RSA Conference 2023将于旧金山时间4月24日正式启幕。作为全球网络安全行业创新风向标，一直以来，大会的Innovation Sandbox（创新沙盒）大赛不断为网络安全领域的初创企业提供着创新技术思维的展示平台。

近日，RSA Conference正式公布RSAC 2023创新沙盒竞赛的10名决赛入围者，分别为AnChain.AI、Astrix、Dazz、Endor Labs、Hidden Layer、Pangea、Relyance AI、SafeBase、Valence、Zama。

4月24日（美国旧金山时间），创新沙盒将决出本年度冠军，绿盟君在此立足背景介绍、产品特点、核心能力等，带大家走进入围十强厂商，洞悉创新发展趋势。今天，我们要介绍的厂商是SafeBase。

公司介绍

Safe Base[1] 是一家企业服务科技初创公司，核心产品是智能信任平台（Smart Trust Center）。通过Smart Trust Center，安全和销售团队能够共享安全、合规和隐私信息。借助 Safe Base，企业可以避免多余的问卷调查、更快地建立客户信任并完成交易。

图1 是Safe Base的领导团队[2]。CEO/联合创始人Al Yang先后毕业于美国亚利桑那大学和哈佛商学院。在创建Safe Base前，AI Yang还创立了在线学习平台Picmonic，Picmonic后来被TrueLearn收购。另一位联合创始人，也是公司CTO Adar Arnon，之前在以色列国防军有过9年的研发和管理经验。

图1 SafeBase团队

Safe Base在2020 年完成了1800万美元的A轮融资[3]，由New Enterprise Associates领投，Y Combinator和Comcast Ventures跟投。

背景介绍

软件开发往往依赖于第三方软件库或现成的产品来构建解决方案。第三方工具和服务包括云托管、网络代理、监控工具、数据库管理系统等。一旦第三方产品与公司相关联，第三方风险就成为公司产品安全风险的一部分（例如Log4j漏洞）。随着近年来不断涌现的网络安全事件，使得公司在业务采购、产品研发、安全方向不断提高投入。技术买家，尤其是 B2B 领域的买家，不断提高对网络安全要求。因此，买家就必须执行调查，确保第三方公司提供的产品、服务是安全合规的。

这个过程中，通常牵扯一个比较繁琐、效率低的过程：买家和技术提供方签署保密协议（Non-disclosure agreement，NDA），然后请求文件，包含渗透测试报告、系统和组织控制（System and Organization Controls ，SOC)文件等。这项工作往往是非自动化的，即通过电子邮件手动发送给请求者，并且传输无水印的版本。此过程可能会减慢销售速度，并且无法很好的做到访问控制。

SafeBase的目标就是增强买卖双方之间的互信，减少技术提供方的销售周期。这不得不介绍一个对国内来说比较新的概念：客户信任。

客户信任简单来说就是：买方对卖方安全能力的持久信心。这种定义涵盖了两个方面：一是可信任的基础，即稳固可信的安全能力；二是买家为客户建立信任所作出的努力。

那么客户信任都包含哪几方面，如何提高客户信任呢？客户信任涉及提高透明度、从被动沟通转变为主动沟通，将安全态势无缝集成到公司的上市流程中、以及不断改善安全教育工作。

表1 构建客户信任的方式

这么讲“客户信任”可能比较抽象，这里举一个简单的例子。例如，为了提高透明度并与客户买家主动沟通，客户信任团队为公司安全状况开发“主页”，将所有对买家至关重要的信息和文档集中在这一个地方。同时还简化了买家获取敏感文件的途径，同时控制谁可以访问什么内容以及访问多长时间。

我们今天所要介绍的这家公司，SafeBase就是信任沟通的平台。SafeBase 提供了一个门户，来向买家展示安全状态，让他们在一个地方完成安全审计的所有步骤，并最终推动更快速地销售。 

核心功能：统一的安全合规门户

SafeBase 只有一款产品：Smart Trust Center。它为客户提供访问关键安全信息的途径，同时也加强了对安全团队的控制和监督。Smart Trust Center将企业安全资料编制成“简历”，负责安全审计的所有步骤，并主动向买家展示完整、透明化的信息，帮助企业推动销售。Smart Trust Center 为技术提供商提供了一个有组织的、易于浏览的面向公众的安全门户，以存放所有相关的安全文档。Smart Trust Center 可以将文档授予不同的访问权限，可轻松共享给团队任何成员。买家或客户只需要简单点击自定义链接就可以获取公司所有的用于公开的安全信息。

图2 LinkedIn的Smart Trust Center

Smart Trust Center有如下几个功能[4]：

1）构建企业公开的安全资料空间：Safe Base 的 Smart Trust Center 可以将企业所有的安全合规信息聚合到一个空间，在这个空间里可以上传客户关心的最新文档，包括渗透测试报告、审查合规证书等。

