RSAConference2021将于旧金山时间5月17日召开,这将是RSA大会有史以来第一次采用网络虚拟会议的形式举办。大会的Innovation Sandbox(沙盒)大赛作为“安全圈的奥斯卡”,每年都备受瞩目,成为全球网络安全行业技术创新和投资的风向标。
前不久,RSA官方宣布了最终入选创新沙盒的十强初创公司:WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、WIZ。
绿盟君将通过背景介绍、产品特点、点评分析等,带大家了解入围的十强厂商。今天,我们要介绍的是厂商是:deduce。
公司介绍
Deduce于2019年5月创立,总部位于美国纽约[1]。公司创始人、现任CEO Ari Jacoby具有丰富的创业经验,是Circulate,Voicestar,Solve Media等技术服务类型公司的创始人之一。目前Deduce经过两轮融资,处于种子轮次的融资阶段,融资规模达730万美元。
Deduce能够向不同规模的企业,提供成熟的行业级用户身份及行为分析接口,帮助企业构建身份认证风险分析、身份欺诈检测及用户告警能力,以辅助企业对抗潜在的攻击行为,满足合规要求以及提升客户的信任度。如果从本届RSAC的主题“Resilience”来看,Deduce公司通过打造身份智能,为企业及其客户提供基于数据与分析的身份安全弹性。
背景介绍
调查表明,2020年由用户身份失窃、滥用、欺诈等攻击造成的关联损失高达560亿美元,并已成为发展速度最快的网络空间威胁之一。企业的客户身份被窃取、盗用,带来的不止是由数据泄露、资产失陷、交易欺诈等攻击导致的直接经济损失,所产生的用户信任度降级,将给企业业务和信誉带来持久和深远的影响。
为应对网络空间威胁的动态演进,Gartner提出的自适应风险和信任评估框架CARTA(Continuous Adaptive Risk and Trust Assessment),为业界带来系统的防御视角。其中,针对用户身份、设备的认证与访问,CARTA给出了自适应访问保护(Adaptive Access Protection)框架[4],如图1所示。
图1 CARTA Adaptive Access Protection架构图
该框架的核心在于,需要对用户身份、设备、应用、行为及关联信息,提供持续的可见性与核实,来适应业务的动态需求与网络环境变化。类似于针对攻击防护的“预测-预防-检测-响应”的PPDR循环,针对访问防护也需要构建需求发现(Discover requirements)-自适应访问(Adaptive access)-用途验证(Verify usage)-用途管理(Manage usage)的防护闭环,以提供持续的、可迭代的访问控制及防御能力。
Deduce公司提供的产品及方案,正是针对身份欺诈这一主要业务领域,主要涵盖CARTA访问防护的用途验证(Verify usage)与用途管理(Manage usage)这两个阶段,为企业提供成熟的并且可适应企业业务流的客户身份及行为动态分析接口,能够有效降低中小型企业自建相关能力的成本。
产品介绍
Deduce官网目前主要提供了两款SaaS产品,分别是“Customer Alerts”和“Identity Risk Index”。
Customer Alerts,即客户告警,能够检测用户登录行为的异常,并触发告警通知到客户,以供客户决策判断,是否是其个人行为。该产品功能目标,是在企业原有的认证流程之外,提供用户登录访问行为异常的告警。Deduce该产品的卖点在于,能够向中小型企业提供成熟的身份登录异常验证的接口,并只需按需付费。
Deduce提供一个用于分析客户当前设备及地理位置信息的API,可无缝集成到企业的业务流程当中,如图2所示。
图2 Deduce Customer Alerts工作流
该API调用过程中,需企业采集用户的设备标识信息和地理位置信息。根据采集的数据样本,基于可配置的规则,Deduce分析用户关联设备及登录点地理位置的异常,进而触发告警,并以企业定制的模板发送给客户,请求客户确认。该API的结构如图3所示。
图3 Deduce Customer Alerts API示例
Identity Risk Index,该产品提供针对身份关联行为的风险分数计算。用来预防和检测由社交钓鱼或信息泄露引发的身份盗用、账户失窃、交易欺诈等恶意行为,同时帮助企业提升用户信任和满足合规需求。基本的功能如图4,选自官网展示的功能示意图。
图4 Identity Risk Index功能示意
