本篇解读包含三家公司：Duality、Capsule8、Axonius

【RSA2019创新沙盒】Duality: 基于同态加密的数据分析和隐私保护方案

Duality Technologies成立于2016年，总部位于美国马萨诸塞州剑桥市，由著名的密码专家和数据科学家联合创立。公司致力于研究大数据/云环境下的数据安全与隐私保护技术，为企业组织提供了一个安全的数字协作平台，目前在美国和以色列开展业务。目前获得了由Team8领导的400万美元投资。2019年入选RSA大会的创新沙盒前十强，成为两家入选的数据安全公司之一（另一家是Wirewheel公司）。

1 背景介绍

在人工智能、大数据和云计算等信息产业蓬勃发展的同时，数据安全和敏感数据（包括个人隐私）泄露问题日益严峻。仅2018年过去的一年，就发生了多起重大的（千万级记录以上）数据泄露事件，如国外Facebook 8700万用户数据泄露，国内圆通10亿条用户信息数据在暗网被出售，华住旗下多个连锁酒店的2.4亿入住记录泄露。

数据泄露不仅造成公司形象受损、公信力降低，也直接或间接地导致公司经济的损失。随着这些事件发生及影响的报道，企业对数据安全问题越来越重视，用户的个人隐私保护意识也越来越强烈。同时，一些法律法规提出了更严格的数据安全与隐私保护要求。2018年5月25日，欧洲联盟正式实施《通用数据保护条例》（General Data Protection Regulation，简称GDPR），对基本的个人身份信息、医疗敏感数据和网络行为信息等提出安全保护要求。国内，相继也颁布了类似的法律法规，如《信息安全技术个人信息安全规范》、《信息安全技术大数据安全管理指南》和《信息安全技术个人信息去标识化指南》等。

为了应对数据安全与隐私保护挑战，企业除了应用传统的加解密技术外，还在根据不同的业务场景和需求，积极探索匿名化（Anonymity）、数据脱敏（Data Masking）和数字水印（Watermarking）等新型技术，甚至一些前沿技术的实践与落地，如保留格式加密（Format-Preserving Encryption，简称FPE）和差分隐私（Differential Privacy）等关键技术。然而，上述提到的几种技术无法解决第三方平台（如云环境）的数据处理过程的数据与隐私保护问题：① 传统加密技术使得加密后数据失去可用性；② 脱敏等变换后的数据产生了失真，无法得到精确的处理结果。同态加密技术是近年来被学术界和工业界十分看好的一种加密技术，可实现数据加密后仍然可以被处理。但是，现有的多数同态加密方案由于占用资源过大且速度过慢导致无法从理论实现实用化，目前仍然面临各种问题与挑战。

Duality Technologies公司结合自身在同态加密等先进密码领域的研究和积累，声称突破了传统实现的困难性，最终实现了商业化，提供数据分析和数据与隐私保护的数字协作平台。接下来将对Duality公司、产品和关键技术进行一一解读。

2 公司简介

Duality公司强调“maximizing data utility, minimizing risk (最小化数据风险的同时，最大化数据利用价值)”的理念，在大数据隐私保护、模型的版权保护和数据合规等方面为客户提供实用的的解决方案。得益于自主研究的同态加密（Homomorphic Encryption）等先进密码技术，提供的安全产品可以使得数据在整个分析和处理生命周期中，始终保持加密状态，用户无需解密即可生成数据洞察结果。比如在云计算场景中，数据拥有方将数据加密存储在云计算平台中，数据拥有方提交数据统计或处理任务，直接对加密数据进行操作即可，不需要在云平台中进行解密，因此存储方无法获取真实的数据内容。Duality声称这项突破技术有利于企业内部和企业间的数字协作，实现安全的机器学习和数据挖掘任务，降低了数据泄露风险，同时完全遵守隐私保护法规。

目前，Duality产品在医疗、金融、汽车、保险、电信和教育等多个领域有应用。

3 公司产品

SecurePlus™平台是Duality公司主打的产品。它允许数据的生命周期中，总是处于安全状态，敏感数据或有价值的模型不会暴露。SecurePlus™支持多方参与计算，有利于数字化的协作。SecurePlus™平台主要有三种应用场景：