图3 企业安全资料空间

2）为安全和合规团队构建安全知识库：可以通过导入csv、pdf文件的形式，上传安全知识库，并且配置访问权限。安全、销售和解决方案团队，可以利用Smart Trust Center回答绝大部分的安全问题。Smart Trust Center 还为安全团队提供了更多的控制和监督，以了解谁可以访问哪些文档以及访问多长时间。细粒度访问控制意味着安全团队始终有权管理文档的可见性，同时，所有下载的文件都会自动加水印，以更好地确保文件在正确的人手中。

图4 安全知识库

图5  安全知识库权限控制

3）主动性的与买家和客户沟通：借助 Trust Center Updates，技术提供商可以以可控、简化的方式主动向客户和潜在客户发送重要更新。通过向客户共享政策法规的更新、对新的安全事件的响应，可以更好地向客户证明对其数据安全的重视程度。

图6 安全事件推送

4）通过自动化的NDA流程缩短生产时间：SafeBase 的内置自动化 NDA 流程显著缩短了生产时间，减轻了买家、客户和内部团队等安全审查流程的负担和时间。自动审批功能可以更进一步的降低销售周期。

图7 自动化NDA流程

背后的技术

经过核心功能的介绍，可以看出，SafeBase主要提供的是一个可以展示公司安全信息的门户，将安全审计的流程自动化，并做到了访问控制。SafeBase并没有透露过多的技术细节，但提到了“数字水印”和“访问控制”。

由于SafeBase的Smart Trust Center 向外部展示企业的安全信息，因此可能存在数据泄露、数据滥用的风险。数据库水印作为一种在学术界被深入研究的数据安全技术，被公认是有效地解决以上溯源痛点问题的重要手段，近年来在工业界也得到足够的重视与关注。根据嵌入载体不同，数字水印包括图像水印、视频水印、音频水印、文本水印和软件水印等。其中，最早的数字水印技术是应用在图像领域中，即图像水印发展较为成熟，SafeBase中的安全合规文件大概率用的是图像水印或文本水印。

通过数字水印技术，可以应用在数据泄露溯源、版权保护等场景。以最近大热的ChatGPT为例，ChatGPT产生的内容几乎可以“以假乱真”，很难分辨背后的“作者”是人还是机器人。这对知识产权保护是一个极大的挑战，此外，ChatGPT输出内容不可控，还可能有导致敏感话题的风险。ChatGPT的所属公司OpenAI方面也表示，考虑在ChatGPT中添加水印，以降低模型被滥用带来的负面影响。

SafeBase的Smart Trust Cente，可以控制谁可以访问什么安全合规文件，以及可以访问多久。这就需要介绍信息安全里的一个重要的概念：访问控制。访问控制是安全领域的基本元素，可确定谁可以在怎样的情况下访问特定的数据、应用和资源。目前主流的访问控制有四种：自定义访问控制 (DAC)、强制访问控制 (MAC)、基于角色的访问控制 (RBAC)、基于特性的访问控制 (ABAC)。具体这四种访问控制的详细定义，读者可参考[6]。通过访问控制技术，可确保仅允许身份和凭据经过验证的用户访问特定信息，从而帮助防止数据被盗用、损坏或泄露。

SafeBase中用到的关键技术，绿盟科技的安全产品同样也支持。例如数字水印技术，绿盟科技的数据脱敏系统DMS[7]，支持多元化的水印嵌入，除了支持页面水印，也支持docx、xlsx、pdf等文件水印和数据库水印；可以实现数据分发后进行溯源以及确认版权。

总结

我们再回顾一下本篇文章一开始介绍的概念：客户信任。“客户信任”是指客户对公司的信心水平，这种信心水平是通过积极的体验、透明的沟通以及始终如一地提供高质量的产品或服务而建立起来的。信任是任何类型关系中的重要元素。客户更有可能选择他们信任的公司，并且随着时间的推移，他们也更有可能保持对这些公司的忠诚度。随着买家的安全意识不断增强，以及不断涌现的安全风险事件，“客户信任”带来的好处也会逐步涌现。

SafeBase 不仅帮助技术提供方加速安全审查，还为其如何向客户传达信任建立了新的标准。借助SafeBase的创新技术，技术提供方能够主动与客户就安全和隐私进行沟通，并为他们提供建立持久信任所需的工具。

SafeBase这家公司，2022年获得了广泛的关注[5]。在2022年，SafeBase 的Smart Trust Centers获得了超过40万次的浏览，平均每天1300次；完成了超过6000次的NDA签署、超过72000安全文件被下载。能入选RSA创新沙盒，笔者认为最主要的是理念创新。2023RSA创新沙盒，SafeBase能否从一众技术型创新公司中脱颖而出，让我们拭目以待！

参考文献

[1] https://safebase.io/

[2] https://safebase.io/about

[3] https://techcrunch.com/2022/03/10/safebase-bags-18m-series-a-to-speed-up-vendor-security-auditing-process/

[4] https://safebase.io/features

[5] https://safebase.io/blog/safebase-celebrates-2022-customer-trust-in-the-limelight

[6] https://zhuanlan.zhihu.com/p/151618654

[7] https://www.nsfocus.com.cn/html/2022/442_0812/168.html