RSA 2023创新沙盒盘点|Astrix:面向第三方云服务连接的访问控制

RSA Conference 2023将于旧金山时间4月24日正式启幕。作为全球网络安全行业创新风向标,一直以来,大会的Innovation Sandbox(创新沙盒)大赛不断为网络安全领域的初创企业提供着创新技术思维的展示平台。

近日,RSA Conference正式公布RSAC 2023创新沙盒竞赛的10名决赛入围者,分别为AnChain.AI、Astrix、DAZZ、Endor Labs、Hidden Layer、Pangea、RELYANCE AI、SafeBase、Valence、Zama。

4月24日(美国旧金山时间),创新沙盒将决出本年度冠军,绿盟君在此立足背景介绍、产品特点、核心能力等,带大家走进入围十强厂商,洞悉创新发展趋势。今天,我们要介绍的厂商是:Astrix。

一、公司介绍

Astrix Security 于2021年在特拉维夫成立(以色列),致力于保护现代企业不断增长的第三方应用互连。通过利用其独特的“攻击者”观点,Astrix Security设计了一种新颖的零信任解决方案,以应对针对企业关键系统的领先网络安全威胁。Astrix 安全平台不仅提供企业整体风险可见性,还提供生命周期管理,以抢先保护企业最敏感的数据免受第三方威胁和违规风险。

图 1 Astrix Security公司创始人

Astrix Security由首席执行官 Alon Jackson 和首席技术官 Idan Gour 共同创立,他们曾经在以色列国防军的8200精锐网络部队中任职。在2021年Astrix Security 获得了Bessemer Venture Partners 和 F2 Capital 为主的 1500万美元种子轮融资。

二、背景介绍

在SaaS时代,企业应用会使用大量的第三方SaaS服务,服务的安全性良莠不齐,且有大量的非可管理的SaaS,因此业务会存在影子应用连接(Shadow Connection);其次,连接方式差异很大,有API key、OAuth、Web hook等,造成了当前技术上缺乏统一的连接管理和控制方式,所以Astrix security尝试通过统一的访问控制方式监控和管理所有第三方的应用连接。

在最近的 Gartner 报告中[1],Astrix Security 被称为SaaS安全态势管理 (SSPM)市场的代表供应商。根据Gartner的报告“管理云环境的态势越来越重要,但存在令人眼花缭乱的安全态势管理方法,安全和风险管理领导者需要选择正确的方法来实现这些工具的优势”。在谈到SSPM解决方案时,Gartner分析师认为SaaS 防御与IaaS和PaaS区分,需要由一个单独的SSPM产品系列涵盖。虽然种观点占据主导,但Astrix平台旨在为客户提供完整的安全解决方案,用于非人工访问基于云的核心系统,保护他们的应用程序到应用程序连接跨SaaS、IaaS和PaaS环境。

最近对Microsoft、Github、Mailchimp和CircleCI的严重攻击揭示了新一代供应链攻击,攻击者利用授予第三方云服务的访问权限作为进入公司最敏感核心系统的后门。

一切即服务鼓励用户不断将第三方应用程序集成到企业结构中,这将导致越来越多的影子资产或行为使企业系统面临供应链攻击、数据泄露、帐户接管和违规行为。

Astrix 平台之所以成为该领域的规则改变者,是因为它通过发布的OAuth 令牌、API 密钥,为安全领导者提供了整体可见性以及威胁检测和补救能力。

Gartner在报告中还提到“SSPM产品专注于一组SaaS平台的配置和SaaS平台互连的某种组合”。Astrix安全平台从专注于非人类连接的独特角度解决了这两种方法,持续监控客户的整个应用程序到应用程序连接。Astrix分析这些连接背后的身份并提供可操作的上下文,包括它们的潜在风险、暴露级别、权限、业务理由和使用级别。这有助于安全团队快速检测和应对与第三方服务的风险连接。

当前应用程序到应用程序的连接将继续呈指数级增长。保障其连接的安全性需将成为一个关注重点,Astrix Security针对这一挑战提出了创新性的解决方案,其未来发展潜力还是巨大的。

三、Astrix平台介绍

为了确定用户的核心系统能够安全的连接到第三方云服务,Astrix Security提出了Astrix平台[2]。

图 2 Astrix平台

直观可视的是各种类型连接的统计显示,把所有的连接分为高风险连接、开放连接、进行中连接与风险可控连接四类。其中左侧显示开放连接的问题类型,有可疑行为、非信任供应商等。中间是显示高风险连接监控的平台。最下面是对连接按类型显示。

