RSA 创新沙盒盘点 | Elevate Security——“以人为本”的安全行为改善平台
2020-02-17
2020年2月24日-28日,网络安全行业盛会RSA Conference将在旧金山拉开帷幕。大会的创新沙盒环节备受瞩目,成为全球网络安全行业技术创新和投资的风向标。
前不久,RSAC官方宣布了最终入选今年的创新沙盒十强初创公司:AppOmni、BluBracket、Elevate Security、ForAllSecure、INKY、Obsidian、SECURITI.AI、Sqreen、Tala Security、Vulcan。
44118太阳成城集团将通过背景介绍、产品特点、点评分析等,带大家了解入围的十强厂商。今天,我们要介绍的是厂商是:Elevate Security。
公司介绍
Elevate Security于2017年1月创立[1],总部位于美国旧金山湾区。两位创始人Masha Sedova和Robert Fly都是前Salesforce负责安全和信任管理的高管,有丰富的安全管理经验。公司经过两轮融资,目前处于A轮融资阶段,融资规模1000万美元[2]。区别于多数重点关注技术(Technology)与流程(Processes)的安全创业公司,Elevate基于对当前网络安全风险的洞察,提供针对人(People)的安全行为改善平台及定制化方案,能够通过对员工行为的评估测量、数据可视化提供对企业多层次的风险监控,进而提供个性化的员工评级反馈以及增强的安全培训。Elevate Security正契合今年RSAC的“Human Element”主题,有些“应运而生”的意思,想必这也是助力它进入了创新沙盒决赛的一大因素。
背景介绍
2014年IBM安全服务的一项研究表明,95%的网络安全失陷是人为错误造成的。而近期卡巴斯基的研究则表明91%的涉及公有云用户数据泄露事件的公司声明社会工程学是其所遭受攻击活动的一个环节[3]。人为因素一直以来都是网络空间安全的重要一环。随着各种安全防御自动化技术、产品、平台的涌现,大幅提升了攻击者入侵的难度。然而,在安全、利益攸关的关键场景下,由利益驱动的攻击者无缝不钻,高级持续攻防的战场逐渐浮出水面。当前,即使是前沿的人工智能驱动的防御手段,也愈发强调“human-in-the-loop”的人机闭环协同能力。人既是防御环节的重要组成,也同时可能成为攻击者突破防御的脆弱点。
随着网络安全成为全球各方的关注热点,网络安全从业者愈发感受到所处行业对世界的影响力。而这种影响力也逐渐通过各类安全教育、突发的安全事件、常规化的安全律法,深入到所有人的工作生活中。正如普通人愈发认识到到个人的健康管理尤为重要,大中小型企业乃至个人的网络安全意识、安全习惯、安全行为,将深刻影响到个人以及所处组织的安全基础。然而网络安全文化氛围的形成任重而道远,从业者对安全能力提升和发展的认识也逐渐从追逐更快、更准、更智能的技术、产品,转而更加关注“以人为本”的技术、流程、法规甚至习惯和文化的新层次。
Gartner在自适应安全的体系[5]中,明确地将People-Centric作为了一个重要原则,在整个以人为本的安全体系内,安全教育是基石,只有提高员工的安全意识和安全技能,才能有效减少各种安全机制运行的开销,提升整个安全体系的运转效率。
行业已经有不少公司做安全意识培训(Security Awareness Training),Gartner也发布过魔力象限[4]。大部分传统安全意识培训产品的主要竞争力在于系统的、科学的培训内容,以及与内容相匹配的计算机培训辅助系统。而这些内容和工具则主要是围绕通过“培训”以提升“意识”的目标而构建的,这导致安全意识的提升过程更类似对机器打补丁升级的过程,难以明确度量个人在这一过程中的行为变化,而潜在的风险正蕴含于诸多人的行为细节当中。
Elevate Security提供的平台旨在通过统一的可视化手段,监测、管理员工的安全行为,并提供助于提升企业安全文化的邮件反馈和安全教育资源,以可量化的方式促进员工安全行为的改善,帮助企业管理者有效降低员工人为因素关联的安全风险。有了评价指标,就能形成闭环,帮助企业迭代地改善员工在安全防护中的主观能动性,提高企业整体的安全防护水平。
产品介绍
Elevate平台主要提供以下四个功能模块,Reflex提供网络钓鱼邮件攻击模拟及相关结果评估;Vision是一个仪表盘,将钓鱼邮件攻击模拟结果及通过API集成的其他员工人为因素相关安全数据统一整合及分析,具备部门级和个人级的下钻视图;Pulse提供可配置的、基于邮件的员工评级反馈系统,以个性化的方式向员工提供整体的以及多个内容模块的安全行为评级;Hacker’s Mind提供攻击者视角的安全培训,以针对性提升关键部门、高风险员工的安全意识和防护能力。
