RSA 2023创新沙盒盘点|Astrix:面向第三方云服务连接的访问控制
字数 2068 2025-08-11 08:36:20

Astrix Security:面向第三方云服务连接的访问控制教学文档

1. 公司背景与概述

1.1 公司简介

  • 成立时间:2021年
  • 总部地点:以色列特拉维夫
  • 创始人
    • CEO: Alon Jackson
    • CTO: Idan Gour
    • 背景:均来自以色列国防军8200精锐网络部队
  • 融资情况:1500万美元种子轮融资(Bessemer Venture Partners和F2 Capital领投)

1.2 市场定位

  • 被Gartner称为SaaS安全态势管理(SSPM)市场的代表供应商
  • 专注于非人工访问基于云的核心系统保护
  • 解决SaaS、IaaS和PaaS环境中的应用程序到应用程序连接安全问题

2. 问题背景

2.1 当前挑战

  1. 影子应用连接(Shadow Connection)

    • 大量非可管理的SaaS服务连接
    • 服务安全性良莠不齐

  2. 连接方式多样化

    • API key
    • OAuth
    • Web hook
    • 缺乏统一的管理和控制方式

  3. 供应链攻击风险

    • 攻击者利用授予第三方云服务的访问权限作为后门
    • 典型案例:Microsoft、Github、Mailchimp和CircleCI攻击

2.2 行业趋势

  • 一切即服务(XaaS)导致第三方应用集成激增
  • 影子资产和行为使企业系统面临多种风险:
    • 供应链攻击
    • 数据泄露
    • 帐户接管
    • 合规违规

3. Astrix平台核心功能

3.1 全局可见性

  • 发现能力

    • 内部和第三方应用程序与核心系统的所有连接
    • 包括:OAuth令牌、API密钥、服务帐户、SSH密钥和webhook
    • 影子连接(如开发人员发布的测试API密钥)

  • 可视化呈现

    • 连接图谱显示实体间关系
    • 分类显示:
      • 高风险连接
      • 开放连接
      • 进行中连接
      • 风险可控连接

  • 详细信息

    • 连接用户及使用级别
    • 供应商供应链清单
    • 授予的权限和暴露的数据
    • 通过无代码/低代码平台的间接连接

3.2 威胁检测

  • 检测重点

    • 约束性连接
    • 不必要连接
    • 恶意连接

  • 检测类型

    • 恶意第三方连接(如OAuth网络钓鱼攻击)
    • 配置错误和过度许可的连接
    • 冗余应用程序、令牌和密钥
    • 异常和可疑行为(如可疑源IP位置)
    • 危险行为(如相同访问密钥授予多个服务)

  • 三层上下文分析

    1. 第三方供应商和应用程序分析
    2. 监控与核心系统的连接方式
    3. 关联威胁情报

3.3 快速修复

  • 自动化补救

    • 自动化工作流程
    • 与IT服务管理工具集成(如Jira)
    • 最终用户参与解决安全问题

  • 告警机制

    • 高优先级警报(含用户反馈、威胁上下文和建议补救步骤)
    • Slack通知
    • 自动工单管理

3.4 生命周期管理

  • 持续监控

    • 从连接建立开始全程监控
    • 随变化调整安全控制

  • 关键监控点

    • 可疑连接行为
    • 提权和权限更新
    • 可重复的连接模式
    • 风险变化(如受Log4j等漏洞影响的连接)

4. 技术实现特点

4.1 架构特点

  • 无代理、非侵入式解决方案
  • 跨环境监控:
    • SaaS
    • PaaS
    • IaaS

4.2 创新点

  • 采用"攻击者"视角设计
  • 零信任解决方案
  • 专注于非人类身份(Non-Human Identity)保护
  • 应用连接图谱可视化

5. 应用场景

5.1 典型使用场景

  1. 供应链攻击防护

    • 检测恶意第三方连接
    • 防止通过第三方服务后门入侵

  2. 权限管理

    • 识别过度许可连接
    • 发现并清理冗余权限

  3. 合规审计

    • 提供完整的连接清单
    • 记录权限变更历史

  4. 离职员工管理

    • 自动检测并清理离职员工相关连接

5.2 行业应用

  • 金融行业:保护敏感数据访问
  • 医疗行业:符合HIPAA等法规要求
  • 科技公司:管理大量第三方集成
  • 制造业:保护供应链系统安全

6. 实施指南

6.1 部署步骤

  1. 环境准备

    • 确认支持的云服务列表
    • 准备必要的API访问权限

  2. 初始扫描

    • 执行全面连接发现
    • 建立基线连接图谱

  3. 策略配置

    • 定义风险阈值
    • 设置告警规则
    • 配置自动化响应流程

  4. 集成设置

    • 连接SIEM系统
    • 配置与ITSM工具集成

  5. 持续优化

    • 定期审查检测结果
    • 调整风险评分标准

6.2 最佳实践

  • 定期审查高风险连接
  • 建立连接审批流程
  • 实施最小权限原则
  • 培训员工识别可疑连接请求
  • 建立连接生命周期管理流程

7. 评估与比较

7.1 优势分析

  • 全面性:覆盖多种连接类型和环境
  • 精准性:三层上下文威胁检测
  • 自动化:从检测到修复的完整工作流
  • 可视化:直观的连接图谱展示

7.2 局限性

  • 主要针对非人类身份
  • 需要一定时间建立基线
  • 对新出现的SaaS服务可能存在延迟支持

8. 未来发展方向

  • 扩展对更多云服务的支持
  • 增强AI驱动的异常检测
  • 深化与身份管理系统的集成
  • 提供更细粒度的权限控制
  • 发展预测性风险分析能力

9. 总结

Astrix Security通过创新的方法解决了现代企业面临的关键安全问题 - 第三方应用连接的风险管理。其平台通过全局可见性、精准威胁检测、自动化修复和全生命周期管理四个核心能力,为企业提供了全面的应用连接安全解决方案。特别是在供应链攻击日益严重的今天,Astrix的技术路线和产品设计具有很强的实用价值和市场前景。

