RSAC 2020创新沙盒十强对中国网安创业者的价值

作者：元起资本 万熠

2020年RSA创新沙盒的10强已经评选出来了，从总体上来看，今年的技术热点还是延续了前面几年的创新热点的，但DevOps安全和安全意识教育也是前几届十强名单中很少出现的细分领域。

云安全依旧是创新热点，云及SaaS成为交付形式的逐渐成为主流（尤其是在海外市场），针对云及SaaS的安全问题层出不穷，可以创新的点比较多。相比前几年大热的CASB方案，今年的Obsidian将服务器EDR的理念“嫁接”到SaaS服务中去，采用API部署的方式对主流的SaaS业务进行全面持续的监控，在此过程中客户需要向Obsidian平台提供SaaS业务的相关特权账户信息。将用户、数据、应用间的关系进行机器学习梳理，形成正常业务逻辑基线，并加强对特权账号的管理，一旦发现异常操作，则根据策略进行响应。而AppOmni将配置防火墙、基于用户角色的控制访问（RBAC）,以及合规性及云安全配置管理（CSPM）进行了结合，形成涵盖访问控制、数据泄密、安全合规、运维监控几个方面的较全面的综合解决方案。比较来看，二者有一定程度的相似性。

INKY主要是做云邮件系统反钓鱼邮件的，所以大体也可以归为SaaS安全类。INKY自诩为是钓鱼邮件的终结者。INKY采用API调用的方式，对Office365、G-suit以及Exchange进行防护，也可以通过客户端方式对其他云服务邮箱进行防钓鱼保护,在Gartner的细分领域划分中属于Cloudemail security supplements (CESSs)。宣传的主要技术是运用计算机视觉和异常检测算法检测各类仿冒电子邮件和鱼叉式网络钓鱼攻击。此次INKY之所以能够入选创新沙盒十强，我想应该是在AI、ML等新技术的加持下，它的实际效果比以往反钓鱼邮件的产品要好吧。毕竟各类邮件安全的新产品常年层出不穷，而且2008年成立的INKY也算不上是初创公司了。

SaaS模式交付，在欧美等成熟市场已经成为主流交付模式，SaaS应用的格局较为清晰，G-suit、Office365、Slack、Salesforce、aws、BOX/Dropbox等十余款主流软件基本涵盖了企业日常办公业务需求，所以多数的SaaS安全产品是围绕着这十余款主流应用进行保护的。但在国内，除了钉钉/企业微信外，并没有形成相对稳定的基础SaaS应用格局。今年突如其来的新冠疫情，让SaaS应用受到前所未有的关注，很多人认为中国SaaS市场的爆发期来了。但是仔细研究发现，除了钉钉、企业微信外，新的活跃分子似乎只有字节跳动的飞书了。但是这3家互联网巨头能力极强，都有庞大且顶尖水平的安全团队。对初创企业来说，保护钉钉、企业微信以及飞书的业务安全，似乎在商业收费模式的探索上有很大的难度。如果是一个个地解决尚未形成产业格局的众多中小SaaS应用的安全问题，一方面工作量太大，另一方面这些中小SaaS自身发展都成问题，让其客户为安全付费更难。所以如果是参考Obsidian，那么在国内的落地是参考其技术路线，落地大型用户的私有云上的业务系统。虽然工作量也很大，但是大型用户管理要求高，预算充裕，付费能力强。另外提一下，以SaaS形态交付的网络安全产品，并不一定是SaaS的安全产品。

至于邮件安全，国内外市场的重视程度完全不一样。邮件在国外是绝对的生产力工具，它甚至是社交工具。而在中国，IM工具（包括企业IM和个人IM）才是绝对主流。所以创业公司只单独在中国做邮件安全，甚至只是邮件反钓鱼，市场重视程度低，能否活下去都是个未知数。

WEB安全虽然已经不是什么新鲜领域，而且2005年创新沙盒冠军Imperva早已成为行业领军企业之一，但是该领域一直以来是安全从业人员的关注重点。今年TalaSecurity、Sqreen都在这细分领域提出了创新性的思维和产品。Sqreen主要采用的还是RASP与In-AppWAF，但不同以往的是它是以微代理（Microagent）的方式模块化提供这2个方面的防护能力。此种结构安装部署快捷，无需改代码或者重定向流量，配置简单。能够有效的防范OWASP Top10攻击，0-day攻击，数据泄漏等攻击。不过Mircoagent也是agent，一方面在业务服务器上部署agent的方式能否被客户接受，另一方面客户能否接受服务器上装多个Agent也是个问题，毕竟把Agent装进客户服务器是很多公司想做的事。

Tala Security的web防护方案则显得非常的耳目一新。从有限披露的资料来看，Tala产品主要依靠一套浏览器内建安全机制（包括CSP、SRI、HSTS、iFrame沙箱、URL Referer、证书验证CertificateStapling等），通过正确配置实现对客户端侧攻击的有效防御，并用CSP report机制记录。其商业核心竞争力应该就是其所谓的采用AI辅助分析引擎对网页中的50多个独特指标进行分析并评估网页架构体系，从而生成策略应用到整个网站中。思路上更类似行为分析模型生成策略，而非传统WAF的漏洞检测阻断机制。

