Dazz成立于2021年12月,總部位于美國加州,該公司專注于云安全領域,其Dazz Remediation Cloud SaaS化平臺主要為企業開發團隊及安全團隊提供漏洞修復和風險預估能力。值得注意的是,其官方網站的Slogen為“Fix at the root, Go fast”,即強調其是從“根因”上“快速”分析系統DevSecOps環節涉及的漏洞,以更快、更有效的方式修復現有問題,改善MTTR(Mean Time to Repair) 。

目前Dazz團隊約11-50人左右,聯合創始人共三名主要成員,如圖1[7]所示:

圖1 Dazz聯合創始人(左為Merav Bahat,中為Tomer Schwartz,右為Yuval Ofir)

Merav Bahat

Merav Bahat 是 Dazz 的 CEO 和聯合創始人。她在微軟擔任過多個高級職位,包括云安全全球業務總經理和微軟以色列研發部的副首席執行官,負責管理超過2000名員工。在此之前,曾擔任微軟云計算和人工智能安全業務部門的產品戰略組主任。Merav Bahat擁有以色列理工學院工業管理工程專業學士學位以及以色列本古里安大學工商管理碩士學位。曾在哈佛大學商學院-肯尼迪政府學院的聯合研究項目中擔任研究員。

Tomer Schwartz

Tomer是Dazz的首席技術官和聯合創始人。在創立Dazz之前,Tomer在以色列創立了微軟安全響應中心并擔任主任一職。在此之前,Tomer聯合其他人共同創辦了一家物聯網安全公司Armis ,此公司于2019年以超過10億美金的價格被收購。更早之前,Tomer主要在CASB公司Adallom任職研究總監。

Yuval Ofir

Yuval 是Dazz的研發副總裁和聯合創始人。在創立Dazz之前,Yuva是OT行業領導者Claroty公司的研發副總裁。他曾在KayHut和Gita任職,幫助建立公司研發體系,并向全球政府和軍事客戶提供安全情報收集產品。這段經歷為他在 Dazz 的工作帶來了豐富的研究經驗。在辭職前,Yuval在以色列國防軍的精英網絡部隊中擔任了10多年的職務,并領導了多個項目,這些項目絕大多數贏得了以色列國防獎。

2021年5月,Dazz籌集了1000萬美金的第一輪融資,同年12月Dazz進行了第二輪融資,金額5000萬美元,投資者包括Index Ventures、Insight Partners、Greylock、Cerca Partners、Cyberstarts五家公司,兩輪融資金額共6000萬美金[8]。

Dazz自成立以來先后入圍業內多個重大獎項并最終獲取了不錯的成績,包括2022 Status Awards for Cloud Computing冠軍、2022 Tomorrow’s Top Growth Companies提名、2022 SINET16 Innovator提名、2023 Big Innovation Awards冠軍、2022 Black Unicorn Awards提名、2023 Most Promising Cyber Startup提名、2023 Cybersecurity Startup Achievement of the Year – Security Cloud銀牌得主、2023 RSAC Innovation Sandbox Top 10企業提名[2]。

產品介紹

Dazz的主打產品為Dazz Remediation Cloud,其是一款SaaS化云風險緩解平臺,根據Dazz的官方網站及現網材料里筆者并未發現詳細的產品或是解決方案方面的介紹,甚至官方主頁上都沒有Dazz Remediation Cloud產品的相關信息,筆者僅從官方視頻[6]以及官方最佳實踐案例介紹中了解Dazz Remediation Cloud的相關能力,整體看來,Dazz Remediation Cloud主要做了三件事:

a) 首先,Dazz Remediation Cloud 是一款基于SaaS的云安全漏洞環境平臺,能夠連接企業自身的 DevSecOps 環境中的各種安全工具,例如代碼倉庫、代碼審計、鏡像掃描、SCA、SBOM 等等。通過 read-only API 接口,Dazz Remediation Cloud可以獲取各類告警以及CI/CD管道的上下文信息,從而實現CI/CD管道可視化;

b) 其次,Dazz Remediation Cloud 采用了一種專有技術,可以對大量告警信息進行降噪處理,并按照資產類型進行劃分。通過這種方式,用戶可以高度精確地理解每個問題的根因,形成統一視圖,從而降低漏洞和修復運維成本;

c) 最后,Dazz Remediation Cloud 提供了一系列的自動化修復功能,例如自動生成修復程序,并自動路由至漏洞代碼屬主。這種方式可以實現發現、識別、檢測、響應、恢復整個閉環,從而提高安全運維效率。

