RSA 2019 创新沙盒入围厂商介绍集锦(下)
本篇解读包含四家公司:Salt Security、Eclypsium、ShiftLeft、Arkose Labs
【RSA2019创新沙盒】Salt Security 探测与防御API攻击的解决方案及平台
公司介绍
Salt Security是一家起源于以色列的安全服务公司,公司于2016年成立,总部设在硅谷和以色列,创始人有以色列国防军校友、网络安全领域专家等。该公司致力于为软件即服务(SaaS)平台、Web平台、移动端、微服务和物联网应用程序的核心API提供保护解决方案。该公司现已推出业界首个探测与防御API攻击的解决方案,以确保SaaS、Web、移动端、微服务以及物联网应用的安全。
背景介绍
随着互联网应用的多元化复杂化,应用服务化成为显著的趋势,越来越多场景中的应用架构中采用应用编程接口(API)作为应用间数据传输和控制流程。同时API接口负责传输数据的数据量以及敏感性也在增加。因此针对API的攻击已经变得越来越频繁和复杂,成为当今不少公司的头号安全威胁。在过去的几年时间里,市场上已经看到了API面临的风险和攻击的巨大增长,不仅出现了FaceBook、T-Mobile等公司的API违规事件,也出现了美国邮政服务(USPS)和Google+的最新漏洞泄露事件。
Gartner预测到2022年,API攻击会成为导致企业应用程序数据泄露的最常见的攻击。云安全联盟(CSA)在2018年将不安全的API列为云计算面临的第三大威胁。开放Web应用程序安全项目(OWASP)在最新的报告中表示API安全性是一个重要关注点,其报告中披露的十大漏洞中有9个与API组件相关。
API是架构师设计,并由开发者实现,每个API都是唯一的,具有各自的逻辑,因而产生的漏洞也没有统一的模式。目前传统API安全解决方案仅关注已知的攻击类型,缺乏对API的细粒度理解,忽略针对API逻辑的攻击。例如,某些API的业务逻辑是访问应用程序和敏感数据,如果攻击者针对逻辑层面的漏洞进行攻击,绕过传统防护方案。例如,攻击者可以合法身份的用户访问API,这些用户采用不易觉察的手段,在侦查阶段探测每个API以寻找到API中的漏洞。
产品介绍
2018年Salt Security推出了业界首个探测与防御API攻击的解决方案,以确保SaaS、Web、移动端、微服务和物联网等应用的安全。Salt Security的API安全防护平台能够在攻击者成功入侵关键业务应用程序和窃取敏感数据之前,检测并阻断威胁。
Salt Security的API防护平台分三个阶段运行:
检测阶段:Salt Security防护平台会自动并持续的监控环境中所有API,当环境发生变化时防护平台通过自动探测捕获到API的变化,以便后续分析API背后的风险。通过洞察API环境中流动的数据来识别其中的敏感数据,便于评估敏感数据潜在的暴露风险。防护平台跟踪并验证API更新后的最新状态,确认所有的API都满足安全需求。
防护阶段:Salt Security防护平台不仅对安全堆栈中现有的漏洞进行检测,而且能针对API逻辑攻击提供实时保护机制。防护平台使用人工智能(AI)技术和大数据技术,基于API的细粒度合法行为建立API正常行为基线,实时对API行为进行监控,一旦检测到API活动中出现偏离基线的行为即作为可疑恶意行为进行API攻击行为评估,该API防护平台可以在攻击者的侦察阶段实时防止API攻击的发生。
补救阶段:通过防护阶段对攻击者行为的快速评估结果,补救阶段自动化相应威胁并对攻击者的恶意活动进行阻断。为了向安全团队提供有价值的情报,防护平台向开发人员提供API源代码相关漏洞信息,以便从根源上阻止API攻击进而提高API安全性。
下图是API防护平台经过三个阶段为安全人员提供的API攻击行为信息。
公司联合创始人兼首席执行官Roey Eliyahu表示“传统的API安全解决方案无法检测到最新的API攻击,但通过应用人工智能和大数据技术,我们的API安全解决方案可以在API攻击成功之前识别并阻止攻击者。”
产品特点
1. Salt Security的API防护平台基于人工智能和大数据技术,不需要通过配置的方式创建基线也不依赖于签名技术,而是通过不断的学习API行为来建立API细粒度正常行为基线,学习算法随着API的更新而发生变化,因此能够检测到针对API逻辑的攻击,而传统API安全解决方案无法检测。
2. Salt Security的API防护平台具备容易部署以及适用性普遍的优势。API防护平台只需几分钟即可完成部署,无需配置或自定义即可帮助保护应用程序并改善API防护等级。Salt Security 的API防护平台可用于SaaS平台或混合部署,适用于需要本地数据处理的情况。
