2020年2月24日-28日,網絡安全行業盛會RSA Conference將在舊金山拉開帷幕。大會的創新沙盒環節備受矚目,成為全球網絡安全行業技術創新和投資的風向標。
前不久,RSAC官方宣佈了最終入選今年的創新沙盒十強初創公司:AppOmni、BluBracket、Elevate Security、ForAllSecure、INKY、Obsidian、SECURITI.AI、Sqreen、Tala Security、Vulcan。
綠盟科技將通過背景介紹、產品特點、點評分析等,帶大家瞭解入圍的十強廠商。今天,我們要介紹的是廠商是:Elevate Security。
Elevate Security於2017年1月創立[1],總部位於美國舊金山灣區。兩位創始人Masha Sedova和Robert Fly都是前Salesforce負責安全和信任管理的高管,有豐富的安全管理經驗。公司經過兩輪融資,目前處於A輪融資階段,融資規模1000萬美元[2]。區別於多數重點關注技術(Technology)與流程(Processes)的安全創業公司,Elevate基於對當前網絡安全風險的洞察,提供針對人(People)的安全行為改善平臺及定製化方案,能夠通過對員工行為的評估測量、數據可視化提供對企業多層次的風險監控,進而提供個性化的員工評級反饋以及增強的安全培訓。Elevate Security正契合今年RSAC的“Human Element”主題,有些“應運而生”的意思,想必這也是助力它進入了創新沙盒決賽的一大因素。
2014年IBM安全服務的一項研究表明,95%的網絡安全失陷是人為錯誤造成的。而近期卡巴斯基的研究則表明91%的涉及公有云用戶數據洩露事件的公司聲明社會工程學是其所遭受攻擊活動的一個環節[3]。人為因素一直以來都是網絡空間安全的重要一環。隨著各種安全防禦自動化技術、產品、平臺的湧現,大幅提升了攻擊者入侵的難度。然而,在安全、利益攸關的關鍵場景下,由利益驅動的攻擊者無縫不鑽,高級持續攻防的戰場逐漸浮出水面。當前,即使是前沿的人工智能驅動的防禦手段,也愈發強調“human-in-the-loop”的人機閉環協同能力。人既是防禦環節的重要組成,也同時可能成為攻擊者突破防禦的脆弱點。
隨著網絡安全成為全球各方的關注熱點,網絡安全從業者愈發感受到所處行業對世界的影響力。而這種影響力也逐漸通過各類安全教育、突發的安全事件、常規化的安全律法,深入到所有人的工作生活中。正如普通人愈發認識到到個人的健康管理尤為重要,大中小型企業乃至個人的網絡安全意識、安全習慣、安全行為,將深刻影響到個人以及所處組織的安全基礎。然而網絡安全文化氛圍的形成任重而道遠,從業者對安全能力提升和發展的認識也逐漸從追逐更快、更準、更智能的技術、產品,轉而更加關注“以人為本”的技術、流程、法規甚至習慣和文化的新層次。
Gartner在自適應安全的體系[5]中,明確地將People-Centric作為了一個重要原則,在整個以人為本的安全體系內,安全教育是基石,只有提高員工的安全意識和安全技能,才能有效減少各種安全機制運行的開銷,提升整個安全體系的運轉效率。
行業已經有不少公司做安全意識培訓(Security Awareness Training),Gartner也發佈過魔力象限[4]。大部分傳統安全意識培訓產品的主要競爭力在於系統的、科學的培訓內容,以及與內容相匹配的計算機培訓輔助系統。而這些內容和工具則主要是圍繞通過“培訓”以提升“意識”的目標而構建的,這導致安全意識的提升過程更類似對機器打補丁升級的過程,難以明確度量個人在這一過程中的行為變化,而潛在的風險正蘊含於諸多人的行為細節當中。
Elevate Security提供的平臺旨在通過統一的可視化手段,監測、管理員工的安全行為,並提供助於提升企業安全文化的郵件反饋和安全教育資源,以可量化的方式促進員工安全行為的改善,幫助企業管理者有效降低員工人為因素關聯的安全風險。有了評價指標,就能形成閉環,幫助企業迭代地改善員工在安全防護中的主觀能動性,提高企業整體的安全防護水平。
