RSAC2021创新沙盒之Deduce：数据驱动的身份风险分析

2021 RSAC创新沙盒即将决出本年度冠军，大家预测入围十强谁会摘得桂冠呢？我们已经介绍了STRATA和Axis Security的入围产品，接下来入围企业Deduce的产品。

Deduce是第一家将身份识别与领先的网络安全技术结合在一起的公司，专注于身份数据分析，可以保护企业及其客户阻止未经授权的帐户访问、防止数据泄露和身份欺诈。

Deduce 基于对海量的数据的关联挖掘提供了两项产品：

1. Custom Alerts（客户告警）；

2. Identity Risk Index（身份风险指标）；

客户告警

Customer Alerts客户告警提供一个API服务嵌入到企业已有的认证工作流中，同时基于认证时收到的用户ID、IP、设备ID等做风险分析。

比如，发现用户的登录地理位置变更、使用设备变更，实时的向用户发送方确认信息，让用户做身份确认，并且支持定制通知模版。

其实，这种客户告警在很多产品都可以看到，比如QQ,如果你从正常网络切换到使用海外VPN进行登录，app此时通常会提醒你发生了一个异常登录，让你进行确认。如果你在一台新设备上登录了Gmail、Twitter 等，他们也会在你的关联邮件进行通知。

Deduce的客户告警优势在于通过一个轻量级的嵌入方案，可以作为对用户身份的再次确认，但这里有一个问题值得我们思考，如果你发送的告警确认信息正好是给一个成功获取该账号登录密码的攻击者，该怎么办？

身份风险指标

Identity Rsik Index 身份风险指标通过对身份相关的风险进行量化，企业可以利用不同级别的风险指数做出相关响应策略预防身份攻击风险（比如账号盗用、数据泄漏等）。

若为低风险指数就不对用户进行验证；中风险指数需要对用户进行多因子验证（MFA）；高风险指数，用户相关行为触发管理员审计。

不管是Custom Alerts 还是Identity Risk Index,都依赖于Deduce 一项核心技术理念，即主动防御，不基于固定的异常模式发现，而是通过对数十亿的历史行为数据中分析发现用户特定行为模式，检测出与用户预期的在线活动之间的差异，以发现用户风险。

这种技术理念可以理解为一种无监督的学习方法，对正常行为模式挖掘，比如近几年的一种隐式认证技术，利用一些无监督学习算法比如Isolation Forest对用户的鼠标轨迹、键盘敲击力度进行建模。

总结

从STRATA, Axis Security和Deduce来看， 我们不难发现这三家入围RSAC创新沙盒的产品都十分强调数据的作用。

STRATA注重静态身份数据的关联统一；Axis强调对访问数据的细粒度洞察，信任必须建立在了解的基础之上；Deduce基于海量数据挖掘身份行为模式，行为模式和业务紧密关联，基于正常行为发现异常。

这也是未来零信任的信任评估引擎应该着重提升的能力。因为零信任和业务紧密关联，它不应该停留仅仅依靠静态属性（设备属性）的动态访问空机制，更应该关注业务访问的安全性。

本文作者： 甄德善 奇安信身份安全实验室

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。