RSA大会相关文章资料收集整理


=Start=

缘由:

收集整理一下RSA大会相关的资料以及一些评论文章,方便后续阅读学习。

正文:

参考解答:

=

=

参考链接:
  • 如上

=END=

, ,

《 “RSA大会相关文章资料收集整理” 》 有 10 条评论

  1. 智能威胁分析之图数据构建
    https://mp.weixin.qq.com/s/15Avw3KTnmGIftxYhK34mQ
    https://paper.tuisec.win/detail/e5fcc36a070d1d6
    `
    RSAC大会的热度似乎持续了一整个北京的春天,直播、新闻、技术解读、研讨活动让人应接不暇。从RSA大会官网上查询今年“Better.”主题的由来和背景,发现会议主题的设计虽然从字面似乎是表达“去年做的不错,今年再接再厉”的客观评价,不过更多的,是大会对安全行业“不忘初心”的鼓励。“最重要的是,永远不要忘记我们来到这里的根本原因:帮助确保一个更安全的世界,这样其他人就可以着手让世界变得更美好。” 看到这里,读者脑海中是否也回荡起Michael Jackson的经典歌曲“Heal the world, make it a better place…”闲言少叙,作为网络安全数据应用的研究者,常常会思考的一个问题,是怎么才叫安全智能,怎么才能让网络安全更智能(better)?
    基于深度神经网络的AI技术在许多领域有所突破,而在网络安全中的应用总体来看仍然是有限的落地。当前阶段,期望通过层级的深度神经元网络,端到端的识别、关联和响应威胁事件,可以说是有些不切实际。算法专家周涛给出了AI在威胁检测中难落地的几点总结:

    1.机器学习擅长发现正常模式,但入侵是异常行为
    2.有大数据并不等于有大量标注的数据,无监督学习方法的精度有限
    3.威胁检测是一个开放问题,难以定义损失函数
    4.对结果可解释性的追求

    一、数据层次划分模型,DIKW
    二、数据组织形式,图模型
    三、构建智能威胁分析能力的关键数据图

    当前,大规模多维度网络安全大数据的接入,给网络威胁事件的处理造就了全新机会。同时,在有限可用资源的条件下,对安全数据源的甄选和统一处理也显得尤为重要。不同于DIKW的数据分层模型和CyGraph的安全/任务知识栈结构,从网络攻防的对抗本质出发,以给定的网络空间为战场,以保护资产(包括实体资产和虚拟资产)并打击威胁主体为目的,智能化的威胁分析应该收集并构建以下维度的关键数据图:

    环境数据图:如资产、资产脆弱性、文件信息、用户信息、IT系统架构信息等
    行为数据图:如网络侧检测告警、终端侧检测告警、文件分析日志、应用日志、蜜罐日志、沙箱日志等
    情报数据图:各类外部威胁情报
    知识数据图:各类知识库(如ATT&CK,CAPEC,CWE)等

    四、 总结
    针对网络空间智能威胁分析技术的研究,目的不是设计一个如何炫目的概念,也难以实现一个放之四海皆可用的AI安全模型。回归到攻防的战场上,我们希望也能够得到的,是一个统一的、能吞吐海量异构多源数据,快速检测、推理、响应、追踪威胁事件的高度自动化平台及工具链,辅助人进行安全的运营、研究和对抗。本文从实践经验出发,基于对网络安全数据分析中常用数据源的再分类,提出了构建智能安全平台的图模型所需的环境、行为、情报、知识四张关键数据图,以支撑“智能化”安全研究工作的进一步开展。

    当然,一个可用的、可拓展的图数据架构,不仅需要数据处理、存储框架等基础设施的支持,更重要的,是要保证不同种类的数据图内部和数据图之间的数据关联和交互。这一方面需要对图结构模式层的结构化的概念模板——本体库进行系统的设计与优化,包括实体种类、实体关系和实体属性等;另一方面,需要使用统一、可拓展的规范和语言(如STIX、MAEC、信息安全技术网络安全威胁信息格式规范等)对图结构数据层中的实例进行描述,并通过统一接口完成数据交互。此外,不同数据层数据之间的关联需要标准的命名、分类体系,例如,需要将企业定制化的IOC检测告警对应到知识库的指定知识节点上。这些工作本身就对传统的网络安全架构和实现提出了挑战。最后,从安全智能生态构建的角度,需要从数据、技术、架构、法规等更多的维度针对智慧安全技术建立行业标准,以迎接安全大数据的深入分享与交互,实现真正的行业智慧。
    `

  2. 创新沙盒,罕见领域分布的背后 – RSAC 2020 (1)
    https://mp.weixin.qq.com/s/ExGnLLzd1wBDksGFfimULw
    `
    创新沙盒比赛,因为浓缩了高质量的众多安全创业公司而备受瞩目,入选者所代表的热点方向也被行业人士趋之若鹜。今年的十强名单公布后,各家报道都纷纷加以分析,指出从榜单构成数目来看,应用安全和SaaS安全占据绝大多数。虽然赛事组织者不满固步自封,努力创新求变,套路明显发生改变也是正常的,但市场趋势真的是应用安全要占据半壁江山吗?

