2020年2月24日-28日，網(wǎng)絡安全行業(yè)盛會RSA Conference將在舊金山拉開帷幕。大會的創(chuàng)新沙盒環(huán)節(jié)備受矚目，成為全球網(wǎng)絡安全行業(yè)技術創(chuàng)新和投資的風向標。

前不久，RSAC官方宣布了最終入選今年的創(chuàng)新沙盒十強初創(chuàng)公司：AppOmni、BluBracket、Elevate Security、ForAllSecure、INKY、Obsidian、SECURITI.AI、Sqreen、Tala Security、Vulcan。

綠盟科技將通過背景介紹、產(chǎn)品特點、點評分析等，帶大家了解入圍的十強廠商。今天，我們要介紹的是廠商是：Elevate Security。

公司介紹

Elevate Security于2017年1月創(chuàng)立[1]，總部位于美國舊金山灣區(qū)。兩位創(chuàng)始人Masha Sedova和Robert Fly都是前Salesforce負責安全和信任管理的高管，有豐富的安全管理經(jīng)驗。公司經(jīng)過兩輪融資，目前處于A輪融資階段，融資規(guī)模1000萬美元[2]。區(qū)別于多數(shù)重點關注技術(Technology)與流程(Processes)的安全創(chuàng)業(yè)公司，Elevate基于對當前網(wǎng)絡安全風險的洞察，提供針對人(People)的安全行為改善平臺及定制化方案，能夠通過對員工行為的評估測量、數(shù)據(jù)可視化提供對企業(yè)多層次的風險監(jiān)控，進而提供個性化的員工評級反饋以及增強的安全培訓。Elevate Security正契合今年RSAC的“Human Element”主題，有些“應運而生”的意思，想必這也是助力它進入了創(chuàng)新沙盒決賽的一大因素。

背景介紹

2014年IBM安全服務的一項研究表明，95%的網(wǎng)絡安全失陷是人為錯誤造成的。而近期卡巴斯基的研究則表明91%的涉及公有云用戶數(shù)據(jù)泄露事件的公司聲明社會工程學是其所遭受攻擊活動的一個環(huán)節(jié)[3]。人為因素一直以來都是網(wǎng)絡空間安全的重要一環(huán)。隨著各種安全防御自動化技術、產(chǎn)品、平臺的涌現(xiàn)，大幅提升了攻擊者入侵的難度。然而，在安全、利益攸關的關鍵場景下，由利益驅(qū)動的攻擊者無縫不鉆，高級持續(xù)攻防的戰(zhàn)場逐漸浮出水面。當前，即使是前沿的人工智能驅(qū)動的防御手段，也愈發(fā)強調(diào)“human-in-the-loop”的人機閉環(huán)協(xié)同能力。人既是防御環(huán)節(jié)的重要組成，也同時可能成為攻擊者突破防御的脆弱點。

隨著網(wǎng)絡安全成為全球各方的關注熱點，網(wǎng)絡安全從業(yè)者愈發(fā)感受到所處行業(yè)對世界的影響力。而這種影響力也逐漸通過各類安全教育、突發(fā)的安全事件、常規(guī)化的安全律法，深入到所有人的工作生活中。正如普通人愈發(fā)認識到到個人的健康管理尤為重要，大中小型企業(yè)乃至個人的網(wǎng)絡安全意識、安全習慣、安全行為，將深刻影響到個人以及所處組織的安全基礎。然而網(wǎng)絡安全文化氛圍的形成任重而道遠，從業(yè)者對安全能力提升和發(fā)展的認識也逐漸從追逐更快、更準、更智能的技術、產(chǎn)品，轉(zhuǎn)而更加關注“以人為本”的技術、流程、法規(guī)甚至習慣和文化的新層次。

Gartner在自適應安全的體系[5]中，明確地將People-Centric作為了一個重要原則，在整個以人為本的安全體系內(nèi)，安全教育是基石，只有提高員工的安全意識和安全技能，才能有效減少各種安全機制運行的開銷，提升整個安全體系的運轉(zhuǎn)效率。

行業(yè)已經(jīng)有不少公司做安全意識培訓(Security Awareness Training)，Gartner也發(fā)布過魔力象限[4]。大部分傳統(tǒng)安全意識培訓產(chǎn)品的主要競爭力在于系統(tǒng)的、科學的培訓內(nèi)容，以及與內(nèi)容相匹配的計算機培訓輔助系統(tǒng)。而這些內(nèi)容和工具則主要是圍繞通過“培訓”以提升“意識”的目標而構(gòu)建的，這導致安全意識的提升過程更類似對機器打補丁升級的過程，難以明確度量個人在這一過程中的行為變化，而潛在的風險正蘊含于諸多人的行為細節(jié)當中。

Elevate Security提供的平臺旨在通過統(tǒng)一的可視化手段，監(jiān)測、管理員工的安全行為，并提供助于提升企業(yè)安全文化的郵件反饋和安全教育資源，以可量化的方式促進員工安全行為的改善，幫助企業(yè)管理者有效降低員工人為因素關聯(lián)的安全風險。有了評價指標，就能形成閉環(huán)，幫助企業(yè)迭代地改善員工在安全防護中的主觀能動性，提高企業(yè)整體的安全防護水平。