Astrix安全平台对第三方应用程序连接的控制与安全管理的创新能力主要体现在以下四个方面:1 全局可见性;2 威胁检测能力;3 快速修复;4 生命周期管理。

3.1全局可见性

全局可见性即Astrix平台能够发现与核心系统的所有连接。对于客户来说Astrix能够发现内部和第三方应用程序与客户核心系统之间的所有连接,然后呈现出一种简单的、全局的综合视图。

图 3 全局可见视图

这个全局可见的综合视图提供如下内容:

  • 与第三方应用程序的连接详情;
  • 颁发的 OAuth 令牌、API 密钥、服务帐户、SSH 密钥和 webhook详情;
  • 连接用户以及其使用级别详情;
  • 供应商供应链清单;
  • 影子连接(例如,开发人员发布的用于测试新 CI/CD 服务的 API 密钥);
  • 授予的权限和暴露的数据;
  • 通过无代码(低代码)自动化平台的间接连接

全局的可见性以图谱的形式进行可视化,能直接的显示不同的实体之间的上下文化关系,同时也可以借助图谱的能力实现对连接的风险进行准确评估。

3.2威胁检测

通常核心系统有比较多的与内部和第三方应用的连接,用户只需要关注其中比较重要的连接风险。Astrix仅针对因约束、不必要和恶意的第三方连接触发相应的告警,这样可以降低用户面临供应链攻击、数据泄露与合规风险。

图 4 Astrix平台的威胁检测能力

Astrix平台可以持续地检测风险连接,同时还需要有效风险优先级排序能力让用户关注风险度高的告警。例如:

  • 恶意第三方连接,例如冒充应用程序和 OAuth 网络钓鱼攻击;
  • 配置错误和过度许可的连接;
  • 离职员工和无效应用程序的冗余应用程序、令牌和密钥;
  • 异常和可疑的连接行为,例如可疑的源 IP 位置;
  • 危险的行为,例如将相同的访问密钥授予多个服务

Astrix平台借助图谱的关联能力与上下文语义来增强威胁检测能力,其威胁检测引擎使用三层上下文来准确检测关键和高风险连接。首先是分析用户的第三方供应商和应用程序,然后监控它们如何与用户的核心系统连接,最后是Astrix 需要关联威胁情报。

3.3快速修复

威胁检测给用户提供了关键与高风险连接的告警,接下来用户需要对其进行有效处置。Astrix通过自动化补救工作流程、与用户的日常 IT 服务管理工具集成并使最终用户能够解决流程中的安全问题来减轻安全团队的负担。

图 5 Astrix自动化修复

在保证团队的工作效率的同时有效的降低连接风险。

接收带有用户反馈、威胁上下文和建议补救步骤的高优先级警报。

获取 Slack 通知,自动打开 Jira 工单,或在问题解决后将其关闭。

提高最终用户对他们授予第三方集成的权限的认识。

3.4生命周期管理

Astrix 从连接到用户的核心系统的那一刻起就持续监控每个第三方应用程序,并在发生任何重大变化时调整安全控制,以尽量减少用户的攻击面。

图 6 Astrix 平台生命周期管理

Astrix平台通过对每个连接用户核心系统的连接进行有效的生命周期管理来了解每个阶段的连接风险。

  • 可以查看与可疑连接行为、提权和权限更新相关的问题;
  • 可以检测可重复的连接来增强威胁响应;
  • 监控风险变化以识别可能受Log4j等漏洞影响的连接

生命周期的管理可以实现对第三方应用连接的有效监控以达到在其发生变化时尽最大可能控制其攻击面。

四、总结

Astrix Security提出的是企业用于保护应用到应用连接的可信解决方案。Astrix的无代理、非侵入式解决方案跨 SaaS、PaaS 和 IaaS 环境监控核心系统,并及时检测和补救滥用非人类身份的攻击。Astrix安全平台不断减少攻击面,暴露可疑或恶意的连接行为、过度特权或未使用的连接以及不受信任的供应商连接。虽然Astrix Security仅仅是解决了应用到应用的安全访问风险评估问题,但是在当前云业务优先的用户提供有效的供应链攻击解决方案,业务场景切入点较好。

参考文献

[1] Quick Answer: Cloud, Kubernetes, SaaS — What’s the Best Security Posture Management for Your Cloud?

[2] https://astrix.security/product/

[3] https://astrix.security/leadership-and-the-future-of-app-to-app-security/

Spread the word. Share this post!

Meet The Author