Dazz官方給出了一個案例有助于我們理解該產品主要解決的問題,如下圖所示[5]:

圖2 Dazz案例

圖中企業在AWS上有17431個容器受到攻擊,其中有673個鏡像受到影響,通過部署SaaS化應用Dazz Remediation Cloud,可快速發現受攻擊的容器鏡像,并準確識別攻擊源,定位到142個待修復的Dockerfile,最后定位到Dockerfile代碼所有者,并自動化修復及部署。

Dazz Remediation Cloud的能力可劃分為Discover、Reduce、Fix三個階段。

2.1

Discover

圖3 Discover階段

Discover階段即表示發現企業用戶側代碼以及將代碼映射至云端的過程,這里Dazz Remediation Cloud通過read-only API集成至用戶現有的CI/CD環境,筆者了解到Dazz使用了ETL技術(一種數據管理技術,用于從各種數據源中獲取數據,對其進行轉換處理,然后將其加載到數據存儲區域中)收集來自于企業CI/CD環境中涉及的各類安全工具的漏洞(如DevSecOps中的Sec階段,通過鏡像掃描工具掃出的漏洞)或錯誤配置等信息,并且Dazz采用了流式傳輸技術,從而可以在傳輸實時性、資源消耗、擴展性以及容錯性上帶來一定優勢,但針對流式傳輸技術,筆者認為也存在一定不足,比如數據處理過程較為復雜,需要有較好的算法即軟件架構設計支持,對計算資源要求也較高,此外,傳輸過程是否進行了加密,傳輸過程中如遇到網絡中斷,如何做災備處置,這都是Dazz需要考慮得問題,但這些容錯方案筆者在官網上并未看到相應信息。

2.2

Reduce

Reduce即表示降噪的意思,這里筆者理解應當是對上一階段獲取的企業系統漏洞產生的告警信息進行降噪處理,由于整個CI/CD過程中產生的告警信息量很龐大,且有許多重復告警,進行降噪是必要的。Dazz Remediation Cloud提供兩個主要能力,分別是:

1)自動化提升告警質量和處理漏洞優先級;

2)通過自有專利(目前網絡上沒看到相應內容)實現從根因處獲取上下文信息,此處的“根因”,筆者理解為針對產生告警,能夠從以下幾方面考慮從而降低漏洞和修復運維成本:

  • 定位到什么原因導致告警,是代碼問題、IaC,還是配置文件;
  • 定位到具體為哪個工具、責任人,哪一個commit記錄觸發了告警,具體是什么安全問題

2.3

Fix

圖5 Fix階段

Dazz Remediation Cloud 的修復方式有兩種:

1)如果應用程序存在漏洞,Dazz Remediation Cloud 可以在源頭自動生成代碼修復程序,并將修復程序自動路由至開發人員。開發人員可以選擇批準或拒絕修復程序,如果批準,修復程序將自動運行并觸發部署流程,從而在最短時間內修復安全隱患。官方給出了一個示例,如圖 5 所示,開發人員編寫的 Dockerfile 中引入了不安全的鏡像源,Dazz Remediation Cloud 可以清晰地為用戶展示問題所在行,并提供是否需要緩解的操作,如是則自動進行修復。

2)如果應用程序存在脆弱性配置,如配置文件中暴露了敏感數據、硬編碼信息等,Dazz Remediation Cloud 會在代碼倉庫中給出清晰的緩解步驟,以幫助開發人員快速修復問題。

技術淺析

由于Dazz技術相關材料較少,很遺憾筆者并未看到其產品核心能力的具體實現機制,筆者僅從Dazz公司對外的一些演講視頻中[6][10]了解到其產品是如何與用戶的DevSecOps環境工具集成的,以下是一些相關技術淺析:

