RSA Conference 2019下个月在旧金山的Moscone Center开幕,近期官网上发布了备受瞩目的Innovation Sandbox(沙盒)大赛的Finallist。创新沙盒这个说法有一些拗口难懂,本质上其实就是全球网络安全领域的创业大赛。作为全球网络安全行业创新风向标,从业者将其视为“安全圈的奥斯卡”,因此每年的创新沙盒大赛都备受瞩目。
在每年的RSAC的沙盒决赛中,10家入选企业争夺冠军席位。数说安全在这里与大家做一个小互动,在本篇文章的公众号留言区发表你认为的【沙盒冠军(一条评论只可以写一家)+简单推荐理由】,答对且获得点赞数最多的网友,将会获得1000元京东卡的奖励。开奖时间3月5日10:00。下面让我们先来深度揭秘一下RSAC 创新沙盒。
首先我们来看看创新沙盒是一个考核什么的比赛。
许多人认为,创新沙盒拼的是技术,我认为不然。创新沙盒大赛自从创立之初就与资本紧密相关。官方发布的资料显示,过去5年前十名的决赛选手总计获得了20.5亿美元的投资。也正因创新沙盒大赛的吸金效应,全球网络安全领域优秀的初创企业参与热情非常高。从这个环节的两个Sponsor,Crunchbase(覆盖初创公司及投资机构生态的企业服务数据库公司)和WSJ PRO Cybersecurity(华尔街日报的网络安全专业版)不难看出创新沙盒大赛的资本属性。
创新沙盒比的不是技术,而是商业!
在这个比赛中,进入决赛名单的10家企业技术方向有显著差异,不同领域的企业在一起竞争是很难从技术角度进行比较的,更多的是商业逻辑的比较。我们来看一下上一年(2018)官方发布的评价标准:
1.解决了什么问题?目标客户是谁?
2.创新性且完全自有的知识产权。
3.Go-to-Market策略。
4.产品市场空间及影响有多大?
5.领导力与创始团队。
6.市场验证(客户使用产品情况,Beta测试或已完成)。
从上述评价标准来看与早期风险投资的判断逻辑是一致的。6大评价标准映射到了商业模式中的几个关键问题:价值主张、目标客户、核心竞争力、市场策略、发展前景和领导力等。胜出者的直接获益就是公司融资和估值的提升,这也再次验证了创新沙盒大赛的资本属性。
今年创新沙盒大赛的5位评委,都是硅谷安全创投领域的专家,在他们过往职业履历中找到了“创业”和“投资”这两个词。与去年相比,今年的评委团保留了3位评委,替换了2位评委。
今年,创新沙盒的评委们也明确的为参赛厂商提出了比赛建议。
得分点
1、要会讲故事。你创办这家公司是因为你发现了一个问题,并且相信自己有解决办法。当你向评委会讲述你的公司和产品的故事时,要有说服力和激情,让我们感受到你的公司具备投资价值!