Identity Risk Index产品即身份风险指标。可直观的理解为基于大数据的用户身份异常检测及风险评估。由于该功能公司未给出具体的技术细节介绍,我们无从得知其技术内核的实现方法。
从当前业界类似产品及技术的层次来看,实现有效的基于身份的风险分析依赖两个关键条件,一个是大规模的用户身份行为数据及情报数据,另一个是以UEBA为代表的异常行为分析技术栈。从Deduce的宣传资料和相关报道来看,大规模收集的身份及行为数据集是支撑其Identity Risk Index产品技术的核心。Deduce通过持续的运营积累,打造了Identity Network身份及行为数据库。在满足GDPR和CCPA合规要求下,Deduce从超过15万网站和应用,收集了涉及超2亿个美国账号及其相关认证、访问、交易等行为的信息和数据。这些账号及身份数据在Identity Network以哈希的形式进行了匿名化,以保护用户的个人隐私。
我们可以看到,Deduce通过这种搭建平台、提供服务的方式,在向企业提供客户身份行为分析能力的同时,也在授权下持续收集不同站点、应用的相关信息。这种大规模、多维度数据集的构建,能够为Deduce持续提供行业的影响力及技术核心竞争力基础。
除了数据层面的机制,我们只在Deduce宣传中看到使用了机器学习方法来识别身份行为异常,并能够将账户窃取的伤害降低90%。我们尚未看到具体的分析方法及模型的介绍。
公司解读
身份的管理及关联行为的分析,已成为网络安全迈入主动防御和零信任时代后,威胁检测与响应的关键技术手段。Deduce提供的两款产品,针对身份风险分析,提供了不同的服务价值。Customer Alerts产品通过简洁的API,能够无缝的集成到企业已有的身份认证业务流中,提供信息收集、基于设备和位置的异常分析、用户告警通知和用户决策反馈收集服务。Identity Risk Index产品则基于Deduce的Identity Network数据集,提供具有更高维度、更深层次关联的深度身份及行为风险分析服务,能够与IAM系统打通,根据量化的身份及其行为风险值,来调用不同级别的认证方法,以增强对身份欺诈等攻击行为的防御能力。
相较而言,Identity Risk Index产品更值得我们深入的关注。基于SaaS的运营模式,该产品能够为企业提供一个匿名化的身份及行为数据湖资源。基于该数据湖,Deduce有机会提供深度的身份风险评估能力,例如可实现通过单一身份不同应用、站点的多行为维度与长周期记录跨度,实现细粒度的身份行为特征画像,进而提供更精准的风险评分指标。更关键的,基于身份社交网络的学习,能够识别可疑的行为传播规律、异常社区行为以及欺诈团伙行为。如下图5所示,就是基于身份认证与访问行为数据的社区分析方法[5],该技术方案来源于同为身份欺诈检测领域的创业公司Silverfort。在身份行为数据湖的基础上,通过抽取身份(图中圆点)、服务端点(图中三角点)等实体的关联,以及访问行为的统计属性,构建图左侧的实体行为关联网络。进而,基于Louvain社区发现算法,能够将网络中的实体和行为划分为多个社区,如图右侧的颜色标注。最终,在该社区划分结果上,可得到更多维度的分析结论,如定位高度异常的特定类型社区活动、抽取有跨社区行为的高风险身份实体等等。尽管Deduce官网并未给出Identity Risk Index产品的详细技术方案,其Identity Network数据库的构建足以给我们带来更多的技术想象空间。
图5 基于认证和访问行为的社区发现
除了以上产品特性,能够进入RSAC创新沙盒十强,Deduce有其独特的“商业化”的技术理念。首先,通过SaaS模式向中小型企业提供简单易用的身份认证分析告警接口,减轻企业自建和维护成本的同时,能够提供足以匹敌FAANG(Facebook, Apple, Amazon, Netflix, Google)等大型企业类似功能的身份账户异常分析机制,这与Deduce“Democratize Cybersecurity”——民主化网络安全的企业愿景相契合;其次,提供服务的同时,Deduce在合法合规的策略下,构建了具备相当大规模及多样性的匿名化身份行为数据库,这能够让投资者看到Deduce当前所具备的“数据壁垒”。于此同时,通过可持续的服务提供与信息采集,Deduce的Identity Network能够为该公司提供亦可持续的技术演进和优化保障机制。
可以预见,创新沙盒评委对Deduce可持续身份数据运营的商业模式的认可程度,以及对身份欺诈领域技术市场的期待度,将是决定Deduce本次创新沙盒能否进入前三的关键因素,让我们拭目以待。