RSA 2023創新沙盒盤點｜SafeBase: 智慧安全合規平臺

RSA Conference 2023將於舊金山時間4月24日正式啟幕。作為全球網路安全行業創新風向標，一直以來，大會的Innovation Sandbox（創新沙盒）大賽不斷為網路安全領域的初創企業提供著創新技術思維的展示平臺。

近日，RSA Conference正式公佈RSAC 2023創新沙盒競賽的10名決賽入圍者，分別為AnChain.AI、Astrix、Dazz、Endor Labs、Hidden Layer、Pangea、Relyance AI、SafeBase、Valence、Zama。

4月24日（美國舊金山時間），創新沙盒將決出本年度冠軍，綠盟君在此立足背景介紹、產品特點、核心能力等，帶大家走進入圍十強廠商，洞悉創新發展趨勢。今天，我們要介紹的廠商是SafeBase。

公司介紹

Safe Base[1] 是一家企業服務科技初創公司，核心產品是智慧信任平臺（Smart Trust Center）。透過Smart Trust Center，安全和銷售團隊能夠共享安全、合規和隱私資訊。藉助 Safe Base，企業可以避免多餘的問卷調查、更快地建立客戶信任並完成交易。

圖1 是Safe Base的領導團隊[2]。CEO/聯合創始人Al Yang先後畢業於美國亞利桑那大學和哈佛商學院。在建立Safe Base前，AI Yang還創立了線上學習平臺Picmonic，Picmonic後來被TrueLearn收購。另一位聯合創始人，也是公司CTO Adar Arnon，之前在以色列國防軍有過9年的研發和管理經驗。

圖1 SafeBase團隊

Safe Base在2020 年完成了1800萬美元的A輪融資[3]，由New Enterprise Associates領投，Y Combinator和Comcast Ventures跟投。

背景介紹

軟體開發往往依賴於第三方軟體庫或現成的產品來構建解決方案。第三方工具和服務包括雲託管、網路代理、監控工具、資料庫管理系統等。一旦第三方產品與公司相關聯，第三方風險就成為公司產品安全風險的一部分（例如Log4j漏洞）。隨著近年來不斷湧現的網路安全事件，使得公司在業務採購、產品研發、安全方向不斷提高投入。技術買家，尤其是 B2B 領域的買家，不斷提高對網路安全要求。因此，買家就必須執行調查，確保第三方公司提供的產品、服務是安全合規的。

這個過程中，通常牽扯一個比較繁瑣、效率低的過程：買家和技術提供方簽署保密協議（Non-disclosure agreement，NDA），然後請求檔案，包含滲透測試報告、系統和組織控制（System and Organization Controls ，SOC)檔案等。這項工作往往是非自動化的，即透過電子郵件手動傳送給請求者，並且傳輸無水印的版本。此過程可能會減慢銷售速度，並且無法很好的做到訪問控制。

SafeBase的目標就是增強買賣雙方之間的互信，減少技術提供方的銷售週期。這不得不介紹一個對國內來說比較新的概念：客戶信任。

客戶信任簡單來說就是：買方對賣方安全能力的持久信心。這種定義涵蓋了兩個方面：一是可信任的基礎，即穩固可信的安全能力；二是買家為客戶建立信任所作出的努力。

那麼客戶信任都包含哪幾方面，如何提高客戶信任呢？客戶信任涉及提高透明度、從被動溝通轉變為主動溝通，將安全態勢無縫整合到公司的上市流程中、以及不斷改善安全教育工作。

表1 構建客戶信任的方式

這麼講“客戶信任”可能比較抽象，這裡舉一個簡單的例子。例如，為了提高透明度並與客戶買家主動溝通，客戶信任團隊為公司安全狀況開發“主頁”，將所有對買家至關重要的資訊和文件集中在這一個地方。同時還簡化了買家獲取敏感檔案的途徑，同時控制誰可以訪問什麼內容以及訪問多長時間。

我們今天所要介紹的這家公司，SafeBase就是信任溝通的平臺。SafeBase 提供了一個門戶，來向買家展示安全狀態，讓他們在一個地方完成安全審計的所有步驟，並最終推動更快速地銷售。 

核心功能：統一的安全合規門戶

SafeBase 只有一款產品：Smart Trust Center。它為客戶提供訪問關鍵安全資訊的途徑，同時也加強了對安全團隊的控制和監督。Smart Trust Center將企業安全資料編製成“簡歷”，負責安全審計的所有步驟，並主動向買家展示完整、透明化的資訊，幫助企業推動銷售。Smart Trust Center 為技術提供商提供了一個有組織的、易於瀏覽的面向公眾的安全門戶，以存放所有相關的安全文件。Smart Trust Center 可以將文件授予不同的訪問許可權，可輕鬆共享給團隊任何成員。買家或客戶只需要簡單點選自定義連結就可以獲取公司所有的用於公開的安全資訊。

圖2 LinkedIn的Smart Trust Center

Smart Trust Center有如下幾個功能[4]：

1）構建企業公開的安全資料空間：Safe Base 的 Smart Trust Center 可以將企業所有的安全合規資訊聚合到一個空間，在這個空間裡可以上傳客戶關心的最新文件，包括滲透測試報告、審查合規證書等。

