日期:
来源:安全客收集编辑:
RSA Conference 2023将于旧金山时间4月24日-27日召开。自2005年以来,“RSAC创新沙盒”一直是最具创新型的初创网络安全公司展示其突破性技术并角逐“最具创新创业公司”称号的平台。
近日,RSA Conference正式公布“RSAC 2023创新沙盒”十强公司,分别为AnChain.AI、Astrix、DAZZ、Endor Labs、Hidden Layer、Pangea、RELYANCE AI、SafeBase、Valence、Zama。RSAC创新十强往往代表着行业最优秀、最耀眼、最具有挑衅性和前沿性的想法的发展方向。安全客联合360天枢智库,推出“RSAC 2023创新沙盒”十强解读专栏,走进入围十强厂商,把脉创新发展趋势。今天,我们要介绍的厂商是:AnChain.AI和Astrix关键词:AnChain.AI Web3安全运营 RSAC2023 创新沙盒 2023年3月22日,美国Web3安全初创公司AnChain.AI入围RSAC 2023创新沙盒十强。摘要:AnChain.ai因其构建首个Web3安全运营平台入选RSAC 2023创新沙盒。该公司是一家人工智能驱动的网络安全公司,旨在增强Web3的风险、合规和安全策略。该公司宣称提供了全球首个保护数字资产的Web3 SOC安全运营中心,也是史上第一家受邀登上RSA创新沙盒舞台的Web3安全公司。AnChain.AI的创始团队来自Mandiant、Fireeye、Pivotal和EMC等网络安全和知名软件公司。目前该公司共获得融资1640万美元。SIG Asia Investments, LLLP等机构投资了该项目。该公司还获得了硅谷和华尔街风投的支持,并曾入选伯克利区块链加速器(Xcelerator)。该公司正在保护数十亿来自10多个国家或地区的100多个客户的Web3数字资产。其涵盖的领域包括:VASP、金融机构和政府,还包括美国SEC、IRS、FINCEN、Salesforce等。AnChain.AI是由来自Mandiant、Fireeye、Pivotal和EMC等网络安全和知名软件公司的资深安全专家创立。联合创始人兼首席执行官Victor Fang在 FireEye Mandiant、Awake Security、Greylock、Pivotal和EMC担任数据科学领导职务方面拥有超过十年的经验。他拥有超过15项用于网络安全和欺诈检测解决方案方面的AI专利。由Victor团队发明的创新机器学习模型在2017年被公认为FireEye的代言人,现在支撑着超过8亿美元的年度产品线,抵御世界上最复杂的APT恶意软件攻击。联合创始人兼首席运营官Ben Wu是在企业大数据和人工智能产品领域的资深专家,在Yahoo、Dell EMC 和 Pivotal 等领先技术公司拥有超过 20 年的工程实施经验。Ben的职业生涯始于2000年在雅虎的第一个产品数据分析管道中构建世界上最大的数据管道,此后一直处于云计算和大数据的前沿。在2021年9月,该公司筹集了由SIG Asia Investments, LLLP牵头的1000万美元A轮融资。2020年4月,该公司共获得了430 万美元的 Pre-A 轮融资。该轮融资由 Amino Capital 和 Susquehanna International Group 共同领投,Susan Mason、Aligned Partners 的 GP、Sand Hill Rd VC 和 Brightway Future 跟投。另外,该公司还获得了硅谷和华尔街风投的支持,并入选伯克利区块链加速器(Xcelerator)。目前,该公司正在保护数十亿来自10多个国家或地区的100多个客户的Web3数字资产。其涵盖的领域包括:VASP、金融机构和政府,还包括美国SEC、IRS、FINCEN、Salesforce等。Web3生态系统面临许多安全挑战,包括从Web2继承的挑战和来自新攻击向量的挑战。如智能合约漏洞、重大黑客攻击、闪贷攻击、退出诈骗和虚假NFT等[1]。AnChain.ai认为在整个Web3行业几乎完全缺乏系统性的网络安全保护框架。 在2022年,有超过40亿美元的Web3数字资产因黑客攻击和网络诈骗而流失。图B-1汇总了Web3行业遭受的重大网络攻击事件。其中纵轴表示黑客攻击导致的损失,横轴表示检测和修复以及恢复应用所花的时间。