    过去五年的创新沙盒,评委会精心选择覆盖多个代表行业热点的赛道,几乎没有单一细分领域同时出现两家入围的现象发生,力求全面展示当前行业聚焦关注。拿去年做例子,我们可以看到的包括:密码学(同态)、主机安全、应用安全(代码审计)、云安全(审计)、身份安全、资产管理、API安全、数据安全(隐私)、固件安全、业务安全(反欺诈),典型的每个细分方向只有一家。而今年,如果只看媒体宣传文章,会发现除了一家钓鱼邮件检测、一家安全意识教育、和一家隐私保护延续之前的分布路数之外,居然同时有两家SaaS安全,而余下五家都在做应用安全。

    当真如此吗?我们应该如何看待此变化?也许我们不应该急于作出结论,而是透过表象看本质,忽略每个公司两句话的简介,去深入观察各公司的具体产品特征,进一步思考他们是如何解决具体难题的,再来评判属于哪个赛道。
    `

  3. 谈谈2020年RSA创新沙盒10强及其对中国创业者的价值
    https://mp.weixin.qq.com/s/z0xsJGSMWbQy60_QmArmQA
    `
    有很多人说中国安全市场跟欧美不一样,是个合规性市场。这个观点我不认同。合规性需求,也是一直也都是欧美等成熟市场的主要需求之一,是海外成熟网络安全市场持续关注的重点。每年RSA大会都有关于合规性的专题,除了最近几年大热的GDPR、CCPA外,比如HIPPA/HITECH、PCI-DSS、SOX等一直都是欧美市场客户持续关注的。合规性需求,也是分层分类的,不同的客户面临着不同的合规性要求。如果国内的创业者的目标仅仅是满足等级保护的基本要求,那么很难和平台型头部安全厂商去竞争。但是如果创业者能够抓住某一类行业业务的特殊合规性需求,以高效的技术,简单易用的产品,提供切实有效的方案,还是有很大的发展机会的。

    今年的创新沙盒十强,我个人比较看好Secuti.ai和Tala Security,前者市场空间巨大,后者技术思路新奇。

    每年的RSA大会创新沙盒环节为中国乃至全球的网络安全从业人员指引了技术创新的思路和方向,一定会引发相关领域的关注热点。每年RSA大会后,国内就会涌现一大波对标创新沙盒某某某公司的中国版企业。我想这里面,投机的成分更多一些吧,而媒体和投资机构似乎也很热衷于发掘这样的“中国版企业”。我们一直认为中国的创业者切不可盲目的对标美国或者以色列的网络安全企业。技术是必要的,但技术从来都不是企业成功的充分条件。从技术到产品、从产品到销售,从特定客户群到市场头部玩家,从单产品到多产品方案组合,从小公司老板到大公司CEO,技术只是众多要素之一而已。

    创业者在选择创业方向之前,首先需要充分考虑到中国市场的自身特点,包括产业结构、采购模式、习惯意识、竞争格局、资本市场等各个方面。中国市场在这些方面都与欧美市场存在巨大差异。那些在美国能够走出来的公司,放在中国也许没有出头之日。

    另外,我们再回顾一下最近十来年的RSA创新沙盒的冠军公司,除了2006年的Imperva规模性增长并成功IPO之外,剩余的一半公司被传统巨头收购,一半公司几乎被遗忘。有人说从投资退出的角度来说,创新沙盒的冠军非常有借鉴价值,差不多50%都退出了。但是中美的公开市场退出要求和标准是不一样的,收购时监管层的要求也不一样。而中国网络安全初创企业美元股权架构,并寻求海外退出的方案的可能性和实际难度,也是可想而知的。

    所以RSA创新沙盒公司的技术方向和思路很值得中国的安全安全创业者借鉴,但是也仅仅是值得借鉴。
    `

  4. RSA 2020:绿盟科技赵粮对国际网络安全市场的三个观察
    https://mp.weixin.qq.com/s/0j12CtAj48_aZag37lqwdA
    `
    观察1-回归安全本源——如何用“新技术”解决“老问题”
    观察2-创新多,但也要关注如何把安全做“轻”,做“简单”
    观察3-中美安全企业互相取长补短,不断完善生态
    `
    Securiti.ai 为何成为2020 RSAC创新沙盒冠军得主?
    https://mp.weixin.qq.com/s?__biz=MjM5ODYyMTM4MA==&mid=2650400686&idx=2&sn=c8cb5a910046d758ac2b3f1e3591792f

