RSAConference2021將于舊金山時間5月17日召開，這將是RSA大會有史以來第一次采用網(wǎng)絡(luò)虛擬會議的形式舉辦。大會的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網(wǎng)絡(luò)安全行業(yè)技術(shù)創(chuàng)新和投資的風向標。

前不久，RSA官方宣布了最終入選創(chuàng)新沙盒的十強初創(chuàng)公司：WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、WIZ。

綠盟君將通過背景介紹、產(chǎn)品特點、點評分析等，帶大家了解入圍的十強廠商。今天，我們要介紹的是廠商是：deduce。

公司介紹

Deduce于2019年5月創(chuàng)立，總部位于美國紐約[1]。公司創(chuàng)始人、現(xiàn)任CEO Ari Jacoby具有豐富的創(chuàng)業(yè)經(jīng)驗，是Circulate，Voicestar，Solve Media等技術(shù)服務(wù)類型公司的創(chuàng)始人之一。目前Deduce經(jīng)過兩輪融資，處于種子輪次的融資階段，融資規(guī)模達730萬美元。

Deduce能夠向不同規(guī)模的企業(yè)，提供成熟的行業(yè)級用戶身份及行為分析接口，幫助企業(yè)構(gòu)建身份認證風險分析、身份欺詐檢測及用戶告警能力，以輔助企業(yè)對抗?jié)撛诘墓粜袨?，滿足合規(guī)要求以及提升客戶的信任度。如果從本屆RSAC的主題“Resilience”來看，Deduce公司通過打造身份智能，為企業(yè)及其客戶提供基于數(shù)據(jù)與分析的身份安全彈性。

背景介紹

調(diào)查表明，2020年由用戶身份失竊、濫用、欺詐等攻擊造成的關(guān)聯(lián)損失高達560億美元，并已成為發(fā)展速度最快的網(wǎng)絡(luò)空間威脅之一。企業(yè)的客戶身份被竊取、盜用，帶來的不止是由數(shù)據(jù)泄露、資產(chǎn)失陷、交易欺詐等攻擊導致的直接經(jīng)濟損失，所產(chǎn)生的用戶信任度降級，將給企業(yè)業(yè)務(wù)和信譽帶來持久和深遠的影響。

為應對網(wǎng)絡(luò)空間威脅的動態(tài)演進，Gartner提出的自適應風險和信任評估框架CARTA（Continuous Adaptive Risk and Trust Assessment），為業(yè)界帶來系統(tǒng)的防御視角。其中，針對用戶身份、設(shè)備的認證與訪問，CARTA給出了自適應訪問保護（Adaptive Access Protection）框架[4]，如圖1所示。

圖1 CARTA Adaptive Access Protection架構(gòu)圖

該框架的核心在于，需要對用戶身份、設(shè)備、應用、行為及關(guān)聯(lián)信息，提供持續(xù)的可見性與核實，來適應業(yè)務(wù)的動態(tài)需求與網(wǎng)絡(luò)環(huán)境變化。類似于針對攻擊防護的“預測-預防-檢測-響應”的PPDR循環(huán)，針對訪問防護也需要構(gòu)建需求發(fā)現(xiàn)（Discover requirements）-自適應訪問（Adaptive access）-用途驗證（Verify usage）-用途管理（Manage usage）的防護閉環(huán)，以提供持續(xù)的、可迭代的訪問控制及防御能力。

Deduce公司提供的產(chǎn)品及方案，正是針對身份欺詐這一主要業(yè)務(wù)領(lǐng)域，主要涵蓋CARTA訪問防護的用途驗證（Verify usage）與用途管理（Manage usage）這兩個階段，為企業(yè)提供成熟的并且可適應企業(yè)業(yè)務(wù)流的客戶身份及行為動態(tài)分析接口，能夠有效降低中小型企業(yè)自建相關(guān)能力的成本。

