作者:奇安信 王培

一年一度的网络安全行业盛会RSA Conference将于2020年2月24日-28日在旧金山Moscone Center拉开帷幕。大会的创新沙盒(Innovation Sandbox Contest)环节备受瞩目,成为全球网络安全行业技术创新和投资的风向标,让很多年轻的初创公司迅速取得了成功。

根据RSAC的数据统计,过去的十多年中,Top 10的入围初创企业共进行了48次的收购,融资规模达到52亿美元。致力于SOAR领域的2016年冠军Phantom已被Splunk公司3.5亿美元收购;2018年冠军BigID总融资规模已达1.46亿美元;网络安全资产管理领域的公司Axonius拿到2019年冠军并已经完成B轮融资。

近日,RSAC官方宣布了最终入选今年的创新沙盒十强初创公司,并将在当地时间2月25日下午1时决出最终冠军。

根据十强初创企业的公开资料信息,应用安全(Application Security)相关的占半数(根据Gartner定义技术领域),如代码安全、Fuzzing、In-App Security、漏洞管理,同时也支持DevSecOps等热点;其次是云安全(Cloud Security),其中两家公司提供SaaS安全解决方案。此外就是安全意识教育、隐私保护及邮件安全领域的初创企业。从十强初创企业的技术领域分布,基本已经能判断出今年网络安全技术创新的热点方向 。

下面是今年的RSAC2020创新沙盒十强的信息:


AppOmni成立于2018年,核心创始团队均来自于Salesforce。 AppOmni的解决方案主要针对SaaS应用提供数据访问的可见性、安全性、合规性,平台组件包括安全自动化、合规控制以及IT管理。参考Gartner Framework for SaaS Security Controls,AppOmni的解决方案主要聚焦于云的安全访问。

SaaS在IT成熟市场已被广泛应用,相关数据表明到2024年全球SaaS的市场规模将达到1800亿美元,年复合增长率超过20%,快速增长的市场,SaaS的应用安全市场也将快速增长,相关领域如云中的数据的可见性如何实现,用户访问控制,跨云的应用程序安全性和数据访问策略等等。参照云安全责任共担模型,这些安全挑战都是需要用户侧来承担和应对。国内的云计算成熟度相对较低以及SaaS应用不广泛,这个在国内短期还难形成规模。

BluBracket成立于2019年,总部位于美国硅谷,种子轮650万美元融资是当前十强初创公司中最低的一家。 BluBracket是一家提供企业级代码安全解决方案的公司,能够发现并保护开发者的代码环节,提升开发效率。BluBracket代码安全解决方案提供两个组件,CodeInsights 实现代码环境可见性,支持代码分类,满足合规性需求;CodeSecure能够识别、防止代码从企业中意外或恶意的泄露,并对代码进行风险评估响应。

源代码作为软件的最初原始形态,其安全缺陷是导致软件漏洞的直接根源,全球发达国家对代码安全的体系建立的比较完整,当前DevSecOps如何在企业内部落地也是热点,突显了代码安全和安全开发的重要性。Gartner将代码安全归属到Application Security Testing (AST)市场分类,2019年全球AST市场规模是11.5亿美元,未来3年将保持10%的年复合增长率。

总部位于美国加州的Elevate Security成立于2017年,两位创始人都来自于Salesforce安全团队。当前超过90%以上的安全事件是因为人的过失导致,人是最薄弱的环节,传统的安全意识教育并没有发挥很大的作用,Elevate Security的解决方案聚焦网络安全用户行为变化,致力于将安全意识教育提升到新的层次,帮助用户建立积极主动的Security Culture。利用四大组件对内部人为因素开展管理:Reflex负责运行基准评估,并对员工活动进行指标分析;Vision允许安全管理员对员工行为及相关风险做出分析;Pulse负责为员工提供培训,帮助他们改善自己的高风险行为;Hacker’s Mind则是一种游戏化培训方案,旨在增强员工个人乃至团队的整体安全意识。

