RSA 2023創新沙盒盤點｜Dazz：面向SaaS化的雲安全漏洞緩解平臺

RSA Conference 2023將於舊金山時間4月24日正式啟幕。作為全球網路安全行業創新風向標，一直以來，大會的Innovation Sandbox（創新沙盒）大賽不斷為網路安全領域的初創企業提供著創新技術思維的展示平臺。

近日，RSA Conference正式公佈RSAC 2023創新沙盒競賽的10名決賽入圍者，分別為AnChain.AI、Astrix、Dazz、Endor Labs、Hidden Layer、Pangea、Relyance AI、SafeBase、Valence、Zama。

4月24日（美國舊金山時間），創新沙盒將決出本年度冠軍，綠盟君在此立足背景介紹、產品特點、核心能力等，帶大家走進入圍十強廠商，洞悉創新發展趨勢。今天，我們要介紹的廠商是Dazz。

公司介紹

Dazz成立於2021年12月，總部位於美國加州，該公司專注於雲安全領域，其Dazz Remediation Cloud SaaS化平臺主要為企業開發團隊及安全團隊提供漏洞修復和風險預估能力。值得注意的是，其官方網站的Slogen為“Fix at the root, Go fast”，即強調其是從“根因”上“快速”分析系統DevSecOps環節涉及的漏洞，以更快、更有效的方式修復現有問題，改善MTTR(Mean Time to Repair) 。

目前Dazz團隊約11-50人左右，聯合創始人共三名主要成員，如圖1[7]所示：

圖1 Dazz聯合創始人（左為Merav Bahat，中為Tomer Schwartz，右為Yuval Ofir）

Merav Bahat

Merav Bahat 是 Dazz 的 CEO 和聯合創始人。她在微軟擔任過多個高階職位，包括雲安全全球業務總經理和微軟以色列研發部的副執行長，負責管理超過2000名員工。在此之前，曾擔任微軟雲端計算和人工智慧安全業務部門的產品戰略組主任。Merav Bahat擁有以色列理工學院工業管理工程專業學士學位以及以色列本古裡安大學工商管理碩士學位。曾在哈佛大學商學院-肯尼迪政府學院的聯合研究專案中擔任研究員。

Tomer Schwartz

Tomer是Dazz的技術長和聯合創始人。在創立Dazz之前，Tomer在以色列創立了微軟安全響應中心並擔任主任一職。在此之前，Tomer聯合其他人共同創辦了一家物聯網安全公司Armis ，此公司於2019年以超過10億美元的價格被收購。更早之前，Tomer主要在CASB公司Adallom任職研究總監。

Yuval Ofir

Yuval 是Dazz的研發副總裁和聯合創始人。在創立Dazz之前，Yuva是OT行業領導者Claroty公司的研發副總裁。他曾在KayHut和Gita任職，幫助建立公司研發體系，並向全球政府和軍事客戶提供安全情報收集產品。這段經歷為他在 Dazz 的工作帶來了豐富的研究經驗。在辭職前，Yuval在以色列國防軍的精英網路部隊中擔任了10多年的職務，並領導了多個專案，這些專案絕大多數贏得了以色列國防獎。

2021年5月，Dazz籌集了1000萬美元的第一輪融資，同年12月Dazz進行了第二輪融資，金額5000萬美元，投資者包括Index Ventures、Insight Partners、Greylock、Cerca Partners、Cyberstarts五家公司，兩輪融資金額共6000萬美元[8]。

Dazz自成立以來先後入圍業內多個重大獎項並最終獲取了不錯的成績，包括2022 Status Awards for Cloud Computing冠軍、2022 Tomorrow’s Top Growth Companies提名、2022 SINET16 Innovator提名、2023 Big Innovation Awards冠軍、2022 Black Unicorn Awards提名、2023 Most Promising Cyber Startup提名、2023 Cybersecurity Startup Achievement of the Year – Security Cloud銀牌得主、2023 RSAC Innovation Sandbox Top 10企業提名[2]。

