2020年2月24日-28日，網(wǎng)絡(luò)安全行業(yè)盛會(huì)RSA Conference將在舊金山拉開帷幕。大會(huì)的創(chuàng)新沙盒環(huán)節(jié)備受矚目，成為全球網(wǎng)絡(luò)安全行業(yè)技術(shù)創(chuàng)新和投資的風(fēng)向標(biāo)。

前不久，RSAC官方宣布了最終入選今年的創(chuàng)新沙盒十強(qiáng)初創(chuàng)公司：AppOmni、BluBracket、Elevate Security、ForAllSecure、INKY、Obsidian、SECURITI.AI、Sqreen、Tala Security、Vulcan。

綠盟科技將通過背景介紹、產(chǎn)品特點(diǎn)、點(diǎn)評分析等，帶大家了解入圍的十強(qiáng)廠商。今天，我們要介紹的是廠商是：Elevate Security。

公司介紹

Elevate Security于2017年1月創(chuàng)立[1]，總部位于美國舊金山灣區(qū)。兩位創(chuàng)始人Masha Sedova和Robert Fly都是前Salesforce負(fù)責(zé)安全和信任管理的高管，有豐富的安全管理經(jīng)驗(yàn)。公司經(jīng)過兩輪融資，目前處于A輪融資階段，融資規(guī)模1000萬美元[2]。區(qū)別于多數(shù)重點(diǎn)關(guān)注技術(shù)(Technology)與流程(Processes)的安全創(chuàng)業(yè)公司，Elevate基于對當(dāng)前網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的洞察，提供針對人(People)的安全行為改善平臺(tái)及定制化方案，能夠通過對員工行為的評估測量、數(shù)據(jù)可視化提供對企業(yè)多層次的風(fēng)險(xiǎn)監(jiān)控，進(jìn)而提供個(gè)性化的員工評級反饋以及增強(qiáng)的安全培訓(xùn)。Elevate Security正契合今年RSAC的“Human Element”主題，有些“應(yīng)運(yùn)而生”的意思，想必這也是助力它進(jìn)入了創(chuàng)新沙盒決賽的一大因素。

背景介紹

2014年IBM安全服務(wù)的一項(xiàng)研究表明，95%的網(wǎng)絡(luò)安全失陷是人為錯(cuò)誤造成的。而近期卡巴斯基的研究則表明91%的涉及公有云用戶數(shù)據(jù)泄露事件的公司聲明社會(huì)工程學(xué)是其所遭受攻擊活動(dòng)的一個(gè)環(huán)節(jié)[3]。人為因素一直以來都是網(wǎng)絡(luò)空間安全的重要一環(huán)。隨著各種安全防御自動(dòng)化技術(shù)、產(chǎn)品、平臺(tái)的涌現(xiàn)，大幅提升了攻擊者入侵的難度。然而，在安全、利益攸關(guān)的關(guān)鍵場景下，由利益驅(qū)動(dòng)的攻擊者無縫不鉆，高級持續(xù)攻防的戰(zhàn)場逐漸浮出水面。當(dāng)前，即使是前沿的人工智能驅(qū)動(dòng)的防御手段，也愈發(fā)強(qiáng)調(diào)“human-in-the-loop”的人機(jī)閉環(huán)協(xié)同能力。人既是防御環(huán)節(jié)的重要組成，也同時(shí)可能成為攻擊者突破防御的脆弱點(diǎn)。

隨著網(wǎng)絡(luò)安全成為全球各方的關(guān)注熱點(diǎn)，網(wǎng)絡(luò)安全從業(yè)者愈發(fā)感受到所處行業(yè)對世界的影響力。而這種影響力也逐漸通過各類安全教育、突發(fā)的安全事件、常規(guī)化的安全律法，深入到所有人的工作生活中。正如普通人愈發(fā)認(rèn)識(shí)到到個(gè)人的健康管理尤為重要，大中小型企業(yè)乃至個(gè)人的網(wǎng)絡(luò)安全意識(shí)、安全習(xí)慣、安全行為，將深刻影響到個(gè)人以及所處組織的安全基礎(chǔ)。然而網(wǎng)絡(luò)安全文化氛圍的形成任重而道遠(yuǎn)，從業(yè)者對安全能力提升和發(fā)展的認(rèn)識(shí)也逐漸從追逐更快、更準(zhǔn)、更智能的技術(shù)、產(chǎn)品，轉(zhuǎn)而更加關(guān)注“以人為本”的技術(shù)、流程、法規(guī)甚至習(xí)慣和文化的新層次。