Elevate平臺主要提供以下四個功能模塊,Reflex提供網絡釣魚郵件攻擊模擬及相關結果評估;Vision是一個儀表盤,將釣魚郵件攻擊模擬結果及通過API集成的其他員工人為因素相關安全數據統一整合及分析,具備部門級和個人級的下鑽視圖;Pulse提供可配置的、基於郵件的員工評級反饋系統,以個性化的方式向員工提供整體的以及多個內容模塊的安全行為評級;Hacker’s Mind提供攻擊者視角的安全培訓,以針對性提升關鍵部門、高風險員工的安全意識和防護能力。
基於以上四個功能模塊,提升組織內部人員安全意識、培育安全文化可以分步進行,即通過Reflex完成釣魚郵件攻擊模擬,建立安全基線評級;通過Vision儀表盤分析並跟蹤企業各層級人員的整體、總體安全行為風險;通過Pulse郵件評分卡機制反饋人員行為評分,激勵行為改進;最後,針對高風險個人或部門,提供針對性個性化的安全培訓強化。
Elevate提供了平臺的基本試用功能,在此簡單介紹。該互動式Demo主要包括Vision和Pulse兩部分。可以看到Vision Dashboard提供的視圖很簡約。從部門級別上,包括總體安全風險值、風險分佈、部門評分以及行為映射。行為映射(Behavior Map)是以部門為單位,對所收集的安全行為數據的整合評級,直觀反映部門在各維度上,包括整體、桌面清理、惡意軟件、密碼安全、釣魚攻擊測試、培訓等維度的風險等級。從當前信息看,該Elevate Demo所集成和展現的大部分數據源需要通過外部API接入,平臺內部只提供基於Reflex的釣魚郵件攻擊模擬的評級數據。
Vision視圖下還提供各部門內部的總體和個人評級及排序,提供更細節、直觀的安全風險視圖。
在Pulse標籤下,提供Campaigns功能。該功能應可提供可配置的,基於郵件的安全評級反饋及管理。在Demo中,只能夠向試者用郵件發送樣例反饋郵件,包括不同等級評分的三份郵件。以一份評級為“Sturdy”的反饋郵件為例,評分分為Phishing & Reporting、Password Manager、Training、Malware、Clean Desk這五個部分,對應Vision儀表盤中集成的五項內容。每一項內容都有對應具體內容,例如對於Phishing & Reporting,包含釣魚郵件攻擊的具體時間、員工個人評估結果以及與同部門其他員工的橫向對比結果。當然,如果某一項評估達標,郵件中會有類似於徽章的激勵機制,以鼓勵員工集齊所有安全徽章,完成對應的完全行為標準。
公司解讀
“以人為本”,以人及其行為為核心,關注人員因素在網絡空間安全中的關鍵作用,從組織、策略、流程、法律法規等角度持續管理、監控企業安全風險,進而針對性、系統性的發現脆弱性,降低安全風險,已成為網絡安全防禦的關鍵一環。國內許多大型企業的安全管理部門也開始具備包括職工安全培訓、安全評估檢查等能力。Elevate Security基於平臺提供的釣魚郵件攻擊模擬、可視化分析、郵件反饋系統及場景式的安全培訓能力,向業界提供了一個企業安全文化培育的平臺化範本,能夠給各類型組織對個人安全行為的管理機制和方法提供有力的模板。同時,以面向人的安全行為因素在網絡安全場景下的風險管控閉環為主題,講述了一個完整並且切中管理痛點的好故事。不止於此,Elevate Security提供的不止是思路和機制的創新。該公司基於已有平臺,提供面向各客戶組織的定製化解決方案,包括數據接入、安全流程等層面的定製和諮詢,這些平臺技術之外的能力補充同樣是該公司的核心競爭力。
從現有資料來看,Elevate平臺提供的功能可以用簡約而不簡單來概括。Elevate平臺所展現的功能一目瞭然,也沒有呈現複雜的流程,平臺背後所使用的技術不是其核心競爭力。“Let’s target security behavior change, not awareness.”Elevate的核心功能路線很清晰,以員工安全行為的改善作為目標,提供包含定製化的數據測量、集成、分析、反饋、行動(培訓)的流程迭代和閉環,以及持續的、量化的風險評估機制與平臺,提升管理者對企業整體到員工個人的安全風險等級的洞見、監控和管理能力。以量化的方式關注人的安全行為改善而不停留於填鴨式的安全培訓,Elevate Security是打破傳統安全意識培訓產品形態固有思路的先行者。相信未來Elevate平臺會提供更多的平臺化組件,滿足各類型組織對內部人員的動態、持續、自適應的安全行為風險量化評估與安全行為提升需求,以適應更高級的攻防場景、更嚴謹的法律法規要求。
參考文獻
閱讀更多 安全牛 的文章