Astrix Security:面向第三方云服务连接的访问控制教学文档 1. 公司背景与概述 1.1 公司简介 成立时间 :2021年 总部地点 :以色列特拉维夫 创始人 : CEO: Alon Jackson CTO: Idan Gour 背景:均来自以色列国防军8200精锐网络部队 融资情况 :1500万美元种子轮融资(Bessemer Venture Partners和F2 Capital领投) 1.2 市场定位 被Gartner称为SaaS安全态势管理(SSPM)市场的代表供应商 专注于非人工访问基于云的核心系统保护 解决SaaS、IaaS和PaaS环境中的应用程序到应用程序连接安全问题 2. 问题背景 2.1 当前挑战 影子应用连接(Shadow Connection) : 大量非可管理的SaaS服务连接 服务安全性良莠不齐 连接方式多样化 : API key OAuth Web hook 缺乏统一的管理和控制方式 供应链攻击风险 : 攻击者利用授予第三方云服务的访问权限作为后门 典型案例:Microsoft、Github、Mailchimp和CircleCI攻击 2.2 行业趋势 一切即服务(XaaS)导致第三方应用集成激增 影子资产和行为使企业系统面临多种风险: 供应链攻击 数据泄露 帐户接管 合规违规 3. Astrix平台核心功能 3.1 全局可见性 发现能力 : 内部和第三方应用程序与核心系统的所有连接 包括:OAuth令牌、API密钥、服务帐户、SSH密钥和webhook 影子连接(如开发人员发布的测试API密钥) 可视化呈现 : 连接图谱显示实体间关系 分类显示: 高风险连接 开放连接 进行中连接 风险可控连接 详细信息 : 连接用户及使用级别 供应商供应链清单 授予的权限和暴露的数据 通过无代码/低代码平台的间接连接 3.2 威胁检测 检测重点 : 约束性连接 不必要连接 恶意连接 检测类型 : 恶意第三方连接(如OAuth网络钓鱼攻击) 配置错误和过度许可的连接 冗余应用程序、令牌和密钥 异常和可疑行为(如可疑源IP位置) 危险行为(如相同访问密钥授予多个服务) 三层上下文分析 : 第三方供应商和应用程序分析 监控与核心系统的连接方式 关联威胁情报 3.3 快速修复 自动化补救 : 自动化工作流程 与IT服务管理工具集成(如Jira) 最终用户参与解决安全问题 告警机制 : 高优先级警报(含用户反馈、威胁上下文和建议补救步骤) Slack通知 自动工单管理 3.4 生命周期管理 持续监控 : 从连接建立开始全程监控 随变化调整安全控制 关键监控点 : 可疑连接行为 提权和权限更新 可重复的连接模式 风险变化(如受Log4j等漏洞影响的连接) 4. 技术实现特点 4.1 架构特点 无代理、非侵入式解决方案 跨环境监控: SaaS PaaS IaaS 4.2 创新点 采用"攻击者"视角设计 零信任解决方案 专注于非人类身份(Non-Human Identity)保护 应用连接图谱可视化 5. 应用场景 5.1 典型使用场景 供应链攻击防护 : 检测恶意第三方连接 防止通过第三方服务后门入侵 权限管理 : 识别过度许可连接 发现并清理冗余权限 合规审计 : 提供完整的连接清单 记录权限变更历史 离职员工管理 : 自动检测并清理离职员工相关连接 5.2 行业应用 金融行业:保护敏感数据访问 医疗行业:符合HIPAA等法规要求 科技公司:管理大量第三方集成 制造业:保护供应链系统安全 6. 实施指南 6.1 部署步骤 环境准备 : 确认支持的云服务列表 准备必要的API访问权限 初始扫描 : 执行全面连接发现 建立基线连接图谱 策略配置 : 定义风险阈值 设置告警规则 配置自动化响应流程 集成设置 : 连接SIEM系统 配置与ITSM工具集成 持续优化 : 定期审查检测结果 调整风险评分标准 6.2 最佳实践 定期审查高风险连接 建立连接审批流程 实施最小权限原则 培训员工识别可疑连接请求 建立连接生命周期管理流程 7. 评估与比较 7.1 优势分析 全面性 :覆盖多种连接类型和环境 精准性 :三层上下文威胁检测 自动化 :从检测到修复的完整工作流 可视化 :直观的连接图谱展示 7.2 局限性 主要针对非人类身份 需要一定时间建立基线 对新出现的SaaS服务可能存在延迟支持 8. 未来发展方向 扩展对更多云服务的支持 增强AI驱动的异常检测 深化与身份管理系统的集成 提供更细粒度的权限控制 发展预测性风险分析能力 9. 总结 Astrix Security通过创新的方法解决了现代企业面临的关键安全问题 - 第三方应用连接的风险管理。其平台通过全局可见性、精准威胁检测、自动化修复和全生命周期管理四个核心能力,为企业提供了全面的应用连接安全解决方案。特别是在供应链攻击日益严重的今天,Astrix的技术路线和产品设计具有很强的实用价值和市场前景。