3. Salt Security的API防护平台为安全团队提供最有价值的API安全信息。防护方案利用平台产生的警报来关联攻击者活动并与攻击者所有事件进行组合,挖掘出一系列恶意API调用,大大减少了误报的生成。为了便于安全团队查看和了解攻击过程中的具体情况,API防护平台提供整合过的时间表,其中包含攻击者活动的详细信息。
目前许多企业客户已经部署了Salt Security的API防护平台,合作伙伴包括亚马逊AWS、谷歌Cloud平台、微软Azure等明星公司。Salt Security API防护平台在未来能够持续的针对企业的业务增长以及差异化提供最新的API安全防护。
总结
随着云计算的发展,越来越多的企业将服务或能力以API的方式呈现,API成为连接互联网商业生态的重要环节。对于普通用户来说API只是他们所使用的服务,但对于企业而言API在数据交换的过程具有重要的商业价值,一旦API服务在数据交换过程中出现安全隐患则会给企业带来严重的利益损失。
相对于WEB安全监测和防护产品,API安全领域存在极大的空白。目前市场上落地的API安全防护平台和解决方案很少,有的API防护解决方案依赖于特定的云环境,例如Apigee适用于Google Cloud;有的API防护平台无法应对新一代API攻击,而是关注在API授权和管理策略层面,例如MuleSoft。Salt Security选择以API安全为切入点,研发出新一代API安全防护平台为SaaS平台、Web端、移动端等提供应用API的安全防护机制。其API保护平台是业界第一个利用人工智能以及大数据技术对API行为建立基线并进行下一代API攻击防护的解决方案。Salt Security的API防护平台的创新之处在于利用API细粒度正常行为构建行为基线,监控API活动和流动的数据以确保API行为没有偏离正常基线而且隐私数据不会被泄露。这种结合AI和大数据技术的解决方案能够动态监控API安全做到API的实时防护。但是笔者的顾虑是部署其防护平台的公司是否需要向Salt Security暴露部分API交互过程中的数据以做到更好地建立API行为基线,这一点没有在其落地的产品中看到有关的解释。
Salt Security的API安全解决方案具备快速部署的优势,能够持续的学习API中的细粒度行为并发现攻击者的恶意活动,无需进行过多的自定义配置即可确保API安全。Salt Security的API防护平台不仅具备适用性广、API防护能力强、容易部署等优势,并且其核心技术壁垒高、商业化落地性比较好,笔者认为Salt Security不仅在本次RSA创新沙盒竞争中非常具有竞争力,并且对Salt Security未来的发展前景看好。
—END—
【RSA2019创新沙盒】Eclypsium:专注设备底层固件的安全防护
一. 公司简介
Eclypsium是晋级2019年RSA创新沙盒决赛的公司之一。该公司专注于服务器、笔记本电脑和网络设备(交换机、路由器等)的固件层的检测和防护。至今为止,该公司已经完成A轮融资,累计融资1105万美元。公司成员中,Yuriy Bulygin曾在英特尔工作11年(高级工程师),在McAfee工作了两个月(CTO)。Alex Bazhaniuk和John Loucaides也来自英特尔,在此之前,这三位均负责英特尔的硬件、固件安全。Ron Talwalkar在McAfee工作了11年,作为终端安全业务部产品管理高级总监,负责英特尔安全相关的业务。所以,该公司熟知采用英特尔处理器的设备在硬件和固件上的安全现状。
二. 背景
随着网络产品的普及,个人电脑、服务器、网络设备的数量在急剧增长。设备底层的固件也在不断地迭代,从BIOS到EFI再到UEFI,这些设备的底层固件的安全话题也一直是网络安全领域的热点,如2017年BlackHat Asia上,Matrosov和Vxradius两位研究员介绍了针对UEFI(Unified Extensible Firmware Interface)固件的渗透测试工具集,同年美国的BlackHat上,研究员介绍了近三年UEFI固件的大量安全漏洞。一些UEFI、bootloader等底层启动代码的检测工具和攻击工具层出不限,前述计算机产品的底层固件的安全防护已经变得越来越重要。在漏洞不断披露的过程中,英特尔、AMD和一些第三方厂商如phoenix、AMI不断地更新维护本厂的固件,以保证最新底层固件的安全性。
去年的创新沙盒的入围公司中,Refirm Labs专注于物联网设备的固件安全分析,详细介绍请参见【RSA2018】创新沙盒公司解读(六)|ReFirm Labs简介及技术解读。网络基础设施中不仅仅有物联网设备,还有服务器和路由器、交换机等网络设备,用户侧还有个人电脑,这些设备的底层和硬件的安全问题是否有人关注呢?