2、突出你管理团队的水平,及其过去的成功案例。我想确认你的团队具备足够的勇气,知道你们如何应对创办公司的挑战。
3、证明你的业务计划是可执行的:你们进驻市场策略是什么?确定了执行它所需的资源了吗?如果没有,你会错过什么,以及你如何克服那些阻碍你成功的障碍。
4、玩得高兴(做人嘛,最重要就是开心)。虽然这是一场比赛,但是不要太在乎输赢,让我们享受这段经历,并从中学习。
那么今年入选沙盒决赛的十家企业都是谁呢?为了方便各位竞猜,我们为大家详细总结出了这10家企业的基本信息与产品亮点。
1 Arkose Labs
业务标签:反欺诈 业务安全
总部所在地:旧金山
官网:https://www.arkoselabs.com
Arkose Labs宣称能够在不影响用户体验的情况下做到100%的应用级反欺诈与滥用防御。其解决方案提供了一套完整的反欺诈工具包,包括:账户接管、仿冒用户识别、恶意信息传播、礼品卡支付滥用、恶意交易拦截、恶意操纵价格、黄牛党、虚假评价、游戏虚拟资产保护以及网络爬虫。目前在在线市场、旅游、银行、社交媒体和在线游戏等领域得到应用。现在市场上主流的方法主要是基于用户行为分析及风险评分方法,这种方法有一定局限性,主要体现在检测准确性上,一些误拦截会导致客户流失或增加服务成本。这种解决方案能够减轻商业损失,但目前的机制可能需要额外增加人工审核的成本,影响客户体验也是此方案的一个问题。
Arkose Labs提出的新方法有两个关键词,一是三维模型图像。从三维模型中编排的数百万个安全图像,每个挑战都包含为该用户生成唯一的可视主题,这样可以大幅提升攻击成本。二是遥测技术(这个词我没理解,也不知道这么翻译对不对),通过前述的三维模型图像能够确定用户是人还是机器,那么就能够自动对遥测技术训练,并提供大量即时准确的反馈。以这种方式改进遥测技术将产生更高的决策能力,并有助于仅向可疑用户显示挑战。
这个业务方向的商业属性不同于传统安全领域,对于在线业务型企业来说,Arkose Labs解决的是这些企业刚需问题,而且其商业价值是可衡量的。但这确实是一个新方向,这几年国内外都有一些公司开始在大数据反欺诈领域进行探索,事实上只是使用3D图像和AI进行了工程改进,我对宣传“100%能做到”的公司都会打个问号。
历史融资情况:
2 Axonius
业务标签:资产管理
总部所在地:以色列
官网:https://www.axonius.com
首先,Axonius提出了一个问题“即使你用了NAC、漏洞评估工具、一个强大的SIEM和顶级的EDR,可还是回答不了一个基础问题,我们的设备安全么?”。根据他们给出的数据:用户自身不知道或未被管理起来的设备,占到了设备总数的10%-18%。“You Can't Secure What You Can't See”。他们认为:你无法保护你看不到的东西。
他们的解决方案先从资产可视化入手,将企业所有的设备统一纳入管理范围并提供一张所有设备的视图(包括IoT设备和BYOD设备)。可通过使用适配器通过API与现有系统连接,以发现、分析和关联设备信息,为每个设备创建唯一标识和配置文件。最后可通过插件实现跨设备的动作执行。官方提供了5个Use Cases:不间断的活动设备发现、资产清查与分类、未管理设备识别、补丁管理、安全解决方案增强。
综上,我感觉Axonius产品的创新性实在有限,这五个应用案例每个功能特性都有不少厂商的产品能够满足这些需求。另外,安全管理类产品先从资产摸底入库开始,也算不上新的理念。伴随着物联网的高速发展,被管理设备会越来越多,他们提出的确实是个问题,只是从官方公开的资料来看,我没看到足够的技术壁垒,其他相近安全管理类产品快速跟进的难度应该不会很大。
历史融资情况:
3 Capsule8
业务标签:0-day 容器安全
总部所在地:纽约
官网:https://capsule8.com/
Capsule8认为在桌面环境中的0day防护已经取得了很大的进步,但在生产环境中0day防御能力是不足的。生产环境中需要处理大量的工作负载、存储关键信息和客户敏感数据,因此安全尤为重要。他们宣称能够提供一个实时的0 Day攻击检测平台,可以在攻击发生的时立即中断连接,能够应用于大规模生产环境中,无论是容器、虚拟化还是物理机都能够提供持续的安全保护。
