RSAConference2021將于舊金山時間5月17日召開，這將是RSA大會有史以來第一次采用網絡虛擬會議的形式舉辦。大會的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網絡安全行業技術創新和投資的風向標。

前不久，RSA官方宣布了最終入選創新沙盒的十強初創公司：WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、WIZ。

綠盟君將通過背景介紹、產品特點、點評分析等，帶大家了解入圍的十強廠商。今天，我們要介紹的是廠商是：deduce。

公司介紹

Deduce于2019年5月創立，總部位于美國紐約[1]。公司創始人、現任CEO Ari Jacoby具有豐富的創業經驗，是Circulate，Voicestar，Solve Media等技術服務類型公司的創始人之一。目前Deduce經過兩輪融資，處于種子輪次的融資階段，融資規模達730萬美元。

Deduce能夠向不同規模的企業，提供成熟的行業級用戶身份及行為分析接口，幫助企業構建身份認證風險分析、身份欺詐檢測及用戶告警能力，以輔助企業對抗潛在的攻擊行為，滿足合規要求以及提升客戶的信任度。如果從本屆RSAC的主題“Resilience”來看，Deduce公司通過打造身份智能，為企業及其客戶提供基于數據與分析的身份安全彈性。

背景介紹

調查表明，2020年由用戶身份失竊、濫用、欺詐等攻擊造成的關聯損失高達560億美元，并已成為發展速度最快的網絡空間威脅之一。企業的客戶身份被竊取、盜用，帶來的不止是由數據泄露、資產失陷、交易欺詐等攻擊導致的直接經濟損失，所產生的用戶信任度降級，將給企業業務和信譽帶來持久和深遠的影響。

為應對網絡空間威脅的動態演進，Gartner提出的自適應風險和信任評估框架CARTA（Continuous Adaptive Risk and Trust Assessment），為業界帶來系統的防御視角。其中，針對用戶身份、設備的認證與訪問，CARTA給出了自適應訪問保護（Adaptive Access Protection）框架[4]，如圖1所示。

圖1 CARTA Adaptive Access Protection架構圖

該框架的核心在于，需要對用戶身份、設備、應用、行為及關聯信息，提供持續的可見性與核實，來適應業務的動態需求與網絡環境變化。類似于針對攻擊防護的“預測-預防-檢測-響應”的PPDR循環，針對訪問防護也需要構建需求發現（Discover requirements）-自適應訪問（Adaptive access）-用途驗證（Verify usage）-用途管理（Manage usage）的防護閉環，以提供持續的、可迭代的訪問控制及防御能力。

Deduce公司提供的產品及方案，正是針對身份欺詐這一主要業務領域，主要涵蓋CARTA訪問防護的用途驗證（Verify usage）與用途管理（Manage usage）這兩個階段，為企業提供成熟的并且可適應企業業務流的客戶身份及行為動態分析接口，能夠有效降低中小型企業自建相關能力的成本。

產品介紹

Deduce官網目前主要提供了兩款SaaS產品，分別是“Customer Alerts”和“Identity Risk Index”。

Customer Alerts，即客戶告警，能夠檢測用戶登錄行為的異常，并觸發告警通知到客戶，以供客戶決策判斷，是否是其個人行為。該產品功能目標，是在企業原有的認證流程之外，提供用戶登錄訪問行為異常的告警。Deduce該產品的賣點在于，能夠向中小型企業提供成熟的身份登錄異常驗證的接口，并只需按需付費。

Deduce提供一個用于分析客戶當前設備及地理位置信息的API，可無縫集成到企業的業務流程當中，如圖2所示。

圖2 Deduce Customer Alerts工作流

該API調用過程中，需企業采集用戶的設備標識信息和地理位置信息。根據采集的數據樣本，基于可配置的規則，Deduce分析用戶關聯設備及登錄點地理位置的異常，進而觸發告警，并以企業定制的模板發送給客戶，請求客戶確認。該API的結構如圖3所示。

圖3 Deduce Customer Alerts API示例

Identity Risk Index，該產品提供針對身份關聯行為的風險分數計算。用來預防和檢測由社交釣魚或信息泄露引發的身份盜用、賬戶失竊、交易欺詐等惡意行為，同時幫助企業提升用戶信任和滿足合規需求。基本的功能如圖4，選自官網展示的功能示意圖。

圖4 Identity Risk Index功能示意

Identity Risk Index產品即身份風險指標?？芍庇^的理解為基于大數據的用戶身份異常檢測及風險評估。由于該功能公司未給出具體的技術細節介紹，我們無從得知其技術內核的實現方法。

