长亭科技陈宇森：RSAC 2019 Innovation Sandbox小记

作者：长亭科技联合创始人兼CEO 陈宇森

近期看了好多写 RSAC 2019 Innovation Sandbox 的文章，恰好刚刚听完现场10家创业公司的精彩演讲，简单写一下自己的心得和看法。

Innovation Sandbox 一如既往的火爆，按照惯例，提前一个小时左右排队，可以获得一个中间靠前的位置。

接下来可爱的主持人做了精彩的暖场发言，大概意思是“我们正持续面临不同的新威胁，需要以持续的创新来解决这些问题。”

相关人员的资料简介很多文章都有写，我这边就直接进入第一个公司的介绍。

WireWheel

第一个上台的公司是 WireWheel，创始人的履历十分有趣，他曾领导了奥巴马政府时期隐私相关的谈判工作，参与了 GDPR 标准制定的过程，属于政策与合规方面的专家，公司的产品从界面上来看还比较基础，但其成功的关键在于对政策和标准的深入理解，以及相关隐私保护条例/法规的执行部门对该公司的认可。如果有关部门认为用了 WireWheel 就可以更好地达到他们对于隐私保护的要求的话，在当前全球对隐私保护日益趋严的政策环境下，这个产品可能会有不错的发展空间。正如 WireWheel 的CEO所说：重要的是建立信任。最早期的信任往往来源于背书，而其在隐私相关领域的从业经历能否为公司做到足够的背书，有待进一步考量。期待这类强政策合规背景的安全创业公司的后期表现。

ShiftLeft

第二个上台的是 ShiftLeft，该公司可提供更强的静态代码检测和运行时的保护机制。在静态代码检测这部分，ShiftLeft 的 CEO 着重讲了通过 CFG（Code Property Graph）来发现静态代码中的安全问题。他提到了三个场景：

• 业务安全漏洞检测

• 后门检测

• 安全漏洞检测

在之后的问答环节，他表示业务安全漏洞需要甲方场景的知识，但他们会提供很好用的工具。

CFG 的确在漏洞发现领域有过很显著的成绩：

另外他们的动态应用保护技术，可以很好地解决“漏洞找不到人修复”、“漏洞来不及修复”的问题。从技术角度来说，要做好这两点着实不易。如果这方面真的实现完好的话，感觉应用场景还是很广的。从我有限的从业经验来看，大量甲方应用系统上发现的问题，都无法进行完全修复，存在着“已知漏洞没有进行有效修复与防护，从而被黑客利用”的可能性。

同时， ShiftLeft 也是这次10家创业公司中融资最多的一家。根据 Crunchbase 的数据，融资金额已达到$29.3M，产品成熟度比较能得到保证。代码安全和应用漏洞无法及时修复，都属于老且没有被很好解决的问题。ShiftLeft 的解决方案很符合这次 Innovation Sandbox 的主题：better，将过去存在的问题更好地解决。如果他们的产品真的能够在业务场景中很好地解决问题，那会是一家很棒的公司。

Salt

第三家是 Salt，他们的 CEO 十分有活力，要解决的问题“API安全”也是被越来越多人关注，但同时没有很好的解决方案的领域。

API 的使用日益广泛，同时安全问题也在不断出现。但不同于过去应用端的安全问题，其问题主要来源于已知的、与业务无关的漏洞。演讲者给了这样一张图，以表明：当今，越来越多的问题来源于业务相关的安全问题。

长亭科技作为一家立志于做最好的 WAF 的厂商，从目前了解到的国内的 Web 安全现状来看，Known Attack（即SQL、XSS等问题）仍然大量存在，但新兴的问题（即逻辑漏洞、特别是与API相关的逻辑漏洞）正在越来越多地出现，且没有很好的解决方案。

从产品的角度，我们提供了一个基于 lua 的可编程引擎，它可以在我们的产品内部写代码。从甲方安全人员的视角，可以用代码检测一个 API 是否被正确使用；从落地实践的角度，这种方式也解决了很多 API 安全相关的问题，这需要安全人员深入地理解业务，并具有一定的编程能力。

但如果 Salt 所做的“基于 AI 的正常、异常行为检测”足够准确的话，适用的场景将会更多，同时使用的门槛也会降低。然而，这类通用的“自学习”解决方案通常无法快速适应业务的变化。是否 API 的每次变化都需要重新学习业务特征？在做正常、异常行为判断的过程中，如何提高准确率和召回率？我对这些问题十分感兴趣，打算接下来去 Expo 上找找他们的展位，实际用用看。

Eclypsium

第四家是 Eclypsium，演讲者首先提出了一个问题：你真的了解你每天都在用的设备吗？然后放出了两张图：

在过去的一年，随着一些CPU漏洞、硬盘固件漏洞的爆发，硬件漏洞被越来越多地关注。

Eclypsium 想通过他们的产品来更好地解决“知道你的设备上到底有多少已知硬件漏洞“的问题。管理设备风险，属于一个比较新的领域，尚未被太多人关注，不知会有多少客户为这个点买单。

Duality Tech

第五家是 Duality Tech，CEO 是个没有头发的感觉很厉害的博士，联合创始人里面有2012年的图灵奖获得者 Shafi Goldwasser 教授，团队有大量的博士。

在隐私保护法规日益趋严的今天，他们解决的问题是很酷的“基于加密数据的计算”。这是一支十分学院派的技术团队，正如他们官网所说：Duality 结合高级密码学和数据科学，为受监管行业提供高性能隐私保护计算。