(1) 安全数据分析

SecurePlus™平台使得数据所有者在不公开敏感数据时（数据加密），仍然可以使用第三方分析工具，如机器学习、数据挖掘工具进行分析和处理。使用抗量子的同态加密技术实现了数据端到端的保护。SecurePlus™平台保护了有价值的数据在不可信的云环境中的保密性和安全性。

(2) 机器学习模型的版权保护

该场景不同于前一个场景，即机器学习模型不属于第三方，而是属于客户版权所有。SecurePlus™平台确保模型拥有者将模型在不可信任的第三方部署、存储和使用机器学习模型（一系列参数）在云环境中一直处于加密状态，客户端将样本后加密后上传至云端。通过同态加密运算，样本和模型可以在密文域进行预测和分类任务，完成后云端将结果返回给客户端，客户端将结果解密，得到真实的预测结果。由于没有加解密密钥一直保存在合法方，因此即使黑客和第三方即使窃取模型，也无法完成机器学习任务的闭环。

(3) 数据共享的隐私保护

SecurePlus™平台确保多方数据安全共享与协作。同态加密在链接和计算过程中保护了每一方的资产，在整个过程中保护隐私并且符合法律法规需求，特别是GDPR对于多方协同的数据隐私要求。

4 技术解读

同态加密是Duality公司SecurePlus™产品的核心技术。同态加密是密码学界近年来的一个研究热点，主要应用在不可信的云环境中。其加密函数具有以下性质， 该性质称为同态性。通俗地讲，在密文域进行操作相当于在明文域进行操作。这种性质使得密文域的数据处理、分析或检索等成为可能。即，不解密任何密文的条件下对仍然可以对相应明文进行的运算，使得对加密信息仍能进行深入和无限的分析和处理。

同态加密的研究可以追溯到20世纪70年代，在RSA密码体制刚提出不久，Rivest （RSA公钥密码设计者）等人又提出了全同态加密的概念，但一直没有寻找到符合的全同态加密方案。直到2009年，IBM的研究人员Gentry首次设计出一个真正的全同态加密体制，随后许多其他同态加密方案被提出。然而，多数方案由于占用资源过大且速度过慢导致方案无法实用化。根据该公司自身报道，其“同态加密”技术商用化和产品实现处在业界领先地位（由于无法获得该产品的使用，无法真实地了解产品的性能如何，持质疑和有待验证态度），该技术在多个场景和实践中有广泛的应用。

基于同态加密的机器学习是指在加密数据上实现机器学习任务，如分类和聚类等，是近年来新的学术研究热点。它可以分为加密神经网络、加密KNN、加密决策树和加密支持向量机等算法。猜测Duality公司在方案实现上吸收和借鉴了这些已公开的研究成果。目前面临一些问题与挑战是[3]：

1. 如何在保证数据安全的前提下选择合适的同态加密方案来实现不同的数据分析；

2. 如何解决全同态加密方案中存在的噪声、运算复杂和运算效率低等问题；

3. 如何在确保算法安全性的前提下，使加密机器学习算法的准确度在可接受范围内。

除了自身发展和产品化外，Duality公司在同态加密标准化工作中做出一些重要的贡献。2016年6月，在第一次同态加密标准化研讨会，与微软、NIST等结果共同提出白皮书标准：1) 安全同态加密的安全设置；2) 同态加密的API标准；3) 同态加密的应用。后续，Duality公司主导并成立一个行业联盟HomomorphicEncryption.org，定期召开后续会议来共同开发同态加密标准。该联盟的参与者包括IBM和微软等大型跨国公司、麻省理工学院(MIT)和斯坦福大学(Stanford)等领先学术机构等领先初创企业。

5 总结

随着云计算和大数据技术的发展，越来越多的数据在第三方平台进行存储和计算。在云端实现数据处理的同时，如何保证数据的安全性是客户的一个普遍诉求。Duality公司的SecurePlus™平台基于自主研发的同态加密先进技术，提供了不一样的解决思路。提供的三种实际业务场景，抓住了客户的痛点，实现了“maximizing data utility, minimizing risk”，在第三方平台进行机器学习和数据挖掘任务同时，可以保证数据不会被泄露。将同态加密技术率先实现商业化与落地、并成功应用到数据安全领域中，是Duality公司在数据安全领域的差异化所在及创新亮点。最近，一个鼓舞人心的消息是，微软开源了同态加密库，并“坚信”该技术已成熟到可用在现实世界应用的程度，源代码已放至GitHub[4]。随着GDPR法规的正式实施和RSA大会的宣传，势必该创新公司的同态加密解决方案将吸引大家强烈的关注与兴趣。SecurePlus™平台的成功案例将鼓舞其他安全公司重新评估该新型安全加密技术，甚至加入未来几年的重点投资选项。

参考链接

[1] https://duality.cloud/products/.

