大会规模,重返巅峰!

RSAC 2025延续了RSAC全球网络安全盛会的盛况,规模基本恢复到了2019年峰值(2019年约有42,500名与会者和700家参展商)。大会主会场依然设在旧金山Moscone会展中心,分布在North、South和West展馆,提供了充裕的空间用于主题演讲、分论坛和Expo展厅。今年大会期间人头攒动,展厅内外交流热烈。与2024年相比,2025年的RSAC在与会人员构成上更加多元,来自全球各地的专业人士齐聚一堂,沙特在大会设置了相当大的展台,非常惹人瞩目。

创新沙盒大赛:开源漏洞管理技术夺魁

RSAC大会的亮点之一是每年的“Innovation Sandbox”创新沙盒初创企业大赛。2025年的创新沙盒迎来了第20个年头,竞争异常激烈。今年共有超过200家网络安全初创公司提交了参赛方案,较2024年增长了40%以上。经过层层选拔,最终10强选手在大会现场同台竞技。2025年Innovation Sandbox的冠军由初创公司ProjectDiscovery摘得,其被大会评选为“2025年度最具创新初创企业”(Most Innovative Startup 2025)。ProjectDiscovery凭借其开源漏洞扫描与攻击面管理平台脱颖而出:该平台基于开源工具“Nuclei”,能够自动化地监测企业的攻击面并快速发现和修复漏洞,为安全团队提供高效的风险检测手段。评委会认为,ProjectDiscovery将开源社区的力量与企业安全需求相结合,加速了漏洞发现与响应,这一技术亮点使其在众多创新者中胜出。

今年创新沙盒大赛的一大变化是主办方推出了新的投资激励计划——所有进入决赛的十大初创公司每家都获得了500万美元的投资,这一举措反映出资本市场对安全创新的高度关注。回顾往年,大赛评出的优胜者往往预示着行业新风向:例如2024年的冠军Reality Defender聚焦AI生成内容的真伪鉴别,提供深度伪造检测平台;2023年则由专注机器学习安全的HiddenLayer夺冠。相比之下,今年ProjectDiscovery的胜出有点出乎笔者意外,基础防御(漏洞管理、攻击面监测)虽然是刚需,但在创新沙盒大赛中胜出的确没有想到,或许“开源+自动化”正成为安全创新的重要趋势?值得一提的是,ProjectDiscovery团队的COO Andy Cao是一位华裔。

Innovation Sandbox大赛20年来已成为众多安全独角兽的摇篮——过去19年中入围决赛的初创公司累计获得投资超164亿美元,诞生了90多起收购案例。仅在最近,两家以色列初创公司的成功故事就与此相关:2022年沙盒冠军Talon Cyber Security在2023年被Palo Alto Networks以约6.25亿美元收购,2021年决赛入围者Wiz在2025年3月被谷歌宣布以高达320亿美元收购。这些案例印证了RSAC创新沙盒作为行业风向标的价值。

参展厂商盛况:新兴力量崛起

走进RSAC 2025的Expo展厅,映入眼帘的是琳琅满目的厂商展台和络绎不绝的观众。今年共有约600家网络安全厂商参展,规模与2024年持平略增。这一数字较2023年的550家有明显增长。今年大会专门设立的Early Stage Expo初创企业展区汇聚了76家新创公司。这些新秀公司覆盖了从应用安全到云安全、从身份管理到威胁情报等各个细分领域。

总体来看,本届Expo展厅的参展厂商数量与质量齐升。“老兵”厂商展台依然人气旺盛,持续展示成熟产品的演进和集成方案;同时新兴企业的亮相成为一大看点,不少初创公司展台前聚集了观众观看演示、交流技术。这些创业公司的崛起也反映出行业的发展方向。例如,初创展区中有相当比例的公司专注于应用安全(约占20%,涵盖软件供应链安全、API安全等)以及身份访问管理、生成式AI安全和安全运营等领域。多家初创团队现场分享了各自独特的解决方案,不少产品着眼于自动化、防御主动化和AI赋能,体现出现代安全的新思路。

和往年相比,参展厂商的技术焦点也出现了变化。一些过去几年的热门领域(如零信任架构)依然有厂商强调,但相比高峰时期热度有所回落,更多成为产品标配特性而非独立卖点。相反,新近兴起的领域如供应链安全(软件供应链及开源组件风险)、SaaS安全(SaaS应用及第三方整合风险管理)等得到更多厂商关注,相关解决方案纷纷涌现。在大会现场可以感受到,网络安全创业生态在不断扩张,与2024年相比,参展厂商的热情有明显好转,各展商派送礼物的数量也比2024年多了不少。