產品介紹

Dazz的主打產品為Dazz Remediation Cloud，其是一款SaaS化雲風險緩解平臺，根據Dazz的官方網站及現網材料中並未發現詳細的產品或是解決方案方面的介紹，甚至官方主頁上都沒有Dazz Remediation Cloud產品的相關資訊，筆者僅從官方影片[6]以及官方最佳實踐案例介紹中瞭解Dazz Remediation Cloud的相關能力，整體看來，Dazz Remediation Cloud主要做了三件事：

a) 首先，Dazz Remediation Cloud 是一款基於SaaS的雲安全漏洞環境平臺，能夠連線企業自身的 DevSecOps 環境中的各種安全工具，例如程式碼倉庫、程式碼審計、映象掃描、SCA、SBOM 等等。透過 read-only API 介面，Dazz Remediation Cloud可以獲取各類告警以及CI/CD管道的上下文資訊，從而實現CI/CD管道視覺化；

b) 其次，Dazz Remediation Cloud 採用了一種專有技術，可以對大量告警資訊進行降噪處理，並按照資產型別進行劃分。透過這種方式，使用者可以高度精確地理解每個問題的根因，形成統一檢視，從而降低漏洞和修復運維成本；

c) 最後，Dazz Remediation Cloud 提供了一系列的自動化修復功能，例如自動生成修復程式，並自動路由至漏洞程式碼屬主。這種方式可以實現發現、識別、檢測、響應、恢復整個閉環，從而提高安全運維效率。

Dazz官方給出了一個案例有助於我們理解該產品主要解決的問題，如下圖所示[5]：

圖2 Dazz案例

圖中企業在AWS上有17431個容器受到攻擊，其中有673個映象受到影響，透過部署SaaS化應用Dazz Remediation Cloud，可快速發現受攻擊的容器映象，並準確識別攻擊源，定位到142個待修復的Dockerfile，最後定位到Dockerfile程式碼所有者，並自動化修復及部署。

Dazz Remediation Cloud的能力可劃分為Discover、Reduce、Fix三個階段。

2.1

Discover

圖3 Discover階段

Discover階段即表示發現企業使用者側程式碼以及將程式碼對映至雲端的過程，這裡Dazz Remediation Cloud透過read-only API整合至使用者現有的CI/CD環境，筆者瞭解到Dazz使用了ETL技術（一種資料管理技術，用於從各種資料來源中獲取資料，對其進行轉換處理，然後將其載入到資料儲存區域中）收集來自於企業CI/CD環境中涉及的各類安全工具的漏洞（如DevSecOps中的Sec階段，透過映象掃描工具掃出的漏洞）或錯誤配置等資訊，並且Dazz採用了流式傳輸技術，從而可以在傳輸實時性、資源消耗、擴充套件性以及容錯性上帶來一定優勢，但針對流式傳輸技術，筆者認為也存在一定不足，比如資料處理過程較為複雜，需要有較好的演算法即軟體架構設計支援，對計算資源要求也較高，此外，傳輸過程是否進行了加密，傳輸過程中如遇到網路中斷，如何做災備處置，這都是Dazz需要考慮得問題，但這些容錯方案筆者在官網上並未看到相應資訊。

2.2

Reduce

Reduce即表示降噪的意思，這裡筆者理解應當是對上一階段獲取的企業系統漏洞產生的告警資訊進行降噪處理，由於整個CI/CD過程中產生的告警資訊量很龐大，且有許多重複告警，進行降噪是必要的。Dazz Remediation Cloud提供兩個主要能力，分別是：

1）自動化提升告警質量和處理漏洞優先順序；

2）透過自有專利（目前網路上沒看到相應內容）實現從根因處獲取上下文資訊，此處的“根因”，可以理解為針對產生告警，能夠從以下幾方面考慮從而降低漏洞和修復運維成本：

• 定位到什麼原因導致告警，是程式碼問題、IaC，還是配置檔案；

• 定位到具體為哪個工具、責任人，哪一個commit記錄觸發了告警，具體是什麼安全問題

2.3

Fix

圖5  Fix階段

Dazz Remediation Cloud 的修復方式有兩種:

1）如果應用程式存在漏洞，Dazz Remediation Cloud 可以在源頭自動生成程式碼修復程式，並將修復程式自動路由至開發人員。開發人員可以選擇批准或拒絕修復程式，如果批准，修復程式將自動執行並觸發部署流程，從而在最短時間內修復安全隱患。官方給出了一個示例，如圖 5 所示，開發人員編寫的 Dockerfile 中引入了不安全的映象源，Dazz Remediation Cloud 可以清晰地為使用者展示問題所在行，並提供是否需要緩解的操作，如是則自動進行修復。

2）如果應用程式存在脆弱性配置，如配置檔案中暴露了敏感資料、硬編碼資訊等，Dazz Remediation Cloud 會在程式碼倉庫中給出清晰的緩解步驟，以幫助開發人員快速修復問題。

技術淺析

由於Dazz技術相關材料較少，很遺憾筆者並未看到其產品核心能力的具體實現機制，筆者僅從Dazz公司對外的一些演講影片中[6][10]瞭解到其產品是如何與使用者的DevSecOps環境工具整合的，以下是一些相關技術淺析：