[2] http://homomorphicencryption.org/.

[3] 崔建京, 龙军, 闵尔学, 于洋, & 殷建平. (2018). 同态加密在加密机器学习中的应用研究综述. 计算机科学, 45(4), 46-52.

[4] https://www.secrss.com/articles/767,让专家和新手都轻松：微软开源同态加密库“SEAL”

—END—

【RSA2019创新沙盒】Capsule8：混合环境中的实时0day攻击检测、朔源和响应平台

1. 公司介绍

Capsule8是一家由经验丰富的黑客和安全企业家创建的高新科技初创型企业，总部位于纽约布鲁克林，成立于2016年秋季，在2018年8月获得1500万美元的B轮融资。

Capsule8开发了业界第一个也是唯一一个针对Linux的实时0day攻击检测平台，可主动保护用户的Linux基础设施免受已知和未知的攻击。Capsule8实时0day攻击检测平台可显著改善和简化当今基础架构的安全性，同时为未来的容器化环境提供弹性的支持。

2. 背景介绍

混合云架构已经成为企业IT基础设施的重要架构，但其复杂性也使企业面临多种攻击的风险，根据Capsule8与ESG Research赞助的一项新研究（针对混合云环境对北美和西欧地区的450名IT和安全专家进行的调查）表明，仅2017一年就有42%的企业报告了混合云环境受到攻击，28%的企业表示0day攻击是这些攻击的起源。 

混合云环境由于存在多云服务商，缺乏中心控制和完整的合规性规划，存在边界模糊，访问策略不一致等问题，笔者曾探讨过[1]相关的访问控制机制，加上公有云的暴露面增大，攻击者容易通过进入薄弱点，这也是近年来如软件定义边界SDP、移动目标防护MTD等新方案兴起的原因。

攻击者进而借助利用0day漏洞，如在容器环境中利用逃逸漏洞（近日爆出在特权容器中逃逸的runc漏洞CVE-2019-5736），或虚拟化环境中的利用CPU漏洞Meltdown/Spectre等，进入宿主机，进而横向到企业的云内或企业侧网络，造成更大的威胁。

此外，传统的攻击检测平台的工作机制通常是分析网络和安全设备（如入侵检测系统）的大量日志告警，进行关联分析，最后还原出恶意攻击。然而多年来，设备日志告警的置信度不高等问题导致绝大多数平台告警是误报，也造成了企业的安全团队持续处于警报疲劳的状态。企业急需一种可以有效解决上述问题的安全方案。

无论是传统环境，还是混合环境，防护利用0day漏洞的高级威胁需要企业安全团队全方位持续防护资产、获得环境的可视度（visibility），检测恶意行为。

3.产品介绍

该公司推出的0day攻击实时检测平台Capsule8，在发生攻击时通过自动检测和关闭正在利用漏洞的恶意网络连接，从而大规模减少安全操作的工作量，而且不会给生产基础架构带来风险。

Capsules8平台整体架构图如下所示：

① Capsule8 OSS传感器,即Capsule8工作负载保护平台的探针，是许多威胁检测机制的基础。传感器旨在收集系统安全和性能数据，对服务的影响很小，它能够实时了解到生产环境正在做什么。该传感器软件已开源，项目地址是https://github.com/capsule8/capsule8

② Backplane，包含一个实时消息总线，可以获取到传感器传来的实时事件以及Flight Recorder记录的历史事件，它实现了背压从而确保了平台不会因为过多的Capsule8遥测事件而导致网络洪水事件；

③ The Capsule8 API server，提供了统一的接口，允许企业管理生产环境中基础设施架构所有跟安全相关的数据；

④ Capsulators封装了连接客户端软件的API,通过它企业可以快速集成实现特定功能的软件如Splunk和Hadoop，方便企业进行数据分析。通过Capsulators企业不仅可以实时感知集群信息，还可以通过Flight Recorders获得历史数据，依据IOC（Indicators of Compromise，包括MD5 hash、IP地址硬编码、注册表等），从而实现追溯调查；