Eclypsium专注于企业内部计算机类设备的固件层的安全防护,下面介绍他们的产品、及其特点。Eclypsium所关注的固件和去年的ReFirm Labs关注的固件有所不同,这一点在产品特点中重点介绍。
三. 产品介绍
该公司在固件的安全防护能力上独树一帜,其特点非常明显:在固件层做设备风险管理。固件的能力涉及对主板和与主板连接的外围设备的初始化、网络管理、内存管理、操作系统引导等。换句话说,该程序具备读取、更改设备硬件状态的能力,设备权限很高。这种状态下的代码一旦被更改,设备的运行状态也就被篡改了。该公司研究人员也是利用了该代码管理设备风险。风险管理的能力主要涉及4个方面:漏洞扫描、固件升级管理、防篡改(尤其是后门检测)、未知攻击检测。配置检查部分,可参考创始人维护的一个GitHub项目8。
漏洞扫描:
该功能实现的意义在于识别设备已存在的漏洞,包括非加密的通信、固件版本过时等漏洞的验证。
固件升级:
在扫描完漏洞后,如果固件版本较低,通过升级固件的方式能解决大多数的安全问题,其被利用的可能性也将大大降低,大部分恶意的黑客不会花大量的精力专门挖掘一个可远程控制设备的漏洞链。
防篡改:
如果设备固件升级完成,并实施了其他安全功能,如安全启动等,就可以在设备运行期间监控固件的完整性,以防止攻击者篡改固件。
未知攻击检测:
由于固件对硬件设备的操作权限最高,所以研究人员在固件中加入了硬件行为监控的能力,目的是在设备卖出以后或者租赁之后,检测到未知的攻击手段。
配置检查:chipsec
配置检查是找到软件不正确的配置,源于创始人Yuriy Bulygin创建并维护的chipsec项目。chipsec在GitHub中开源,我们在一台运行Linux操作系统的笔记本上安装后,检测结果如下所示:
该检测过程最后会给出结果汇总,chipsec一共对我们的机器做了23项检测,其中16项通过安全检测。
四. 产品特点
Eclypsium的产品的特点在于专注固件的防护。我们和ReFirm Labs做个对比就会发现,这两家所关注的固件是有很大区别的。这要从计算机的启动过程说起,下面我们尽可能地通俗介绍。
计算机电源打开,到正常看到登陆桌面,这个启动过程中,计算机一共经历了以下三个阶段:
1. 引导阶段(由uboot、BIOS、UEFI等底层机器码引导,引导对象是操作系统内核)
2. 操作系统内核启动、驱动加载阶段
3. 应用程序启动阶段(shell、文件系统、应用等程序的启动)
Eclypsium关注的是运行在PC、服务器和一些网络设备的引导阶段的底层机器码,并把这部分代码称为固件。ReFirm Labs则针对物联网设备的全部三个阶段,把三个阶段所有的机器码称为固件(有点类似于把整个硬盘的内容都当作固件)。物联网设备从软硬件上来看,和传统的嵌入式软硬件并无别,区别在于一些网络架构等宏观的概念。这并非是指Eclypsium关注的少。由于PC、服务器这类设备的要比绝大部分物联网设备昂贵,且在网络中扮演着重要的角色,这些设备的引导阶段的机器码并不比整个物联网设备的存储器中存储的所有机器码简单。物联网安全中提倡的设备安全启动等系统底层保护措施,在十几年前的UEFI固件中已经实现了。
Eclypsium面向企业用户推广固件防护平台,并且只针对引导阶段机器码本身的完整性和可用性,防止企业的产品在被攻击者利用底层的漏洞而产生无法挽回的后果。
五. 解读
除了固件保护平台之外,该公司深入研究了UEFI固件中的安全问题,并在BlackHat USA 2018会议上介绍基于UEFI的系统的远程攻击面,在DEFCON 26会议上也介绍了相似话题,由此可见该公司在计算机固件安全方面的功力之深厚。除了UEFI和BIOS这类固件之外,该公司在BMC(Baseboard Management Controller)方面也具备丰富的安全研究积累4。