圖3 企業安全資料空間

2）為安全和合規團隊構建安全知識庫：可以透過匯入csv、pdf檔案的形式，上傳安全知識庫，並且配置訪問許可權。安全、銷售和解決方案團隊，可以利用Smart Trust Center回答絕大部分的安全問題。Smart Trust Center 還為安全團隊提供了更多的控制和監督，以瞭解誰可以訪問哪些文件以及訪問多長時間。細粒度訪問控制意味著安全團隊始終有權管理文件的可見性，同時，所有下載的檔案都會自動加水印，以更好地確保檔案在正確的人手中。

圖4 安全知識庫

圖5  安全知識庫許可權控制

3）主動性的與買家和客戶溝通：藉助 Trust Center Updates，技術提供商可以以可控、簡化的方式主動向客戶和潛在客戶傳送重要更新。透過向客戶共享政策法規的更新、對新的安全事件的響應，可以更好地向客戶證明對其資料安全的重視程度。

圖6 安全事件推送

4）透過自動化的NDA流程縮短生產時間：SafeBase 的內建自動化 NDA 流程顯著縮短了生產時間，減輕了買家、客戶和內部團隊等安全審查流程的負擔和時間。自動審批功能可以更進一步的降低銷售週期。

圖7 自動化NDA流程

背後的技術

經過核心功能的介紹，可以看出，SafeBase主要提供的是一個可以展示公司安全資訊的門戶，將安全審計的流程自動化，並做到了訪問控制。SafeBase並沒有透露過多的技術細節，但提到了“數字水印”和“訪問控制”。

由於SafeBase的Smart Trust Center 向外部展示企業的安全資訊，因此可能存在資料洩露、資料濫用的風險。資料庫水印作為一種在學術界被深入研究的資料安全技術，被公認是有效地解決以上溯源痛點問題的重要手段，近年來在工業界也得到足夠的重視與關注。根據嵌入載體不同，數字水印包括影像水印、影片水印、音訊水印、文字水印和軟體水印等。其中，最早的數字水印技術是應用在影像領域中，即影像水印發展較為成熟，SafeBase中的安全合規檔案大機率用的是影像水印或文字水印。

透過數字水印技術，可以應用在資料洩露溯源、版權保護等場景。以最近大熱的ChatGPT為例，ChatGPT產生的內容幾乎可以“以假亂真”，很難分辨背後的“作者”是人還是機器人。這對智慧財產權保護是一個極大的挑戰，此外，ChatGPT輸出內容不可控，還可能有導致敏感話題的風險。ChatGPT的所屬公司OpenAI方面也表示，考慮在ChatGPT中新增水印，以降低模型被濫用帶來的負面影響。

SafeBase的Smart Trust Cente，可以控制誰可以訪問什麼安全合規檔案，以及可以訪問多久。這就需要介紹資訊保安裡的一個重要的概念：訪問控制。訪問控制是安全領域的基本元素，可確定誰可以在怎樣的情況下訪問特定的資料、應用和資源。目前主流的訪問控制有四種：自定義訪問控制 (DAC)、強制訪問控制 (MAC)、基於角色的訪問控制 (RBAC)、基於特性的訪問控制 (ABAC)。具體這四種訪問控制的詳細定義，讀者可參考[6]。透過訪問控制技術，可確保僅允許身份和憑據經過驗證的使用者訪問特定資訊，從而幫助防止資料被盜用、損壞或洩露。

SafeBase中用到的關鍵技術，綠盟科技的安全產品同樣也支援。例如數字水印技術，綠盟科技的資料脫敏系統DMS[7]，支援多元化的水印嵌入，除了支援頁面水印，也支援docx、xlsx、pdf等檔案水印和資料庫水印；可以實現資料分發後進行溯源以及確認版權。

總結

我們再回顧一下本篇文章一開始介紹的概念：客戶信任。“客戶信任”是指客戶對公司的信心水平，這種信心水平是透過積極的體驗、透明的溝通以及始終如一地提供高質量的產品或服務而建立起來的。信任是任何型別關係中的重要元素。客戶更有可能選擇他們信任的公司，並且隨著時間的推移，他們也更有可能保持對這些公司的忠誠度。隨著買家的安全意識不斷增強，以及不斷湧現的安全風險事件，“客戶信任”帶來的好處也會逐步湧現。

SafeBase 不僅幫助技術提供方加速安全審查，還為其如何向客戶傳達信任建立了新的標準。藉助SafeBase的創新技術，技術提供方能夠主動與客戶就安全和隱私進行溝通，併為他們提供建立持久信任所需的工具。

SafeBase這家公司，2022年獲得了廣泛的關注[5]。在2022年，SafeBase 的Smart Trust Centers獲得了超過40萬次的瀏覽，平均每天1300次；完成了超過6000次的NDA簽署、超過72000安全檔案被下載。能入選RSA創新沙盒，筆者認為最主要的是理念創新。2023RSA創新沙盒，SafeBase能否從一眾技術型創新公司中脫穎而出，讓我們拭目以待！

參考文獻

[1] https://safebase.io/

[2] https://safebase.io/about

[3] https://techcrunch.com/2022/03/10/safebase-bags-18m-series-a-to-speed-up-vendor-security-auditing-process/

[4] https://safebase.io/features

[5] https://safebase.io/blog/safebase-celebrates-2022-customer-trust-in-the-limelight

[6] https://zhuanlan.zhihu.com/p/151618654

[7] https://www.nsfocus.com.cn/html/2022/442_0812/168.html