关注一、Valence Security(以色列): 基于零信任的SaaS 网格安全平台保护SaaS供应链安全
关键词:Valence Security SaaS 供应链安全 SaaS网格 RSAC2023 创新沙盒
2022年3月22日,以色列初创公司Valence Security入选2023年RSAC创新沙盒十强。
Valence由经验丰富的网络安全专业人士和连续创业者Yoni Shohet(首席执行官)和Shlomi Matichin(首席技术官创立)。
Yoni Shohet是一位连续的网络安全企业家,也是Valence Security的联合创始人和CEO。在加入Valence之前,Yoni是SCADAfence的联合创始人,该公司是工业物联网网络安全的先驱。Yoni在19岁时获得了数学学士学位,然后在以色列国防军服役,担任网络安全小组组长和项目经理。
Shlomi Matichin在19岁获得硕士学位。他是Valence Security的联合创始人兼首席技术官。在此之前,他是Capester的联合创始人兼首席技术官。
Valence 联合创始人首席执行官 Yoni Shohet(左)和首席技术官 Shlomi MatichinValence的融资情况
微软M12风险基金领投了Valence A轮2500万美元融资,其它跟投者包括:YL Ventures、Porsche Ventures、Akamai Technologies Inc.、Alumni Ventures和赛门铁克公司前总裁Michael Fey。
Valence的种子轮融资吸引了一批知名投资者,包括高盛前首席信息安全官Phil Venables;Justin Somaini,Unity Technologies的CSO;卡尔·马特森,PennyMac前首席信息安全官;Maarten Van Horenbeeck,Zendesk的首席信息安全官;Michael Sutton,Zscaler前首席信息安全官;Elastic的联合创始人兼首席执行官Shay Banon和Salto的联合创始人兼董事长Benny Schnaider。什么是SaaS网格(mesh)
Valence提出了SaaS网格(mesh)的概念。Valence认为组织内的每个业务功能中深度嵌入的SaaS应用程序呈爆炸式增长。数据显示,平均有1500个SaaS应用程序和900个集成被组织采用,平均每个企业约采用364个SaaS应用【1】。SaaS应用使最终用户能够大规模采用和互连,由于许多SasS应用并未经过严格的安全审查,因此它们也已经演变成一个庞大且有风险的应用程序、集成、用户和数据网格(mesh)。
近期一些重大的SaaS安全事件
例如,近年来恶意行为者越来越关注利用与SaaS应用相关的漏洞,包括错误配置、过度特权的第三方集成和不安全的SaaS供应链、外部过度共享的数据、不受管理/不安全的用户身份等。其中最著名的案例是是GitHub攻击活动,网络犯罪分子设法用窃取的OAuth令牌入侵了数十个GitHub存储库,获取了大量的敏感数据和访问代码。以下是近期最具破坏性的一些违规事件。
图B-5 SaaS应用遭受攻击重要事件
不安全的SaaS访问和使用、不受管理的影子身份、不受监管的数据共享和错误配置的第三方SaaS集成等,所有这些都是攻击者的主要目标。对于安全团队而言,如何获得管理SaaS网格风险面所需的可见性将是一个巨大的挑战。
Valence解决SaaS哪些安全挑战
SaaS应用程序面临的安全风险主要表现为如下几个方面:SaaS平台鼓励业务用户使用第三方SaaS到SaaS集成来连接他们的SaaS应用程序。无论是连接OAuth应用程序的最终用户、创建API密钥的管理员,还是使用Microsoft Power Platform、Workato、Zapier等无代码/低代码平台自动化业务工作流程的普通开发人员,这些集成都可以增加类似集成接口不安全、不活跃或存在过度特权问题等SaaS安全风险。业务用户依靠SaaS应用程序与内部和外部协作者共享数据。SaaS用户经常与特定用户共享敏感数据,例如文档、演示文稿、电子邮件,甚至源代码等。通常,用户并没有意识到他们的数据共享设置存在安全隐患,而且经常设置过于宽泛的共享权限,这可能会将敏感数据暴露给组织机构外部未经授权的用户。