Elevate Security的理念也正好呼应了RSAC2020的主题,Human Elements。记得2017年我们在中国互联网安全大会上提出了 “人是安全的尺度” ,提升安全意识,降低因人为因素导致的安全风险,也得到了产业界的共鸣。我预测Elevate Security很有可能进入今年Innovation Sandbox的Top 2。

ForAllSecure成立于2012年,创始人团队来自CMU卡内基美隆大学以及MIT麻省理工学院的教授和研究员,致力于为电信、航空航天、汽车等行业提供新一代的模糊测试解决方案。研究机构451Research针对DevSecOps现状调研表明,随着开发速度和部署频率的增强,安全测试的优先级被抛在了后面。61%的企业表示缺乏自动化的、集成的安全测试工具是DevSecOps面临的最大挑战。ForAllSecure的下一代模糊化测试解决方案Mayhem贯穿于整个软件生命周期,与DevOps流程的整合,通过持续检查软件中可能存在的问题,为客户提供可靠的质量与安全性保障。

ForAllSecure与BluBrcacket公司的解决方案都是致力于保障应用开发环境的安全,前者是聚焦于模糊测试,后者是侧重在代码安全。模糊测试Fuzzing是一种安全测试方法,介于人工渗透测试和自动化工具测试之间,利用机器自动化随机生成和发送数据,并且结合安全专家的经验,降低安全测试门槛。与代码分析、代码审计对比,模糊测试简易型更好,而且通过自动化工具,模糊测试可以把安全方面的经验积累到工具中,提供持续的安全性测试。

INKY成立于2008年(RSA对初创公司年限没有限制?),主要提供Cloud-base邮件安全解决方案,除了针对恶意软件,垃圾邮件防护之外,INKY就是利用人工智能技术和机器学习对网络钓鱼邮件进行提前识别与阻止,从而抢在抵达员工收件箱前将恶意邮件屏蔽在外。

Gartner在2019年将Business Email Compromise列为年度十大安全项目之一,在邮件安全解决方案领域,当前还是以邮件安全网关SEG为主力防护产品。随着越来越多的客户将邮件系统迁移到云端,如Office365,Google G Suite,专注于钓鱼攻击防护的厂商比如INKY,Gartner定义为Cloud email security supplements (CESSs),通常是通过API调用对云托管收件箱的访问来进行检测和修复,也会融入一些例如沙箱分析的功能,但是目前还不足以取代SEG在企业邮件安全的主导地位。

专注于SaaS Security的Obsidian于2017年成立,创始团队来自于Cylance、Carbon Black和NSA,总融资额已达2950万美元。Obsidian Cloud Detection and Response为SaaS应用程序提供安全防护,帮助安全团队发现,调查并响应入侵和内部威胁。以身份为中心,Obsidian安全团队可以快速调查漏洞,发现内部威胁,并加强云环境的安全性,且不会对业务造成影响。

Obsidian提出了一个新的理念叫Cloud Detection and Response (CDR),认为这是当前云安全体系中缺失的一部分,CASB能起到防护但是做不到检测与响应,就像终端上的EDR和网络中的NTA解决了可见性需求类似,CDR需要对云环境提供全面的可见性,持续收集和分析SaaS的活动来检测并进行事件响应。笔者研究了Obsidian的核心能力,主要包括云环境的可见性、基于安全策略的自动化检测和分析以及安全风险监控,基本是SaaS安全的核心需求,对比AppOmni,整体Story的逻辑理念要更好。

Top 10中当前融资最高的公司SECURITI.AI,成立于2018年,当前融资总额已超过8000万美元,旗下的产品套件Privacy.ai通过AI驱动的PI(个人信息)数据发现、DSR(数据主体权)自动化、文档责任、数据处理可见性和AI自动化处理帮助企业应对合规需求, 隐私保护合规解决方案以及完全覆盖GDPR (The EU General Data Protection Regulation), CCPA (The California Consumer Privacy Act) 等。

