創新沙盒,誰會是被收購目標? - RSAC2019之二

DJ的札記2019-03-23 20:23:39

前天,Verizon宣佈收購2016年創新沙盒入圍公司ProtectWise。上週,PANW以5.6億美元收購Demisto,繼2016年創新沙盒冠軍Phantom被Splunk收購後又一自動化領域的成功實例。毫無疑問,自動化已經成為安全必備能力,正如筆者2016年下一座聖盃文章所寫的趨勢。如果2015年開始做自動化,執行得力,只需三年時間就可能成為收購目標。在成熟市場,創新公司被收購退出一般有兩種原因,一是新技術或新產品在市場上領先,且與收購公司的能力形成互補加強,二是新產品已經相對成熟,規模明顯超過第二三名許多,行業領頭羊地位難以動搖;不管哪種收購,目標都是壟斷細分市場以期未來增長。反觀國內市場,以短期增加收入數字為目標,其中差距可見一斑。


上篇提到筆者看去年安全市場增長並不樂觀;本篇發稿時已經實錘,上市公司增長放緩對行業是次重擊。此時,健康的收購生態,對安全創新大有裨益,愈發顯得重要。創新沙盒歷史上也有很多成功收購,例如Phantom、Cylance、SkyHigh、Appthority等等。讓我們一起來看看本屆入圍者有哪些存在被收購可能。




CloudKnox


CloudKnox提供統一的混合雲身份特權生命週期管理平台,以顯著降低憑證丟失、誤操作、和內部威脅所造成的風險。最小化權限、自動化、基於風險、動態更新,一直是安全從業者努力的目標。



CloudKnox的產品思路有一條最根本的假設判斷:基於角色的訪問控制RBAC,會不可避免地造成用户獲得比實際需要更多的特權。此判斷是否正確,見仁見智。於是CloudKnox提出新概念Activity-based Authorization,基於活動的授權,持續監控權限使用活動來決定授權或註銷。很高大上的創新是不是?讀者一定聽説過基於屬性的訪問控制ABAC,活動當然也算屬性的一種,又回到ABAC範疇,很難説有什麼創新。屬性按照ABAC的定義,本就包羅萬象,還可以是血液中酒精含量、體温度數。也許讀者們會覺得太扯了,可現在宣傳很猛的軟件驅動汽車概念,醉酒者能開車門聽音響,卻不能點火發動機,就是ABAC的典型應用。軟件遲早會定義一切,身份特權自然也無處不在。


ABAC最大的優勢是支持動態授權,可以根據多個實時的用户屬性和系統屬性,計算在當前時點是否給予權限,正如上述安全駕駛的場景。近年來,RBAC也發展出有限的動態授權能力,例如臨時增加用户的角色等等,這些辦法也可以部分解決CloudKnox提出的問題。可見,模型和技術都是處於不斷髮展狀態中,深刻理解其含義並加以靈活應用,遠比死抱着名詞侃侃而談更有價值。



RBAC也是業界使用多年的最佳實踐。最小權限原則當然能被RBAC所支持,只要將角色配置成完成任務所需的最小權限集。但在實際落地中還是會出現種種不足。首先,角色定義數量容易過少,單個角色職責過多,造成權限授予普遍過多。其次,授權與管理過程必然存在組織架構和崗位信息不流暢和調整不靈活的侷限,導致實際操作中常見增加授權而幾乎不做減少,而此類過度授權會產生本可避免的重大風險。管理嚴格且執行力強的企業,有能力通過制度流程避免類似問題出現。不過,相當部分企業的安全團隊缺乏足夠影響力,也就無法強制推行細粒度合適的嚴格RBAC落地實施。CloudKnox對這種場景擁有緩解權限濫用的實際價值。


