RSAConference2021将于旧金山时间5月17日召开,这将是RSA大会有史以来第一次采用网络虚拟会议的形式举办。大会的Innovation Sandbox(沙盒)大赛作为“安全圈的奥斯卡”,每年都备受瞩目,成为全球网络安全行业技术创新和投资的风向标。
前不久,RSA官方宣布了最终入选创新沙盒的十强初创公司:WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、WIZ。
绿盟君将通过背景介绍、产品特点、点评分析等,带大家了解入围的十强厂商。今天,我们要介绍的是厂商是: WIZ。
一、公司介绍
WIZ是2020年新成立的一家以色列公司,公司规模较小,仅65人左右,工作地点分别位于加利福尼亚州的帕洛阿尔托和以色列的特拉维夫。这家初创公司由一个团队领导,该团队曾领导微软的云安全小组,并于2015年创建了云安全初创公司Adallom,该公司提供SaaS安全解决方案,于2015年被微软以3.2亿美元的价格收购。后来Adallom软件成为微软开始销售给公司的一系列安全工具的一部分。
公司名字WIZ代表Wizard,即巫师,指具有魔法能力的人。WIZ认为,魔术的本质是通过对环境的深刻理解并使用自然手段来创建看似不可能的结果来定义的,其公司正源于这种观念,旨在使用安全性方法解决当今看来不可能的客户问题。
2020年12月9日,公司成立仅9个月左右,WIZ从Index Ventures、Sequoia、Insight Partners和Cyberstarts的1亿美元A轮融资中脱颖而出。在2021年4月份完成1.3亿美元的B轮融资之后,WIZ以17亿美元的估值成为成长最快的安全初创公司。
二、背景介绍
云计算技术已经被普遍应用与各行各业的信息化建设中,云基础设施也几乎成为了所有企业不可或缺的工具,随之而来的云基础设施的安全性也成为了企业需要关注的重点问题。如今许多云服务提供商已推出了针对云环境的安全服务和方案,如Microsoft Azure、AWS 和Oracle等,还有一些团队编写的特定环境下的安全检测工具,如Kube-hunter(针对Kubernetes集群)、KubiScan等。
当WIZ的创始团队在领导微软云安全小组时,他们意识并体会到了安全团队在现有的云安全方案中的困境——即当今的云安全工具非常复杂、分散,并且生成了太多警报,导致安全团队无法及时高效处理。为了解决这些问题,WIZ在与数百名首席执行官交谈验证需求之后,便设计构建了一个平台,使安全团队可以在不使用代理的情况下跨计算类型和云服务扫描其环境,以查找漏洞和配置,网络和身份问题。今天要为大家介绍的便是这款全栈多云安全平台。
三、产品介绍
01
产品功能
识别高风险攻击向量
现今的安全工具虽然也可以创建数千个低优先级的警报,但很少会对它们之间进行关联分析。而 WIZ平台会整合警报的上下文信息,并将此信息合并在一个可视性较强的图表中,以便将相关问题关联在一起,从而识别出可能存在的渗透向量,帮助安全团队根据图表中的风险级别来进行高效合理修复。
首个全栈多云安全平台
1. 深入到完整的云堆栈
相较于针对集群等特定环境的安全检测工具,WIZ会扫描整个云堆栈,而不仅仅是基础设施层,还包括工作负载层和应用程序层,扫描结果将通过图表的形式进行展示,可视性较强。WIZ使用独特的技术使得企业无需代理即可在VM和容器中进行深入扫描,即使资源不在线,也可以分析所有工作负载。
2. 跨多云的广度
现今大多云提供商的云服务仅针对自己的产品和环境,而WIZ可以连接到所有云环境,无论是Amazon Web Services、Microsoft Azure和Google Cloud Platform之类的公共云还是OpenShift之类的环境,还可以连接到托管容器服务和自己的Kubernetes集群。
3. 无代理覆盖所有资源
以往评估云中虚拟化资源的安全性,一般需要部署Agent代理,或者使用sidecar代理,但这类机制存在一定的侵入性。