通过上面这张GIF图,我们能够更理解Capsule8的产品逻辑。通过部署sensor来实现云和数据中心的分布式保护,能够支持物理机、虚拟机和容器。利用C8 Sensor捕获的少量安全关键数据回传到C8的检测分析实例中。并且能够本地自动记录事件,便于对历史数据进行取证调查。当发现攻击时,可以自动切断攻击者的连接并重新启动工作负载,或者立即发出告警。所有这些活动都能够在C8的控制台上看到,还能够与其他工具协同,轻松实现集中管理。
Capsule8在CWPP的理念上提供了多云和传统数据中心支持(主要针对Linux系统环境),能够同时部署在物理机、虚拟化容器环境中。我们在其方案中看到了0 day、IoA&IoC、Linux生产环境、实时阻断等众多关键词,我们最关注的亮点就是实时阻断,如果真能做到这点,还是比较有技术含量的。只是如果把安全视为商业,0 day并不应该是一般用户过度考虑的问题,应用0 day执行攻击不符合成本收益模型,所以对于商业型安全公司来说0 day并不是一个好的宣传噱头。
历史融资情况:
4 CloudKnox
业务标签:身份与访问管理 特权账号管理 零信任
总部所在地:旧金山
官网:https://cloudknox.io/solutions/
Cloudknox提出的问题是,由于错配和动态云环境,让基于角色的访问控制RBAC几乎成为不可能实现的。基于角色的特权分配带来一个问题,就是这些具有特权的账号并不是总是需要这个权限,随着自动化任务的可用操作数量呈指数级增长,身份特权的过度配置问题在云中变得更加严重,这无形中就放大了风险。高级的安全应遵守最低特权原则,权限也应该按需分配。
Cloudknox平台采用POLP(the Principal of Least Privilege 最小特权原则),POLP的核心是确保每一个能够接触到基础设施的身份都只有执行日常工作所必需的特权。实施POLP是每个安全组织必须执行的首要安全策略,以最大限度地降低风险,如果没有在最低权限下操作,那么将面临危及其他所有安全系统、策略和过程的风险。他们提供了一个具有独特功能的访问权平台,用于跨任何私有或公共云基础设施实施基于活动的授权。JEP(刚好足够的权限)控制器能够自动调整过度提供的身份权限的大小,同时避免对生产力或信任造成任何影响。平台持续监控所有身份的活动和行为,并提供一个单一的度量标准,即Cloudknox风险评分,用来跟踪与每个身份相关的风险。这个分数是由身份未使用的高风险特权的函数计算而成,具有许多未使用的高风险权限的身份将具有高风险分数。一旦发现高风险得分,就可以采取行动来降低。通过Cloudknox的风险监控功能确保风险保持在较低水平,该功能收集所有独特身份的权限和活动详细信息,并持续更新风险评分。
在过去几年,身份与访问管理领域一直是热点,在云和物联网快速发展的今天,“身份是安全的新边界”这个说法得到业界广泛认同。动态访问控制(或是NIST框架中提到的动态权限管理)在Centrify和Thycotic的资料中我就看到过,在产品细节特性上有些许差异,但在具体应用场景上是重合的。零信任是被广泛认同的安全理念,在这个领域的竞争也将会更为激烈。
历史融资情况:
5 DisruptOps
业务标签:DevSecOps 云安全管理 自动化
总部所在地:堪萨斯
官网:https://disruptops.com/
DisruptOps是由知名安全策略管理软件厂商FireMon的CEO和CTO共同创建的云管理与自动化平台厂商。其产品Trinity的核心是基于安全、运维、经济三个维度的“Guardrail”(护栏)来进行云资源的自动化管理,为DevOps提供一套安全的基础设施环境。大规模的云计算基础设施采用,以及DevOps的盛行,让企业变得更敏捷的同时,让随时调配的基础设施资源规模变得越来越大,也进一步放大了安全的风险。由于配置错误、权限超配、账号凭证被公共访问,或明文存储失窃、访问密钥没有定时轮换、没有使用双因子认证、补丁更新推送失败或推送后导致服务器崩溃等在安全和运维角度的操作风险,都会让企业的安全和业务连续性置身于巨大风险之中。近几年多次公有云数据泄露事件几乎都是由于用户自身配置问题导致数据泄露,就是最好的证明。
