2020年2月24日-28日,网络安全领域盛典RSA Conference将在美国旧金山拉开帷幕。交流会的自主创新沙盒阶段备受关注,变成全世界网络安全领域技术革新和投入的方向标。
不久前,RSAC正式宣布了最后当选现在的自主创新沙盒十强新成立公司:AppOmni、BluBracket、Elevate Security、ForAllSecure、INKY、Obsidian、SECURITI.AI、Sqreen、Tala Security、Vulcan。
绿盟科技将根据情况详细介绍、商品特性、评价剖析等,带各位掌握入选的十强生产商。今日,我们要详细介绍的是生产商是:Elevate Security。
公司简介
Elevate Security于2017年1月开创[1],总公司坐落于美国旧金山湾区。二位创办人Masha Sedova和Robert Fly全是前Salesforce承担安全性和信赖管理方法的高管,有充足的安全性管理经验。企业通过二轮股权融资,现阶段处在A轮融资阶段,融资规模1000万美金[2]。区别于大部分重点关注技术性(Technology)与步骤(Processes)的安全性初创公司,Elevate根据对现阶段网络安全风险性的洞悉,提供对于人(People)的安全性个人行为改进服务平台及订制化计划方案,可以利用对公司员工个人行为的评定精确测量、大数据可视化提供对公司多层面的风险性监管,从而提供人性化的职工评分意见反馈及其提高的安全教育培训。Elevate Security正切合2022年RSAC的“Human Element”主题风格,有一些“应时而生”的含意,想来这也是助推它进入了自主创新沙盒总决赛的一大要素。
环境详细介绍
2014年IBM安全保障的一项研究表明,95%的网络安全失陷是人为因素失误导致的。而最近诺顿杀毒软件的科学研究则说明91%的涉及到云计算平台客户数据泄漏事情的公司声明社会工程学是其所遭到进攻主题活动的一个阶段[3]。人为要素一直以来全是网络空间安全的重要一环。伴随着各种各样安全防御自动化控制、商品、服务平台的不断涌现,大幅提高了网络攻击侵入的难度系数。殊不知,在安全性、权益关乎的重要情景下,由利益的网络攻击无缝拼接不钻,高級不断防御的竞技场慢慢露出水面。现阶段,即使是前端的人工智能技术推动的防御力方式,也更加注重“human-in-the-loop”的人机对战闭环控制协作工作能力。人即是防御力阶段的关键构成,也与此同时很有可能变成网络攻击提升防守的敏感点。
伴随着网络安全变成全世界多方的关心网络热点,网络安全从业人员更加感受到所处领域对世间的知名度。而这类知名度也慢慢根据各种安全知识教育、突发性的安全事故、日常化的安全性律例,深层次到每个人的工作生活中。正如平常人更加了解到本人的健康服务至关重要,大小型公司乃至本人的网络安全观念、安全性习惯性、安全性个人行为,将深远影响到本人及其所处安排的安全性基本。殊不知网络安全学习氛围的产生任重道远,从业人员对安全性技能提升和發展的认知也慢慢从追求更快、更准、更自动化的技术性、商品,继而更为关心“以民为本”的技术性、步骤、政策法规乃至习惯性文化的新层级。
Gartner在响应式安全性的管理体系[5]中,确立地将People-Centric做为了一个关键标准,在全部以民为本的安全管理体系内,安全知识教育是根基,仅有提升公司员工的防范意识和安全防护专业技能,才可以有效的降低各种各样安全性体制运作的花销,提高全部安全管理体系的运行高效率。
领域早已有许多企业做安全意识培训(Security Awareness Training),Gartner也发表过魔力象限[4]。绝大多数传统式安全意识培训商品的关键竞争能力取决于系统软件的、科学合理的培训计划,及其与內容相对应的计算机培训輔助系统软件。而那些內容和专用工具则主要是紧紧围绕根据“学习培训”以提高“观念”的目的而搭建的,这造成安全防范意识的提高全过程更相近对设备修复漏洞更新的全过程,无法确立衡量本人在这里一环节中的方式转变,而潜在性的风险性正蕴涵于众多人的行为关键点之中。
Elevate Security提供的服务平台致力于根据统一的交互方式,检测、管理员工的安全性个人行为,并提供有助于提高企业安全文化的电子邮件意见反馈和安全性教学资源,以可量化分析的形式推动职工安全性手段的改进,协助企业管理人员合理减少职工人为要素关系的安全隐患。拥有评价指标体系,就能产生闭环控制,协助公司梯度下降法地改进职工在安全防护中的能动性,提升公司总体的安全防护水准。
产品简介
Elevate平台关键提供下列四个程序模块,Reflex提供互联网钓鱼邮件进攻仿真模拟及有关結果评定;Vision是一个车内仪表盘,将钓鱼邮件进攻仿真模拟結果及根据API集成化的其它职工人为要素有关安全性数据信息统一融合及剖析,具有运维安全和本人级的下钻主视图;Pulse提供可配备的、根据电子邮件的职工评分反馈机制,以人性化的形式向职工提供总体的及其好几个內容控制模块的安全性个人行为评分;Hacker’s Mind提供网络攻击角度的安全教育培训,以目的性提高重要单位、高危职工的防范意识和安全防护工作能力。
