Valence Security ：自動化SaaS安全態勢管理平臺

RSA Conference 2023將于舊金山時間4月24日正式啟幕。作為全球網絡安全行業創新風向標，一直以來，大會的Innovation Sandbox（創新沙盒）大賽不斷為網絡安全領域的初創企業提供著創新技術思維的展示平臺。

近日，RSA Conference正式公布RSAC 2023創新沙盒競賽的10名決賽入圍者，分別為AnChain.AI、Astrix、Dazz、Endor Labs、Hidden Layer、Pangea、Relyance AI、SafeBase、Valence Security、Zama。

4月24日（美國舊金山時間），創新沙盒將決出本年度冠軍，綠盟君在此立足背景介紹、產品特點、核心能力等，帶大家走進入圍十強廠商，洞悉創新發展趨勢。今天，我們要介紹的廠商是Valence Security。

公司介紹

Valence Security[1]是以色列一家SaaS安全解決方案提供商，成立于 2021 年，主要為用戶提供即時、非侵入性的SaaS安全態勢管理平臺，幫助用戶降低SaaS數據共享、供應鏈、身份和錯誤配置的風險。

CEO Yoni Shohet （左） CTO Shlomi Matichin（右）

Valence Security的聯合創始人分別為CEO Yoni Shohet與CTO Shlomi Matichin。Shohet是一名二次創業的企業家，在此之前，他曾與人合作創立了工業物聯網安全創業公司SCADAfence[2]。Matichin則是Capester的創始成員之一，Capester是一個公民違規視頻的分類平臺。

作為一家網絡安全初創公司，Valence Security的成長極為迅速，該公司在2022年10月份的A輪融資中獲得了2500萬美元的資金，由微軟的風險投資部門M12領投，其他參與方包括YL Ventures、Porsche Ventures、Akamai Technologies、Alumni Ventures和前賽門鐵克CEO Michael Fey。此外，Valence Security還榮獲了2023年度最佳網絡安全創業公司金獎和SSPM金獎。值得注意的是，在完成A輪融資時，Valence Security僅有25名員工。

那么，為什么Valence Security能在SaaS安全領域高歌猛進呢？下面我們進行分析。 

背景介紹

在過去幾年中，隨著越來越多的企業將業務遷移至公有云，SaaS市場呈現穩步增長的趨勢。根據Statista的統計數據顯示[3]，2021年SaaS 市場規模為1463.3億美元，到 2022年增長至1671.1億美元，增長超過12%。預計到2023年，SaaS市場將繼續增長14%，達到1952.1億美元。而SaaS應用已經深度嵌入到許多組織的業務功能中，包括銷售、營銷和產品研發，以促進企業的生產力和效率。據Matichin稱，“平均而言，企業使用約80個SaaS應用程序，BetterCloud統計數據顯示，擁有超過1000名員工的企業使用超過150個應用程序”。然而，由于不加選擇的采用，SaaS應用、集成、用戶和數據已經演變成一個無序的SaaS網格（SaaS Mesh） ，安全團隊難以進行集中控制和管理。Valence Security在The 2022 Shadow SaaS-to-SaaS Integration Report 報告中指出：

• 企業平均有917個SaaS-to-SaaS的第三方集成；
• 48%的SaaS集成處于未使用狀態；
• 平均而言，用戶每30天就有75個新的第三方集成；
• 86%的調查對象對他們目前的SaaS網格可視性和風險降低解決方案不滿意。

可見在實際的企業環境中，SaaS網格安全管理的混亂。在《2023年Q1 SaaS安全威脅場景報告》[4]中，Docontrol指出了SaaS應用所面臨的多種安全威脅，包括內部威脅、內部vs外部參與者訪問、第三方至第四方的共享、過期的權限、第三方OAuth應用，以及供應鏈安全威脅如SolarWinds和Log4j等。

這些問題給企業帶來了巨大的挑戰，包括人員的削減與專業知識的缺乏、龐大的安全事件告警以及企業內數以百計的SaaS應用互聯等等。

為解決這些挑戰，Gartner提出了SSPM（SaaS安全態勢管理）的概念。SSPM是一種 "持續評估安全風險和管理SaaS應用安全態勢的工具"。與CSPM（云安全態勢管理）不同的是，SSPM專注于SaaS應用安全，可能不具備一些CSPM的功能。2021年研究人員[5]對SaaS安全市場的估值為83億美元，預計至2028年將達到212億美元。