从研究的角度看,该公司成员在底层固件的研究上非常深入。但是观其产品,漏洞扫描、固件升级、防篡改这类技术已经非常成熟,亮点较少。比较新颖的功能是未知攻击的检测。可以想到的思路是通过硬件设备相关的日志来捕获,但是这需要看UEFI这类底层固件中是否有日志,量是否足够大,以满足较长时间段内的设备行为检测、外部接口访问的检测等,并需要对UEFI固件做一定的更改。该公司的成员在这方面比较擅长,问题在于,如果该团队研发了一个UEFI固件,客户是否有一个必须使用该固件和平台的理由,来满足企业内设备的安全需求?很明显,现在缺少一个理由说服客户必须用该平台,以保证设备足够安全。
好在公司有了1000万美元的融资,能支持其一段时间的研究、研发、运营等,这段时间内能否开发出客户必须使用的底层固件和配套的平台,尚未可知。一旦提供了一个必须使用Eclypsium的平台的理由,该平台的盈利也将相当可观,毕竟亚马逊、阿里巴巴、腾讯等企业的服务器的数量加起来也有数百万台。
技术创新不会非常的密集,创新沙盒举办几届之后,各个新公司的产品在创新方面的吸引力可能会降低。在这样的背景下,能否诞生一家大家都十分信服的企业,非常值得期待。
参考文献
1. Millions of Computers Are at Risk of Hacks That Crack Into Their Core,https://www.bloomberg.com/news/articles/2018-05-17/millions-of-computers-are-at-risk-from-the-next-gen-spectre-bug
http://www.10tiao.com/html/793/201805/2247484648/1.html,中文版
2. 找出黑客攻击的漏洞,http://hk.bbwc.cn/2y32dk.html
3. Firmware Security Leader Eclypsium Raises $8.75M Series A,https://www.globalbankingandfinance.com/firmware-security-leader-eclypsium-raises-8-75m-series-a/
4. Insecure Firmware Updates in Server Management Systems,https://eclypsium.com/2018/09/06/insecure-firmware-updates-in-server-management-systems/
5. 近三年的UEFI漏洞统计,https://raw.githubusercontent.com/rrbranco/BlackHat2017/master/BlackHat2017-BlackBIOS-v0.13-Published.pdf
6. UEFI渗透测试工具集,
7. https://www.blackhat.com/docs/asia-17/materials/asia-17-Matrosov-The-UEFI-Firmware-Rootkits-Myths-And-Reality.pdf
8. Chipsec github 项目,https://github.com/chipsec/chipsec
—END—
【RSA2019创新沙盒】ShiftLeft:面向软件开发生命周期的持续性安全防护
公司介绍
ShiftLeft公司,成立于2016年,总部位于美国加利福尼亚州圣克拉拉市。该公司致力于将应用的静态防护和运行时防护与应用开发自动化工作流相结合以提升软件开发生命周期中的安全性。公司创始人Manish Gupta曾在FireEye、Cisco、McAfee等公司任重要职位。ShiftLeft在2019年2月获得了2000万美元的新一轮融资,总资金达到2930万美元。
背景介绍