產(chǎn)品介紹

Deduce官網(wǎng)目前主要提供了兩款SaaS產(chǎn)品，分別是“Customer Alerts”和“Identity Risk Index”。

Customer Alerts，即客戶告警，能夠檢測用戶登錄行為的異常，并觸發(fā)告警通知到客戶，以供客戶決策判斷，是否是其個人行為。該產(chǎn)品功能目標，是在企業(yè)原有的認證流程之外，提供用戶登錄訪問行為異常的告警。Deduce該產(chǎn)品的賣點在于，能夠向中小型企業(yè)提供成熟的身份登錄異常驗證的接口，并只需按需付費。

Deduce提供一個用于分析客戶當前設(shè)備及地理位置信息的API，可無縫集成到企業(yè)的業(yè)務(wù)流程當中，如圖2所示。

圖2 Deduce Customer Alerts工作流

該API調(diào)用過程中，需企業(yè)采集用戶的設(shè)備標識信息和地理位置信息。根據(jù)采集的數(shù)據(jù)樣本，基于可配置的規(guī)則，Deduce分析用戶關(guān)聯(lián)設(shè)備及登錄點地理位置的異常，進而觸發(fā)告警，并以企業(yè)定制的模板發(fā)送給客戶，請求客戶確認。該API的結(jié)構(gòu)如圖3所示。

圖3 Deduce Customer Alerts API示例

Identity Risk Index，該產(chǎn)品提供針對身份關(guān)聯(lián)行為的風險分數(shù)計算。用來預防和檢測由社交釣魚或信息泄露引發(fā)的身份盜用、賬戶失竊、交易欺詐等惡意行為，同時幫助企業(yè)提升用戶信任和滿足合規(guī)需求?；镜墓δ苋鐖D4，選自官網(wǎng)展示的功能示意圖。

圖4 Identity Risk Index功能示意

Identity Risk Index產(chǎn)品即身份風險指標。可直觀的理解為基于大數(shù)據(jù)的用戶身份異常檢測及風險評估。由于該功能公司未給出具體的技術(shù)細節(jié)介紹，我們無從得知其技術(shù)內(nèi)核的實現(xiàn)方法。

從當前業(yè)界類似產(chǎn)品及技術(shù)的層次來看，實現(xiàn)有效的基于身份的風險分析依賴兩個關(guān)鍵條件，一個是大規(guī)模的用戶身份行為數(shù)據(jù)及情報數(shù)據(jù)，另一個是以UEBA為代表的異常行為分析技術(shù)棧。從Deduce的宣傳資料和相關(guān)報道來看，大規(guī)模收集的身份及行為數(shù)據(jù)集是支撐其Identity Risk Index產(chǎn)品技術(shù)的核心。Deduce通過持續(xù)的運營積累，打造了Identity Network身份及行為數(shù)據(jù)庫。在滿足GDPR和CCPA合規(guī)要求下，Deduce從超過15萬網(wǎng)站和應用，收集了涉及超2億個美國賬號及其相關(guān)認證、訪問、交易等行為的信息和數(shù)據(jù)。這些賬號及身份數(shù)據(jù)在Identity Network以哈希的形式進行了匿名化，以保護用戶的個人隱私。

我們可以看到，Deduce通過這種搭建平臺、提供服務(wù)的方式，在向企業(yè)提供客戶身份行為分析能力的同時，也在授權(quán)下持續(xù)收集不同站點、應用的相關(guān)信息。這種大規(guī)模、多維度數(shù)據(jù)集的構(gòu)建，能夠為Deduce持續(xù)提供行業(yè)的影響力及技術(shù)核心競爭力基礎(chǔ)。

除了數(shù)據(jù)層面的機制，我們只在Deduce宣傳中看到使用了機器學習方法來識別身份行為異常，并能夠?qū)①~戶竊取的傷害降低90%。我們尚未看到具體的分析方法及模型的介紹。