從當前業界類似產品及技術的層次來看，實現有效的基于身份的風險分析依賴兩個關鍵條件，一個是大規模的用戶身份行為數據及情報數據，另一個是以UEBA為代表的異常行為分析技術棧。從Deduce的宣傳資料和相關報道來看，大規模收集的身份及行為數據集是支撐其Identity Risk Index產品技術的核心。Deduce通過持續的運營積累，打造了Identity Network身份及行為數據庫。在滿足GDPR和CCPA合規要求下，Deduce從超過15萬網站和應用，收集了涉及超2億個美國賬號及其相關認證、訪問、交易等行為的信息和數據。這些賬號及身份數據在Identity Network以哈希的形式進行了匿名化，以保護用戶的個人隱私。

我們可以看到，Deduce通過這種搭建平臺、提供服務的方式，在向企業提供客戶身份行為分析能力的同時，也在授權下持續收集不同站點、應用的相關信息。這種大規模、多維度數據集的構建，能夠為Deduce持續提供行業的影響力及技術核心競爭力基礎。

除了數據層面的機制，我們只在Deduce宣傳中看到使用了機器學習方法來識別身份行為異常，并能夠將賬戶竊取的傷害降低90%。我們尚未看到具體的分析方法及模型的介紹。

公司解讀

身份的管理及關聯行為的分析，已成為網絡安全邁入主動防御和零信任時代后，威脅檢測與響應的關鍵技術手段。Deduce提供的兩款產品，針對身份風險分析，提供了不同的服務價值。Customer Alerts產品通過簡潔的API，能夠無縫的集成到企業已有的身份認證業務流中，提供信息收集、基于設備和位置的異常分析、用戶告警通知和用戶決策反饋收集服務。Identity Risk Index產品則基于Deduce的Identity Network數據集，提供具有更高維度、更深層次關聯的深度身份及行為風險分析服務，能夠與IAM系統打通，根據量化的身份及其行為風險值，來調用不同級別的認證方法，以增強對身份欺詐等攻擊行為的防御能力。

相較而言，Identity Risk Index產品更值得我們深入的關注。基于SaaS的運營模式，該產品能夠為企業提供一個匿名化的身份及行為數據湖資源?；谠摂祿?，Deduce有機會提供深度的身份風險評估能力，例如可實現通過單一身份不同應用、站點的多行為維度與長周期記錄跨度，實現細粒度的身份行為特征畫像，進而提供更精準的風險評分指標。更關鍵的，基于身份社交網絡的學習，能夠識別可疑的行為傳播規律、異常社區行為以及欺詐團伙行為。如下圖5所示，就是基于身份認證與訪問行為數據的社區分析方法[5]，該技術方案來源于同為身份欺詐檢測領域的創業公司Silverfort。在身份行為數據湖的基礎上，通過抽取身份（圖中圓點）、服務端點（圖中三角點）等實體的關聯，以及訪問行為的統計屬性，構建圖左側的實體行為關聯網絡。進而，基于Louvain社區發現算法，能夠將網絡中的實體和行為劃分為多個社區，如圖右側的顏色標注。最終，在該社區劃分結果上，可得到更多維度的分析結論，如定位高度異常的特定類型社區活動、抽取有跨社區行為的高風險身份實體等等。盡管Deduce官網并未給出Identity Risk Index產品的詳細技術方案，其Identity Network數據庫的構建足以給我們帶來更多的技術想象空間。

圖5 基于認證和訪問行為的社區發現

除了以上產品特性，能夠進入RSAC創新沙盒十強，Deduce有其獨特的“商業化”的技術理念。首先，通過SaaS模式向中小型企業提供簡單易用的身份認證分析告警接口，減輕企業自建和維護成本的同時，能夠提供足以匹敵FAANG（Facebook, Apple, Amazon, Netflix, Google）等大型企業類似功能的身份賬戶異常分析機制，這與Deduce“Democratize Cybersecurity”——民主化網絡安全的企業愿景相契合；其次，提供服務的同時，Deduce在合法合規的策略下，構建了具備相當大規模及多樣性的匿名化身份行為數據庫，這能夠讓投資者看到Deduce當前所具備的“數據壁壘”。于此同時，通過可持續的服務提供與信息采集，Deduce的Identity Network能夠為該公司提供亦可持續的技術演進和優化保障機制。

可以預見，創新沙盒評委對Deduce可持續身份數據運營的商業模式的認可程度，以及對身份欺詐領域技術市場的期待度，將是決定Deduce本次創新沙盒能否進入前三的關鍵因素，讓我們拭目以待。