Gartner在自適應(yīng)安全的體系[5]中，明確地將People-Centric作為了一個(gè)重要原則，在整個(gè)以人為本的安全體系內(nèi)，安全教育是基石，只有提高員工的安全意識(shí)和安全技能，才能有效減少各種安全機(jī)制運(yùn)行的開銷，提升整個(gè)安全體系的運(yùn)轉(zhuǎn)效率。

行業(yè)已經(jīng)有不少公司做安全意識(shí)培訓(xùn)(Security Awareness Training)，Gartner也發(fā)布過魔力象限[4]。大部分傳統(tǒng)安全意識(shí)培訓(xùn)產(chǎn)品的主要競爭力在于系統(tǒng)的、科學(xué)的培訓(xùn)內(nèi)容，以及與內(nèi)容相匹配的計(jì)算機(jī)培訓(xùn)輔助系統(tǒng)。而這些內(nèi)容和工具則主要是圍繞通過“培訓(xùn)”以提升“意識(shí)”的目標(biāo)而構(gòu)建的，這導(dǎo)致安全意識(shí)的提升過程更類似對機(jī)器打補(bǔ)丁升級的過程，難以明確度量個(gè)人在這一過程中的行為變化，而潛在的風(fēng)險(xiǎn)正蘊(yùn)含于諸多人的行為細(xì)節(jié)當(dāng)中。

Elevate Security提供的平臺(tái)旨在通過統(tǒng)一的可視化手段，監(jiān)測、管理員工的安全行為，并提供助于提升企業(yè)安全文化的郵件反饋和安全教育資源，以可量化的方式促進(jìn)員工安全行為的改善，幫助企業(yè)管理者有效降低員工人為因素關(guān)聯(lián)的安全風(fēng)險(xiǎn)。有了評價(jià)指標(biāo)，就能形成閉環(huán)，幫助企業(yè)迭代地改善員工在安全防護(hù)中的主觀能動(dòng)性，提高企業(yè)整體的安全防護(hù)水平。

產(chǎn)品介紹

Elevate平臺(tái)主要提供以下四個(gè)功能模塊，Reflex提供網(wǎng)絡(luò)釣魚郵件攻擊模擬及相關(guān)結(jié)果評估;Vision是一個(gè)儀表盤，將釣魚郵件攻擊模擬結(jié)果及通過API集成的其他員工人為因素相關(guān)安全數(shù)據(jù)統(tǒng)一整合及分析，具備部門級和個(gè)人級的下鉆視圖;Pulse提供可配置的、基于郵件的員工評級反饋系統(tǒng)，以個(gè)性化的方式向員工提供整體的以及多個(gè)內(nèi)容模塊的安全行為評級;Hacker’s Mind提供攻擊者視角的安全培訓(xùn)，以針對性提升關(guān)鍵部門、高風(fēng)險(xiǎn)員工的安全意識(shí)和防護(hù)能力。

基于以上四個(gè)功能模塊，提升組織內(nèi)部人員安全意識(shí)、培育安全文化可以分步進(jìn)行，即通過Reflex完成釣魚郵件攻擊模擬，建立安全基線評級;通過Vision儀表盤分析并跟蹤企業(yè)各層級人員的整體、總體安全行為風(fēng)險(xiǎn);通過Pulse郵件評分卡機(jī)制反饋人員行為評分，激勵(lì)行為改進(jìn);最后，針對高風(fēng)險(xiǎn)個(gè)人或部門，提供針對性個(gè)性化的安全培訓(xùn)強(qiáng)化。

Elevate提供了平臺(tái)的基本試用功能，在此簡單介紹。該互動(dòng)式Demo主要包括Vision和Pulse兩部分。可以看到Vision Dashboard提供的視圖很簡約。從部門級別上，包括總體安全風(fēng)險(xiǎn)值、風(fēng)險(xiǎn)分布、部門評分以及行為映射。行為映射(Behavior Map)是以部門為單位，對所收集的安全行為數(shù)據(jù)的整合評級，直觀反映部門在各維度上，包括整體、桌面清理、惡意軟件、密碼安全、釣魚攻擊測試、培訓(xùn)等維度的風(fēng)險(xiǎn)等級。從當(dāng)前信息看，該Elevate Demo所集成和展現(xiàn)的大部分?jǐn)?shù)據(jù)源需要通過外部API接入，平臺(tái)內(nèi)部只提供基于Reflex的釣魚郵件攻擊模擬的評級數(shù)據(jù)。