正是察覺到了SaaS安全市場的需求，使得Matichin和Shohet建立了Valence Security，希望能夠解決企業的SaaS安全問題。那么Valence Security都有哪些功能呢？是否能解決企業SaaS應用環境中常見的安全風險，我們來了解一下。

產品功能

Valence Security的主要功能是提供安全團隊所需的可見性和業務上下文，通過對SaaS安全風險進行優先排序，在多個SaaS平臺中實現自動化的修復工作流程，目前已支持多種常見SaaS應用，如圖2所示：

圖2 Valence Security支持的SaaS產品

Valence Security具有無代理安裝、集中控制、自動化修復等特點，其工作流程如圖3所示：

圖3 Vanlence工作流程

SaaS發現和可視化

Valence Security可通過無代理的方式連接至用戶的核心SaaS應用程序，能夠持續發現集成的SaaS應用、第三方的威脅情報等，并將供應商風險(TPRM)流程情境化，最終以可視化的形式進行展示（如圖4），降低了用戶SaaS應用治理的門檻：

圖4 SaaS發現和可視化

官方宣稱“在幾分鐘內，安全平臺可以連接到客戶的核心SaaS應用程序，以分析配置和活動日志”，Valence Security應該在安裝過程中對接SaaS應用的管理員憑證，通過管理員權限連接至SaaS應用后分析應用的配置和日志文件，為后續的風險檢測做鋪墊。

自動化+手動修復流程

Valence Security支持自動化的修復流程，通過統一的安全策略，掃描SaaS應用的安全風險并進行自動化修復。安全策略覆蓋多種流行的SaaS應用，如Google Workspace、Microsoft Office 365、Github等，策略的內容包括SaaS應用常見的風險，如不活躍的或有風險的和過度授權的角色、有風險的第三方組件、不安全的數據共享、不活躍的或休眠API/OAuth令牌、不安全的電子郵件轉發規則、不符合規定的無/低代碼工作流程等，同時也包括不安全配置對應的具體修復措施。當Valence Security檢測到相應風險之后便會進行自動化修復，如自動開啟MFA、自動關閉數據公開訪問等，提高了修復的工作效率，如下圖5、圖6所示：

圖5 MAF風險檢測

圖6 MFA風險修復

通過Valence Security的安全策略檢測以及后續的自動化修復，可以幫助企業的SaaS網格滿足合規性標準。

修復工作流程不僅可以自動化，也支持讓業務用戶手動修復。在修復過程中會自動向用戶發出通知，并為其提供修復指導，通過讓用戶參與修復流程來提升用戶的體驗和最終的治理效果，以避免全自動化流程對業務造成不良影響的情況。Matichin曾稱“為業務用戶提供上下文并讓其參與配置”是Valence Security的優勢項，如圖7、圖8所示：

圖7 配置指導 

圖8 修復完成

案例分析

下面分別通過一個具體的SaaS應用案例和客戶案例，來了解Valence Security如何保護某個SaaS應用的安全，又如何幫助企業解決處理SaaS網格安全治理問題。

SaaS案例——Github

GitHub是一個領先的軟件開發和版本控制平臺，是當今許多組織的關鍵業務應用，因為數字化轉型正在將多個領域的許多公司變成軟件和技術公司。GitHub用戶可以連接GitHub應用程序和OAuth應用程序，以提高他們的生產力和協作，配置個人訪問令牌（PAT），以便與外部服務集成，生成SSH密鑰以識別自己，而不需要用戶名和密碼，甚至可以使用GitHub Actions使他們的CI/CD和其他工作流程自動化，減少人力投入。

?GitHub應用可以在GitHub市場上發布，如果該應用是內部定制的應用（即組織為其個人使用而創建的應用），則可能僅限內部使用。此外，組織賬戶上的GitHub應用的授權僅限于管理員，非管理員用戶僅可以授權個人賬戶的GitHub應用。