在具體實施中,CloudKnox可能會存在些許不便。剛剛夠特權的概念,JEP (Just Enough Privileges),聽上去很美,可是應該怎麼規劃特權的細粒度呢?舉個最簡單的例子,一個5人團隊管理着800台服務器,是按羣組還是按單台授權呢?如果一位成員管理200台服務器,而過去兩週,他只登錄了30台,剩餘170台沒有碰過,那是不是30台就是他剛剛夠的權限?是不是應該剝奪他對那170台的權限?誰來判斷什麼是剛剛夠的水平?剝奪或追加授權流程應該如何設計?實際情況會更加複雜,各種主機、容器、存儲、中間件、Serverless、應用等等的組合,過細的權限控制容易造成日常工作舉步維艱,會不會導致JEP形同虛設?沒有銀彈。沒有包治百病的產品。安全團隊需要的是能有效支持其運營的能力平台。



請讀者花兩分鐘時間仔細觀察上圖界面。紅框內有657個細分特權可供授予。一點也不誇張,在真實的生產和測試環境中,是會存在如此之多的任務權限。這也是為什麼業界認為RBAC是目前最佳實踐。角色方式已經是公認兼顧細分權限和實現代價的較優平衡點。ABAC概念提出很多年,迄今只在小範圍內應用,原因只有一個,實現過於複雜,維護資源要求太高。Less is more. 如果能用RBAC完成的任務,千萬不要炫技使用ABAC:簡單的策略往往容易執行無誤,而複雜的策略常常看起來美好,執行時錯誤百出,導致嚴重後果。



總體來看,CloudKnox作為單獨的方案,適用性較窄,遠不及IAM和PAM的市場需求規模,不增加新產品線的話很難獨立發展壯大。其身份行為審計的功能,確實抓住了混合雲的痛點之一。官方所説使用機器學習發現行為異常的能力,筆者本來想深入研究一下,然而並沒有從產品界面中找到任何端倪,不過,檢測規則積累也有一些,可以參考。其產品完善度和細節都還可以,未來也有擴充功能的潛力。所以,它還是有可能被髮力混合雲的巨頭收購,用以快速補足能力欠缺。這也僅限於企業身份系統能力積累較弱的廠商。微軟擁有強大的Active Directory產品、以及傑出的異常審計能力,並不會表露太多興趣,即使要收購也是戰術狙擊其它CSP。




Axonius


Axonius是一個網絡安全資產管理平台,它允許IT團隊和安全團隊看到設備並瞭解如何管理和保護所有設備。各廠商都有資產管理功能,例如終端有殺毒、EPP和EDR,網絡有漏掃和NGFW等,虛擬化平台等等也都有,但都限於某個細分領域,沒有全局資產庫。所以,安全團隊無法得知各個系統所管理的資產之間的關係,也無法整合以完善所有資產屬性。Axonius擁有眾多產品的適配器,可以通過API獲取這些廠商的設備日誌。



以色列公司技術就一定好嗎?A輪1300萬美元好嚇人。官方宣傳是資產管理,於是大家翻譯英文介紹,就信以為真了。資產管理需求一直存在,動態管理尤其是個痛點,但是,只需採集其它設備日誌這種取巧方式真得好嗎?答案顯然是否定的。其實,Axonius只能做個沒有agent的閹割版桌管用。不信?讓我們看看官方宣傳的能力。



看看這個Windows 8終端上都裝了多少agent。



終端基本信息。



安裝的軟件。



打過的安全補丁。



用户列表。


這些功能都是標準桌管必備的,裝個agent輕鬆獲取。即使沒有桌管,使用思睿嘉得EDR唾手可得上面的信息。更重要的是,這只是EDR眾多檢測能力外附贈的一小部分。性價比高下立判。