產(chǎn)品介紹

Elevate平臺主要提供以下四個功能模塊，Reflex提供網(wǎng)絡釣魚郵件攻擊模擬及相關結(jié)果評估;Vision是一個儀表盤，將釣魚郵件攻擊模擬結(jié)果及通過API集成的其他員工人為因素相關安全數(shù)據(jù)統(tǒng)一整合及分析，具備部門級和個人級的下鉆視圖;Pulse提供可配置的、基于郵件的員工評級反饋系統(tǒng)，以個性化的方式向員工提供整體的以及多個內(nèi)容模塊的安全行為評級;Hacker’s Mind提供攻擊者視角的安全培訓，以針對性提升關鍵部門、高風險員工的安全意識和防護能力。

基于以上四個功能模塊，提升組織內(nèi)部人員安全意識、培育安全文化可以分步進行，即通過Reflex完成釣魚郵件攻擊模擬，建立安全基線評級;通過Vision儀表盤分析并跟蹤企業(yè)各層級人員的整體、總體安全行為風險;通過Pulse郵件評分卡機制反饋人員行為評分，激勵行為改進;最后，針對高風險個人或部門，提供針對性個性化的安全培訓強化。

Elevate提供了平臺的基本試用功能，在此簡單介紹。該互動式Demo主要包括Vision和Pulse兩部分?？梢钥吹絍ision Dashboard提供的視圖很簡約。從部門級別上，包括總體安全風險值、風險分布、部門評分以及行為映射。行為映射(Behavior Map)是以部門為單位，對所收集的安全行為數(shù)據(jù)的整合評級，直觀反映部門在各維度上，包括整體、桌面清理、惡意軟件、密碼安全、釣魚攻擊測試、培訓等維度的風險等級。從當前信息看，該Elevate Demo所集成和展現(xiàn)的大部分數(shù)據(jù)源需要通過外部API接入，平臺內(nèi)部只提供基于Reflex的釣魚郵件攻擊模擬的評級數(shù)據(jù)。

Vision視圖下還提供各部門內(nèi)部的總體和個人評級及排序，提供更細節(jié)、直觀的安全風險視圖。

在Pulse標簽下，提供Campaigns功能。該功能應可提供可配置的，基于郵件的安全評級反饋及管理。在Demo中，只能夠向試者用郵件發(fā)送樣例反饋郵件，包括不同等級評分的三份郵件。以一份評級為“Sturdy”的反饋郵件為例，評分分為Phishing & Reporting、Password Manager、Training、Malware、Clean Desk這五個部分，對應Vision儀表盤中集成的五項內(nèi)容。每一項內(nèi)容都有對應具體內(nèi)容，例如對于Phishing & Reporting，包含釣魚郵件攻擊的具體時間、員工個人評估結(jié)果以及與同部門其他員工的橫向?qū)Ρ冉Y(jié)果。當然，如果某一項評估達標，郵件中會有類似于徽章的激勵機制，以鼓勵員工集齊所有安全徽章，完成對應的完全行為標準。

公司解讀

“以人為本”，以人及其行為為核心，關注人員因素在網(wǎng)絡空間安全中的關鍵作用，從組織、策略、流程、法律法規(guī)等角度持續(xù)管理、監(jiān)控企業(yè)安全風險，進而針對性、系統(tǒng)性的發(fā)現(xiàn)脆弱性，降低安全風險，已成為網(wǎng)絡安全防御的關鍵一環(huán)。國內(nèi)許多大型企業(yè)的安全管理部門也開始具備包括職工安全培訓、安全評估檢查等能力。Elevate Security基于平臺提供的釣魚郵件攻擊模擬、可視化分析、郵件反饋系統(tǒng)及場景式的安全培訓能力，向業(yè)界提供了一個企業(yè)安全文化培育的平臺化范本，能夠給各類型組織對個人安全行為的管理機制和方法提供有力的模板。同時，以面向人的安全行為因素在網(wǎng)絡安全場景下的風險管控閉環(huán)為主題，講述了一個完整并且切中管理痛點的好故事。不止于此，Elevate Security提供的不止是思路和機制的創(chuàng)新。該公司基于已有平臺，提供面向各客戶組織的定制化解決方案，包括數(shù)據(jù)接入、安全流程等層面的定制和咨詢，這些平臺技術之外的能力補充同樣是該公司的核心競爭力。

從現(xiàn)有資料來看，Elevate平臺提供的功能可以用簡約而不簡單來概括。Elevate平臺所展現(xiàn)的功能一目了然，也沒有呈現(xiàn)復雜的流程，平臺背后所使用的技術不是其核心競爭力。“Let's target security behavior change, not awareness.”Elevate的核心功能路線很清晰，以員工安全行為的改善作為目標，提供包含定制化的數(shù)據(jù)測量、集成、分析、反饋、行動(培訓)的流程迭代和閉環(huán)，以及持續(xù)的、量化的風險評估機制與平臺，提升管理者對企業(yè)整體到員工個人的安全風險等級的洞見、監(jiān)控和管理能力。以量化的方式關注人的安全行為改善而不停留于填鴨式的安全培訓，Elevate Security是打破傳統(tǒng)安全意識培訓產(chǎn)品形態(tài)固有思路的先行者。相信未來Elevate平臺會提供更多的平臺化組件，滿足各類型組織對內(nèi)部人員的動態(tài)、持續(xù)、自適應的安全行為風險量化評估與安全行為提升需求，以適應更高級的攻防場景、更嚴謹?shù)姆煞ㄒ?guī)要求。

參考文獻

[1] https://elevatesecurity.com/

[2] https://www.crunchbase.com/organization/elevate-security

[3] 《Understanding Security of the Cloud: from Adoption Benefits to Threats and Concerns》

[4] https://www.gartner.com/doc/3950454

[5] Top Cybersecurity Trends for 2016-2017, Gartner Security & Risk Management Summit 2016