雖然GitHub本身是安全的，但被授權的第三方可能是一個薄弱環節。本身有風險的或權限過高的OAuth令牌則可以被惡意利用，使GitHub客戶面臨數據泄露的風險。

然而針對GitHub的供應鏈攻擊并沒有被現有的解決方案覆蓋，如IdP（身份提供商）、CASB（云訪問安全代理）和SSPM（SaaS安全態勢管理），這些解決方案專注于人對SaaS的訪問控制，卻忽視了日益增長的SaaS-to-SaaS的第三方集成側。

那Valence Security如何保護GitHub的安全呢？

Valence Security可以與GitHub環境無縫集成，主要通過以下手段發現SaaS網格攻擊面并治理與之相關的風險：

• 發現所有連接到GitHub的第三方集成，如個人訪問令牌、OAuth應用程序、GitHub應用程序和SSH密鑰等；
• 分析SaaS-to-SaaS連接的訪問范圍和實際使用情況，以消除權限過高和不活躍的授權項目；
• 識別被授予訪問令牌的第三方供應商，確保與供應商風險管理和TPRM計劃保持一致；
• 監控第三方應用程序的API調用，以檢測關鍵數據的潛在風險或API攻擊；
• 自動化工作流程，以確保在分布式IT環境中與用戶進行有效修復和溝通。

客戶案例

客戶簡介

Lionbridge是一家翻譯服務公司，成立于1996年，目前已有6000多名員工和2500多名客戶，支持350多種語言，在全球23個國家設有辦事處。Lionbridge面臨的主要挑戰如下：

1）Lionbridge為其分布在全部不同業務部門的員工采用了不同的SaaS解決方案，但同時也給統一管理帶來了困難。

2）現有的第三方集成，對核心SaaS應用的高權限訪問。

3）對電子郵件轉發規則的管理有限。

4）對非活動用戶賬戶的更大可見性的業務需求。

解決方案

Lionbridge使用Valence Security發現了企業環境內超過1000個SaaS-to-SaaS的集成。

Valence Security為Lionbridge提供了自動化的SaaS發現和修復，檢測并分類了超過1000個SaaS-to-SaaS的集成，使安全團隊對整個SaaS服務的風險有統一的可見性和控制，同時將業務用戶納入修復工作流程中并為他們提供最佳實踐指導。最終約有95%的不活躍或過時的令牌被撤銷，對未管理的電子郵件轉發規則實現了100%的可見性和管理，識別到了大約10%的休眠賬戶，從而提高了資源的可用性。

總結

其實在2020年的RSA創新沙盒大賽中，就已經有SaaS安全領域的公司入圍：AppOmni[6]和Obsidian Security[7]。其中Obsidian Security公司的關鍵詞是云檢測與響應（CDR），主要是將xDR的理念應用在云端。通過不斷收集，規范化和分析來自SaaS應用和云服務的大量狀態和行為數據，為安全專業人員提供檢測、響應和調查云中威脅所需的全面的可視化信息。和Valence Security更為相似的公司是AppOmni。AppOmni公司的產品面向SaaS應用，提供安全配置掃描、合規控制和IT管理的功能，雖然可以持續監控SaaS安全態勢并在數分鐘內完成掃描提供相應報告，但AppOmni并沒有自動化的修復流程。

因此綜合官方的產品文檔以及公開的具體案例分析來看，與AppOmni相比，Valence Security的亮點主要是在于其發現與可視化和自動化修復的功能。

在發現與可視化方面，Valence Security通過分析SaaS應用的配置與活動日志，結合第三方威脅情報，能夠自動化發現SaaS應用、用戶、權限、數據和第三方集成的信息，并以可視化的方式進行展示，滿足了企業對當前SaaS網格可視性的需求，降低了企業SaaS統一管理的門檻和難度，像Lionbridge這樣SaaS應用管理混亂的企業場景，便可以通過可視化界面清晰掌控全局。同時通過清晰的SaaS網格圖，也能較好地發現供應鏈風險。

自動化修復流程是Valence Security的另一亮點。在實驗室的研究積累之上，覆蓋了當今眾多SaaS應用的安全威脅檢測。在檢測到相應的安全風險之后，通過全自動或人工干預的方式來進行修復工作，既可提高工作效率，也可在人工干預時不斷提升用戶的安全意識。

綜合SaaS安全市場的增長趨勢以及供應鏈安全的關注度，Valence Security能否作為SSPM技術發展的代表從眾多創新公司中脫穎而出，讓我們拭目以待！