采用Okta等身份提供商(IdP)的服务已成为组织机构管理用户的行业标准。但此类解决方案仅涵盖部分人类用户身份的访问权限,缺乏对平台内授权的可见性,并且业务用户仍然可以配置SaaS应用程序以绕过或覆盖IdP中的配置策略。当SaaS应用程序的采用规模扩大时,检测和跟踪不受IdP管理的身份、特权过高的用户和未利用的弱身份验证就成为一项挑战。不断增长的SaaS应用程序数量、SaaS应用本身的复杂性和特定于应用程序的专业知识,以及每个SaaS自有的安全控制策略和术语,对安全团队而言,无论是为了满足公司内部政策,还是为了遵守SOC2、ISO 27001和NIST等行业标准和框架,要实现正确的SaaS安全策略配置都是相当有挑战的。
Valence SaaS 网格安全解决方案
Valence宣称能提供业界第一个实现对整个SaaS风险面可见性的安全平台。该解决方案具有五个方面的优势:1)通过使用自动化、协作的工作流来实施安全防护,不断减少SaaS攻击面;2)赋能业务用户,对用户进行安全最佳实践教育,同时让他们密切协作以安全地采用和使用SaaS应用程序;3)在不影响SaaS使用的敏捷性的前提下实施SaaS安全策略,以提高业务速度和创新能力;4)通过自动化工作流程和用户参与最大限度地减少了管理时间和人工工作,最小化安全开销;5)该公司宣称可以在几分钟内通过API将Valence连接到客户的核心SaaS应用程序以分析配置和活动日志。
图B-6 Valence方法
Valence SaaS应用程序安全平台具有如下三个特点:
1. 无代理集成:几分钟之内,该安全平台就可以连接到客户的核心SaaS应用程序以分析配置和活动日志。
2. 中央存储库:标准化SaaS用户、数据、权限、配置和第三方集成;
3. 自动化工作流程:通过自动化的去中心化补救工作流程集中实施安全策略;
Valence使组织能够持续强化SaaS网格以抵御供应链攻击、数据泄露、身份风险和错误配置,从而持续符合SOC2、ISO 27001和NIST 等行业标准和框架。
1. SaaS网格发现:确保持续发现组织的SaaS应用程序、用户、权限、数据和第三方集成;如自动发现集成的SaaS应用,上下文供应商风险(TPRM)流程;分析所有第三方集成的威胁情报;
2. SaaS集成治理:通过移除不活跃、有风险和过度特权的SaaS 到SaaS集成来降低第三方风险;撤销不活跃的休眠API/OAuth令牌;适当调整特权第三方集成;检测不合规的无/低代码工作流;
3. 数据保护:应用零信任原则来保护组织的数据免于过度共享导致其暴露于外部威胁的风险访问;删除与外部协作共享的文件;消除公开共享的源代码存储库;检测电子邮件转发规则;
4. 身份安全:检测非托管用户身份,应用强身份验证并减少过度特权访问;强制执行强身份验证,例如MFA;正确的将用户从SaaS分离(offboard)出来;检测不受IdP/SAML管理的身份;
5. 错误配置修复:持续分析SaaS安全配置以检测和修复有风险的错误配置。确保符合行业框架;检测并修复安全设置偏差;强化内置SaaS安全策略。
SaaS安全市场
根据市场调查机构估计,在2021年对SaaS市场的估值为83亿美元,预计到2028 年将达到212亿美元【2】,复合年增长率(CAGR) 约为16.9%。目前在该领域的竞争对手有,包括Obsidian Security ,这是一个 SaaS 安全平台,在今年早些时候的C轮融资中筹集了9000万美元。Obsidian Security的平台提供AI驱动的实时威胁检测,以分析用户行为并检测帐户接管和恶意集成,使SaaS应用程序和关键数据面临风险。另一个竞争对手是Adaptive Shield,它提供了一个与80多个 SaaS 应用程序集成的平台,以监控安全状况、提供有关配置漂移的安全告警,并提供自动修复功能。Adaptive Shield最近在2021年10 月的A轮融资中筹集了3000万美元。总结
随着SaaS应用的爆炸性增长,SaaS安全问题成为云安全领域最需要关注也最容易忽视的领域。针对GitHub攻击活动,网络犯罪分子设法使用被盗的OAuth令牌入侵了数十个GitHub存储库,以获取敏感数据和访问代码。越来越多的第三方违规行为凸显了当前解决方案在管理第三方风险方面的不足。现有方法通常执行时间点第三方风险评估或孤立地处理业务应用程序,无法提供有效管理风险所需的持续可见性和控制。