随着GDPR的生效,要求收集、处理个人信息的企业进行严格的数据保护,对执行过程进行监督,并对违规行为进行严格的惩罚,隐私及数据保护市场也将快速发展。Gartner认为对70%的组织来说,归档个人数据是隐私风险最大的市场,并预测到2022年,全球一半人的个人信息将受到GDPR的保护。2016年创新沙盒的冠军BigID做数据安全的出发点就是个人隐私信息保护,这正好契合了当时GDPR的热点,也引发了隐私保护市场的发展方向。

Sqreen是一家来自法国巴黎的网络安全创业公司,成立于2015年,创始团队来自于苹果公司的攻防团队,其解决方案聚焦于应用程序安全防护。对于应用开发和安全运营的场景,Sqreen平台的模块包括RASP (Runtime Application Self-Protection) 、 In-App WAF、Security Header以及通过虚拟补丁防止应用程序漏洞被利用,为开发人员提供了从应用程序收集到的安全漏洞信息及响应措施。2019年下半年Sqreen被Gartner评选为Cool Vendor。

随着软件逻辑应用架构迁移到客户端,应用程序的自我保护能力变得至关重要。In-App应用程序内保护将自我防御功能引入到到客户端应用程序中,包括应用程序屏蔽、应用程序实时自我保护(RASP)和反恶意软件技术,这是非常适合以零信任approach来应对应用安全。Gartner预测到2022年,超过50%的针对点击劫持和移动应用的攻击可以通过In-App解决方案来阻止。

总部位于硅谷的Tala Security成立于2018年,创始团队来自Symantec。Tala Security提供的Web安全解决方案,保护企业网站免受Formjacking、Magecart以及其他高级攻击,用户提供安全的web体验。尤其针对Magecart attack,使用基于AI的分析引擎实时分析网站的行为和脚本,帮助标准的web安全策略(如CSP、SRI、HSTS等)进行自动化动态调整,确保实时阻断所有针对客户端的攻击。同时可监控和保护用户数据实现合规性遵从,包括GDPR和其他法规。

2019年Tala Security被Gartner评选为Cool Vendor。企业组织如有面向外部的Web应用程序,需要应对跨站点脚本,欺诈性的点击劫持和表单劫持攻击的需求,且不愿再应用程序层面做更改,Tala的方案比较合适。 此外,提供 JavaScript监控、CSP及SRI功能的In-App的厂商或WAF的厂商以不同类型的解决方案将直接和Tala展开竞争。

Vulcan 是Top 10中唯一的一家以色列公司,成立于2018年,聚焦于新一代的漏洞管理。Vulcan 提供一套用于自动化管理修复流程的平台,帮助企业降低安全漏洞带来的影响。2019年也入选Gartner Cool Vendor。Vulcan认为当前的漏洞管理平台设计原则需要满足几,可见性、自动化补救以及漏洞修复的优先级,其三大核心组件:Remediation - 通过自定义或预定义的修复策略,自动化执行漏洞修复,提升DevSecOps效率和协作;Prioritization – 基于威胁情报将企业安全数据与IT数据融合,使安全管理团队能够判断及基于优先级响应关键的安全事件;Total Visibility – 通过本地API与安全评估、运营集成,建立完整的视图。

但是这算不上是一站式漏洞管理的解决方案,因为客户需要具备一定的技术能力和工具,比如网络和应用漏洞评估工具、协作工具,以及软件部署工具,协同起来才能发挥最大化优势。Vulcan的解决方案毕竟在市场上推出才一年,相信未来产品功能应该会不断完善。

 

今年的创新沙盒冠军究竟花落谁家,让我们拭目以待。《安全内参》对RSA2020持续报道,欢迎关注和投稿。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。