圖6 Airbyte的CDK及Dazz目前整合的多個聯結器[4]

Dazz 的整合技術主要借鑑了 Airbyte 開發的 CDK，CDK是一種聯結器開發套件。目前，Dazz 已經整合了約 50 個聯結器，可以與各種工具進行整合，如 CI/CD、IaC、雲服務商、程式碼掃描、程式碼倉庫等。Dazz 在聯結器框架中提供了一些核心元件，如 integration SDK、integration API等，用於幫助開發者快速構建和部署聯結器。同時，Dazz 還提供了一些工具和框架，如 integration testing、reverse integration testing、API surface testing 等，以幫助開發者測試和最佳化聯結器的效能和安全。下圖展示了 Dazz 的整合方案框架[1]：

圖7  Dazz整合框架

上圖我們可以看出，整合分為兩個階段：

1）第一階段是獲取一個stream流，它維護資料的增量獲取，狀態和分頁，之後將資料進行儲存。

2）第二階段是資料解析。Dazz將原始資料轉換為 Dazz 域物件，然後將其傳送到後端分析處理並返回最終結果。

那麼作為開發者應當如何使用Dazz提供的SDK，下圖是Dazz整合synk工具的例項介紹：

圖8 Sync整合Dazz示例

根據圖示，開發者需要建立一個 integration.py 檔案，並在其中建立一個從 Dazz SDK 繼承的 AbstractIntegration 類的例項。這個例項將提供特定整合 （如 synk）的資料流獲取和解析方法。此外，該例項還將使用 Dazz 的 read-only API 將安全資料傳輸到 Dazz 產品中進行分析。

建立一個聯結器並不複雜，Dazz 宣稱只需要兩週時間。在這個過程中，開發者需要理解 Dazz 產品的功能和 API，並使用其提供的工具和框架來構建和測試聯結器。

需要注意的是，Dazz 提供的聯結器不是通用的，而是針對特定的應用場景和資料型別進行設計的。因此，開發者需要根據具體需求進行定製和擴充套件，以滿足業務需求和資料安全要求。同時，開發者還需要考慮如何將聯結器與 Dazz 產品進行整合，以實現資料流的獲取、解析和分析。

Dazz 降噪技術的具體實現原理並未公開披露，因此無法對其實現方式進行詳細介紹。不過，根據其對外宣稱的能力和特點，可以推測 Dazz可能採用了一些特徵選擇技術和基於機器學習或深度學習的降噪技術，以達到降噪的效果。無論使用什麼技術降噪的關鍵在於演算法的可解釋性以及穩定性。同時，需要注意是否存在過擬合的問題，以確保演算法的可靠性和真實效果。在實際使用中，降噪技術的效果還是需要根據具體應用場景和資料特點進行測試和評估。

總結

針對雲的攻擊，造成大面積感染也許只需要幾分鐘，但修復過程往往需要數週甚至數月，在企業系統的CI/CD過程中，開發者以及安全團隊往往面對許多問題，例如，安全團隊會面對太多的告警，難以評估漏洞優先順序，CI/CD管道不具備可見性等，而開發團隊則難以對漏洞進行追蹤溯源、手動修復和手動部署，從而導致效率低下。具備自動化修復能力必然是未來的趨勢，MTTR（Mean Time To Repair）是關鍵。筆者認為Dazz Remediation Cloud一定程度上解決了上述問題，具備行業領先的技術優勢和使用者價值，但也具備一些挑戰以及來自競品的壓力，筆者將其總結為以下幾部分：

4.1

技術優勢

快速整合能力

Dazz Remediation Cloud 可以透過其宣稱的CDK快速整合到企業的 CI/CD 環境中，從而幫助開發者和安全團隊更快地發現和修復漏洞。

資訊獲取能力

從多個來源獲取系統資訊，如作業系統版本、庫版本、配置檔案、Git提交記錄、CI/CD Job詳細資訊等，從而幫助開發者和安全團隊更好地瞭解系統狀況，更準確地定位漏洞。