更進一步,桌管和EDR擁有更多更強大的功能,例如准入、推送、檢測、調查、響應等等,遠遠不是隻會索引查詢其它廠商設備日誌的Axonius所能比擬的。


對於沒裝agent的設備呢?Axonius也可以從其它廠商產品那裏抓數據。



然後就沒了!沒有任何下文!因為Axonius得不到這些設備的信息。説好的資產可視和理解呢?嚴重受制於其它廠商的資產發現能力,連多一步都不肯做。


產品經理有一項日常糾結:在眼前這個功能上,究竟是要多走一步,還是保持簡潔?想回答好此問題,需要權衡用户需求是否為痛點,以及研發投入的邊際效應。在筆者看來,Axonius固步於產品最初定義的狹窄範圍,沒有真正思考最終使用者日常工作場景,在功能上缺陷明顯。


等等,是不是還差了一塊資產?沒錯,萬一存在其它廠商設備發現不了的新資產呢?你也不能指望Axonius能發現!


請原諒筆者忍不住用了太多的歎號,實在是遇到了匪夷所思的產品設計。Axonius就打算做某些安全設備日誌的查詢,這讓企業裏部署的SIEM情何以堪。


如果讀者想發現內網中的未知設備資產,使用思睿嘉得NDR可以實現基於流量的資產發現,無需那些必須事先部署好並且擁有Axonius適配器的產品。而且,沒有agent的設備,NDR也很努力地去發現詳細信息,如下圖所示。更重要的是,這只是NDR眾多檢測能力外附贈的一小部分。重複一次,性價比高下立判。



Axonius的產品過於簡單,沒有創新技術,沒有競爭壁壘。查詢做得再好,界面再易用,適配器再多,也並沒有什麼價值。有錢的企業,早就買過Splunk了,流行國外廠商產品都有forwarder適配。有人的企業,自己用Elastic Stack開發一個也在情理之中,還有自研業績向領導彙報,去展會演講,何樂而不為。即使是部署老舊SIEM的企業,恐怕上個資產管理模塊也能達到相同效果。資產發現和管理是很重要的基礎能力,但是一味取巧沒有深入紮根的產品,正如沙礫上建城堡,經不起風浪拍打。


既沒創新技術,又缺乏亮點能力,Axonius並無收購價值。




Salt Security


Salt的目標是保護SaaS、Web、移動、微服務、和物聯網的核心組成的API。其官方宣稱創造了首個擁有專利的解決方案,通過行為分析來防止迫在眉睫的針對API的威脅。核心檢測能力是行為分析。


也許很多讀者沒有讀過2015年筆者關於安全發展趨勢的預測:數據是新中心,身份是新邊界,行為是新控制。不出所料,本屆入圍者繼續作出了驗證。Duality和WireWheel核心業務是保護數據,而ShiftLeft這樣做代碼審計的也不遺餘力主打宣傳檢測程序中的數據泄露風險,Salt也説要發現API中的敏感數據。CloudKnox檢測混合雲中的身份特權風險,正應了身份是新邊界,而Arkose專注的也是設備的身份,當然此場景下讀者聽到的更多炒作是零信任架構。Salt和Capsule8都強調其使用了行為分析技術,本屆RSAC中的熱點演講議題ATT&CK框架也是行為分析的傑出代表。


API商業大潮已經勢不可當。如果覺得會止步於此,那還是低估其未來潛力了,目前顯露的只不過是冰山一角。API經濟將會是Serverless架構的支柱,而Serverless是雲計算的下一代;計算能力抽象是大趨勢。讓我們拭目以待。


Salt顯然不是第一家推出API安全產品的。早在四五年前,軟件業界曾掀起一波API管理公司收購浪潮,眾多巨頭Oralce、Red Hat、CA、Salesforce等,都通過多次收購完善了自己的產品服務包,其中自然也包括API安全。所以,與大眾想象不同,API安全市場並不是藍海。如果API管理平台提供基礎安全能力,客户會另行採購其它供應商嗎?此問題答案顯而易見,請參考雲基礎安全能力與雲服務商的發展。因此,想在此領域發展壯大,唯一的機會是深入再深入,提供更加複雜的檢測響應能力。