⑤ 第三方工具，如Splunk和Spark等；

⑥ Capsule8 Console，前端可视化界面。

下面我们介绍Capsule8如何实时检测并阻止0day攻击。假设客户生产环境是一个混合云环境，服务器部署于客户侧数据中心、公有云AWS和Azure中。

Capsule8的整个工作流程主要分为以下几步：

1. 感知。为了保护分布式环境，Capsule8传感器遍布在整个基础架构中-云环境和数据中心的裸机以及容器上。由于传感器运行在用户空间，捕获少量的安全关键数据，故不会对系统工作负载的稳定性和性能造成影响。

以容器环境为例，前述关键数据包括：

a.进程生命周期事件（fork，execve以及exit）；

b.open(2)系统调用返回值;

c.匹配容器镜像名字的file open事件；

d.涉及IPv4的SyS_connect的内核函数调用事件；

e.容器生命周期事件（创建、运行、退出、销毁）)。

2.检测。感知阶段收集到的关键数据通过Capsule8 Backplane传送到企业侧临近位置的Capsule8 Detect分析引擎，利用云端专家的知识库将数据还原成事件，并对可疑事件进行分析。

3.阻断。当Capsule8检测到攻击时，它可以在攻击发生之前自动关闭连接，重启工作负载或者立即警告安全团队。

4.调查。由于0day攻击持续事件较长，所以除了实时检测外，Capsule8会在本地记录遥测数据，便于专家利用历史数据进行攻击朔源。

4.产品特点

检测和跟踪0day威胁从本质上是非常考验安全团队的日常运维和运营能力的，Capsule8可在如下方面有所帮助。

4.1从安全运营团队角度来看

1.实时检测漏洞

Capsule8使用分布式流分析与高置信数据相结合，在黑客企图攻击的实例中检测攻击。

在混合环境的检测引擎、数据本地化，专家云端化，并将两者结合形成类边缘计算的层级化检测模式，可在大规模环境下减少数据传输，避免合规性风险，同时提高检测精度和响应速度，使得Capsule8这样的小型安全企业提供大规模Sec-aaS/MDR服务变成可能。

2.确保高置信度告警

Capsule8的系统级检测是不断更新的，它使用动态攻击指标（IOA，Indicator of Attack，其是一个实时记录器，包括代码执行等，专注于检测攻击者试图完成的目标）而不是行业标准的IOC指标来发现最新的0day攻击。因此，以前困扰客户的大量潜在威胁告警变成了少量的围绕实际场景的攻击告警。

3.清晰和可行动（Actionable）的情报

Capsule8提供了一定程度的透明性，可以很容易的确定警报触发的原因，以及攻击者后续的操作。

4.可适配多种环境

Capsule8可以轻松实现复杂且可自定义的策略，这些策略不仅在不同的基础设施环境中可能会不同，而且在更精细的系统项目中也会有差异。通过Capsule8可以最大限度地减少误报。

Capsule8可在各种环境（公有云，数据中心，容器，虚拟机或裸机）中Linux版本上提供无缝、易于部署的检测。同时保护所有主要的编排器，包括Kubernetes，Docker和CoreOS，以及Puppet和Ansible等配置管理工具。

此外，可与现有系统集成，充分利用现有的安全工具，如SIEMs日志分析工具(如Splunk和ELK Stack)和取证工具。

5.自动化攻击响应

Capsule8可帮助客户实时检测和响应攻击。例如，客户可以在启动Capsule8时选择立即关闭攻击者连接、重新启动工作负载或立即向调查员发出警报。

4.2从安全运维团队角度来看

1.系统稳定性好，性能影响小

Capsule8运行在用户空间，在不需要内核模块的情况下收集内核级数据。这就保证了生产环境（服务器和网络）的系统稳定性。

为确保对主机和网络的性能影响最小，Capsule8采用资源限制器，通过智能减载策略强制对系统CPU，磁盘和内存进行硬限制。

分布式的分析方法与边缘计算相似，将计算操作推向尽可能接近数据，确保就算是在系统最繁忙时候也对网络影响最小。

2.简单的部署和维护

Capsule8代理是一个单一的静态Go二进制文件，它是可移植的，易于安装和通过各种编排机制进行更新，包括Puppet，Ansible，Kubernetes等。

5.总结

随着企业寻求基础设施现代化，DevSecOps的落地在现代混合云环境下就显得尤为重要。Capsule8可以无缝的集成到企业的Linux基础架构中，并在企业的整个平台上提供持续的安全响应。此外，它不是SaaS解决方案，它是与用户的IT基础设施一起部署。因此，数据完全保存在客户环境，消除了第三方传播、删除或损坏数据的风险，从而给企业带来更好的安全新体验。