降噪能力

採用了先進的降噪技術（專利），可以去除大量的誤報和無關資訊，從而幫助安全團隊更準確地評估漏洞優先順序。

自動修復能力

可將漏洞關聯到具體開發者，並自行修復漏洞，從而減輕開發團隊的負擔，提高修復效率。

同時，筆者認為Dazz也帶來了一些使用者價值：

• 提高效率，減少人工操作，縮短故障排查、修復和上線時間

  主要體現在幫助使用者刪除重複告警資料、確定告警優先順序、利用一定技術進行降噪處理以及提升了使用者對CI/CD流程的可見性。

• 縮短風險視窗時間，儘早發現和解決問題，降低風險

  主要體現在Dazz可以幫助客戶從“根因”上找到漏洞問題所在，自動化修復程式加快漏洞修復時間（MTTR）及在生產環境之前發現問題。

4.2

挑戰

1）資訊獲取是否對使用者有侵入性

筆者認為要實現從“根因”處定位問題，Dazz Remediation Cloud 必然需要深入使用者業務，這可能需要具備特殊許可權和對使用者業務的侵入性。然而，一些企業客戶可能對這種侵入性操作感到擔憂。此外，由於具備特殊許可權，如果 Dazz Remediation Cloud 自身存在安全問題，那麼攻擊者可能會利用該漏洞對業務造成嚴重影響。

2）降噪是否會產生大量誤報，如何避免

Dazz使用的降噪技術可能會產生誤報問題，如何避免或減少誤報，如何針對千變萬化的日誌內容進行演算法及模型的及時調整和最佳化是Dazz面臨的挑戰。

3）整合過程中傳輸資料的安全性

Dazz 使用 CDK 將企業使用者的程式碼及產生的告警資訊傳遞至 SaaS 化平臺。在這個過程中，Dazz 使用了 read-only API 的方式進行傳輸。雖然這種方式可以提供訪問控制機制，確保授權使用者才能訪問，但是 Dazz 也面臨著挑戰。

例如，如果 read-only API 的訪問控制不夠嚴格，惡意使用者仍然可以透過各種手段繞過訪問控制，從而獲取敏感資料。因此，在選擇 read-only API 時，需要權衡其安全性和訪問控制的靈活性。這些也是 Dazz 需要面對的挑戰。

4）現代AI變革帶來的衝擊

最近，我們看到了一些非常有趣的技術，這些技術可以幫助在不同領域中的人或企業進行高效的協作和管理。例如，微軟釋出的Security Copilot可以幫助安全團隊更好地管理其安全實踐，而ChatGPT也透過使用大語言模型和相應機器學習演算法處理海量告警的降噪問題。考慮到Dazz所做的事情與Security Copilot相似，我們可以推測Dazz可能使用了類似的技術，包括使用Chatgpt等大語言模型解決降噪問題。現在，Chatgpt3.5已經開放了介面，這使得更多人能夠使用它來解決各種複雜的問題。無論是在安全領域還是其他領域，使用這些高效的技術，將有助於提高團隊的效率和響應速度，減少疲於應對日益複雜的問題所帶來的負擔。這些都將給Dazz帶來挑戰。

4.3

競品比對

Orca Security 是一家成立於 2019 年，總部位於美國波特蘭的雲安全公司。該公司已完成 C 輪融資，融資金額為 6320 萬美元，主要提供負載級別的安全防護服務，服務物件涵蓋 AWS、Microsoft Azure、Google Cloud 等公有云平臺[9]。

Orca 的官方網站Slogen為“Quickly discover, identify and remediate cloud risks to keep your business secure”，即快速發現、識別、減緩雲風險，保障業務安全。這與 Dazz 的使命相同，不過 Orca 比 Dazz 進入市場更早，理論上擁有更多的市場經驗。

與 Dazz 不同的是，Orca 的 SDK 無需安裝，使用者可以直接使用。此外，在修復漏洞的流程上，Orca 採用人工指定，而 Dazz 則採用自動化修復。總體而言，Orca 和 Dazz 都有自己的特色。

筆者認為 Dazz 今年主打能力全部圍繞“自動化”, 這是一個非常好的點，也許會獲得評委的認可。祝願 Dazz 能在今年 RSAC 創新沙盒中脫穎而出，獲得好的成績。

參考文獻

[1] https://www.Dazz.io/post/no-more-sassy-saas-integrations

[2] https://www.Dazz.io/press-releases/rsa-conference-2023-innovation-sandbox-finalist 

[3]  https://twitter.com/Dazz_io

[4]  https://www.Dazz.io/white-paper/remediation-cloud 

[5]  https://www.Dazz.io/case-studies/financial-services 

[6] https://www.Dazz.io/demo 

[7] https://Dazz-curious.webflow.io/about-us 

[8] https://www.crunchbase.com/organization/Dazz-5dab 

[9] https://orca.security/ 

[10] https://www.youtube.com/watch?v=C1kNdcHh11c&t=671s