Salt的產品分為三部分,發現、阻斷、補救,聽上去中規中矩,做API安全都會如此設計。不幸的是,翻遍互聯網,找不到任何有關其產品服務的更詳細資料,連份部署方式説明都沒有。通常來講,這意味着其產品極度不成熟。筆者關心的技術點疑問一個都沒有答案。例如,其宣稱發現模塊可以識別API使用中出現的PII數據;而API最佳實踐要求加密傳輸數據,按Salt宣稱的部署簡易度,看起來是鏡像網絡流量,恐怕對加密束手無策。筆者公司的DLP也幫助用户監控API傳輸敏感數據甚或文件,不過,絕大部分時候,需要獲取業務系統的證書並理解其特有加密方式,以解密流量並識別內容,或者使用其它手段。此外,如果只接入日誌,其實並不夠,因為無法深入獲取傳輸內容。


Salt宣稱使用AI,基於細粒度API合法行為建立正常行為基線,實時對API行為進行監控,一旦檢測到API活動中出現偏離基線的行為,即作為可疑惡意行為評估,可以在攻擊者的偵察階段實時防止API攻擊的發生。這句話跟沒説一樣,看來也是受了Darktrace宣傳手段的啟發。請給我們界面效果和算法實現證據,眼見為實。市面上很多批評國內廠商假大空宣傳的聲音,其實國外廠商也好不到哪裏去。


Salt宣稱,防護階段對攻擊者行為快速評估的結果,可向安全團隊提供有價值情報,並向開發人員提供API源代碼相關漏洞信息,以便從根源上阻止攻擊,進而提高API安全性。筆者非常希望看到Salt的實現效果,目前還是沒有任何資料。Salt如何判斷某個API接口存在漏洞?出現的原因是什麼?被利用的場景?如何給漏洞重要性排序?漏洞的分類模型?向開發團隊提供那些漏洞內容才有幫助?如何能給出補救措施建議?這些都是關係到產品成敗的核心問題。



筆者關注API安全已經有一段時間了,不過到目前為止,還沒看到讓人眼前一亮的解決方案。做API安全產品還有很多個疑問需要回答,方向性決策不容馬虎,例如是否支持CSP的API網關會更有市場,是否支持OpenAPI標準,API流可視化是否重要,自動化測試的價值有多高,等等。這次筆者打算去RSAC展台上拍幾張Salt產品界面照片再做進一步分析。Salt是否有被收購價值,關鍵因素還是看其產品實現程度。






剩下的入圍者分析恐怕來不及寫了。Arkose Labs掙扎許多年後並未拿出獨特技術,感覺還不如國內反欺詐廠商積累深厚;而且在美國信用體系如此發達的環境下,反欺詐創業公司的生存空間極度有限;更甭提GDPR又是一座翻不過去的大山。Eclypsium,硬件是個新方向,但是產品不成體系,過於瑣碎,目前市場空間有限,天花板明顯,做出成績來也難,指望收購的話估值也不會太高。WireWheel創始團隊政治背景強大,奧巴馬政府商業官員,投資者NEA有前商業部長,讀者看官方介紹調子就知道其技術乏善可陳,本公眾號是技術向的,就不做具體評論了。


本文只從技術產品角度討論收購價值,這也是國外收購的主要關注點;並未考慮短期增加市場收入作為目標的影響。目前來看,這些評判標準並不適用於國內市場狀況。


最後,自然是揭曉筆者心目中獲勝者的時刻。從技術創新度來講,Duality和ShiftLeft表現突出,再考慮產品成熟度和市場接受度因素的話,ShiftLeft最終勝出。正如大家所説,冠軍是誰並不重要,創新沙盒比賽入圍者所揭示的安全技術發展趨勢和熱點才是需要我們認真思考的方向,希望本次兩篇系列文章能帶給大家一些啟示。



https://hk.wxwenku.com/d/110027914