  5. 近三年RSA创新沙盒的十强对比分析及大赛五大亮点
    https://mp.weixin.qq.com/s/5QA9wd-4fcNHKI6MCb-ubQ
    `
    RSAC 创新沙盒大赛的五个看点

    以人为本:RSAC 2020的主题是“Human Element”,关注人与安全连接性弱点的Elevate Security更为应景,测试、评估、跟踪、培训是安全意识教育领域的四大环节,与行业前行者,诸如Phishline,Knowbe4,Ataata等相比,在安全弱点及盲区的识别模式(创新性的技术理念)、行为的最终改变(更贴近人性的管理)、安全意识传播的形式与效率(便捷高效的交互沟通)三个维度是Elevate需要重点展现的。

    标新立异:过去3年的RSAC上,数据治理、隐私保护、合规等方面都是各方关注的热点,2018的赢家BigID就是该领域的翘楚,SECURITI.ai也是这次赛事的为数不多的亮点,其PrivacyOps平台以AI技术为核心,为多团队或组织提供相关的理念、实践、协作和自动化编排的综合性平台,用以快速识别企业面临的隐私状况和风险、高效准确地排除风险和履行各类法规(如CCPA、GDPR、LGPD)的合规义务。

    垂直深入:AppOmini,Obsidian Security,Sqreen这三家都是专注于SaaS安全的企业,入围数量占比已接近1/3,也是目前全球安全市场云化趋势深度进展的一个侧面反映。不同于比较热闹的CASB和EDR细分领域,Obsidian另辟蹊径选择了更具未来潜力的CDR – Cloud Detection and Response(巧得很,2019年入围的DisruptOps也选择该领域作为主航向),其未来产品技术或商业形态的走势非常值得关注。如果跳出细分领域,同样地,其理念及思路也是国内外关注CDR、MSSP、MDR等细分领域产品和运营的创新者非常值得借鉴的。

    老树新花:INKY,Tala,VulcanCyber,这三家之所以放在一起,有两个原因:一方面都属于传统成熟领域(邮件安全、WAF、漏洞管理),另一方面其占比已近1/3,笔者猜测更多与市场倾向相关,或许是用户和投资者共同期待着此类领域有所变革的体现?其中INKY成立很早(2008年),这在以往的RASC创新沙盒大赛比较少见,实属老树新花,其特色更多体现在云安全方面,以及新型Phishing和恶意邮件的识别上,特别是在商业欺诈邮件(BEC – Business Email Compromise),与行业前行者的缓慢进化相比,其独特之处值得拭目以待。相比以往的漏洞管理平台,Vulcan Cyber的一个特色在于其融合云安全、IT管理、DevOps的思路和运营模式,非常值得一看。

    蓄势待发:Blue Bracket也选择了类似Vulcan Cyber的思路,注重Engineering、IT/InfoSec、DevSecOps三方的理念融合与实时协同,我们也可以放在一起关注。For AllSecure则引入了下一代模糊测试技术,着重解决企业实际面临的安全测试的自动化、集成化、协同化问题,也就是DevSecOps实践所重点关注的领域。
    `

  6. 360杜跃进:从RSAC再看网络安全行业的反思
    https://mp.weixin.qq.com/s/UBbMAMxbHh_NSm52yQ40sw
    `
    网络安全战场到最后是人和人的比拼。
    网络安全是人机结合,不提倡唯武器论。
    数据安全市场需求巨大,却缺乏合适的解决方案。
    数据泄露了,该罚还是该帮?
    安全一年500亿,行业需要反思什么?
    ……
    `

  7. 创新沙盒,谁会是被收购目标? – RSAC2019之二
    https://mp.weixin.qq.com/s/oVZ9mJgg1O2Mok6Th5hnAw
    `
    Salt的目标是保护SaaS、Web、移动、微服务、和物联网的核心组成的API。其官方宣称创造了首个拥有专利的解决方案,通过行为分析来防止迫在眉睫的针对API的威胁。核心检测能力是行为分析。

    也许很多读者没有读过2015年笔者关于安全发展趋势的预测:数据是新中心,身份是新边界,行为是新控制。不出所料,本届入围者继续作出了验证。Duality和WireWheel核心业务是保护数据,而ShiftLeft这样做代码审计的也不遗余力主打宣传检测程序中的数据泄露风险,Salt也说要发现API中的敏感数据。CloudKnox检测混合云中的身份特权风险,正应了身份是新边界,而Arkose专注的也是设备的身份,当然此场景下读者听到的更多炒作是零信任架构。Salt和Capsule8都强调其使用了行为分析技术,本届RSAC中的热点演讲议题ATT&CK框架也是行为分析的杰出代表。