在软件开发生命周期中,传统的安全防护都是人工在代码版本发布后通过执行相应脚本检测漏洞信息,之后再将漏洞信息提交至公司的漏洞管理平台或人工去做处理的。这样做有几个缺点,首先执行脚本通常误报率高,处理误报的漏洞无疑增加了人工成本,也非常耗时;其次检测漏洞的脚本非常多样化缺乏统一标准,也增加了人工维护的成本;最后检测和处理漏洞通常花费时间长达数小时或数天且准确率难以保障。随着技术和开发模式的不断更新换代,敏捷开发如DevOps、CI/CD等的出现解决了软件开发生命周期自动化的问题,很多企业在研究如何在整个过程保证安全性,即近年来很热的DevSecOps。但要实现DevSecOps的安全(Sec)部分还需要有公司提供相应的安全能力,Shiftleft将下一代静态代码分析与应用开发自动化工作流中涉及的安全工具(SAST、IAST、RASP)相结合,以提供应用在运行时的防护能力,相比于传统防护方式可能带来的漏洞误报率高、人工介入周期长等缺点,以上这种结合方式提供了更为准确,自动化和全面的应用安全解决方案。
ShiftLeft产品
Code Property Graph(CPG)
图1 CPG代码逻辑图
传统的SAST(static application security testing)类工具在处理大量代码分析时具有误报率高、耗时长、资源占用比高、复杂度高等缺点,究其主要原因,是因为在审计代码的编译阶段需要针对不同的语言实现不同的语法树从而增加了复杂度和时间成本。CPG是一款可视化的代码分析产品,其为每个应用唯一的代码版本提供可扩展的和多层的逻辑表示,包括控制流图、调用图、程序依赖图、目录结构等。CPG创建了代码的多层三维表示,具有很强的洞察力,这使得开发人员可充分了解应用程序每个版本执行的内容及可能带来的风险。
图2 CPG多层语义图
上图为CPG的多层语义图,从中可看出版本代码中的组件和流信息,CPG将这些代码元素(自定义代码,开源库,商业SDK)映射为各种抽象级别,包括抽象语法树,控制流图,调用图,程序依赖图和目录结构,通过这种方式可以快速连接至漏洞点,使漏洞变得更容易识别,并且对于复杂漏洞(传统工具无法发现)的识别非常有效。
早在2014年,CPG就能够在Linux内核源代码中发现18个先前未知的漏洞。最近,以CPG驱动的代码分析准确性在OWASP(Open Web Application Security Project)基准测试中得到了验证,具体可参考官方文档。
ShiftLeft Protect
ShiftLeft Protect是一款RASP(Runtime application self-protection)类产品,它提供了一种在应用运行时自动执行漏洞防护的方法。在生产环境中,Protect利用“code-informed”特性发现每个应用版本开发周期中的漏洞,并建立指定的安全策略对运行时环境中存在的漏洞进行防护。Protect产品可集成CI/CD管道,从漏洞发现,pull request, commit, build到执行策略的过程是完全自动化的,只需要几分钟。以下为Protect产品的截图:
图3 Protect产品界面图
ShiftLeft Inspect
ShiftLeft Inspect是将SAST和IAST(interactive application security testing)结合的一款漏洞检测产品。Inspect产品的设计理念是为了实现DevSecOps环境的高效性、准确性、扩展需求以及保护应用程序安全。
SAST类的产品在OWASP基准测试中最高可以达到检出率为85%,但同时误报率也高达52%,误报意味着会带来大量的人工成本,面对这种局面,Inspect将源代码进行多种类型的分析,从自定义代码到开源库以及商业SDK都有涉及(如图4所示),并且Inspect的效率极高,只需几分钟,就能准确识别复杂漏洞和敏感的数据泄露。
图4 多维度进行代码检测
图5 OWASP-SAS基准测试白皮书