图B-1 Web3行业遭受攻击事件统计(来源:Anchain.AI)为什么Web3行业成为黑客攻击的重灾区?主要有如下四个方面的原因:针对Web3的每次黑客攻击所导致得平均损失为1.98亿美元。值得关注的是,很多针对Web3的攻击都可以追溯到国家或政府支持的APT组织[2]。洞察2:当前Web3的MTTD(平均检测时间)过慢平均而言,Web3团队需要大约一周的时间(MTTD)才能意识到他们被黑客攻击了。最典型的安全事件是Ronin区块链团队因黑客攻击而导致损失了6.2亿美元[3],也是年度最大的Web3安全事件。Ronin团队花了近5天时间才检测到(Time to Detect)黑客攻击,又花了3个月时间才完成 (Time to Remediate)漏洞修复,然后才最终恢复运营。Web3黑客攻击事件中的MTTR大约是30天。在恢复正常操作之前,需要将近30天的时间来响应和修复黑客攻击,包括修复智能合约、多重签名甚至Amazon KMS中的漏洞等。更糟糕的是,由于攻击面的复杂性、互操作性、开放性、透明度等,修复分散式系统往往比集中式系统更难。显然,停机时间越长,追回被盗资金的机会就会越小。 Web3的攻击面比传统的网络安全更复杂。现有适用于Web2的SOC / SOAR / SIEM 系统不能无缝地应用于Web3环境。因为,Web3去中心化应用程序建立在区块链和智能合约之上。要实现对Web3攻击面的系统性防御的自动化编排对传统网络安全手段而言将是一个巨大的挑战。AnChain.ai利用机器学习、人工智能和区块链技术,为全球的加密货币交易所、数字钱包、区块链游戏和去中心化应用(DApp)等提供安全解决方案。AnChain.ai推出了业界首个Web3 SOC安全运营平台(如图B-2所示)。该平台基于NIST网络安全框架,致力于提高人类分析师的工作效率,推动MTTD、MTTR和复杂Web3攻击面的威胁建模的显着改进。该平台针对Web3事件响应、反洗钱加密货币进行追踪、对智能合约进行安全审计。在其早期试点项目中,该公司宣称其构建了一个系统的工作流平台,使Web3团队的人类分析师能够将他们的MTTD和MTTR成熟度提高10倍。图B-2 AnChain.AI Web3 SOC(来源:AnChain.AI)AnChain.ai的旗舰产品Web3安全运营平台共包含三个核心产品组件:1.AnChain.AI 区块链生态系统情报(BEI):用于监测、分析和检测区块链生态系统中的恶意行为,包括洗钱、欺诈和黑客攻击等。2.AnChain.AI 区块链威胁情报平台(BTI):提供实时的区块链威胁情报,帮助加密货币交易所、数字钱包和其他区块链相关企业保护他们的用户和平台免受黑客攻击和其他恶意行为的威胁。3.AnChain.AI 区块链取证分析:通过数据分析和区块链技术追踪和分析区块链上的非法活动,帮助执法机构打击犯罪行为,保护用户权益。AnChain.AI的产品主要应用于加密货币交易所、数字钱包、区块链游戏和DApp等区块链相关企业。在最佳实践方面,AnChain.AI目前已经与多家知名企业合作,包括Binance、Huobi、OKEx、KuCoin等,成功为这些企业提供了优质的区块链安全服务。据估计,到2030年Web3市场的规模将从2021年的32亿美元增长到惊人的815亿美元,复合年增长率(CAGR)为43.7%[4]。但随着区块链应用的扩大,网络安全事件将随之增加。据《Chainalysis 2021网络犯罪报告》(The Chainalysis 2021 Crypto Crime Report)[5]指出,由于协议攻击造成了20亿美元的损失。Web3 威胁格局正在迅速发展。与Web2安全解决方案相比,在Web3环境中,大多数项目仅采用单层安全解决方案,远远不足以阻止黑客攻击[6]。Web3所面临的威胁格局将变得愈加复杂。AnChain.AI在该领域的主要竞争对手包括CipherTrace、Chainalysis、Elliptic、Scorechain、guardrail.ai等。这些公司也提供类似的区块链安全解决方案, AnChain.AI宣称其优势在于利用机器学习和人工智能技术,能够提供更精准和高效的安全服务。随着全球技术格局的不断发展,Web3被视为互联网的下一个迭代。但是相比Web2而言,Web3所面临的威胁不是减少而是在增多。当前大多数Web3项目仅采用单层安全解决方案,远不足以阻止网络攻击。据统计,在2022年有超过40亿美元的Web3数字资产因黑客攻击和网络诈骗而流失。为了应对Web3所面临的严峻网络安全形势,AnChain.AI借鉴了NIST网络安全框架的防御思路,推出的基于人工智能技术的Web3的安全运营平台,该解决方案最大的亮点是摒弃了提供单一安全工具来解决Web3的某一单一安全问题,而是系统性考虑构建Web3整体安全运营框架,来提供持续安全运营的服务。对AnChain.ai而言,下一个挑战是需要推出一个真正吸引人的商业案例来验证这一思路。关键词:Astrix云优先 供应链攻击 RSAC2023 创新沙盒