圖6 Airbyte的CDK及Dazz目前集成的多個連接器[4]

Dazz 的集成技術主要借鑒了 Airbyte 開發的 CDK,CDK是一種連接器開發套件。目前,Dazz 已經集成了約 50 個連接器,可以與各種工具進行集成,如 CI/CD、IaC、云服務商、代碼掃描、代碼倉庫等。Dazz 在連接器框架中提供了一些核心組件,如 integration SDK、integration API等,用于幫助開發者快速構建和部署連接器。同時,Dazz 還提供了一些工具和框架,如 integration testing、reverse integration testing、API surface testing 等,以幫助開發者測試和優化連接器的性能和安全。下圖展示了 Dazz 的集成方案框架[1]:

圖7 Dazz集成框架

上圖我們可以看出,集成分為兩個階段:

1)第一階段是獲取一個stream流,它維護數據的增量獲取,狀態和分頁,之后將數據進行保存。

2)第二階段是數據解析。Dazz將原始數據轉換為 Dazz 域對象,然后將其發送到后端分析處理并返回最終結果。

那么作為開發者應當如何使用Dazz提供的SDK,下圖是Dazz集成synk工具的實例介紹:

圖8 Sync集成Dazz示例

根據圖示,開發者需要創建一個 integration.py 文件,并在其中創建一個從 Dazz SDK 繼承的 AbstractIntegration 類的實例。這個實例將提供特定集成 (如 synk)的數據流獲取和解析方法。此外,該實例還將使用 Dazz 的 read-only API 將安全數據傳輸到 Dazz 產品中進行分析。

創建一個連接器并不復雜,Dazz 宣稱只需要兩周時間。在這個過程中,開發者需要理解 Dazz 產品的功能和 API,并使用其提供的工具和框架來構建和測試連接器。

需要注意的是,Dazz 提供的連接器不是通用的,而是針對特定的應用場景和數據類型進行設計的。因此,開發者需要根據具體需求進行定制和擴展,以滿足業務需求和數據安全要求。同時,開發者還需要考慮如何將連接器與 Dazz 產品進行集成,以實現數據流的獲取、解析和分析。

Dazz 降噪技術的具體實現原理并未公開披露,因此無法對其實現方式進行詳細介紹。不過,根據其對外宣稱的能力和特點,可以推測 Dazz可能采用了一些特征選擇技術和基于機器學習或深度學習的降噪技術,以達到降噪的效果。無論使用什么技術降噪的關鍵在于算法的可解釋性以及穩定性。同時,需要注意是否存在過擬合的問題,以確保算法的可靠性和真實效果。在實際使用中,降噪技術的效果還是需要根據具體應用場景和數據特點進行測試和評估。

總結

針對云的攻擊,造成大面積感染也許只需要幾分鐘,但修復過程往往需要數周甚至數月,在企業系統的CI/CD過程中,開發者以及安全團隊往往面對許多問題,例如,安全團隊會面對太多的告警,難以評估漏洞優先級,CI/CD管道不具備可見性等,而開發團隊則難以對漏洞進行追蹤溯源、手動修復和手動部署,從而導致效率低下。具備自動化修復能力必然是未來的趨勢,MTTR(Mean Time To Repair)是關鍵。筆者認為Dazz Remediation Cloud一定程度上解決了上述問題,具備行業領先的技術優勢和用戶價值,但也具備一些挑戰以及來自競品的壓力,筆者將其總結為以下幾部分:

4.1

技術優勢

筆者認為Dazz有以下技術優勢:

快速集成能力

Dazz Remediation Cloud 可以通過其宣稱的CDK快速集成到企業的 CI/CD 環境中,從而幫助開發者和安全團隊更快地發現和修復漏洞。

信息獲取能力

從多個來源獲取系統信息,如操作系統版本、庫版本、配置文件、Git提交記錄、CI/CD Job詳細信息等,從而幫助開發者和安全團隊更好地了解系統狀況,更準確地定位漏洞。