WIZ无需部署代理即可扫描云环境中的所有VM和容器,由于不需要安装代理,也不会造成空白资源的覆盖。WIZ的扫描面还涵盖了为自动缩放而动态创建的短暂资源,而普通代理则无法扫描这些资源。
修复的工作流程
WIZ集成了工作流和服务票据解决方案,比如Jira和ServiceNow,所以可以直接从WIZ创建票据。也可以创建自动化程序,将关键通知警报发送到Slack等消息应用程序或通过电子邮件的安全团队,方便团队沟通管理。
02产品优势
快速
公司CEO Rappaport称,该公司产品可在分钟级别的时间内加入客户网络,并可以在不到一天的时间内扫描客户的云网络,而开始运行一个依赖代理跟踪活动的系统(比如Palo Alto Networks网络公司提供的服务)则需要12到18个月的时间。WIZ的客户DocuSign公司的首席信托和安全官Emily Heath这样评价WIZ,"WIZ提供的即时、开箱即用的可见性和风险降低使其成为我在很长一段时间内看到的最佳安全工具之一",可见"快"是其核心优点之一。
全面
当WIZ查找安全问题时,它将扫描"整个堆栈"。这包括基础架构层(网络、身份、云配置),工作负载层(补丁程序级别、漏洞、密钥)和应用程序层(软件堆栈、数据库Web服务器等)。多层扫描使WIZ能够检测和分析复杂的场景,否则这些场景可能需要跨大量工具进行集成。
跨多云环境
WIZ的产品支持多云环境。包括AWS、Azure、GCP和Kubernetes。
无需代理
WIZ使用一种所谓的无代理方法,宣称为“连接而不是部署”,这样安装效率快,环境覆盖率大。该团队称,它的扫描是完全在带外进行,对客户环境没有任何影响。这确保了生产环境的零摩擦,并允许超大规模,同时从长远来看仅需要最小的维护。WIZ的客户,AON的首席安全官Anthony Belfiore分享说:" WIZ不仅仅是一个安全工具,它是一种看待云安全的新方式。它是一种新的方法,可以在不影响生产环境的情况下发现出可能存在的攻击向量。WIZ是这个市场在过去10年中一直缺少的东西。"从上述评价得知,这种"无代理、云原生"的方法,与基于代理的方法相比,无疑是一个全新的、巨大的进步,也是该产品比较核心的一个优势,但可能涉及至商业利益,所以该公司对此技术实现未公布细节详情。
可视性威胁分析
在微软的工作中,Rappaport感受到了安全团队被警报淹没的体验,所以设计的WIZ会将所有警报信息用程序关联到一个图表中,通过这种方法,使得每个安全团队都可以更清晰的根据警报分析结果来高效地保护资产,而不是迷失在它们之中。
成熟的创始人团队
WIZ的创始人团队曾在安全领域工作数十年以上,并在微软云安全小组共同合作了4年之余,对云基础设施的安全性保护有着深刻的理解。
服务及时
相比于大公司的繁琐流程,WIZ能够更快地为客户制定和执行决策。
四、总结
从目前公开的评价和展示的功能来看,WIZ推出的这款全栈多云安全平台与现今的安全检测工具相比,确实符合Assaf Rappaport所说的"一个全新的云基础设施安全和治理方法"——不干扰当前业务的云安全风险管理,无需代理,检测完整的云堆栈,可操作所有的数据,符合现有的工作流产品且可以立即实施。也正是凭借目前展示出的众多产品优势,使其在创立短短一年多的时间内赢得了大量的投资和客户。但是,该产品最重要的特点——无代理——却在其产品介绍和相关文章中缺乏细节,所以我们还不能判断其技术原理,如果真如其所述,能实现快速、全面的安全评估,那确实解决了云上风险评估一大难题。那么其得到资本极度亲睐,不仅仅是因为后疫情时代投资“通货膨胀”的原因,而是因其真材实料。
笔者不妨做一些猜想,在管理和控制面,WIZ可能是对云管理平台和编排系统进行风险评估,这部分的分析并不需要部署Agent;而在数据面,面对云上工作负载和业务,WIZ可能是对虚拟机镜像或容器镜像做了静态分析,从而可以实现离线、带外的安全分析,静态分析可以避免动态分析的覆盖度低的缺陷。当然这些只是笔者的分析,也许需要等更详细的材料出来之后,我们才能得到更可信的依据。笔者认为,WIZ在此次RSA创新沙盒的竞争中非常具备竞争力,其出现也将重新定义云基础设施的安全。