基于以上四个功能模块,提升组织内部人员安全意识、培育安全文化可以分步进行,即通过Reflex完成钓鱼邮件攻击模拟,建立安全基线评级;通过Vision仪表盘分析并跟踪企业各层级人员的整体、总体安全行为风险;通过Pulse邮件评分卡机制反馈人员行为评分,激励行为改进;最后,针对高风险个人或部门,提供针对性个性化的安全培训强化。
Elevate提供了平台的基本试用功能,在此简单介绍。该互动式Demo主要包括Vision和Pulse两部分。可以看到Vision Dashboard提供的视图很简约。从部门级别上,包括总体安全风险值、风险分布、部门评分以及行为映射。行为映射(Behavior Map)是以部门为单位,对所收集的安全行为数据的整合评级,直观反映部门在各维度上,包括整体、桌面清理、恶意软件、密码安全、钓鱼攻击测试、培训等维度的风险等级。从当前信息看,该Elevate Demo所集成和展现的大部分数据源需要通过外部API接入,平台内部只提供基于Reflex的钓鱼邮件攻击模拟的评级数据。
Vision视图下还提供各部门内部的总体和个人评级及排序,提供更细节、直观的安全风险视图。
在Pulse标签下,提供Campaigns功能。该功能应可提供可配置的,基于邮件的安全评级反馈及管理。在Demo中,只能够向试者用邮件发送样例反馈邮件,包括不同等级评分的三份邮件。以一份评级为“Sturdy”的反馈邮件为例,评分分为Phishing & Reporting、Password Manager、Training、Malware、Clean Desk这五个部分,对应Vision仪表盘中集成的五项内容。每一项内容都有对应具体内容,例如对于Phishing & Reporting,包含钓鱼邮件攻击的具体时间、员工个人评估结果以及与同部门其他员工的横向对比结果。当然,如果某一项评估达标,邮件中会有类似于徽章的激励机制,以鼓励员工集齐所有安全徽章,完成对应的完全行为标准。
公司解读
“以人为本”,以人及其行为为核心,关注人员因素在网络空间安全中的关键作用,从组织、策略、流程、法律法规等角度持续管理、监控企业安全风险,进而针对性、系统性的发现脆弱性,降低安全风险,已成为网络安全防御的关键一环。国内许多大型企业的安全管理部门也开始具备包括职工安全培训、安全评估检查等能力。Elevate Security基于平台提供的钓鱼邮件攻击模拟、可视化分析、邮件反馈系统及场景式的安全培训能力,向业界提供了一个企业安全文化培育的平台化范本,能够给各类型组织对个人安全行为的管理机制和方法提供有力的模板。同时,以面向人的安全行为因素在网络安全场景下的风险管控闭环为主题,讲述了一个完整并且切中管理痛点的好故事。不止于此,Elevate Security提供的不止是思路和机制的创新。该公司基于已有平台,提供面向各客户组织的定制化解决方案,包括数据接入、安全流程等层面的定制和咨询,这些平台技术之外的能力补充同样是该公司的核心竞争力。
从现有资料来看,Elevate平台提供的功能可以用简约而不简单来概括。Elevate平台所展现的功能一目了然,也没有呈现复杂的流程,平台背后所使用的技术不是其核心竞争力。“Let's target security behavior change, not awareness.”Elevate的核心功能路线很清晰,以员工安全行为的改善作为目标,提供包含定制化的数据测量、集成、分析、反馈、行动(培训)的流程迭代和闭环,以及持续的、量化的风险评估机制与平台,提升管理者对企业整体到员工个人的安全风险等级的洞见、监控和管理能力。以量化的方式关注人的安全行为改善而不停留于填鸭式的安全培训,Elevate Security是打破传统安全意识培训产品形态固有思路的先行者。相信未来Elevate平台会提供更多的平台化组件,满足各类型组织对内部人员的动态、持续、自适应的安全行为风险量化评估与安全行为提升需求,以适应更高级的攻防场景、更严谨的法律法规要求。
参考文献
- https://elevatesecurity.com/
- https://www.crunchbase.com/organization/elevate-security
- 《Understanding Security of the Cloud: from Adoption Benefits to Threats and Concerns》
- https://www.gartner.com/doc/3950454
- Top Cybersecurity Trends for 2016-2017, Gartner Security & Risk Management Summit 2016