[1] Yuxiang Dong, Wenmao Liu, Kun Wang, Research and Implementing of Software Defined Border Protection in Hybrid Cloud, Proceedings of 2016 3rd International Conference on Engineering Technology and Application,2016

—END—

【RSA2019创新沙盒】Axonius：融合多方系统的插件化资产管理

Axonius介绍

Axonius是一家做网络安全资产管理平台（cybersecurity asset management platform）的公司，该平台主要功能是对用户的设备进行管理，包括资产管理、应用管理和补丁管理等。该公司成立于2017年1月，并于2019年2月5日获得了1300万美元A轮融资。

背景介绍

近几年，智能设备使我们的生活发生了翻天覆地的变化。物联网、BYOD和云等方面的结合更是改变了对访问的定义，并且消除了工作和家庭之间的界限。但智能设备的保护仍然是技术人员和安全团队应该关心的问题。攻击者通常会寻找那些没有安全机制防护，或未被有效管理的设备，入侵并横向移动。

可见，资产管理是安全团队需要首要解决的问题，他们需要知道哪些设备是正在被安全或IT系统管理的，但哪些未被有效管理。如果设备没有可视度（visibility），我们如何管理未知设备？

传统上，技术人员和安全团队必须知道7件事情才能制定可行的资产与补丁管理流程：

Ø 哪些设备连接到网络？

Ø 目前安装的是什么版本的软件应用程序？

Ø 存在哪些安全漏洞？

Ø 漏洞有多严重？

Ø 新版本可用吗？

Ø 升级的影响是什么？

Ø 升级的紧迫程度是什么？

回答上面的问题对于确定是否应该对设备打补丁都至关重要，而其中的有些问题也确实是一种挑战。

目前随着物联网和移动办公的发展，大量的手机、电脑以及智能设备进入了企业网络中，显然这么多的设备还是没办法统一进行管理。目前的方法大都是基于资产、身份、网络等信息管理设备，每个系统（如终端安全：EPP、EDR，网络安全：漏扫、NGFW，虚拟化平台）都有自己的资产管理功能，但由于限于某个细分领域故而资产库不全，彼此没有互动形成竖井（Silo），因而安全团队没有办法给出各个系统的资产之间的交叉联系，也无法整合这些系统的知识完善资产属性。Axonius的网络安全资产管理平台，为每个设备提供一个管理的页面，可通过使用适配器通过API与现有系统连接，为每个设备创建唯一标识和配置文件，最后可通过插件实现跨设备的动作执行。

产品介绍

保护网络中的资产是否安全，第一步是了解网络中存在哪些设备，包括用户已知的设备和未知的设备。通过Axonius网络安全资产管理平台，使用者可只需从一个页面了解所有设备的情况，并且可以了解自己的设备是否安全。

l 多输入源融合的资产管理

Axonius将客户现有的管理和安全技术集成到资产安全管理中，对个人和企业用户的设备类型进行识别，自动检测新上线的设备，并且能对笔记本电脑、服务器和物联网设备等不同类型的设备进行区分。使用可扩展的插件架构，让用户能自己添加自定义的逻辑，如下图所示，用户可以获得所有设备的界面，并能使用设备的属性进行搜索查看设备的信息和状态。

图1  Axonius资产管理页面

需要说明的是Axonius通过插件化的方式与各种IT、安全和网络平台对接，获得其管理的各类资源，所以Axonius中的资产更为广义，例如可与VMware Vsphere对接，那么虚拟机镜像ova就是一个资产，同时，Axonius也能通过关联多个第三方系统，交叉验证并资产，例如VMware vsphere的虚拟机可与终端安全管理平台EPP的主机融合，保证资产属性的完整性和一致性。

l 补丁管理

补丁管理的核心是“知行合一”，就是将已知的漏洞的知识库，对应补丁打到每一个有漏洞的设备上。这就要求安全团队了解设备正在使用的软件的版本、漏洞以及不及时修复会带来的威胁。另一方面，在物联网设备较多的网络环境中，就需要一种新的方法来解决对未知设备的管理以及未知漏洞的发现。通过了解资产的具体版本、详细漏洞信息，Axonius可提供一套科学的补丁管理方案，来保护用户设备的安全性。