Valence Security将零信任安全原则引入“SaaS业务应用程序网格”的安全防护,基于低代码和无代码技术,提供实时、非侵入式的暴露面管理,使得组织可以获得应用程序到应用程序的连接的可见地图,突出SaaS网格中第三方风险连接,从而实现对整个环境中的应用程序的安全可见性洞察,也为自动修复创造了条件。
Valence Security最大的价值是让业务团队意识到与安全团队合作可以推动其业务,安全可以为业务的发展赋能,同时实现SaaS的创新和数字化转型。
但是,尽管在SSPM空间和云安全市场上有很多机会,但是对于Valence来说未来也依然面临着激烈的竞争,这个赛道还是很拥挤的。
二、Zama(法国):全同态加密(FHE)开源社区推动对加密数据计算的落地实践
关键词:Zama 全同态加密 FHE RSAC2023 创新沙盒
2023年3月23日,Zama因其在全同态加密(FHE) 领域的创新性而入选RSAC 2023创新沙盒十强。
- 创始人:Pascal Paillier和Rand Hindi
摘要:Zama因在全同态加密(FHE)领域的创新入选RSAC2023创新沙盒十强。该公司 是一家密码学公司,为开发人员构建开源同态加密工具,使他们能够构建保持数据私密的解决方案。FHE可以在不解密数据的情况下处理数据。Zama通过构建开源社区来实现在同态加密领域的颠覆式创新,其全同态解决方案宣称可以实现从慢1,000,000倍发展到慢10,000到1,000倍,并且他们有望在2025年之前慢不到10倍。这意味着Zama的全同态加密正在快速走向落地。Zama是由密码学专家Pascal Paillier和Rand Hindi于2017年创立,总部位于法国。目前该公司共获得5260万美元融资。其投资方包括Protocol Labs、Metaplanet Holdings、Lunar Ventures、Bertrand Jacquelot,均为早期投资机构和个人投资人投资。
Zama融资情况
Zama先后获得3轮融资共5260万美元融资。
其中Pre-seed轮获得110万美元;种子轮获得780万美元,A轮融资获得4270万美元。投资方为Protocol Labs、Metaplanet Holdings、Lunar Ventures、Bertrand Jacquelot,均为早期投资机构和个人投资人投资。
Zama创始团队
Zama是由Pascal Paillier和Rand Hindi于2017年创立,总部位于巴黎的一家密码学公司。目前,该团队有60多名来自不同背景的研究人员和工程师。Zama的联合创始人是最著名的密码学研究人员之一Pascal Paillier博士和曾创立Snips的连续创业者Rand Hindi博士。
Pascal Paillier(联合创始人兼CTO)和Rand Hindi(联合创始人兼CEO)
Zama解决了哪些挑战
自从SolarWinds和Kaseya等软件供应商遭遇重大网络安全违规事件之后,许多企业现在开始对第三方供应商进行更深入的尽职调查,以降低再次违规对他们造成严重影响的风险。在大多数情况下,他们要求供应商填写包含数百个或有时数千个问题的定制安全问卷。对于通常人手不足的安全团队来说,这将是一个很大的挑战。众所周知,尽管FHE在70年代后期就已被设想,但直到2009年才得到具体实现。最初,FHE太慢而无用,比如完全同态加密比明文中的等效操作慢100万倍以上。未加密时需要1秒的操作加密后需要11天!尽管全同态加密(FHE)是一种强大的技术,可以对加密数据进行计算。同态加密对于数据安全可能非常有用,但是,它仍然太慢而无法实际使用,因为密文需要正确地相加或相乘无限次。虽然FHE的想法已经存在了几十年,但它遇到了三个主要问题:IBM和Microsoft等组织目前正在通过减少同态加密所需的计算开销来研究加密格式。2018年,微软发布了SEAL,这是一个开源的同态加密库。它可以在Azure上运行,但也是跨平台软件。同样在 2018年,IBM发布了一个实现同态加密的开源HElib C++库版本。它比IBM的原始版本快了近200万倍,但仍然比纯文本操作慢100万倍。要使这种加密格式实用,还需要做很多工作。Zama正在使得这一切发生改变。新的密码学突破与强大的硬件相结合意味着正在缩小这种差距。仅在过去的两年里,Zama的速度就从慢1,000,000倍发展到慢10,000到1,000倍,并且他们有望在2025年之前慢不到10倍。这标志着FHE可以变得无处不在。Zama的核心产品和解决方案