大会议题趋势:聚焦AI与新兴安全挑战

RSAC大会的议题设置历来是行业技术风向的晴雨表。从2025年大会的主题演讲和分论坛议程来看,人工智能安全无疑成为最炙手可热的主题,超过1/4的公司介绍中有AI字样,议题中包含AI的比例更高。生成式AI(GenAI)近两年的异军突起,对安全领域带来双重影响:一方面,大会多场演讲探讨了如何利用AI提升防御能力,比如利用大型语言模型协助安全分析、自动化威胁响应;另一方面,也有议题聚焦AI带来的新风险,例如深度伪造(Deepfake)攻击、AI辅助攻击工具等。事实上,在2024年RSA大会上,“生成式AI与网络安全”就已被评为最热门话题之一。进入2025年,这一趋势进一步升温:大会开设了专门的AI安全论坛,一些重量级嘉宾(包括Bruce Schneier等安全专家和大型科技公司的代表)在主题演讲中深入探讨了AI的机遇与风险。可以说,“AI时代的安全”成为贯穿全场的主旋律。

除了AI安全之外,软件供应链安全依旧是大会讨论的重点。近年多起供应链攻击事件(如开源库后门、依赖篡改等)促使业界高度重视这一领域。本届RSA大会上,多场技术分享聚焦于如何保障代码供应链和第三方组件的安全,包括SBOM(软件物料清单)的应用、CI/CD流水线安全、防止供应链中断等议题。有厂商在大会期间发布了代码供应链风险可视化工具,帮助追踪AI生成代码可能引入的隐患。这些都表明供应链安全从理念走向实践,成为企业安全策略中的固定环节。

零信任(Zero Trust)架构方面,本届大会的讨论热度相对前两年有所平稳。零信任作为一种原则,早在2021年前后因政府政策和远程办公趋势而大热,经过几年实践,如今大会上更多是分享落地经验和优化策略,而非纯粹概念炒作。许多演讲嘉宾提到,将零信任理念融入网络架构和访问控制已成为新常态,今年则更关注如何细化实施、解决用户体验和运营复杂度问题。从参展方案看,不少厂商产品已内建零信任框架,以支持细粒度访问权限和持续验证,有分析指出初创公司中有相当一部分强调了零信任相关能力。

量子安全也是不可忽视的议题。虽然量子计算对现有加密体系的冲击仍属前瞻话题,但RSAC传统的“加密技术专家小组”(Cryptographers’ Panel)及相关演讲继续关注这一领域,例如讨论抗量子密码算法的标准化进展、量子随机数的应用等。在2023年大会的“Hugh Thompson Show”环节甚至以“量子时代”命名,凸显量子技术对网络安全的潜在影响。在2025年的大会上,这一趋势延续,有专门论坛探讨后量子加密和未来的密码学方向,业界专家们就如何提前布局抗量子安全进行了热烈讨论。

最后,SaaS安全作为新兴话题也进入了视野。随着企业IT全面云化,越来越多业务依赖第三方SaaS服务,引发的数据保护和访问控制问题成为今年论坛上的讨论热点之一。一些议题涉及如何管理日益庞杂的SaaS应用权限、监控敏感数据在SaaS平台的流转,以及防范SaaS供应商自身的安全漏洞。有厂商在大会期间推出了针对SaaS环境的安全控制平台,实现多工具信息整合以提升对SaaS风险的可见性。可以预见,SaaS安全将随着云端应用的普及而持续升温。

总体而言,RSAC 2025的议程设置反映出行业技术方向正从过去的网络架构防护,扩展到应对智能化和供应链复杂化带来的新挑战。从AI安全、供应链风险,到量子时代的密码学、更精细的身份与访问管理,无不体现网络安全领域正在与时俱进,全面演进。这些趋势在大会上得到充分讨论,为从业者提供了宝贵的风向指引。

