转眼间迎来了新的一届RSA会议,创新沙盒作为每一年度的观会热点,吸引了众多安全从业者的关注。创新沙盒的获奖公司往往也一跃成为年度VC追捧对象,也经常会成为国内初创公司的对标对象。每年对创新沙盒获奖公司进行预测,也成为一件有趣而高风险的事。
创新沙盒的评选,主要根据参选公司的现场路演,结合专家提问进行评选。参选公司现场“show”的能力十分重要。结合其官方建议“do”的要点,综合个人的理解,做一些解读和补充:
在有限的时间内简明扼要地讲好故事。用户痛点在哪里、你的解决方案是什么。(评委更加关注用户的需求及其如何满足,而不是产品和技术如何实现)。
管理团队及其过往成功案例的展示。注意评选的是公司而不是产品,一个成功的公司离不开能力强、经验足的管理团队。从VC的角度,慢慢的培养、等创业者成长,远不如选择已经成长完成的创业者效率高、风险低。经验不是学习来的,而是经历来的。
商业计划的可执行性!考量的不是做出一个好的产品,而是做出一个市场需要的产品,并且能成功的实现规模化销售,快速增长,获取利润。公司的成功不仅是研发和花钱,市场的开拓、关键资源的识别和有效执行更加重要。
享受乐趣!讲的要自信、思维连贯,除了展现公司,更需要展现管理团队的能力和精神,不仅要自己讲的爽,需要让听众能听懂,听的爽。
综上所述,在现场“show”之前对获奖公司的预测,只能是片面的,仅仅从其公司网站对其产品和团队的有限信息进行猜测,更不用说有可能现场讲的内容可能和网站对外展示的内容可能存在有较大的不同。
除此之外,当年的行业热点也十分重要。2018年创新沙盒BigID的获奖,与当年行业面对GDPR的巨大挑战密不可分。而今年的行业热点,好像十分难以取得广泛共识,连本年度的RSA会议主题都定位一个不痛不痒的“BETTER”。“BETTER”好像就在说,今年的热点呢,好吧没什么好说的,还是之前那些,但是都落地了一些,比之前好。个人认为今年会议关注的热点在于落地,解决实际的问题,真正实现企业有效的安全风险管理,而不再是某个技术的炫技。
尽管准确预测如何之难,我还是尽量的从个人的理解对入围的10家公司做一些点评:
1.Arkose Labs
应用级反欺诈。业务安全毫无疑问是个相当热门的领域,当前互联网业务日趋增多,越来越多的交易通过在线的方式进行,网络欺诈、薅羊毛随之而生,对互联网业务产生了巨大的危害,从而也产生了巨大的反欺诈市场需求。但是其核心业务实现是数据分析。数据业务往往会受到GDPR、个人隐私保护,跨国数据流动等的制约,作为国外创业公司如何合法合理获取用户数据,实现业务往往更加具有挑战性。从技术角度来说Arkose Labs的实现方式并不复杂,就是加JS获取客户端信息及验证,国内也有多个厂家已经做的很好。
2.Axonius
网络安全资产管理。资产管理是进行有效风险管理和网络安全管理的必备一环,其必要性毋庸置疑。Axonius的资产管理范围主要针对设备,这点国内的部分创业公司做的还更细一些,会包含端口、应用等内容。Axonius通过适配器“Adapters”进行资产信息的获取,其获取方式十分有借鉴意义,具体包括活动目录AD、漏洞管理、终端防护、身份和访问管理、移动设备管理、交换路由、其他资产管理系统等,同时结合了接口获取、主动扫描、被动分析等。在基于对资产的有效可视化管理基础之上,其还提供了插件“Plugins”对资产事件进行诸如阻断网络访问等响应方式。在公司业务包装上也还不算生硬的捆绑了零信任的热门概念,个人感觉未来其业务发展空间不小。但是资产管理虽然是安全管理中十分重要的一环,其最大价值是作为其他管理的基础,Axonius未来要么需要进行标准化、API化加强对其他系统的集成性,要么增添其他如终端管理等功能形成闭环,要么被其他综合性解决方案厂商整合,其独立发展的时间和空间恐怕有限。
此外稍吐槽以下Axonius的主页,一股浓浓的被VC或者孵化器深度辅导过的气息,在最显著的第一栏就提出了“问题”,根据这个情况判断,其创始人现场路演也会相当的“职业”。
3.Capsule8
Linux系统实时零日利用检测平台。简单理解,Capsule8就是Linux平台下的EDR终端检测与响应平台,其特点就是Linux下的“首个”实时利用检测,并结合了可执行的攻击情报利用,自动化攻击阻断等概念和技术。Linux的应用场景实际比较小,选用了开源操作系统路线的用户往往也会继续选用开源路线的应用解决方案和安全防护方案。“技术专家”和“穷人”的生意都不好做,Linux的场景实际上也决定了公司的发展空间。
4.CloudKnox
