RSA 2023創新沙盒盤點｜SafeBase: 智能安全合規平台

RSA Conference 2023将于舊金山時間4月24日正式啟幕。作為全球網絡安全行業創新風向标，一直以來，大會的Innovation Sandbox（創新沙盒）大賽不斷為網絡安全領域的初創企業提供着創新技術思維的展示平台。

近日，RSA Conference正式公布RSAC 2023創新沙盒競賽的10名決賽入圍者，分别為AnChain.AI、Astrix、Dazz、Endor Labs、Hidden Layer、Pangea、Relyance AI、SafeBase、Valence、Zama。

4月24日（美國舊金山時間），創新沙盒将決出本年度冠軍，綠盟君在此立足背景介紹、産品特點、核心能力等，帶大家走進入圍十強廠商，洞悉創新發展趨勢。今天，我們要介紹的廠商是SafeBase.

公司介紹

Safe Base[1] 是一家企業服務科技初創公司，核心産品是智能信任平台（Smart Trust Center）。通過Smart Trust Center，安全和銷售團隊能夠共享安全、合規和隐私資訊。借助 Safe Base，企業可以避免多餘的問卷調查、更快地建立客戶信任并完成交易。

圖1 是Safe Base的上司團隊[2]。CEO/聯合創始人Al Yang先後畢業于美國亞利桑那大學和哈佛商學院。在建立Safe Base前，AI Yang還創立了線上學習平台Picmonic，Picmonic後來被TrueLearn收購。另一位聯合創始人，也是公司CTO Adar Arnon，之前在以色列國防軍有過9年的研發和管理經驗。

圖1 SafeBase團隊

Safe Base在2020 年完成了1800萬美元的A輪融資[3]，由New Enterprise Associates領投，Y Combinator和Comcast Ventures跟投。

背景介紹

軟體開發往往依賴于第三方軟體庫或現成的産品來建構解決方案。第三方工具和服務包括雲托管、網絡代理、監控工具、資料庫管理系統等。一旦第三方産品與公司相關聯，第三方風險就成為公司産品安全風險的一部分（例如Log4j漏洞）。随着近年來不斷湧現的網絡安全事件，使得公司在業務采購、産品研發、安全方向不斷提高投入。技術買家，尤其是 B2B 領域的買家，不斷提高對網絡安全要求。是以，買家就必須執行調查，確定第三方公司提供的産品、服務是安全合規的。

這個過程中，通常牽扯一個比較繁瑣、效率低的過程：買家和技術提供方簽署保密協定（Non-disclosure agreement，NDA），然後請求檔案，包含滲透測試報告、系統群組織控制（System and Organization Controls ，SOC)檔案等。這項工作往往是非自動化的，即通過電子郵件手動發送給請求者，并且傳輸無水印的版本。此過程可能會減慢銷售速度，并且無法很好的做到通路控制。

SafeBase的目标就是增強買賣雙方之間的互信，減少技術提供方的銷售周期。這不得不介紹一個對國内來說比較新的概念：客戶信任。

客戶信任簡單來說就是：買方對賣方安全能力的持久信心。這種定義涵蓋了兩個方面：一是可信任的基礎，即穩固可信的安全能力；二是買家為客戶建立信任所作出的努力。

那麼客戶信任都包含哪幾方面，如何提高客戶信任呢？客戶信任涉及提高透明度、從被動溝通轉變為主動溝通，将安全态勢無縫內建到公司的上市流程中、以及不斷改善安全教育工作。

表1 建構客戶信任的方式

這麼講“客戶信任”可能比較抽象，這裡舉一個簡單的例子。例如，為了提高透明度并與客戶買家主動溝通，客戶信任團隊為公司安全狀況開發“首頁”，将所有對買家至關重要的資訊和文檔集中在這一個地方。同時還簡化了買家擷取敏感檔案的途徑，同時控制誰可以通路什麼内容以及通路多長時間。

我們今天所要介紹的這家公司，SafeBase就是信任溝通的平台。SafeBase 提供了一個門戶，來向買家展示安全狀态，讓他們在一個地方完成安全審計的所有步驟，并最終推動更快速地銷售。

核心功能：統一的安全合規門戶

SafeBase 隻有一款産品：Smart Trust Center。它為客戶提供通路關鍵安全資訊的途徑，同時也加強了對安全團隊的控制和監督。Smart Trust Center将企業安全資料編制成“履歷”，負責安全審計的所有步驟，并主動向買家展示完整、透明化的資訊，幫助企業推動銷售。Smart Trust Center 為技術提供商提供了一個有組織的、易于浏覽的面向公衆的安全門戶，以存放所有相關的安全文檔。Smart Trust Center 可以将文檔授予不同的通路權限，可輕松共享給團隊任何成員。買家或客戶隻需要簡單點選自定義連結就可以擷取公司所有的用于公開的安全資訊。

圖2 LinkedIn的Smart Trust Center

Smart Trust Center有如下幾個功能[4]：

1）建構企業公開的安全資料空間：Safe Base 的 Smart Trust Center 可以将企業所有的安全合規資訊聚合到一個空間，在這個空間裡可以上傳客戶關心的最新文檔，包括滲透測試報告、審查合規證書等。