    API商业大潮已经势不可当。如果觉得会止步于此,那还是低估其未来潜力了,目前显露的只不过是冰山一角。API经济将会是Serverless架构的支柱,而Serverless是云计算的下一代;计算能力抽象是大趋势。让我们拭目以待。

    Salt显然不是第一家推出API安全产品的。早在四五年前,软件业界曾掀起一波API管理公司收购浪潮,众多巨头Oralce、Red Hat、CA、Salesforce等,都通过多次收购完善了自己的产品服务包,其中自然也包括API安全。所以,与大众想象不同,API安全市场并不是蓝海。如果API管理平台提供基础安全能力,客户会另行采购其它供应商吗?此问题答案显而易见,请参考云基础安全能力与云服务商的发展。因此,想在此领域发展壮大,唯一的机会是深入再深入,提供更加复杂的检测响应能力。

    Salt的产品分为三部分,发现、阻断、补救,听上去中规中矩,做API安全都会如此设计。不幸的是,翻遍互联网,找不到任何有关其产品服务的更详细资料,连份部署方式说明都没有。通常来讲,这意味着其产品极度不成熟。笔者关心的技术点疑问一个都没有答案。例如,其宣称发现模块可以识别API使用中出现的PII数据;而API最佳实践要求加密传输数据,按Salt宣称的部署简易度,看起来是镜像网络流量,恐怕对加密束手无策。笔者公司的DLP也帮助用户监控API传输敏感数据甚或文件,不过,绝大部分时候,需要获取业务系统的证书并理解其特有加密方式,以解密流量并识别内容,或者使用其它手段。此外,如果只接入日志,其实并不够,因为无法深入获取传输内容。

    Salt宣称使用AI,基于细粒度API合法行为建立正常行为基线,实时对API行为进行监控,一旦检测到API活动中出现偏离基线的行为,即作为可疑恶意行为评估,可以在攻击者的侦察阶段实时防止API攻击的发生。这句话跟没说一样,看来也是受了Darktrace宣传手段的启发。请给我们界面效果和算法实现证据,眼见为实。市面上很多批评国内厂商假大空宣传的声音,其实国外厂商也好不到哪里去。

    Salt宣称,防护阶段对攻击者行为快速评估的结果,可向安全团队提供有价值情报,并向开发人员提供API源代码相关漏洞信息,以便从根源上阻止攻击,进而提高API安全性。笔者非常希望看到Salt的实现效果,目前还是没有任何资料。Salt如何判断某个API接口存在漏洞?出现的原因是什么?被利用的场景?如何给漏洞重要性排序?漏洞的分类模型?向开发团队提供那些漏洞内容才有帮助?如何能给出补救措施建议?这些都是关系到产品成败的核心问题。

    笔者关注API安全已经有一段时间了,不过到目前为止,还没看到让人眼前一亮的解决方案。做API安全产品还有很多个疑问需要回答,方向性决策不容马虎,例如是否支持CSP的API网关会更有市场,是否支持OpenAPI标准,API流可视化是否重要,自动化测试的价值有多高,等等。这次笔者打算去RSAC展台上拍几张Salt产品界面照片再做进一步分析。Salt是否有被收购价值,关键因素还是看其产品实现程度。

    ==

    剩下的入围者分析恐怕来不及写了。Arkose Labs挣扎许多年后并未拿出独特技术,感觉还不如国内反欺诈厂商积累深厚;而且在美国信用体系如此发达的环境下,反欺诈创业公司的生存空间极度有限;更甭提GDPR又是一座翻不过去的大山。Eclypsium,硬件是个新方向,但是产品不成体系,过于琐碎,目前市场空间有限,天花板明显,做出成绩来也难,指望收购的话估值也不会太高。WireWheel创始团队政治背景强大,奥巴马政府商业官员,投资者NEA有前商业部长,读者看官方介绍调子就知道其技术乏善可陈,本公众号是技术向的,就不做具体评论了。

    本文只从技术产品角度讨论收购价值,这也是国外收购的主要关注点;并未考虑短期增加市场收入作为目标的影响。目前来看,这些评判标准并不适用于国内市场状况。

    最后,自然是揭晓笔者心目中获胜者的时刻。从技术创新度来讲,Duality和ShiftLeft表现突出,再考虑产品成熟度和市场接受度因素的话,ShiftLeft最终胜出。正如大家所说,冠军是谁并不重要,创新沙盒比赛入围者所揭示的安全技术发展趋势和热点才是需要我们认真思考的方向,希望本次两篇系列文章能带给大家一些启示。
    `