云身份和权限管理平台。CloudKnox的主要功能是对多云、混合云等云环境下的身份、权限、行为和资源进行管理。其结合了行为识别、权限最小化、基于机器学习的异常检测、取证级的行为数据留存等概念和技术,为用户提供了云环境下统一的身份、权限和风险合规管理平台。身份管理毫无疑问具有巨大的市场空间,而云又是基础设施的重要发展趋势,CloudKnox的发展想象空间相当不错。
5.DisruptOps
SaaS安全运营管理平台。DisruptOps结合了当年热门的DecSecOps理念,为云基础架构提供了SaaS化的自动化控制和管理平台。其技术简单说就是针对云基础设施提供了众多的接口、组件,可以十分方便的被云基础设施使用和统一管理,并基于统一的SaaS跨组件提供自动化的控制等功能。我一直对通过要求普通开发人员,掌握安全技能,熟悉安全编程,实现SDL的实际效果存疑。与其要求所有人都来做安全,不如反其道而行之,将有能力的安全人员能力集中,统一进行安全架构规划,并提供身份、访问控制、数据交互、日志等安全组件或安全服务,要求其他安全人员不进行重复开发而利用这些安全组件或安全服务,实现整体的安全能力增强。这正好是安全理论从木桶演进到塔防的过程。而云基础设施又相当的标准化,更加的适合以标准化的组件或者服务来进行安全架构能力的组装。考虑到欧美昂贵的人力资源成本,虽然DisruptOps目前提供的组件功能相对初级,但是从业务角度的发展空间相当具有想象力。
6.Duality Technologies
同态加密。公有云上的数据安全是大部分用户上云的最大顾虑。同态加密是一个从理论上十分完美解决云服务和数据分离问题的方案。Duality 在同态的理论之上,还应用了量子抵抗等新技术,实现了云上数据加密后仍可使用第三方分析工具和AI对数据进行分析处理。从其主页上了解,其公司由多个数学和加密领域的专家组成,但是对其具体实现、对主流环境的兼容度、甚至用户案例均未提及,产品截图都没一个,披露的管理团队也全部都是科学家,因此我比较怀疑Duality的产品成熟度、适用性和商业计划的可执行性。
7.Eclypsium
固件安全。棱镜门后,大众对于固件安全有了全新的认识,以前认为网络设备、安全设备等硬件不会被植入后门的神话被打破。供应链攻击也成为近年关注的焦点,U盘、鼠标、键盘、摄像头、网卡都可能出现安全漏洞,甚至被植入后门。Eclypsium应运而生,其通过对固件系统、包括其子模块的信息进行扫描收集,然后通过其Eclypsium Analytics System进行分析,发现木马和后门程序。总体感觉虽然对上了当前热门的固件安全和供应链安全,但是其市场想象空间不够大,难以支撑公司长远发展。
8.Salt Security
API安全。其利用AI技术,发现企业存在的各种API接口,检测其存在的漏洞和攻击行为,并针对漏洞和攻击行为进行消减。随着RPA/机器人、APP、系统间集成利用的日趋增多,网络中API的流量比例日趋增大,甚至有逐渐超过WEB流量的趋势。相对与WEB安全检测和防护产品,API安全领域存在极大的空白。由于API的特性,相对于WEB更容易的出现漏洞被利用导致大批量数据的泄露。Salt Security选择了相当不错的一个入手点。从其主页来看,其商业化程度较高,猜测其管理团队的完备性和对于商业计划的落地性都比较高。
9.ShiftLeft
应用安全。其提供了一套涵盖SAST 静态应用安全测试、运行态代码分析和保护的综合应用安全解决方案。静态和运行时结合的方式有助于形成开发和运行的闭环管理,其产品化程度也貌似比较高。需要注意的是其方案偏重,局限了其潜在客户对象群体。
10.Wirewheel
隐私数据保护。其针对隐私数据发现、跟踪、分配、再分配、协作和管理等隐私管理工作需求,并结合AI 、机器学习、元数据模型、工作流、隐私情报和报表等技术,提供了一套SaaS化的隐私管理和保护平台。GDPR的概念虽然仍然火热,但是为了GDPR又用了个SaaS来管理自己的GDPR这个事确实有点复杂,其最佳的适用范围应当也是云上的业务。总结起来还是有点复杂有点重。
以上分析系基于对其公司主页公开信息,见解无疑十分粗浅,创新沙盒更关键的是现场的交互效果。基于公司主页公开的信息对评选结果进行预测跟盲人摸象的难度相差无几,但是最后还是必须要预测一下。我比较看好的公司是 Salt Security。
NUKE,金湘宇,君源创投管理合伙人,Sec-UN网站创始人、威胁情报推进联盟发起人。前网络安全和信息技术资深咨询顾问,曾服务于国家电网、中国移动、中国电信、华为等全球领先用户。现私募基金管理合伙人人,主导投资思睿嘉得、图迹科技、神州网云、数字观星、英诺森、嘉韦思等创新公司。
声明:本文来自数说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