根据以上四个程序模块,提高机构内部员工安全防范意识、培养企业安全文化可以分阶段开展,即根据Reflex进行钓鱼邮件进攻仿真模拟,创建安全性基准线评分;根据Vision车内仪表盘剖析并追踪公司各等级员工的总体、整体安全性个人行为风险性;根据Pulse电子邮件得分卡体制意见反馈工作人员个人行为得分,鼓励个人行为改善;最终,对于高危本人或单位,提供目的性人性化的安全教育培训加强。
Elevate提供了网络平台的基本上使用作用,在这里简易详细介绍。该互动型Demo主要包含Vision和Pulse两一部分。能够看见Vision Dashboard提供的主视图很简洁。从单位等级上,包含整体安全隐患值、风险性遍布、单位得分及其个人行为投射。个人行为投射(Behavior Map)是以单位为企业,对所采集的安全性个人行为信息的融合评分,形象化体现单位在各层面上,包含总体、桌面清理、恶意程序、密码安全、中间人攻击检测、学习培训等层面的安全风险。从现阶段信息内容看,该Elevate Demo所集成化和呈现的绝大多数数据库必须借助外界API连接,服务平台内部结构只提供根据Reflex的钓鱼邮件进攻仿真模拟的评分数据信息。
Vision主视图下还提供各单位内部结构的整体和本人评分及排列,提供更关键点、形象化的安全隐患主视图。
在Pulse标识下,提供Campaigns作用。该功能应可提供可配备的,根据电子邮件的安全性评分意见反馈及管理方法。在Demo中,只可以向试者用发送邮件样例意见反馈电子邮件,包含不一样级别得分的三份电子邮件。以一份评分为“Sturdy”的报告电子邮件为例子,得分分成Phishing & Reporting、Password Manager、Training、Malware、Clean Desk这五个一部分,相匹配Vision车内仪表盘中集合的五项內容。每一项内容都是有相匹配主要内容,例如针对Phishing & Reporting,包括钓鱼邮件进攻的具体时间、职工本人评定效果及其与同单位别的职工的横向对比結果。自然,假如某一项评定合格,电子邮件中会出现类似徵章的激励制度,以激励职工集满全部安全性徵章,进行相应的彻底个人行为规范。
企业讲解
“以民为本”,以人以及个人行为为关键,关心工作人员要素在网络空间安全中的主导作用,从机构、对策、步骤、相关法律法规等视角不断管理方法、监管公司安全隐患,从而目的性、系统化的发觉易损性,减少安全隐患,已变成网络安全防御力的重要一环。中国很多知名企业的安全工作单位也逐渐具有包含员工安全教育培训、安全风险评估查验等工作能力。Elevate Security根据服务平台提供的钓鱼邮件进攻仿真模拟、大数据可视化、电子邮件反馈机制及情景式的安全教育培训工作能力,向业界提供了一个企业安全文化培养的平台化样本,可以给各种类机构对本人安全性手段的管理体制和方式提供强有力的模版。与此同时,以朝向人的安全性个人行为要素在网络安全情景下的风险防控闭环控制为主题风格,叙述了一个详细而且切合管理方法困扰的感动故事。不止于此,Elevate Security提供的不止是构思和制度的自主创新。该企业根据已经有服务平台,提供朝向各顾客机构的订制化解决方法,包含数据信息连接、安全性步骤等方面的订制和资询,这种网站技术性以外的工作能力填补一样是该公司的核心竞争力。
从目前材料看来,Elevate平台提供的作用可以用简约而不简单来归纳。Elevate平台所呈现的作用一目了然,都没有展现繁杂的步骤,服务平台身后所采用的技术性并不是其核心竞争力。“Let's target security behavior change, not awareness.”Elevate的主要作用线路很清楚,以职工安全性手段的改进做为总体目标,提供包括订制化的数据信息精确测量、集成化、剖析、意见反馈、行为(学习培训)的步骤梯度下降法和闭环控制,及其连续的、量化分析的风险评价体制与服务平台,提高管理人员对公司总体到职工个体的安全性安全风险的洞悉、监管和管理水平。以细化的方法关心人的安全性个人行为改进而不滞留于灌输式的安全教育培训,Elevate Security是摆脱传统式安全意识培训产品形态原有构思的先驱者。相信未来朗诵Elevate平台会提供大量的平台化部件,达到各种类机构对内部员工的动态性、不断、响应式的安全性个人行为风险性量化分析评定与安全性个人行为提高要求,以满足更高等级的防御情景、更严格的相关法律法规规定。
论文参考文献
[1] https://elevatesecurity.com/
[2] https://www.crunchbase.com/organization/elevate-security
[3] 《Understanding Security of the Cloud: from Adoption Benefits to Threats and Concerns》
[4] https://www.gartner.com/doc/3950454
[5] Top Cybersecurity Trends for 2016-2017, Gartner Security & Risk Management Summit 2016