从ShiftLeft 自己发布的Inspect产品在OWASP基准测试中的结果(图5所示)可看出检出率(TPR)为100%,误报率(FPR)为25%,最终得分为75%,这虽然是一个很高的分数,但也许是新兴创业型公司为了在业界增加曝光率在某种程度上的夸张说法,数据的可靠性还有待进一步观察,不过从图中结果至少可以得出ShiftLeft Inspect产品是非常具有竞争力的。
IAST相比于SAST有着明显的优势,比如误报率极低、检测速度快、漏洞详细度高、人工成本低等。ShiftLeft也将IAST融入到Inspect产品中,只不过在ShiftLeft中称为MicroAgent。 MicroAgent是IAST的关键模块,其与Security DNA(安全DNA指的是代码中容易出现攻击位置,像第三方开源库、敏感数据等)相互合作从而在一些细微处加强了漏洞检测能力。
Ocular
Ocular是一种类似于Google Maps的代码搜索方法,其利用CPG的强大特性,将应用版本代码的详细信息导入至Ocular中。类似于Google Maps提供地理位置,各种路线和可能的目的地供用户去查询。Ocular为代码审计人员提供了一个交互式平台,支持用户在他们的代码库和环境中进行自定义查询,从而识别更为复杂的漏洞信息。在CI/CD管道中,Ocular的自定义查询也可以自动化,以用作安全配置文件的“策略”,当查询出漏洞信息后,Ocular可以将漏洞的反馈信息提为issue上传至用户的Github仓库,Ocular的操作截图如下所示:
图6 Ocular操作截图1
图7 Ocular操作截图2
ShiftLeft解决方案
For 应用安全(AppSec)
随着技术日新月异的发展,软件开发生命周期(SDLC)变得更快,更自动化,与此同时,应用安全团队也必须紧跟其步伐,做好及时的应用安全检查与防护。ShiftLeft Inspect是业界较快,较全面的一款静态应用安全检查(SAST)产品,它将pull request, commit, build直接集成至DevOps管道中,官方提出可以在10分钟内分析50万行代码。ShiftLeft Inspect使应用安全团队能够在DevSecOps中实现Sec部分,理论上不会降低整个CI/CD管道的速度,下图展示了ShiftLeft和CI/CD管道的拓扑图:
图8 ShiftLeft CI/CD管道拓扑图
For开发者(Developers)
对于开发者来说,传统的应用安全工具主要存在以下问题:
- 速度太慢,无法适应现代CI/CD管道
- 要求开发者在快速发布应用版本和安全的发布应用版本之间做出选择
- 误报率高
- 缺乏对数据的合规性管理
针对于以上问题,ShiftLeft Inspect首先将DevOps与安全结合,形成整个DevSecOps管道闭环,从而避免了安全人员与开发人员在处理误报上带来的时间浪费;其次通过ShiftLeft CPG的功能使得开发人员在开发过程中可以识别复杂漏洞和数据合规性等问题,从而可快速修复问题避免了后续可能带来的损失;最后从效率上来讲,相比于传统安全工具需要几小时或几天来分析及解决漏洞,ShiftLeft官网提出全过程只需要几分钟,并且误报率低。
For代码审计人员(Code Auditors)
大部分的代码审计和漏洞研究人员擅长手动使用“grep”来处理大量的版本代码,究其原因是因为传统代码分析工具不灵活并且已逐渐退出大众视野。ShiftLeft Ocular可以对版本代码的CPG进行详细的挖掘,其中Ocular还支持在多编程语言环境下执行相同的查询,目前Ocular已被多家组织用于在大型复杂代码库中查找0 day漏洞。
代码审计人员在ShiftLeft Ocular中编写的自定义查询可以提交至DevOps管道中集成,以便于在pull request, commit, build时运行Ocular查询,与此同时也扩展了代码审计员和漏洞研究人员的专业知识。
解读
