RSAConference2021將于舊金山時(shí)間5月17日召開，這將是RSA大會(huì)有史以來第一次采用網(wǎng)絡(luò)虛擬會(huì)議的形式舉辦。大會(huì)的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網(wǎng)絡(luò)安全行業(yè)技術(shù)創(chuàng)新和投資的風(fēng)向標(biāo)。

前不久，RSA官方宣布了最終入選創(chuàng)新沙盒的十強(qiáng)初創(chuàng)公司：WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、WIZ。

綠盟君將通過背景介紹、產(chǎn)品特點(diǎn)、點(diǎn)評(píng)分析等，帶大家了解入圍的十強(qiáng)廠商。今天，我們要介紹的是廠商是：deduce。

公司介紹

Deduce于2019年5月創(chuàng)立，總部位于美國紐約[1]。公司創(chuàng)始人、現(xiàn)任CEO Ari Jacoby具有豐富的創(chuàng)業(yè)經(jīng)驗(yàn)，是Circulate，Voicestar，Solve Media等技術(shù)服務(wù)類型公司的創(chuàng)始人之一。目前Deduce經(jīng)過兩輪融資，處于種子輪次的融資階段，融資規(guī)模達(dá)730萬美元。

Deduce能夠向不同規(guī)模的企業(yè)，提供成熟的行業(yè)級(jí)用戶身份及行為分析接口，幫助企業(yè)構(gòu)建身份認(rèn)證風(fēng)險(xiǎn)分析、身份欺詐檢測及用戶告警能力，以輔助企業(yè)對(duì)抗?jié)撛诘墓粜袨椋瑵M足合規(guī)要求以及提升客戶的信任度。如果從本屆RSAC的主題“Resilience”來看，Deduce公司通過打造身份智能，為企業(yè)及其客戶提供基于數(shù)據(jù)與分析的身份安全彈性。

背景介紹

調(diào)查表明，2020年由用戶身份失竊、濫用、欺詐等攻擊造成的關(guān)聯(lián)損失高達(dá)560億美元，并已成為發(fā)展速度最快的網(wǎng)絡(luò)空間威脅之一。企業(yè)的客戶身份被竊取、盜用，帶來的不止是由數(shù)據(jù)泄露、資產(chǎn)失陷、交易欺詐等攻擊導(dǎo)致的直接經(jīng)濟(jì)損失，所產(chǎn)生的用戶信任度降級(jí)，將給企業(yè)業(yè)務(wù)和信譽(yù)帶來持久和深遠(yuǎn)的影響。

為應(yīng)對(duì)網(wǎng)絡(luò)空間威脅的動(dòng)態(tài)演進(jìn)，Gartner提出的自適應(yīng)風(fēng)險(xiǎn)和信任評(píng)估框架CARTA（Continuous Adaptive Risk and Trust Assessment），為業(yè)界帶來系統(tǒng)的防御視角。其中，針對(duì)用戶身份、設(shè)備的認(rèn)證與訪問，CARTA給出了自適應(yīng)訪問保護(hù)（Adaptive Access Protection）框架[4]，如圖1所示。

圖1 CARTA Adaptive Access Protection架構(gòu)圖

該框架的核心在于，需要對(duì)用戶身份、設(shè)備、應(yīng)用、行為及關(guān)聯(lián)信息，提供持續(xù)的可見性與核實(shí)，來適應(yīng)業(yè)務(wù)的動(dòng)態(tài)需求與網(wǎng)絡(luò)環(huán)境變化。類似于針對(duì)攻擊防護(hù)的“預(yù)測-預(yù)防-檢測-響應(yīng)”的PPDR循環(huán)，針對(duì)訪問防護(hù)也需要構(gòu)建需求發(fā)現(xiàn)（Discover requirements）-自適應(yīng)訪問（Adaptive access）-用途驗(yàn)證（Verify usage）-用途管理（Manage usage）的防護(hù)閉環(huán)，以提供持續(xù)的、可迭代的訪問控制及防御能力。

Deduce公司提供的產(chǎn)品及方案，正是針對(duì)身份欺詐這一主要業(yè)務(wù)領(lǐng)域，主要涵蓋CARTA訪問防護(hù)的用途驗(yàn)證（Verify usage）與用途管理（Manage usage）這兩個(gè)階段，為企業(yè)提供成熟的并且可適應(yīng)企業(yè)業(yè)務(wù)流的客戶身份及行為動(dòng)態(tài)分析接口，能夠有效降低中小型企業(yè)自建相關(guān)能力的成本。