  8. RSAC 2022 – 创新沙盒观感 (1)
    https://mp.weixin.qq.com/s/WRG25tuSEuGMHAZ6vfFjVg
    `
    【只是盲信搞不好也会踩坑】,创新沙盒入围者里后来无声无息关门的也比比皆是,比如下面这个颇具故事性的公司大概率也会逐渐沉寂。

    BastionZero
    创业做零信任有很大难度,原因挺复杂,一是没什么入门技术壁垒,拉三五杆枪就能鼓捣出凑合可用的产品来,竞争者众多;二是大厂本就把此领域当作兵家必争之地,销售投入高,红海不可避免;三是交付复杂,客户投诉焦头烂额,快速复制增长有困难;四是越到后期阻力越大,想做好很难,对工程管理水平要求极高,投资金额可不是小数目。于是,看到创新沙盒有家入围公司可以学习如何解决上述问题,自然兴奋期待,没成想出现戏剧般转折。

    多包一层、多绕一个弯的模式到底有效吗?这其实是安全领域里经久不衰的争论,也没有标准答案,必须结合具体场景具体分析。例如,使用广泛普及的IPsec协议接入SASE边缘节点就足够安全,非要独树一帜搞个私有协议噱头完全没必要。BastionZero模式需要客户自行开发适配其接口,大幅增加了接入集成难度,并引入了额外攻击面,更高的故障隐患概率,用较高成本去解决单一风险,分明是得不偿失。

    CADO
    用CADO,先得搞明白要在哪个云里,然后自己搞个独立VPC,外面建S3桶连好,给恰当IAM权限,配置更新威胁情报,还要逐项选择提取数据的目标。啥叫多云?得开箱同时支持多个云平台接入,不是能在不同云平台部署就成的。【啥叫云原生,得跟云平台耦合并能发挥出云的优势才成,例如自动化部署、按需弹性扩展、持续交付、降低运维成本等等。】要是能部署在云上并通过云平台API抓些日志就叫云原生,那相当一部分安全产品都可以如此吹嘘了。

    CADO宣传其产品主要能力是云调查、容器调查、和云威胁猎捕。其实它也提供从终端、服务器、和其它虚拟化平台读取数据的agent或脚本。说白了,这就是个之前做应急响应的团队,根据自己遇到的需求逐渐积累,针对云环境开发了能提高效率的半自动化工具,调查起来省事顺手。

    Sevco
    2021年,分析师推出新名词CAASM网络资产攻击面管理。攻击面概念由来已久,感兴趣的读者不妨再读一遍本公众号2018年文章《沧海遗珠,攻击面 – RSAC2018之四》。攻击面种类繁复,有很多产品方向可以做,也涌现了一些创业公司,细分市场各有差别。在终端资产领域,Sevco和2019年冠军Axonius想解决的问题很类似,基本能力差不多,Sevco在界面表现细节吸引度上略胜一筹,适用支持系统范围小一些,部署可能会略简单。其实Axonius后来开辟了新产品线,笔者还挺喜欢的,此处略过不表。一般来说,雷同的创业公司前后入围,大概率说明评委很喜欢此赛道。

    终端资产准确管理的难度,笔者深有体会。【不懂技术的小白和很懂技术的专家,在搞崩溃自己终端软件这件事上,绝对是棋逢对手难分伯仲。】Sevco宣传“无需费力的资产智能情报”真的那么好吗?它自己是无代理,它获取情报的数据来源难道不需要费力去安装代理吗?如果安全团队不煞费苦心排除万难至少把一个终端管理软件安装成功,能从Sevco知道这终端正处于裸奔状态吗?不同数据源的设备信息有冲突咋办,人工核对还是spreadsheets,远程还是现场?废弃、共用、离职、转岗的端点咋识别处理?【真实世界场景远比列出的这几条更加复杂。】

    SaaS,无终端软件,通过标准API获取数据,轻交付,没有故障隐患,不担责任,不惹麻烦,这不是安全行业销售梦想的快消品吗?安全的世界里有如此美妙的商业模式,投资者当然趋之若鹜。笔者现在团队做的也有部分是终端软件,【脏活苦活累活受埋怨的活儿也总得有人干】。至于Sevco比赛成绩和未来发展,留给各位读者自行判断预测吧。

    Talon
    并不是很理解总想宣传自己第一个做出来卖的心态。Talon宣称创建了第一款专门设计的最高安全级别的企业浏览器,用于现代分布式工作环境,能有效降低复杂性和成本。基于Chromium。事实是,在中国都算不上第一个,更甭提全球了。早年间,用第三方SDK做的、给早期IE版本包壳的就有很多;稍后基于开源Firefox的;最近几年玩家基本都是以Chromium内核为主。读者应该还记得四五年前国内炒得沸沸扬扬的国产企业安全浏览器系列事件。【甭管是不是第一个,做得比其它厂商好就是本事,就能在市场上成功。】