国内的WAF市场，一直以来都有不少创业公司致力于新一代WAF产品的研发，不过从实际市场表现来看，除了少数创业企业在特定细分领域市场有不错的表现外，总体上还是以传统的头部安全厂商为主，而在云WAF市场则更是被几家云巨头瓜分。所以在细分领域做改良型创新，风险还是很大的。一方面要面临来自传统头部厂商的既有产品的竞争，另一方面要面临该领域头部厂商的自我改良。从过往的经验来看，细分领域的改良型创新，更多的是利用了新的工具和新的产品思路，技术门槛并不特别高，只是做得早点儿罢了。而想以单项功能颠覆传统头部厂商的整体格局，难度太大，能够在特定细分领域走出来，已经是一件很不容易的事情。

本次十强公司中有3家公司是与DevOps相关的，这在前几年的RSA创新沙盒中是很少见的，可见企业生产开发过程中采用DevOps的模式的比重越来越大，企业整体上逐步从传统开发模式向DevOps进行转变和演进是大势所趋。ForAllSecure采用其宣称的下一代模糊测试的方式来对代码的安全性进行检测，而从披露的相关资料来看，BluBracket则通过对代码的“可视化”分析，来自动化评估代码各个片段的存储、调用以及权限、缺陷等。比较来看，ForAllSecure的效率应该会更高，但是BluBracket的全面性会更好。

以色列公司Vulcan Cyber所涉及领域相对就比较传统——漏洞管理。其宣传的最大特点是将威胁情报、业务数据与安全数据进行融合，从实际业务层面判断风险优先级，并通过预设规则进行自动修复，Vulcan成为业务中的一个环节。所以某种程度上来说，Vulcan也可以算是DevOps安全类产品。

DevOps最近几年非常热，颠覆了传统的产品开发的业务流程和模式。但是对DevOps最关心的企业主要恐怕还是以软件开发为主要业务的公司。所以DevOps安全市场预期，可以用借鉴和参考代码检测产品市场，它在中国能否撑起一家公司的IPO的业绩规模？

剩下的2家公司则分属不同细分领域。

Elevate Security是做网络安全意识教育的。安全意识是安全业务和安全管理的基础，很重要，国内也有相关类似的机构。但是多数的安全意识教育过于枯燥，采取统一的填鸭式学习考核的方式，看视频，看资料，做题，考试，过于教条，难以量化体现实际的效果。而Elevate Security采取了类似“真人沙箱”演习的模式，对企业不同角色人员采取基于模拟业务流程的测试学习方式，通过钓鱼邮件攻击模拟、员工安全意识基线、可视化分析、邮件反馈系统及场景式的安全培训能力，提供了一个闭环学习方案。安全意识培训的业务对象是人，充分考虑到人的特有属性，这是Elevate Security独特价值。

Securiti.ai主要是解决隐私保护及合规性需求的解决方案，涵盖了个人信息数据发现和风险评估，数据所有权的归属、企业隐私风险评级、敏感数据治理等各个方面，通过自动化的系统平台保障客户在全球范围内遵守GDPR和CCPA等，避免客户因违法而承担高额罚款。

有很多人说中国安全市场跟欧美不一样，是个合规性市场。这个观点我不认同。合规性需求，也是一直也都是欧美等成熟市场的主要需求之一，是海外成熟网络安全市场持续关注的重点。每年RSA大会都有关于合规性的专题，除了最近几年大热的GDPR、CCPA外，比如HIPPA/HITECH、PCI-DSS、SOX等一直都是欧美市场客户持续关注的。合规性需求，也是分层分类的，不同的客户面临着不同的合规性要求。如果国内的创业者的目标仅仅是满足等级保护的基本要求，那么很难和平台型头部安全厂商去竞争。但是如果创业者能够抓住某一类行业业务的特殊合规性需求，以高效的技术，简单易用的产品，提供切实有效的方案，还是有很大的发展机会的。

今年的创新沙盒十强，我个人比较看好Secuti.ai和Tala Security，前者市场空间巨大，后者技术思路新奇。

每年的RSA大会创新沙盒环节为中国乃至全球的网络安全从业人员指引了技术创新的思路和方向，一定会引发相关领域的关注热点。每年RSA大会后，国内就会涌现一大波对标创新沙盒某某某公司的中国版企业。我想这里面，投机的成分更多一些吧，而媒体和投资机构似乎也很热衷于发掘这样的“中国版企业”。我们一直认为中国的创业者切不可盲目的对标美国或者以色列的网络安全企业。技术是必要的，但技术从来都不是企业成功的充分条件。从技术到产品、从产品到销售，从特定客户群到市场头部玩家，从单产品到多产品方案组合，从小公司老板到大公司CEO，技术只是众多要素之一而已。

创业者在选择创业方向之前，首先需要充分考虑到中国市场的自身特点，包括产业结构、采购模式、习惯意识、竞争格局、资本市场等各个方面。中国市场在这些方面都与欧美市场存在巨大差异。那些在美国能够走出来的公司，放在中国也许没有出头之日。

另外，我们再回顾一下最近十来年的RSA创新沙盒的冠军公司，除了2006年的Imperva规模性增长并成功IPO之外，剩余的一半公司被传统巨头收购，一半公司几乎被遗忘。有人说从投资退出的角度来说，创新沙盒的冠军非常有借鉴价值，差不多50%都退出了。但是中美的公开市场退出要求和标准是不一样的，收购时监管层的要求也不一样。而中国网络安全初创企业美元股权架构，并寻求海外退出的方案的可能性和实际难度，也是可想而知的。

所以RSA创新沙盒公司的技术方向和思路很值得中国的安全安全创业者借鉴，但是也仅仅是值得借鉴。

关注本公众号（数说安全），在公众号聊天中回复“创新沙盒”，获取详细的《数说安全RSAC2020_ISB竞赛入围十大初创公司调研报告》

声明：本文来自数说安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。