随着技术不断更新换代,软件开发生命周期逐渐缩短,在这个特殊阶段,DevOps应运而生成为了开发和运营的新组合模式。一方面通过自动化流程可使得软件构建、测试、发布变得更加快捷可靠,另一方面也减去了很多重复性的工作,降低了时间成本。与此同时,软件安全问题也同时得到了重视,那么如何将安全有效融入DevOps环境中成为了目前很多厂商难以解决的问题。早期的软件开发生命周期中,安全厂商使用安全工具对源代码进行检测,这些安全工具可大致分为SAST、IAST、DAST(dynamic application security testing)、RASP这四类,在DevSecOps中,许多国外的白盒厂商都将这几种安全工具集成至Jenkins和Gitlab,但效果普遍都达不到预期,主要原因还是安全工具在遇到大量代码时的效率慢问题,并且一直得不到解决,这与DevSecOps提倡的高效率理念背道而驰。 ShiftLeft将SAST、IAST、RASP融入其产品中,利用CPG技术让漏洞检测的检出率和误报率均得到了有效提升并且从漏洞检测、静态防护、运行时防护、自定制查询漏洞等多方面对软件开发生命周期进行安全防护从而实现了DevSecOps的落地,给大部分用户带来了收益。
从技术角度而言, ShiftLeft产品的创新度高,完成度也相对较高,
且与DevOps、CI/CD的有力结合可以很大程度上提升其产品的竞争力。
从市场角度而言,ShiftLeft凭借实力在近期又获得了新一轮融资,其又可以招纳各路专家扩展其业务和专业知识,从而加快公司业务发展。
笔者认为ShiftLeft在今年入围的RSA创新沙盒中可以崭露头角,获得靠前的名次,不过最终结果还是要看各位评审意见,让我们拭目以待吧。
—END—
【RSA2019创新沙盒】
Arkose Labs—基于客户遥感和图像编排人机识别的高置信度反欺诈机制
1. 公司介绍
Arkose Labs 成立于2015年,公司位于旧金山,主要为全球大型机构提供网络防欺诈服务,客户行业包括电商、旅游、金融、社交媒体与网络游戏等。该公司通过极具创新性的全球遥感技术、用户行为风险评估技术和专利保护服务,帮助用户解决网络欺诈难题,规避每年上百万的经济损失。Arkose Labs号称能够在不影响用户体验和业务开展的情况下,可事先阻断欺诈和滥用行为。
2. 背景介绍
当前一些主流的在线欺诈检测工具都是基于行为分析或风险评分的机制,这些方法都存在固有的不足。这些工具通过对收集到的大量数据进行分析,并通过监控用户行为的方式来对每个用户进行风险评分。但是这些风险评分机制通常给出的是一种概率,很少能给出一个确定的好坏判定。同时,当前欺诈检测工具大都是基于一些先验证知识的事后检测。
和其他的安全产品一样,这些工具确实能有效地防御一些并不复杂的攻击,但是对于一些具有强烈商业目的的高级欺诈来说,攻击者会不断的更新技术以绕过这些简单风险分析手段。此外,当前的在线欺诈检测方法无法给出明确的判定,主要是因为无法在保证不影响合法用户的前提下检测出恶意用户。
图1当前欺诈检测方法
当前的欺诈和滥用行为检测机制只是以缓解为目标, 无法做到完全精准。因为它们预先设定了一些基本的假设,这些假设表示人们对欺诈的一些先验知识,比如哪些用户登录行为有可能是非本人等。而基于这些假设的检测方法,一方面很难在实际的应用中真正地区分人和机器,另一方面这些基本的假设通常是以单一目的(性能或准确率),过度的强调单一目标会影响欺诈防御的整体效率。
针对上述基于行为分析和风险评分的方法的缺点,Arkose Labs采用了一种“遥感节点-决策引擎(Enforcement)”的双边人机识别方式,将分布在全球的遥测节点检测技术与决策引擎用可疑数据挑战遥感节点结合起来,可以在不影响用户体验和业务开展的情况下事先阻断欺诈和滥用行为。
3. 已采用该技术的商业化产品介绍
该反欺诈技术已经应用到多个商业产品中。
3.1 Q2 电子银行(Q2 eBanking):检测窃取账户