    Dasera
    Dasera起源是在校期间做的科研项目,帮助大企业监控分析海量数据是怎么被使用的。联合创始人CTO博士就读于伯克利,这背景也受投资者喜欢,听起来就肯定有技术壁垒。Dasera最开始的思路是先扫描到数据仓库哪里有敏感数据,然后获取Query查询的日志,筛选出存取敏感数据位置的Query,再进行建模分析,发现风险异常。

    Dasera宣传数据全生命周期治理,很好的市场台词,谁听了都会竖起大拇指。不过现实很骨感,市面上到目前为止还没出现过一个产品能覆盖数据全生命周期,估计未来出现的概率也不高。Dasera能解决的数据安全风险主要是在数据存储/仓库到应用层之间,而对应用层和端点毫无作用。【无论谁敢说靠一两个产品就能解决数据安全问题的都是在耍流氓。安全产品想跟上飞快演进的基础设施变化就已经很困难了,过于宏伟的目标往往意味着不能脚踏实地。高大上的名词总是层出不穷,用来向高层汇报挺好,规划自己工作任务还需看清本质,别把KPI定到无法完成。】

    那为什么笔者认为Dasera是近年来数据安全入围者中的佼佼者呢?因为它在努力解决一部分云服务数据泄露问题,补齐之前这些公司产品能力的短板。【大家不要盲目迷信创新沙盒入围者,他们都很优秀,但创业公司都有很多相同困难,这是客观规律,典型的例如,产品总需要很长时间来开发完善,毕竟代码是一行行写出来的,功能是一版版迭代完善的,可靠性是一次次试错改正的。公司刚成立就有产品的,不调查清楚美国VC也不太敢投,PANW上市前还被JNPR告了呢。】

    要知道,【引起重大损失的数据泄露事件,发生在特权账户上的概率,要高出几个数量级。】
    `

  9. RSAC 2022 – 创新沙盒观感 (2)
    https://mp.weixin.qq.com/s/lfrC6-NXGKqufov28q8qSg
    `
    今年3月RSA Conference被buyout,以后便与RSA公司无关独立运营。RSAC的作用显而易见,如今资本介入辅助催生健康多样化的生态环境,使其不受RSA自身运营所限,结果更有利于行业的发展,进而提升整体数字安全水平,喜闻乐见。

    生产力进步的重要标志是生产效率的提高。虚拟化和云成就高效IT,推动了企业数字化进程;而社会对生产力的渴望永无止境,因而容器和Terraform的出现和成功自然理所应当。安全亦不例外。近年来很多新名词和新公司都与提升效率有关,例如SOAR。2017年RSAC前,笔者写了篇《从创新沙盒看”效率”将成为评估安全产品的首要标准》,感兴趣的也可再去读读。今年创新沙盒里也有致力于提升安全运营效率的入围者,还是夺冠热门。

    # Torq
    无代码安全自动化。自动化安全运营的重要性,很早之前就写过,2016年《下一座圣杯》,笔者一年都发不了几篇文章,读者翻翻也不费时间。在日益复杂的数字化环境中,随着基础设施和安全事件的数量持续增加,一线安全团队往往不堪重负,自动化是唯一解决路径。无代码或低代码是这几年的热门技术方向,并不代表使用者不需要懂代码或不学习写代码,而是利用图形界面拖拽模块组合并加以连接从而完成逻辑处理目标,大幅降低从业人员进入的门槛,降低人员水平参差不齐导致出现bug的概率,加速投产进度,只需要很少编程资源投入即可达成至少几十倍人天成本的效果。

    Email phishing & abuse response
    User on-boarding/off-boarding
    Threat hunting for EDR,XDR,SIEM
    Cloud security posture remediation
    Suspicious user activity response
    Security bots & flows
    Threat intelligence enrichment
    Secure access to sensitive data
    Identity lifecycle management
    Application security operations
    and dozens of other security processes…

    上图是Torq的典型应用场景,基本上涵盖了安全运营的方方面面,当然还有更多潜力可以挖掘。此产品模式必须有丰富的开放生态环境才可能成功,非常适合美国目前百花齐放的云和SaaS以及成熟的MSSP市场。

    貌似市面上没啥看好这家公司夺冠的声音,让人怀疑真正看过Torq产品的寥寥无几。在笔者看来,Torq产品做得不错,能达到惊人的80分水平,在初创公司里极为罕见,是个非常有经验有能力的产品团队。要知道即便是创新沙盒入围者里也经常看见达不到产品及格线的。今年比赛Torq有希望获得好成绩。