產(chǎn)品介紹

Deduce官網(wǎng)目前主要提供了兩款SaaS產(chǎn)品，分別是“Customer Alerts”和“Identity Risk Index”。

Customer Alerts，即客戶告警，能夠檢測用戶登錄行為的異常，并觸發(fā)告警通知到客戶，以供客戶決策判斷，是否是其個(gè)人行為。該產(chǎn)品功能目標(biāo)，是在企業(yè)原有的認(rèn)證流程之外，提供用戶登錄訪問行為異常的告警。Deduce該產(chǎn)品的賣點(diǎn)在于，能夠向中小型企業(yè)提供成熟的身份登錄異常驗(yàn)證的接口，并只需按需付費(fèi)。

Deduce提供一個(gè)用于分析客戶當(dāng)前設(shè)備及地理位置信息的API，可無縫集成到企業(yè)的業(yè)務(wù)流程當(dāng)中，如圖2所示。

圖2 Deduce Customer Alerts工作流

該API調(diào)用過程中，需企業(yè)采集用戶的設(shè)備標(biāo)識(shí)信息和地理位置信息。根據(jù)采集的數(shù)據(jù)樣本，基于可配置的規(guī)則，Deduce分析用戶關(guān)聯(lián)設(shè)備及登錄點(diǎn)地理位置的異常，進(jìn)而觸發(fā)告警，并以企業(yè)定制的模板發(fā)送給客戶，請(qǐng)求客戶確認(rèn)。該API的結(jié)構(gòu)如圖3所示。

圖3 Deduce Customer Alerts API示例

Identity Risk Index，該產(chǎn)品提供針對(duì)身份關(guān)聯(lián)行為的風(fēng)險(xiǎn)分?jǐn)?shù)計(jì)算。用來預(yù)防和檢測由社交釣魚或信息泄露引發(fā)的身份盜用、賬戶失竊、交易欺詐等惡意行為，同時(shí)幫助企業(yè)提升用戶信任和滿足合規(guī)需求。基本的功能如圖4，選自官網(wǎng)展示的功能示意圖。

圖4 Identity Risk Index功能示意

Identity Risk Index產(chǎn)品即身份風(fēng)險(xiǎn)指標(biāo)。可直觀的理解為基于大數(shù)據(jù)的用戶身份異常檢測及風(fēng)險(xiǎn)評(píng)估。由于該功能公司未給出具體的技術(shù)細(xì)節(jié)介紹，我們無從得知其技術(shù)內(nèi)核的實(shí)現(xiàn)方法。

從當(dāng)前業(yè)界類似產(chǎn)品及技術(shù)的層次來看，實(shí)現(xiàn)有效的基于身份的風(fēng)險(xiǎn)分析依賴兩個(gè)關(guān)鍵條件，一個(gè)是大規(guī)模的用戶身份行為數(shù)據(jù)及情報(bào)數(shù)據(jù)，另一個(gè)是以UEBA為代表的異常行為分析技術(shù)棧。從Deduce的宣傳資料和相關(guān)報(bào)道來看，大規(guī)模收集的身份及行為數(shù)據(jù)集是支撐其Identity Risk Index產(chǎn)品技術(shù)的核心。Deduce通過持續(xù)的運(yùn)營積累，打造了Identity Network身份及行為數(shù)據(jù)庫。在滿足GDPR和CCPA合規(guī)要求下，Deduce從超過15萬網(wǎng)站和應(yīng)用，收集了涉及超2億個(gè)美國賬號(hào)及其相關(guān)認(rèn)證、訪問、交易等行為的信息和數(shù)據(jù)。這些賬號(hào)及身份數(shù)據(jù)在Identity Network以哈希的形式進(jìn)行了匿名化，以保護(hù)用戶的個(gè)人隱私。

我們可以看到，Deduce通過這種搭建平臺(tái)、提供服務(wù)的方式，在向企業(yè)提供客戶身份行為分析能力的同時(shí)，也在授權(quán)下持續(xù)收集不同站點(diǎn)、應(yīng)用的相關(guān)信息。這種大規(guī)模、多維度數(shù)據(jù)集的構(gòu)建，能夠?yàn)镈educe持續(xù)提供行業(yè)的影響力及技術(shù)核心競爭力基礎(chǔ)。

除了數(shù)據(jù)層面的機(jī)制，我們只在Deduce宣傳中看到使用了機(jī)器學(xué)習(xí)方法來識(shí)別身份行為異常，并能夠?qū)①~戶竊取的傷害降低90%。我們尚未看到具體的分析方法及模型的介紹。

公司解讀

身份的管理及關(guān)聯(lián)行為的分析，已成為網(wǎng)絡(luò)安全邁入主動(dòng)防御和零信任時(shí)代后，威脅檢測與響應(yīng)的關(guān)鍵技術(shù)手段。Deduce提供的兩款產(chǎn)品，針對(duì)身份風(fēng)險(xiǎn)分析，提供了不同的服務(wù)價(jià)值。Customer Alerts產(chǎn)品通過簡潔的API，能夠無縫的集成到企業(yè)已有的身份認(rèn)證業(yè)務(wù)流中，提供信息收集、基于設(shè)備和位置的異常分析、用戶告警通知和用戶決策反饋收集服務(wù)。Identity Risk Index產(chǎn)品則基于Deduce的Identity Network數(shù)據(jù)集，提供具有更高維度、更深層次關(guān)聯(lián)的深度身份及行為風(fēng)險(xiǎn)分析服務(wù)，能夠與IAM系統(tǒng)打通，根據(jù)量化的身份及其行為風(fēng)險(xiǎn)值，來調(diào)用不同級(jí)別的認(rèn)證方法，以增強(qiáng)對(duì)身份欺詐等攻擊行為的防御能力。