Vision視圖下還提供各部門內(nèi)部的總體和個(gè)人評級及排序，提供更細(xì)節(jié)、直觀的安全風(fēng)險(xiǎn)視圖。

在Pulse標(biāo)簽下，提供Campaigns功能。該功能應(yīng)可提供可配置的，基于郵件的安全評級反饋及管理。在Demo中，只能夠向試者用郵件發(fā)送樣例反饋郵件，包括不同等級評分的三份郵件。以一份評級為“Sturdy”的反饋郵件為例，評分分為Phishing & Reporting、Password Manager、Training、Malware、Clean Desk這五個(gè)部分，對應(yīng)Vision儀表盤中集成的五項(xiàng)內(nèi)容。每一項(xiàng)內(nèi)容都有對應(yīng)具體內(nèi)容，例如對于Phishing & Reporting，包含釣魚郵件攻擊的具體時(shí)間、員工個(gè)人評估結(jié)果以及與同部門其他員工的橫向?qū)Ρ冉Y(jié)果。當(dāng)然，如果某一項(xiàng)評估達(dá)標(biāo)，郵件中會(huì)有類似于徽章的激勵(lì)機(jī)制，以鼓勵(lì)員工集齊所有安全徽章，完成對應(yīng)的完全行為標(biāo)準(zhǔn)。

公司解讀

“以人為本”，以人及其行為為核心，關(guān)注人員因素在網(wǎng)絡(luò)空間安全中的關(guān)鍵作用，從組織、策略、流程、法律法規(guī)等角度持續(xù)管理、監(jiān)控企業(yè)安全風(fēng)險(xiǎn)，進(jìn)而針對性、系統(tǒng)性的發(fā)現(xiàn)脆弱性，降低安全風(fēng)險(xiǎn)，已成為網(wǎng)絡(luò)安全防御的關(guān)鍵一環(huán)。國內(nèi)許多大型企業(yè)的安全管理部門也開始具備包括職工安全培訓(xùn)、安全評估檢查等能力。Elevate Security基于平臺(tái)提供的釣魚郵件攻擊模擬、可視化分析、郵件反饋系統(tǒng)及場景式的安全培訓(xùn)能力，向業(yè)界提供了一個(gè)企業(yè)安全文化培育的平臺(tái)化范本，能夠給各類型組織對個(gè)人安全行為的管理機(jī)制和方法提供有力的模板。同時(shí)，以面向人的安全行為因素在網(wǎng)絡(luò)安全場景下的風(fēng)險(xiǎn)管控閉環(huán)為主題，講述了一個(gè)完整并且切中管理痛點(diǎn)的好故事。不止于此，Elevate Security提供的不止是思路和機(jī)制的創(chuàng)新。該公司基于已有平臺(tái)，提供面向各客戶組織的定制化解決方案，包括數(shù)據(jù)接入、安全流程等層面的定制和咨詢，這些平臺(tái)技術(shù)之外的能力補(bǔ)充同樣是該公司的核心競爭力。

從現(xiàn)有資料來看，Elevate平臺(tái)提供的功能可以用簡約而不簡單來概括。Elevate平臺(tái)所展現(xiàn)的功能一目了然，也沒有呈現(xiàn)復(fù)雜的流程，平臺(tái)背后所使用的技術(shù)不是其核心競爭力。“Let's target security behavior change, not awareness.”Elevate的核心功能路線很清晰，以員工安全行為的改善作為目標(biāo)，提供包含定制化的數(shù)據(jù)測量、集成、分析、反饋、行動(dòng)(培訓(xùn))的流程迭代和閉環(huán)，以及持續(xù)的、量化的風(fēng)險(xiǎn)評估機(jī)制與平臺(tái)，提升管理者對企業(yè)整體到員工個(gè)人的安全風(fēng)險(xiǎn)等級的洞見、監(jiān)控和管理能力。以量化的方式關(guān)注人的安全行為改善而不停留于填鴨式的安全培訓(xùn)，Elevate Security是打破傳統(tǒng)安全意識(shí)培訓(xùn)產(chǎn)品形態(tài)固有思路的先行者。相信未來Elevate平臺(tái)會(huì)提供更多的平臺(tái)化組件，滿足各類型組織對內(nèi)部人員的動(dòng)態(tài)、持續(xù)、自適應(yīng)的安全行為風(fēng)險(xiǎn)量化評估與安全行為提升需求，以適應(yīng)更高級的攻防場景、更嚴(yán)謹(jǐn)?shù)姆煞ㄒ?guī)要求。

參考文獻(xiàn)

[1] https://elevatesecurity.com/

[2] https://www.crunchbase.com/organization/elevate-security

[3] 《Understanding Security of the Cloud: from Adoption Benefits to Threats and Concerns》

[4] https://www.gartner.com/doc/3950454

[5] Top Cybersecurity Trends for 2016-2017, Gartner Security & Risk Management Summit 2016