    # Cycode
    最关键的是,说Cycode做软件供应链安全,实在勉强。厂商自己宣传软件供应链安全,吹捧的文章也都给它打上软件供应链安全标签,可左看右看,Cycode明明就是一个SDL安全厂商,跟供应链关系不大。要说做软件供应链安全,那OpenSSF自然是领航舵手,旗下sigstore出类拔萃,Google弄出来SLSA,随后因此诞生了热门创业公司Chainguard。还有很多,类似之前Snyk成功的SCA也算软件供应链安全。可Cycode做的是啥?CI/CD方面,代码库最小用户权限、强化身份认证、识别克隆行为异常;代码防篡改方面,检查提交代码的人和文件一致,报告流程规则出现改变,识别代码库行为异常;发现硬编码秘密;监视源代码泄露;流程配置检查。这些功能其实都是传统开发安全范畴,很好很重要,但只关系到软件开发商自身的代码安全,虽说代码可能被下游厂商或客户引用,但严格说起来跟供应链安全并不扣题。Cycode如此宣传多少有些蹭热点嫌疑。

    Chainguard要是今年来参加比赛,笔者也不用絮絮叨叨,冠军肯定是它,没啥争议。

    # Neosec
    以色列血统,成功创业经历,高额融资,有前景的赛道。API安全方向没必要多解释,毕竟本公众号文章《下一座圣杯 – 2019》已经花了很多篇幅细述过原委。Neosec产品并没超出那篇文章的内容范畴,没有新功能方向,实际上有很多重要能力根本就欠缺。Neosec做的是SaaS,在现实场景中难免会导致很多限制,例如性能不足和数据量过大等问题。除产品外,Neosec也提供API威胁猎捕服务。因为笔者也在做此产品,所以Neosec具体细节此处便不做评论。感兴趣的读者可以线下交流。

    # Lightspin
    云原生安全方向创业的最大挑战是什么?创业公司数量太多,同质化严重,不折不扣的红海。有些读者会问:我读了那么多行业文章,都在吹捧云原生安全的高大上,技术壁垒不是挺高吗?隔岸观火写文章,不仅不用自己上手做产品,连技术原型也不用思考,反正只要抄写热词就能有流量。这红海现象真是成也萧何败也萧何:开放的生态环境,很多安全原始数据都可以轻易通过API获取,于是一窝蜂的起点都很高,能力都差不多,但想出类拔萃就很困难。云原生安全有很多高大上的,也有很多打酱油的,不能无脑相信。Agentless有它的优势,不过弱点也很明显:你能做的,其他人也能做,其他人不能做的,你也没办法,想获取更多日志并且加以更复杂严格的控制,还得在agent身上打主意。当很多创业厂商都在炒作agentless时,你就要小心产品的雷同。来,笔者教你云原生安全agentless三板斧:1、资产发现(服务和数据);2、配置合规检查;3、身份权限和行为。

    # Araali Networks

    eBPF进入舞台中心已经是第五年,笔者自己公司也在做一些利用eBPF的工作,并寄予厚望。eBPF必将愈加重要,这是大趋势。不过,虽然我很欣赏Araali团队的决心和魄力,但是比赛评委们很可能看不上需要装agent的厂商。

    要想理解Araali的产品能力,必须先明白eBPF的基本概念。eBPF是Linux的一项革命性技术,可以在操作系统内核中运行沙箱程序。它可以在无需修改内核代码或加载内核模块的条件下安全有效地扩展内核能力。如今,eBPF被广泛用于各种场景:在云原生环境中提供高性能网络和负载平衡,以较低开销提取细粒度可观测安全数据,为开发人员跟踪应用性能并排除故障提供见解,实施应用和容器运行时的预防性安全措施,等等。可能性是无穷无尽的,eBPF解锁的创新才刚刚开始。

    云原生安全赛道太宽,不足以描述厂商的核心能力。Araali是真正的云原生安全,这要感谢eBPF在今天云基础设施中的普及度。在k8s环境下部署也相对简单,如果安全团队真敢向业务容器里大规模部署agent。当然,如果装了肯定用处很大,收益非常显著。读者看厂商材料或其它介绍文章有可能会一头雾水。在笔者看来,Araali的产品能力可以简化总结为:分布式节点NGFW,带有部分RASP功能。虽然没有近两年热炒的新词,但这个组合对于微服务环境非常有价值。
    `

  10. RSAC2022| 从创新沙盒看网安技术创新趋势
    https://mp.weixin.qq.com/s/3HXPUP-SoH95zxyWOflwyQ
    `
    创新沙盒一直都是RSAC最受瞩目的活动,也是网络安全业界的创新标杆。我们通过了解5年创新沙盒发展和变化,创新赛道和热点技术的演进过程,来分析、观察网络安全产业创新发展都经历了哪些过程,会向哪些方向发展。