公司解讀

身份的管理及關(guān)聯(lián)行為的分析，已成為網(wǎng)絡(luò)安全邁入主動防御和零信任時代后，威脅檢測與響應的關(guān)鍵技術(shù)手段。Deduce提供的兩款產(chǎn)品，針對身份風險分析，提供了不同的服務(wù)價值。Customer Alerts產(chǎn)品通過簡潔的API，能夠無縫的集成到企業(yè)已有的身份認證業(yè)務(wù)流中，提供信息收集、基于設(shè)備和位置的異常分析、用戶告警通知和用戶決策反饋收集服務(wù)。Identity Risk Index產(chǎn)品則基于Deduce的Identity Network數(shù)據(jù)集，提供具有更高維度、更深層次關(guān)聯(lián)的深度身份及行為風險分析服務(wù)，能夠與IAM系統(tǒng)打通，根據(jù)量化的身份及其行為風險值，來調(diào)用不同級別的認證方法，以增強對身份欺詐等攻擊行為的防御能力。

相較而言，Identity Risk Index產(chǎn)品更值得我們深入的關(guān)注?；赟aaS的運營模式，該產(chǎn)品能夠為企業(yè)提供一個匿名化的身份及行為數(shù)據(jù)湖資源?；谠摂?shù)據(jù)湖，Deduce有機會提供深度的身份風險評估能力，例如可實現(xiàn)通過單一身份不同應用、站點的多行為維度與長周期記錄跨度，實現(xiàn)細粒度的身份行為特征畫像，進而提供更精準的風險評分指標。更關(guān)鍵的，基于身份社交網(wǎng)絡(luò)的學習，能夠識別可疑的行為傳播規(guī)律、異常社區(qū)行為以及欺詐團伙行為。如下圖5所示，就是基于身份認證與訪問行為數(shù)據(jù)的社區(qū)分析方法[5]，該技術(shù)方案來源于同為身份欺詐檢測領(lǐng)域的創(chuàng)業(yè)公司Silverfort。在身份行為數(shù)據(jù)湖的基礎(chǔ)上，通過抽取身份（圖中圓點）、服務(wù)端點（圖中三角點）等實體的關(guān)聯(lián)，以及訪問行為的統(tǒng)計屬性，構(gòu)建圖左側(cè)的實體行為關(guān)聯(lián)網(wǎng)絡(luò)。進而，基于Louvain社區(qū)發(fā)現(xiàn)算法，能夠?qū)⒕W(wǎng)絡(luò)中的實體和行為劃分為多個社區(qū)，如圖右側(cè)的顏色標注。最終，在該社區(qū)劃分結(jié)果上，可得到更多維度的分析結(jié)論，如定位高度異常的特定類型社區(qū)活動、抽取有跨社區(qū)行為的高風險身份實體等等。盡管Deduce官網(wǎng)并未給出Identity Risk Index產(chǎn)品的詳細技術(shù)方案，其Identity Network數(shù)據(jù)庫的構(gòu)建足以給我們帶來更多的技術(shù)想象空間。

圖5 基于認證和訪問行為的社區(qū)發(fā)現(xiàn)

除了以上產(chǎn)品特性，能夠進入RSAC創(chuàng)新沙盒十強，Deduce有其獨特的“商業(yè)化”的技術(shù)理念。首先，通過SaaS模式向中小型企業(yè)提供簡單易用的身份認證分析告警接口，減輕企業(yè)自建和維護成本的同時，能夠提供足以匹敵FAANG（Facebook, Apple, Amazon, Netflix, Google）等大型企業(yè)類似功能的身份賬戶異常分析機制，這與Deduce“Democratize Cybersecurity”——民主化網(wǎng)絡(luò)安全的企業(yè)愿景相契合；其次，提供服務(wù)的同時，Deduce在合法合規(guī)的策略下，構(gòu)建了具備相當大規(guī)模及多樣性的匿名化身份行為數(shù)據(jù)庫，這能夠讓投資者看到Deduce當前所具備的“數(shù)據(jù)壁壘”。于此同時，通過可持續(xù)的服務(wù)提供與信息采集，Deduce的Identity Network能夠為該公司提供亦可持續(xù)的技術(shù)演進和優(yōu)化保障機制。

可以預見，創(chuàng)新沙盒評委對Deduce可持續(xù)身份數(shù)據(jù)運營的商業(yè)模式的認可程度，以及對身份欺詐領(lǐng)域技術(shù)市場的期待度，將是決定Deduce本次創(chuàng)新沙盒能否進入前三的關(guān)鍵因素，讓我們拭目以待。