2023年3月22日,以色列新一代供应链安全初创公司 Astrix Security入围RSAC 2023创新沙盒十强。
创始人:Alon Jackson和Idan Gour摘要:Astrix因提供为SaaS应用到应用的连接构建SaaS供应链安全解决方案而入选RSAC 2023创新沙盒十强。该公司通过保护IaaS、PaaS和SaaS中的非人类身份,提供对所有SaaS应用程序到SaaS应用程序连接的全面可见性,并自动检测和修复过度特权、不必要和恶意的集成,以应对SaaS供应链攻击、数据泄露、合规违规等威胁。Astrix从“攻击者视角”出发,保护被容易忽略但日益重要的新一代SaaS供应链安全的暴露面,即日益增长的第三方应用集成和连接入口,这区别于其它竞争对手仅针对API本身提供安全保护的思路。该公司由连续创业者Alon Jackson和Idan Gour共同创立,总部在以色列。目前共获得1500万美元融资。Bessemer Venture Partners和F2 Capital等机构投资了该项目。Astrix是由Alon Jackson和Idan Gour共同创立,他们都是行业知名的网络安全专家,在私营部门和以色列国防部的8200精锐网络部队中具有领导经验。在创立Astrix之前,Jackson曾经供职于自动驾驶安全初创公司Argus(被Continental AG收购),他拥有12年的在以色列军队情报部门8200部队服役经验,领导了云安全团队。他拥有计算机硕士学位,擅长加密学。Alon Jackson和Idan Gour认识有超过15年的历史,除了他们在8200部队时共事超过12年,他们甚至住在同一个宿舍超过有6年多时间。Astrix联合创始人Idan Gour曾经加入Deep instinct负责过短暂的机器学习和终端安全产品研发工作。2022年2月,Astrix公司筹集了1500万美元的种子资金,由Bessemer Venture Partners和F2 Capital领投,Venrock和BigID、Datadog、Snyk和 Netflix等20多家网络安全天使投资人跟投。在这项投资之后,Astrix Security于2022年第四季度从Kmehin Ventures获得了额外资金,Kmehin Ventures是一家由来自各种顶尖公司的CISO组成投资公司。近年来,新一代的SaaS供应链攻击一直在上升。在这种攻击中,黑客把滥用第三方SaaS应用程序连接作为访问核心业务系统的手段。许多关于软件供应链安全风险的认知都集中在软件应用程序组件本身,或人类身份与应用程序的连接所存在的安全漏洞。反而忽略了供应链安全风险的另一个关键领域——第三方集成。下面列出近期发生与此有关的五起典型的SaaS供应链新型攻击安全事件。GitHub个人访问令牌攻击事件:2022年12月6日,GitHub的原子、桌面和其他废弃的GitHub所属组织的存储库被一个与机器账户相关的受损的个人访问令牌(PAT)所克隆。恶意行为者随后使用PAT读取这些储存库,其中就包含了大量敏感信息。
Slack GitHub 存储库攻击事件: 2023年1月,威胁行为者通过“有限”数量的被盗Slack员工令牌获得了对Slack外部托管的 GitHub存储库的访问权限,下载私有代码存储库。
CircleCI攻击事件:2023年1月,恶意软件绕过防病毒的保护并控制了工程部门员工的电脑。受感染的电脑允许威胁行为者访问和窃取会话令牌。被盗的会话令牌为威胁行为者提供了与帐户所有者相同的访问权限。威胁参与者绕过双因素认证保护并提升特权,以便访问和泄露客户环境变量、令牌和密钥中的数据。
Microsoft OAuth 网络钓鱼攻击: 2022年12月,恶意OAuth 应用程序被用来窃取客户的电子邮件。 然后,威胁行为者使用这些帐户在Azure AD中注册经过验证的OAuth应用程序,以针对英国和爱尔兰的企业用户进行网络钓鱼攻击。