圖3 企業安全資料空間

2）為安全和合規團隊建構安全知識庫：可以通過導入csv、pdf檔案的形式，上傳安全知識庫，并且配置通路權限。安全、銷售和解決方案團隊，可以利用Smart Trust Center回答絕大部分的安全問題。Smart Trust Center 還為安全團隊提供了更多的控制和監督，以了解誰可以通路哪些文檔以及通路多長時間。細粒度通路控制意味着安全團隊始終有權管理文檔的可見性，同時，所有下載下傳的檔案都會自動加水印，以更好地確定檔案在正确的人手中。

圖4 安全知識庫

圖5 安全知識庫權限控制

3）主動性的與買家和客戶溝通：借助 Trust Center Updates，技術提供商可以以可控、簡化的方式主動向客戶和潛在客戶發送重要更新。通過向客戶共享政策法規的更新、對新的安全事件的響應，可以更好地向客戶證明對其資料安全的重視程度。

圖6 安全事件推送

4）通過自動化的NDA流程縮短生産時間：SafeBase 的内置自動化 NDA 流程顯著縮短了生産時間，減輕了買家、客戶和内部團隊等安全審查流程的負擔和時間。自動審批功能可以更進一步的降低銷售周期。

圖7 自動化NDA流程

背後的技術

經過核心功能的介紹，可以看出，SafeBase主要提供的是一個可以展示公司安全資訊的門戶，将安全審計的流程自動化，并做到了通路控制。SafeBase并沒有透露過多的技術細節，但提到了“數字水印”和“通路控制”。

由于SafeBase的Smart Trust Center 向外部展示企業的安全資訊，是以可能存在資料洩露、資料濫用的風險。資料庫水印作為一種在學術界被深入研究的資料安全技術，被公認是有效地解決以上溯源痛點問題的重要手段，近年來在工業界也得到足夠的重視與關注。根據嵌入載體不同，數字水印包括圖像水印、視訊水印、音頻水印、文本水印和軟體水印等。其中，最早的數字水印技術是應用在圖像領域中，即圖像水印發展較為成熟，SafeBase中的安全合規檔案大機率用的是圖像水印或文本水印。

通過數字水印技術，可以應用在資料洩露溯源、版權保護等場景。以最近大熱的ChatGPT為例，ChatGPT産生的内容幾乎可以“以假亂真”，很難分辨背後的“作者”是人還是機器人。這對知識産權保護是一個極大的挑戰，此外，ChatGPT輸出内容不可控，還可能有導緻敏感話題的風險。ChatGPT的所屬公司OpenAI方面也表示，考慮在ChatGPT中添加水印，以降低模型被濫用帶來的負面影響。

SafeBase的Smart Trust Cente，可以控制誰可以通路什麼安全合規檔案，以及可以通路多久。這就需要介紹資訊安全裡的一個重要的概念：通路控制。通路控制是安全領域的基本元素，可确定誰可以在怎樣的情況下通路特定的資料、應用和資源。目前主流的通路控制有四種：自定義通路控制 (DAC)、強制通路控制 (MAC)、基于角色的通路控制 (RBAC)、基于特性的通路控制 (ABAC)。具體這四種通路控制的詳細定義，讀者可參考[6]。通過通路控制技術，可確定僅允許身份和憑據經過驗證的使用者通路特定資訊，進而幫助防止資料被盜用、損壞或洩露。

SafeBase中用到的關鍵技術，綠盟科技的安全産品同樣也支援。例如數字水印技術，綠盟科技的資料脫敏系統DMS[7]，支援多元化的水印嵌入，除了支援頁面水印，也支援docx、xlsx、pdf等檔案水印和資料庫水印；可以實作資料分發後進行溯源以及确認版權。

總結

我們再回顧一下本篇文章一開始介紹的概念：客戶信任。“客戶信任”是指客戶對公司的信心水準，這種信心水準是通過積極的體驗、透明的溝通以及始終如一地提供高品質的産品或服務而建立起來的。信任是任何類型關系中的重要元素。客戶更有可能選擇他們信任的公司，并且随着時間的推移，他們也更有可能保持對這些公司的忠誠度。随着買家的安全意識不斷增強，以及不斷湧現的安全風險事件，“客戶信任”帶來的好處也會逐漸湧現。

SafeBase 不僅幫助技術提供方加速安全審查，還為其如何向客戶傳達信任建立了新的标準。借助SafeBase的創新技術，技術提供方能夠主動與客戶就安全和隐私進行溝通，并為他們提供建立持久信任所需的工具。

SafeBase這家公司，2022年獲得了廣泛的關注[5]。在2022年，SafeBase 的Smart Trust Centers獲得了超過40萬次的浏覽，平均每天1300次；完成了超過6000次的NDA簽署、超過72000安全檔案被下載下傳。能入選RSA創新沙盒，筆者認為最主要的是理念創新。2023RSA創新沙盒，SafeBase能否從一衆技術型創新公司中脫穎而出，讓我們拭目以待！

參考文獻

[1] https://safebase.io/

[2] https://safebase.io/about

[3]https://techcrunch.com/2022/03/10/safebase-bags-18m-series-a-to-speed-up-vendor-security-auditing-process/

[4] https://safebase.io/features

[5]https://safebase.io/blog/safebase-celebrates-2022-customer-trust-in-the-limelight

[6] https://zhuanlan.zhihu.com/p/151618654

[7] https://www.nsfocus.com.cn/html/2022/442_0812/168.html