在当今的数字时代,保护隐私变得越来越困难。Zama所推出的开源库 Concrete-ML,它允许将机器学习 (ML) 模型无缝转换为其 FHE 模型。借助其技术,客户可以享受与服务提供商的零信任交互,同时还可以在不受信任的服务器上部署ML模型,而不会损害用户数据的隐私。其宣称可以使开发人员无需学习密码学就可以在他们的应用程序中使用全同态加密。(一) TFHE-rs:是TFHE的纯 Rust实现,用于对加密数据进行布尔和小整数运算。它包括一个Rust和 C API,以及一个客户端WASM API。目标是为 TFHE 的所有高级功能提供一个稳定、简单、高性能和生产就绪的库(library)。在TFHE-rs v0.2.0版本中增加了对大型同构无符号整数的支持,最高可达256位。增加了一个高级的API,以及布尔运算和短语,以使你的构建更容易。新的更新还集成了可编程引导(PBS)的并行版本,改善了它的延迟性。1) 大精度整数。TFHE-rs现在可提供处理高达256位的无符号整数的可能性。加法、减法、乘法和一些常见的与编程有关的操作,如移位和位操作等。2) 高级API。TFHE-rs现在包括一个高级API。这模仿了Rust的方法,定义了与同态无符号整数有关的类型。算术运算符被包裹起来,因此它们的调用方式与清算操作相同,例如,两个密码文之间的加法是使用'+'符号完成的。由于比较运算符在Rust中不能被重载,它们被使用一个简单的函数来调用(例如,".eq() "表示相等)。复杂的加密操作被取消了。Radix是用于表示大整数的默认分解。(二) Zama Concrete: Concrete是一个开源的框架,它简化了全同态加密(FHE)的使用。FHE是一个强大的加密工具,允许直接在加密的数据上进行计算,而不需要解密。利用FHE,开发者可以建立为所有用户保留隐私的服务。FHE还提供理想的保护,防止数据泄露,因为一切都在加密数据上完成。即使服务器被破坏,也不会有敏感数据被泄露。由于编写FHE程序很困难,Concrete框架包含一个基于LLVM的TFHE编译器,使这个过程对开发者来说更容易。其最新版本的特点是能够评估任何函数,甚至是非线性函数,无需近似;多个硬件后端;自动加密参数优化;支持各种数据类型等。1) 该框架可以将Python程序转换为FHE等价物。Concrete对于想要建立一个接受加密输入并产生加密输出的高级应用程序的开发者来说非常有用。将普通程序转化为FHE的主要挑战是将所有操作转化为其等价的加密形式。像加法、减法和乘法这样的简单运算是很直接的。当涉及到函数时,即使是简单的函数,如符号函数,也不那么容易。TFHE的主要优点之一是在引导操作期间可以免费评估同态表查询,进行引导操作是为了减少噪音【3】。由于任何单变量函数都可以表示为查找表,这意味着TFHE可以评估任何函数,甚至是非线性函数,无需近似。这就是为什么它被称为可编程引导法(PBS)。将所有常规函数转化为单变量函数,然后根据输入变量的位宽生成相应的查找表,这是编译器自动执行的任务之一,使程序开发尽可能简单。2) 自动加密参数优化。使用任何FHE库时的另一个挑战是正确选择加密参数。这些参数定义了有多少空间用于数据和产生的噪声。它们还定义了在调用PBS之前,可以执行多少个顺序操作来减少这种噪音。应用程序的安全性、性能和精确性与对加密参数的选择直接相关。虽然在FHE库中有默认的参数集是很常见的,但Zama创建了一个TFHE优化器,为正在编译的程序自动计算出可能的最佳参数。这些加密参数被存储在客户端参数文件中【4】。由优化器挑选的参数的安全性由格子估计器进行验证。3) 支持的数据类型。使用TFHE的主要优点之一是,所有以加密形式进行的计算产生的结果与透明形式完全相同。目前对输入变量的大小有16位的限制。尽管TFHE-rs已经支持任意精度,但研究和工程团队正在努力工作,以便在不久的将来支持更高的效率和精度。4) 最佳的性能。编译器也支持某种程度的并行化。如果有一个值的向量,并需要对其进行PBS计算或对几个输入进行循环,那么Concrete编译器将产生一个多线程的库,以利用所有可用的内核。