Microsoft OAuth攻击事件:2022年9月,通过利用OAuth集成,恶意应用程序部署在受感染的云租户上。从那里,他们修改了 Exchange Online 设置以传播垃圾邮件。
这些攻击的共同点是,它们允许黑客利用企业用来连接第三方软件的集成和身份验证工具(如OAuth 或 API 密钥)来破坏资产。这些攻击不同于“经典”软件供应链攻击,例如SolarWinds 漏洞,在这种攻击中,攻击者将恶意代码直接插入到受感染的产品中。以上这些严重的攻击事件揭示了新一代SaaS供应链攻击正在成为一种新的趋势,攻击者利用授予第三方云服务的访问权限作为进入公司最敏感核心系统的后门。Astrix通过提供对所有非人类身份的可见性和治理来降低第三方风险。如通过监控和保护创建SaaS应用连接的所有访问令牌、API密钥和服务帐户(从创建到到期),帮助组织保护应用程序到应用程序的连接。该安全平台使用无代理和低摩擦方法,提供对SaaS、PaaS和IaaS环境(如Workato、Microsoft 365、Slack、Zapier等)中所有访问令牌的全面可见性。这使企业能够识别第三方连接、检测风险、弥补差距并管理每个连接的完整生命周期,以防止出现新的风险。使组织能够确保其核心系统安全地连接到第三方应用程序。1.提供整体可见性。实现确保企业的核心系统通过API密钥、OAuth令牌、服务帐户、SSH密钥和webhook等安全地连接到内部和更多第三方应用程序;发现与核心系统的所有连接;不断发现内部和第三方应用程序与客户核心系统的连接,并获得一个简单、综合的视图(如图B-2所示);2.威胁检测。实现从Salesforce和Microsoft 365到GitHub和Snowflake,Astrix的无代理、非侵入式解决方案,跨SaaS、PaaS和IaaS环境监控核心系统,关注重要的连接风险,仅针对因过度特权、不必要和恶意的第三方连接所导致的供应链攻击、数据泄露和合规风险进行警报;3.快速修复。自用自动化工作流程快速修复和补救滥用非人类身份的攻击,与客户日常IT服务管理工具集成并使最终用户能够解决流程中的安全问题来减轻安全团队的负担;4.全生命周期跟踪。从连接到核心系统的那一刻起就持续监控每个第三方应用程序,并在发生任何重大变化时调整安全控制,以最大限度减少攻击面,暴露可疑或恶意的连接行为、过度特权或未使用的连接以及不受信任的供应商连接。Astrix提供对所有SaaS应用程序到应用程序连接的全面可见性,并自动检测和修复过度特权、不必要和恶意的集成,以防止供应链攻击、数据泄露和合规违规。Astrix的安全平台已经经过了SOC2Type2的认证。目前有金融、旅游、人力资源和汽车等行业的大型企业客户在使用该服务。数据显示,SaaS应用程序市场的年增长率为18%[7]。平均每家企业采用1400个云服务。70%的CIO采用SaaS应用来满足其业务弹性和敏捷性要求。一方面SaaS应用程序市场迅猛增长,安全威胁也是如影随形。据BlueVoyant的《Managing Cyber Risk Across the Extended Vendor Ecosystem 2021》报告显示,93%的公司由于供应链/第三方供应商的缺陷而遭受网络安全漏洞。97%的公司受到供应链中发生的网络安全漏洞的负面影响。过去12个月的平均违规次数自去年以来继续增长(从2.7次增加到 3.7次),同比增长了37%。[8]因此,数字供应链攻击的风险不再局限于核心业务应用程序或工程平台,这些漏洞现在已经随着互连的第三方应用程序、集成和服务网络的激增而扩大。只有新的数字安全治理和安全战略的有效实施才能弥合这一不断扩大的安全威胁。Gartner预测,到2025年,全球45%的组织将在其软件供应链上遭受攻击——比2021年增加三倍。这些攻击次数不仅在增加,而且它们渗透系统的水平和攻击者使用的技术也在不断创新。数据显示,2021年全球SaaS安全市场规模为82.941亿美元,预计到2028年将增长至211.6685亿美元,复合年增长率(CAGR)约为16.90%[9]。另一个数据源显示,快速增长的第三方风险管理市场[10],预计到2025年将达到81.8亿美元,和API安全市场预计到2023年将达到51亿美元[11]。