商連線。雖然Astrix Security僅僅是解決了應用到應用的安全訪問風險評估問題，但是在當前雲業務優先的使用者提供有效的供應鏈攻擊解決方案，業務場景切入點較好。

參考文獻

[1] Quick Answer: Cloud, Kubernetes, SaaS — What’s the Best Security Posture Management for Your Cloud?

[2] https://astrix.security/product/

[3] https://astrix.security/leadership-and-the-future-of-app-to-app-security/