5) 多种硬件后端。编译器的另一大特点是能够为一个给定的目标架构编译FHE程序。现在,这不是交叉编译的问题,而是针对硬件内加速一些加密原语的架构。这些目标架构被命名为具体编译器后端,现在是CPU和GPU。前端内还没有GPU,但很快就会有。在编译器中集成一个新的后端可以精确控制目标硬件的内存和资源。未来将提供更多的加速器。(三) Concrete ML:Concrete-ML是一套基于Zama的Concrete Framework构建的隐私保护机器学习(PPML)开源工具集。它旨在为数据科学家简化完全同态加密(FHE)的使用,以帮助他们自动将机器学习模型转换为其同态等价物。Concrete-ML的设计考虑了易用性,因此数据科学家可以在不了解密码学的情况下使用它。值得注意的是,Concrete-ML模型类类似于scikit-learn中的模型类,也可以将PyTorch模型转换为FHE。其中最引人注目的一些功能:1) 快速、高精度的线性模型。线性模型通过执行参数和输入的线性组合来工作,并且在它们的广义变体 (GLM) 中,还应用非线性链接函数,例如log或logit。在客户端应用非线性链接功能允许加密推理避免可编程引导程序(PBS)的繁重计算。所有 Concrete-ML 线性模型都经过优化,仅对加密数据执行线性计算。使用 Concrete 堆栈的改进,这允许以任意高的精度(超过 30 位)和非常低的延迟(通常为 10 毫秒,具体取决于模型)执行。2) 用于神经网络的大型累加器(16位)。还有完整的教程显示16位宽的加密值为。在 Concrete-ML 中添加了对 16 位加密值的支持,这有助于极大地提高神经网络的准确性,并允许它们处理更复杂的任务。内置和自定义神经网络都可以使用这个新功能。MNIST 图像分类准确度高,具有易于使用的内置神经网络,无需任何量化理解。3) 具有挑战性的计算机视觉模型;定制的、FHE 就绪的神经网络,尤其是卷积神经网络,从使用 16 位加密值中受益匪浅。有了这个特性,Concrete-ML 现在可以处理更复杂的计算机视觉任务。4) 更好的模拟和调试功能。FHE 仿真允许用户在 FHE 中评估模型的性能,而无需在他们的(可能很大的)测试数据集上运行缓慢的 FHE 计算。它可以在明文数据上进行模拟,结果完全相同。由于 PBS 操作具有较小的可配置错误概率,因此模拟 PBS 错误的能力已添加到虚拟库中。使用明文模拟获得的模型的准确性与 FHE 驱动版本中获得的准确性相同。
总 结
试想一下,如果人们能大范围实现全同态加密(FHE),对互联网隐私保护而言无疑是具有划时代意义的。因为这意味着所有在线内容都可以实现端到端加密,而不会影响用户体验,也意味着人们将不再关心隐私泄露问题,隐私泄露问题将不存在。Zama愿景是希望推动产生一个新的互联网协议HTTPZ,它将标准化端到端加密并取代HTTPS作为在线服务实施的默认协议。使用FHE的 Web服务会简单地公开一个HTTPZ url,而Web浏览器会在用户端负责加密和解密。目前, Zama在该领域已经取得了一些真正的突破。在其开源社区已经发布的Concrete-ML模型可以实现对16位加密值的支持,这有助于极大地提高神经网络的准确性,并允许它们处理更复杂的任务。随着互联网的进一步发展,也随着ChatGPT以及Web3时代的到来,人类隐私数据的大量泄露将是一个极其严重的问题。Zama团队所构建的开源FHE技术,如像其所宣称的正在实现FHE的速度就从慢1,000,000倍发展到慢10,000到1,000倍,并且有望在2025年之前慢不到10倍。如果能实现,这将意味着FHE会真正落地。其颠覆性作用不言而喻。
[1]https://www.businesswire.com/news/home/20210915005244/en/Less-than-Half-of-Company-SaaS-Applications-Are-Regularly-Used-by-Employees [2]https://www.fnfresearch.com/saas-security-market [3]https://www.zama.ai/post/tfhe-deep-dive-part-1[4]https://eprint.iacr.org/2022/704