Q2电子银行是由Q2公司开发的一个网上银行平台。该平台使用Arkose Labs的技术来防止银行客户的欺诈登录。账号窃取在金融领域是一个比较常见的问题,每次攻击都是利用被窃取的凭证,并借用快速自动化的攻击手段实施。Q2电子银行使用该技术后可以在恶意用户有机会窃取并转移资金前检测出来,该产品已经应用到多家社区银行。
3.2IMVU:检测虚假账户
IMVU是一个3D人物和场景聊天软件,IMVU使用Arkose Labs的技术来实现恶意用户识别,主要是确保访问账号是本人,而不是恶意攻击者。在当前社交网络成为人们主要的通讯手段,而伪用户识别成为社交网络中一个基本的安全防御能力。
3.3 Kik:反垃圾邮件
Kik是一款手机通信录的社交软件。可基于本地通讯录直接建立与联系人的连接,并在此基础上实现免费短信聊天、来电大头贴、个人状态同步等功能。简单的说,Kik就是一款“可以与手机中同样安装了Kik的好友免费发消息的跨平台的应用软件”。Kik中的垃圾信息传播成为了影响用户安全和体验主要因素,Kik使用Arkose Labs的技术可减少发送给客户的垃圾邮件。
当前Arkose Labs的技术已经应用到如下领域。
图2 Arkose Labs的技术的应用领域
4. 技术详解
Arkose Labs通过其创新的全球遥测用户行为风险评估(正在申请专利)帮助企业解决在线欺诈问题。网络欺诈性活动越来越多,需要一种从源头解决问题的全新的解决方案。Arkose Labs在不影响用户体验的情况下阻止滥用。Arkose Labs提出一种双边方法,该方法主要包括人机识别技术和客户端遥感技术。
人机识别技术主要是依赖于三维模型图像识别,从三维模型中编排的数百万个安全图像,每次为用户生成唯一的视图图像,每个图像的识别蕴含了每个防御策略。这些图片对于人来说很易于区分,但是对于机器来说短时间内识别出来非常困难,从而大幅提升攻击成本。而基于商业目的,一些攻击者会通过更新技术手段达到攻击目的,为此,提供一些易于实现的动态转换机制来更新防御策略,可以有效提高在线欺诈检测效率。
图 3 人机识别的挑战策略中的三维模型变换
客户端遥感技术的核心是在全球部署验证点,对访问的客户端建立唯一的标识ID,并对其信誉进行评分,这样验证点A对客户端的评价能传递到其他验证点。此外,对那些使用人机识别技术后还存疑的客户端进行不同层级的验证,结合人机识别策略实现一种动态反馈循环防御策略。闭环化的双向验证大大提高了欺诈防御的效率,同时不会影响用户的体验。
图4 遥测技术示例图
5. 解读
作为一种欺诈防御方法,Arkose Labs的技术已经应该到多个产品中,帮助用户解决网络欺诈难题,避免每年上百万的经济损失。Arkose Labs宣称“能够在不影响用户体验的情况下做到100%的服务级反欺诈与滥用防御”。
该公司的产品的第一点技术创新在于人机识别技术,当前已经的方法都无法做到绝对的准确,均是以减少识别误差为目的的,而Arkose Labs宣称它提出的一个完全安全可靠的识别技术,可以很准确的识别出人机。这里没有看到详细的技术内容,如果真能达到的话那么在技术上有了很大的创新。
第二点技术创新在动态识别上,基于商业目的攻击者的技术手段也会更新,针对这个问题,Arkose Labs提出了一套便于实现的3D图像转换的人机验证机制,这大大地增加了攻击者的攻击难度。
Arkose Labs更注重的是在线提供一种不影响用户体验的服务,这从用户使用角度来说是一个很好的方法。作为业务安全问题,Arkose Labs的欺诈防御技术是企业的刚需,而且其商业价值是可以直接衡量的,但是对于仅基于这种双边方法实现100%的服务级反欺诈防御是存疑的。
从技术角度上来看,Arkose Labs确实做了一定的技术创新,并有效地应用到了多个产品中,但是技术思路依然是采用传统的人机识别框架,感觉依然类似于Google的reCAPTCHA,只是在细节上实现了改进,而所提脱离了以减少识别误差为目的传统方法,技术介绍中并没有看到,大家如有机会可以到会场北区的4504跟技术人员聊聊。
—END—