相較而言，Identity Risk Index產(chǎn)品更值得我們深入的關(guān)注。基于SaaS的運(yùn)營模式，該產(chǎn)品能夠?yàn)槠髽I(yè)提供一個(gè)匿名化的身份及行為數(shù)據(jù)湖資源。基于該數(shù)據(jù)湖，Deduce有機(jī)會(huì)提供深度的身份風(fēng)險(xiǎn)評(píng)估能力，例如可實(shí)現(xiàn)通過單一身份不同應(yīng)用、站點(diǎn)的多行為維度與長周期記錄跨度，實(shí)現(xiàn)細(xì)粒度的身份行為特征畫像，進(jìn)而提供更精準(zhǔn)的風(fēng)險(xiǎn)評(píng)分指標(biāo)。更關(guān)鍵的，基于身份社交網(wǎng)絡(luò)的學(xué)習(xí)，能夠識(shí)別可疑的行為傳播規(guī)律、異常社區(qū)行為以及欺詐團(tuán)伙行為。如下圖5所示，就是基于身份認(rèn)證與訪問行為數(shù)據(jù)的社區(qū)分析方法[5]，該技術(shù)方案來源于同為身份欺詐檢測領(lǐng)域的創(chuàng)業(yè)公司Silverfort。在身份行為數(shù)據(jù)湖的基礎(chǔ)上，通過抽取身份（圖中圓點(diǎn)）、服務(wù)端點(diǎn)（圖中三角點(diǎn)）等實(shí)體的關(guān)聯(lián)，以及訪問行為的統(tǒng)計(jì)屬性，構(gòu)建圖左側(cè)的實(shí)體行為關(guān)聯(lián)網(wǎng)絡(luò)。進(jìn)而，基于Louvain社區(qū)發(fā)現(xiàn)算法，能夠?qū)⒕W(wǎng)絡(luò)中的實(shí)體和行為劃分為多個(gè)社區(qū)，如圖右側(cè)的顏色標(biāo)注。最終，在該社區(qū)劃分結(jié)果上，可得到更多維度的分析結(jié)論，如定位高度異常的特定類型社區(qū)活動(dòng)、抽取有跨社區(qū)行為的高風(fēng)險(xiǎn)身份實(shí)體等等。盡管Deduce官網(wǎng)并未給出Identity Risk Index產(chǎn)品的詳細(xì)技術(shù)方案，其Identity Network數(shù)據(jù)庫的構(gòu)建足以給我們帶來更多的技術(shù)想象空間。

圖5 基于認(rèn)證和訪問行為的社區(qū)發(fā)現(xiàn)

除了以上產(chǎn)品特性，能夠進(jìn)入RSAC創(chuàng)新沙盒十強(qiáng)，Deduce有其獨(dú)特的“商業(yè)化”的技術(shù)理念。首先，通過SaaS模式向中小型企業(yè)提供簡單易用的身份認(rèn)證分析告警接口，減輕企業(yè)自建和維護(hù)成本的同時(shí)，能夠提供足以匹敵FAANG（Facebook, Apple, Amazon, Netflix, Google）等大型企業(yè)類似功能的身份賬戶異常分析機(jī)制，這與Deduce“Democratize Cybersecurity”——民主化網(wǎng)絡(luò)安全的企業(yè)愿景相契合；其次，提供服務(wù)的同時(shí)，Deduce在合法合規(guī)的策略下，構(gòu)建了具備相當(dāng)大規(guī)模及多樣性的匿名化身份行為數(shù)據(jù)庫，這能夠讓投資者看到Deduce當(dāng)前所具備的“數(shù)據(jù)壁壘”。于此同時(shí)，通過可持續(xù)的服務(wù)提供與信息采集，Deduce的Identity Network能夠?yàn)樵摴咎峁┮嗫沙掷m(xù)的技術(shù)演進(jìn)和優(yōu)化保障機(jī)制。

可以預(yù)見，創(chuàng)新沙盒評(píng)委對(duì)Deduce可持續(xù)身份數(shù)據(jù)運(yùn)營的商業(yè)模式的認(rèn)可程度，以及對(duì)身份欺詐領(lǐng)域技術(shù)市場的期待度，將是決定Deduce本次創(chuàng)新沙盒能否進(jìn)入前三的關(guān)鍵因素，讓我們拭目以待。