风头正劲的以色列企业与低调参展的中国企业

近几年,网络安全创新和创业领域出现了一个引人注目的现象:以色列公司在全球范围内扮演了举足轻重的主导角色。2025年RSA大会的39场主旨演讲中,有4场由以色列专家主讲,论坛发言嘉宾中近40位来自以色列。根据安全行业研究者Richard Stiennon的调查,按国家统计的信息安全企业数量,以色列位居全球第二,拥有的安全公司数量竟然超过英、加、印、德、法五国的总和。考虑到以色列人口仅约900万,而那五国总人口高达15亿,这组数据更加令人惊叹。可以说,在网络安全产业版图中,以色列被誉为创新的堡垒和“创业国度”。

以色列企业为何能在网络安全创新中占据主导?利好因素来自多方面:首先,以色列独特的军民融合培养了大批安全人才。许多知名安全创业公司的创始人都出身于以色列国防军情报部门(尤以8200部队著称),在服役期间累积了丰富的网络作战经验。这使得以色列形成了高校—军队—高科技企业的紧密衔接,为安全创业输送了源源不断的顶尖人才。其次,以色列政府和风投界对网络安全高度重视,资本投入积极,催生了一批又一批初创公司。以色列的小体量市场迫使这些创业公司生来即面向全球,这也使其产品更具国际竞争力。

这种由以色列企业主导创新的格局带来了诸多积极影响:

其一,推动技术前沿发展。以色列创业公司在云安全、身份管理、威胁情报、加密等众多领域不断推出新思路、新产品,丰富了全球安全技术的多样性。当年的防火墙先锋Check Point、近年的云安全独角兽Wiz等皆源自以色列,对行业技术进步贡献良多。

其二,激发行业竞争。以色列公司大量涌现并迅速获得高额融资或被收购,倒逼其他国家和地区的企业加大研发投入,整个行业因此保持较高的创新活力。例如,美国巨头频频收购以色列创新公司以充实自身产品线,形成良性循环。最近几年的大手笔并购案例(如谷歌收购Wiz、Palo Alto收购Talon等)正是明证。

其三,提升全球安全水准。以色列输出的不仅是产品,还有人才和理念——许多以色列安全专家在国际大会分享经验,推动了全球范围内安全最佳实践的传播。

然而,我们也需辩证看待以色列主导背后的潜在问题。

一方面,创新资源过度集中可能导致技术生态的相对单一。当前大量资本涌向以色列创业公司,可能使得其他地区(例如欧洲、亚洲)的初创企业获得关注和资金支持相对减少,不利于全球创新力量的均衡分布。这种“强者恒强”的局面在促进尖端技术发展的同时,也可能压缩一些本土化、安全多样性需求的空间。

另一方面,频繁的收购整合亦有利有弊。许多以色列初创公司在成长到一定阶段就被国际巨头收购(主要买家多为美国公司),短期来看这为创业者和投资者带来可观回报,也能让创新技术更快融入主流产品。但长期而言,大量独立创新实体被并入巨头后,市场上的玩家变少,竞争格局趋于集中,可能降低创新动力。此外,过早的商业成功可能使创业者更倾向于寻求被收购退出,而非坚持长期将公司做大做强,在某种程度上影响了技术的持续深耕。

以色列企业的主导还引发了全球格局和安全主权方面的讨论。随着关键安全技术和产品由以色列(往往背后有美国资本)主导,有些国家开始担忧自身网络安全命脉受制于人。这促使各国更加重视本土网络安全产业的发展,以避免在核心安全能力上过于依赖单一国家或供应商。这种良性的竞合态势或将推动全球网络安全产业更加繁荣:一方面,以色列将继续扮演创新火车头,引领新的技术方向;另一方面,其他国家和地区也在加紧培育各自的安全新秀,与以色列企业共同构建更加多元化的技术生态。

中国企业参展RSAC2025创出了自2013年以来的新低,仅有飞天诚信、山石网科、绿盟科技、奇安信四家企业参展,微步在线以其国际品牌SecAI参展,只有飞天诚信一家选用了特展展位,回想起RSAC 2019期间百度安全主办的近百人参加的“RSAC小龙虾游艇”活动,让人不胜唏嘘。不过,华人做为在网络安全领域最活跃的族裔志毅,不少展商的展台的工作人员中能看到比往年多的华人的面孔,在Cyera、Stellar Cyber、Netbrain等厂商的展台,都是华人给我们做的产品介绍。更有Ridge Security等创办的安全公司参展。与华裔同行交流过程中大家普遍感觉到来自以色列的压力,但大家觉得华人踏实务实的做事风格,踏踏实实做好网络安全技术和产品,未来仍有机会。

声明:本文来自数说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。