    一、从创新沙盒看网安产业创新发展趋势

    1. 近五年创新沙盒十强赛道分析

    通过创新沙盒近五年(2018-2022)年十强赛道分析,我们可以看出,50家十强企业主要集中在云安全、数据安全、软件供应链安全、身份安全四个热门赛道。在以上四个赛道的创业企业共39家,占比达78%。

    1) 创新沙盒热门赛道演进—云安全
    2)创新沙盒热门赛道演进-数据安全
    3)创新沙盒热门赛道演进-软件供应链安全
    4)创新沙盒热门赛道演进-身份安全

    2. 创新沙盒十强赛道年度主题演进线路线分析

    从上面的赛道的演进可以看出入围的十强的企业中,2018年主要在身份安全赛道、2019年为云安全赛道、2020年为供应链安全赛道、2021年为数据安全赛道、2022年为云原生安全赛道。这种发展变化的过程体现了热门应用、热点事件、创新趋势的影响,并且有数字产业整体变化以及政治经济等背后潜在的原因。

    3. 近五年创新沙盒十强冠军分析

    近5年RSAC创新沙盒比赛中,前四年的冠军分别为:数据安全(2018BigID、2020 Securiti.ai)、软件供应链安全(2021Apiiro)、资产管理(Axonius2019),除了在2019年Axonius凭借自动编排技术爆冷夺冠意外,其他冠军均与热门赛道相一致。

    以色列网络安全创新在创新沙盒比赛中表现出色:2018年以色列公司BigID夺冠,2019年总部位于美国但研发中心位于以色列的Axonius夺冠,2021年创新沙盒决赛入围十强中有3家公司来自以色列,并且Apiiro最终夺冠。

    今年创新沙盒夺冠热门分析:从赛道角度看,云原生安全是热门年度主题,10家创企中4家位于云原生安全赛道,分别来自美国、以色列和英国。4家以色列创企进入决赛,历年来最多且赛道分布广泛,包括云原生安全、软件供应链安全、安全运营和安全浏览器,2022年以色列企业能否再夺冠拭目以待!

    4. 近五年创新沙盒十强“美以”创新企业和网安产业特点分析

    美国和以色列的企业一定程度上成为全球的网安产业的风向标,也是我国网安行业对标的标的。从近5年的创新沙盒的国别也可以看出,十强基本都是美国和以色列企业,并且以色列企业的数量在不断增加。2020年之前基本每年只有1家以色列企业,2021年增加到3家,今年更是增加到4家。

    二、2022年创新沙盒十强企业分析

    我们从融资、创始人背景和产品技术层面,分析了本届创新沙盒十强企业。

    在融资方面,创新沙盒十强企业呈现融资早、融资快的特点。多数企业在成立之初就开展种子轮融资,并且每年开展1次以上融资。从融资轮数看,融资2轮的企业居多共有6家;3轮的有2家;1轮的1家;4轮的1家。从融资金额看,2千万美元居多,共3家;不足1千万美元的2家;1千万美元的1家;4千万美元的2家;最多达到8千万美元。

    在创始人背景方面,创新沙盒十强企业的创始人当中连续创业者最多,8家创企的创始人都有连续创业背景,比例高达80%,连续创业成为一种时髦。此外,创始人中大厂背景者较多,4家创企的创始人有大厂资深工作经历,大厂工作经验也是创业成功的重要保障。网安企业的另一特点是军方背景创业者较多,十强中2家企业是创业者在军方退役后创立的。高校创业也较为活跃,十强中2家企业创始人为高校师生。此外还有1家企业的创始人为政府背景。

    在产品技术方面,十强企业中产品平台化部署居多,共有7家,特别是云原生安全基本实现SaaS化服务;供应链和数据安全整体解决方案形式2家,只有浏览器产品为本地部署。在技术创新方面,业务安全能力往云上迁移的趋势明显,安全自动化技术得到普遍应用,创企技术方向往热点赛道转型以获得更好的发展。

    1. Araali Networks—云原生威胁管理
    2. BastionZero—基于零信任的基础设施访问服务
    3. Cado Security—云原生取证和响应
    4. Cycode—软件供应链安全
    5. Dasera—云上数据治理与运维
    6. Lightspin—云原生安全平台(CNAPP)
    7. Neosec— API安全(XDR技术)
    8. Sevco Security—云原生资产管理平台
    9. Talon Cyber Security—企业安全浏览器 #最终夺冠
    10. Torq—无代码自动化安全运营平台

    # 结语
    在不确定性众多的今天,我们需要找到的是“确定性”。创新沙盒给了我们很好的启发和指引,其作用不仅仅是它对网络安全行业热点和方向的把握,更在于创新热点、技术路线和技术趋势的引领,尤其是对于解决急迫和亟需安全问题的技术创新的挖掘,所以创新沙盒的价值,不仅是冠军和十强,还包括了每家公司每个产品的创新技术思维和技术细节。
    `

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注