问答环节中，能明显感觉到他们在商业准备上的不足。评委提出了一个尖锐的问题：我想用我的数据在受保护的情况下对外提供服务，我不懂技术，我的团队一个博士也没有，你如何向我证明你的方案是可行的？但演讲者的回答有些差强人意。

不过话说回来，如果他们的技术原型可以跑通并且能够解决问题的话，我认为这家公司会快速地被巨头并购。

DisruptOps

第六家是 DisruptOps，在这个越来越多人拥抱云计算的时代，要管理自己在云上的业务系统的安全可不是一件简单的事情，因为云太复杂了。

DisruptOps 提供自动化、便捷的云上安全基线管理，例如 IAM 服务的 access key管理：

成败与否的关键在于跟云的结合。我认为在云时代，如果将安全与云结合更紧密，去解决用云的用户所面临的新的安全问题，这里面存在着很多机会。

插播一下：写到刚刚，发现不小心错过了颁奖时间，刷了一下朋友圈，发现2019年获得 Innovation Sandbox 冠军的是第九个上场的 AXONIUS，他们 CMO 的演讲十分有意思，同时也是个成功的安全创业者。他说：我做的第二家安全公司一定要去解决一个大的没有被解决好的问题，按照顺序我还是在后面再介绍他们。

CloudKnox

第七家是 CloudKnox，专注于做云平台的权限管理，CloudKnox 认为，身份与权限是数字时代的超能力，当这个超能力没有被有效约束的时候，就很容易出现安全问题。

CloudKnox 认为，大多数高权限账户的99%的权限都是多余的，应该让每个账户“只拥有他需要的权限”。但这是个说起来容易做起来难的事情，几乎无法手动完成，所以他们搞了一套系统来帮大家解决这个问题。

又是一家拥抱云时代的安全公司，从业务视角来降低安全风险。

Capsule8

第八家是 Capsule8，一家专注于解决 Linux 安全问题的公司。他们讲到：Linux 目前在 server 领域处于主宰地位（自己做的市场足够大）。在 Linux 安全领域，Capsule8 表示自己足够专注足够厉害，在不搞内核的情况下（搞内核容易 Kernel Panic 啦），通过 Linux 提供的种种机制，可以提供实时的入侵防护（不是检测）。Capsule8 的 CEO 看起来比较黑客，看了一下简历也是常年浸淫在攻防领域。

回答问题部分比较有趣：

评委问题1:那么多厂商都搞 EDR，你们和他们的区别是啥？

答：他们都是本地收集信息加上一个大的管理平台，处理问题本身就有延迟，大多数也不敢在本地做阻断，而我们专注于做超级超级精准的阻断（感觉是个超好用的HIPS），然后他们处理多地多机房问题会比较复杂，有大量的数据交换，我们的数据交换比较少，大多数工作本地直接搞定，也容易规模化部署。

评委问题2:为啥一个CISO会考虑你们家的产品，有什么特别的理由吗？

答：我们的产品对运维超级超级友好。我们见过很多这样的对话，CISO：我想买这个产品，它可以很好的解决我们的安全问题，提升我们的安全防护水平，让我们抵御黑客攻击，blahblah….. 运维负责人：Ok, but not on my server. 在这种情况下，一个运维喜闻乐见和放心的安全产品，才是你所需要的。（参见下图第三点）

Axonius

第九个如上面所说：获奖的 Axonius。与其他都是 CEO 来演讲的公司不同，Axonius 是 CMO 来做的演讲，他的演讲十分具有感染力，PPT 里还有一个十分有趣的梗：

资产管理是个存在已久，但没有被非常好地解决的问题，但 Axonius 声称他们的系统能够通过更好地与其他系统的交互（包括通过自己的 Adaptor），以设备为视角，来更好地做资产管理，并且已经获得了一系列大客户的认可。演讲水平过硬，商业打法成熟。

还有个很有趣的比喻，资产管理在信息安全中的地位正如 Toyota 的 Camry（很多人的第一辆车），它应该基础、扎实、好用。  

评委调侃说：大家都在解决当前的问题或者未来的问题，你这是在解决昨天的问题啊。

演讲者：我明白，但我还是对我们的产品充满信心。

这句话我十分认同，网络安全领域大量“昨天的问题”并没有被很好解决，这是个存在大量机会的行业。

Arkose Labs

第十家公司 Arkose Labs，来自澳大利亚，两位创始人都来自昆士兰大学。目前业务安全问题很严重，同时大量问题都是单一请求攻击，你只有一次阻断机会。

Arkose Labs 声称自己的解决方案可以100%解决业务安全问题，正确区分正常用户和恶意用户。从我有限的理解来看，他们做了一套机器无法识别，但对人来说又比较好识别的“验证码”系统（看PPT是基于视觉的动作输入），他们的系统可以自动生成机器无法解决的“验证问题”，感觉像是12306验证码里那种“选出以下图中的所有小狗”的高级版本。

Arkose Labs 好像是拿到了 Paypal 的投资，同时 Paypal 也是其客户。

这次的十家厂商里我比较喜欢的是 ShiftLeft 和 Salt，虽然他们都没有获奖。颠覆式的创新很难，但也很高兴地看到，在那些已经较为成熟的产品领域，“昨天的问题”在被人们用创新的方法更好地解决。

声明：本文来自长亭安全课堂，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。