随着越来越多的企业希望减轻用户在环境中暴露的第三方风险,这两个市场都处于增长状态。 随着远程办公和多云环境及SaaS应用的激增,越来越多的组织将第三方应用和自动化技术集成并嵌入到其组织的运营架构之中,以加速企业业务创新和提升其生产力。但是这种与企业关键业务系统连接的第三方SaaS应用在很大程度上是不受监控的。例如,针对Slack、GitHub和Microsoft等软件供应链攻击事件使人们看到针对软件供应链攻击的新方式。攻击者利用了广泛存在的第三方集成和连接带来的漏洞发起的攻击。这种攻击方式不同于“经典”软件供应链攻击(例如SolarWinds漏洞),而且很容易被忽略,但是其破坏性更加严重,已然成为近年来黑客攻击的主要方式之一。要防御这种新型的软件供应链攻击需要新的方法。很多针对软件供应链安全的解决方案仅针对软件本身的漏洞,或者只关注用户访问的安全,也没有关注非人类身份应用到应用之间的访问,对这种广泛连接的API安全更是一无所知,导致API的安全威胁在雷达下飞行。研究表明,77%第三方SaaS应用的安全缺陷在三个月后还未修复[12],44%的企业遇到了涉及隐私、数据泄露和对象属性暴露的 API安全问题。Astrix切入了一个容易被忽略却最重要的新一代SaaS供应链 安全赛道,从“攻击者视角”出发,专注于保护日益增长的第三方应用连接入口(这区别于其它竞争对手针对API本身的安全),帮助组织保护对其关键平台的所有应用程序集成访问,为组织提供了SaaS应用连接的安全可见性,还提供生命周期管理并消除安全风险的能力。这对软件供应链保护,SaaS供应链保护提供了一个新的视角。不过SaaS应用日趋复杂,该领域的安全供应商层出不群,Astrix已然面临着激烈的竞争。其平台化服务(已经经过SOC2type2认证)的发展速度和消除安全风险的能力将非常关键。[1] https://www.binance.com/en/blog/ecosystem/web-3-security-best-practices-for-a-privacydriven-future-3731431418476279097[2]https://cryptobriefing.com/harmony-steps-up-global-manhunt-100m-thief-lazarus-group-blamed/[3]http://www.koreaherald.com/common/newsprint.php?ud=20220630000669[4]https://www.nasdaq.com/articles/a-look-at-the-implications-of-web3.0-on-the-cybersecurity-world[5] https://go.chainalysis.com/2021-Crypto-Crime-Report.html[6]https://www.binance.com/en/blog/ecosystem/web-3-security-best-practices-for-a-privacydriven-future-3731431418476279097[7]https://www.reportlinker.com/p05749258/Cloud-Computing-Market-by-Service-Deployment-Model-Organization-Size-Workload-Vertical-And-Region-Global-Forecast-to.html[8]https://www.bluevoyant.com/resources/managing-cyber-risk-across-the-extended-vendor-ecosystem[9] https://www.fnfresearch.com/saas-security-market[10]https://www.marketresearchfuture.com/reports/third-party-risk-management-market-8720[11] https://venturebeat.com/security/api-security-arms-race-heats-up/[12]https://info.veracode.com/report-state-of-software-security-volume-12.html