图2  补丁管理流程

l 动态设备发现和策略执行

Axonius通过适配器连接到客户环境中的设备和管理系统，插件就可以使用跨设备管理功能。Axonius拥有70多个安全集成和资产管理的解决方案，只需要通过兼容插件连接到用户资产的最新数据，可以是Windows、Mac、Linux系统，甚至是物联网设备的嵌入式系统。例如：插件可以连接到Windows服务器的目录服务，并不断查询创建的任何新建的组织单位。一旦确定了设备是什么，Axonius就可以配置适当的权限和策略，以确保设备对数据的安全访问，下图为策略管理页面。

图3  Axonius设备策略管理

产品特点

l 完整的资产发现和管理

将多个第三方系统发现的资产进行融合，得到环境中完整、一致的资产数据库，向SOC提供完整的资产信息，这对安全运营是非常必要的。

此外，对第三方系统的资产列表做对比，可及时发现某个系统未关注或未管理（Unmanaged）的资产，向安全团队提供如终端防护率、扫描覆盖率和可管理设备的覆盖率的报告，提高整个环境中的资产可视度（visibility）。

同时也借助第三方系统的更新通知，可及时对资产变更进行相应的处置，调整访问策略。

l 可扩展的插件架构与统一视图管理

将客户现有的管理和安全技术集成到Axonius资产安全管理中，使用可扩展的插件架构，让用户能自己添加自定义的逻辑，并且用户可以获得所有设备的统一的界面——包括已知和未知的设备。

l 支持对物联网设备管理

随着IoT的发展，智能设备走入千家万户，所以设备的可见性和控制对于网络安全而言是一个新的挑战。一方面，面对成百上千的物联网设备，安全管理员很难知道我们的网络中存在哪些设备；另一方面，物联网设备的成本竞争还是非常激烈的，所以安全往往不是首要考虑的问题，Axonius管理平台同样可以发现、管理并防护没有安全防护的智能设备，并可以从一个页面了解所有设备的情况以及设备是否安全。

l BYOD设备的可见性

虽然BYOD的模式方便了日常工作，但模糊了家庭和工作之间的界限。企业的员工拥有多设备，并且不断增加更多设备，这些设备是异构、复杂，且很多是非可管理的。Axonius管理平台可以告诉你这些设备何时连接和访问资源，尤其是当这些设备不做任何的安全防护时，Axonius管理平台的价值更为显著。

图4  Axonius可集成的安全方案

解读

IT环境的可视度始终是安全运营的第一步，其最大的价值是作为其他安全管理的基础。并且伴随着近些年物联网设备数量的剧增，资产管理问题也越来越复杂。Axonius的网络安全资产管理平台可通过整合客户现有的管理和安全技术，并使用可扩展的插件框架，让安全团队可以添加自定义的组件，获得网络中完整、一致的资产清单。对现有安全管理平台的整合确实是一种资产管理的解决思路，但如果企业中的管理及安全技术不能被Axonius集成，或是在网络复杂且此前没有对资产进行管理的企业中，Axonius的如何对资产进行管理呢？所以笔者认为资产管理单做集成是不够的，还需要建立多场景下的资产识别管理模型，从更底层做起，减少对环境的依赖，或者添加采集控制节点形成闭环，不然Axonius的独立发展空间还是十分有限。此外仅从官网资料看，Axonius的资产管理、补丁管理、对各个平台兼容等功能，并不是颠覆性的创新，国内已经有一些安全公司在这些方面都做的比较好了，从技术实现上来看，只是可视化和API的编写集成，不具有一定技术壁垒，很容易其他的资产安全管理平台公司复制并超越，也可能是Axonius面临的问题。

Axonius官网多个模块出现诸如物联网、EDR、DevOps、零信任等现在热度很高的名词，但并没有他们产品与这些领域结合的详细的资料，给人一种团队的产品营销超于技术的感觉。笔者本想去试用下这款产品，给出更客观的评价，但很遗憾，他们的业务人员回复目前还没有对中国市场进行覆盖。综上所述，只是笔者基于可获得Axonius资料的一点拙见，仅供参考，还是很期待Axonius在RSA展示讲解中，可以给我们带来不一样的东西。更多信息可以访问Axonius官方网站https://www.axonius.com/。

—END—