降噪能力

采用了先進的降噪技術(專利),可以去除大量的誤報和無關信息,從而幫助安全團隊更準確地評估漏洞優先級。

自動修復能力

可將漏洞關聯到具體開發者,并自行修復漏洞,從而減輕開發團隊的負擔,提高修復效率。

同時,筆者認為Dazz也帶來了一些用戶價值:

  • 提高效率,減少人工操作,縮短故障排查、修復和上線時間
  • 主要體現在幫助用戶刪除重復告警數據、確定告警優先級、利用一定技術進行降噪處理以及提升了用戶對CI/CD流程的可見性。
  • 縮短風險窗口時間,盡早發現和解決問題,降低風險
  • 主要體現在Dazz可以幫助客戶從“根因”上找到漏洞問題所在,自動化修復程序加快漏洞修復時間(MTTR)及在生產環境之前發現問題。

4.2

挑戰

1)信息獲取是否對用戶有侵入性

筆者認為要實現從“根因”處定位問題,Dazz Remediation Cloud 必然需要深入用戶業務,這可能需要具備特殊權限和對用戶業務的侵入性。然而,一些企業客戶可能對這種侵入性操作感到擔憂。此外,由于具備特殊權限,如果 Dazz Remediation Cloud 自身存在安全問題,那么攻擊者可能會利用該漏洞對業務造成嚴重影響。

2)降噪是否會產生大量誤報,如何避免

Dazz使用的降噪技術可能會產生誤報問題,如何避免或減少誤報,如何針對千變萬化的日志內容進行算法及模型的及時調整和優化是Dazz面臨的挑戰。

3)集成過程中傳輸數據的安全性

Dazz 使用 CDK 將企業用戶的代碼及產生的告警信息傳遞至 SaaS 化平臺。在這個過程中,Dazz 使用了 read-only API 的方式進行傳輸。雖然這種方式可以提供訪問控制機制,確保授權用戶才能訪問,但是 Dazz 也面臨著挑戰。

例如,如果 read-only API 的訪問控制不夠嚴格,惡意用戶仍然可以通過各種手段繞過訪問控制,從而獲取敏感數據。因此,在選擇 read-only API 時,需要權衡其安全性和訪問控制的靈活性。這些也是 Dazz 需要面對的挑戰。

4)現代AI變革帶來的沖擊

最近,我們看到了一些非常有趣的技術,這些技術可以幫助在不同領域中的人或企業進行高效的協作和管理。例如,微軟發布的Security Copilot可以幫助安全團隊更好地管理其安全實踐,而ChatGPT也通過使用大語言模型和相應機器學習算法處理海量告警的降噪問題。考慮到Dazz所做的事情與Security Copilot相似,我們可以推測Dazz可能使用了類似的技術,包括使用Chatgpt等大語言模型解決降噪問題。現在,Chatgpt3.5已經開放了接口,這使得更多人能夠使用它來解決各種復雜的問題。無論是在安全領域還是其他領域,使用這些高效的技術,將有助于提高團隊的效率和響應速度,減少疲于應對日益復雜的問題所帶來的負擔。這些都將給Dazz帶來挑戰。

4.3

競品比對

Orca Security 是一家成立于 2019 年,總部位于美國波特蘭的云安全公司。該公司已完成 C 輪融資,融資金額為 6320 萬美金,主要提供負載級別的安全防護服務,服務對象涵蓋 AWS、Microsoft Azure、Google Cloud 等公有云平臺[9]。

Orca 的官方網站Slogen為“Quickly discover, identify and remediate cloud risks to keep your business secure”,即快速發現、識別、減緩云風險,保障業務安全。這與 Dazz 的使命相同,不過 Orca 比 Dazz 進入市場更早,理論上擁有更多的市場經驗。

與 Dazz 不同的是,Orca 的 SDK 無需安裝,用戶可以直接使用。此外,在修復漏洞的流程上,Orca 采用人工指定,而 Dazz 則采用自動化修復。總體而言,Orca 和 Dazz 都有自己的特色。

安全平臺 云計算 軟件 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接