DisruptOps正是来解决上述问题的。DisruptOps团队把对于访问与操作安全的最佳实践、公有云平台安全最佳实践、CIS Benchmark制作成“Guardrail”模板,并不断对用户的云资源进行评估,一旦发现有违规的配置或操作,即可根据预定义的策略进行自动化“配置修复”或告警后由管理员执行。“Guardrail”分为安全、运维、经济三大类,包含IAM、监控、网络、存储、成本管理5个子类,每个类别下都有对应的最佳实践“检查表”,目前公开的有60余个检查项。基于云最佳实践,安全最佳实践,最小权限最佳实践等预置模板(“Guardrail”),对云资源进行持续评估,对违规资源配置执行自动修复策略,来保障云基础设施的安全性、稳定性和可靠性。值得一提的是,“Guardrail”的逻辑是“护栏”,即让事情按照预先设置好的规则进行。
DisruptOps可以成为用户DevOps的护航者,而不是“拦路虎”,同时降低了运维部门、安全部门和业务部门发生摩擦的机率。就像Casb一样,这个方向需要良好的API生态支持,对于欧美市场来说确实有需求,但目前国内来说并不是一个好的创业方向。但总体上,DisruptOps不错,只是感觉缺少一点冠军气质。
历史融资情况:
6 Duality Technologies
业务标签:数据安全 同态加密
总部所在地:新泽西
官方网站:https://duality.cloud/
Duality的slogan是“最大化数据利用,最小化风险”。他们将先进的密码学与数据科学相结合,为受监管行业提供高性能的隐私保护计算服务。Duality的首席科学家Goldwasser曾在2012年获得图灵奖。Duality的SecurePlus™平台通过同态加密技术,可以在加密数据时对数据进行计算和分析。借助SecurePlus™,多方可以安全地进行协作,而无需公开其数据和分析模型。企业现在可以充分利用数据和高级分析的潜力,同时完全遵守数据隐私法规。
分析模型的IP保护:Duality的SecurePlus™平台使分析模型所有者能够安全地将其模型提供给数据所有者进行高级计算和分析。SecurePlus™通过部署最先进的抗量子加密技术,确保其宝贵的IP在整个过程中保持完全保护。
隐私保护数据连接:Duality的SecurePlus™平台使多方能够在敏感数据上安全协作。同态加密在连接和计算过程中保护每一方的资产,确保数据隐私和整个过程的法规遵从性。
记得华为任老板在前段时间央视的采访中提到“基础科学是命脉”,很多领域的革命是基础科学带来的,突破基础科学需要长时间积累。同态加密技术经过40多年的发展,今天Duality宣称将其应用到了知识产权和数据保护领域,一旦技术落地并应用,他们完全可以不用卖产品和方案,靠卖专利就行了。技术上有独特性,应用场景也非常广泛,又是热点的数据安全领域,Duality非常有冠军气质。只是有一点存疑,他们2016年就成立,又有图灵奖获得者加持,但三年间只有一次融资纪录,而且融资金额只有400万美金。还有,目前Crunchbase上显示其员工只有10人。
历史融资情况:
7 Eclypsium
业务标签:固件安全
总部所在地:波特兰
官网:https://eclypsium.com/
虽然传统的企业安全从操作系统层面开始防护,但攻击者还可以攻击系统本身的底层固件层,以及从驱动器到网卡到处理器本身的几乎所有硬件组件,这样的攻击越来越多。虽然高级参与者多年来一直依赖这些攻击向量,但新一波的漏洞、漏洞利用和工具使固件攻击变得更加容易访问和常见。服务器、网络设备和笔记本电脑现在都可以在固件级别上远程利用,所谓的“evil maid”攻击可以让任何拥有USB的人破坏易受攻击系统的固件。因此,攻击者拥有越来越多的攻击组织的工具、技术和程序,而被攻击组织缺乏可见性和保护。
Eclypsium是业界首个企业级固件保护平台,用以保护最关键的笔记本电脑、服务器和网络基础设施的固件和硬件层。可以主动发现设备的弱点,降低风险,并主动防御固件植入和后门等威胁。从购买到部署再到远程使用,Eclypsium在设备的整个生命周期中为设备提供全面的保护。Eclypsium产品提供的主要功能:管理硬件资产和风险、查看硬件攻击面、发现和更新过时的固件、发现易受攻击的设备和硬件,并修补关键漏洞、检测和防止固件植入和后门、确保新购买的设备在供应链中不被篡改等。
记得前两年出现过一次Baytrail和Rangely平台爆出存在固件缺陷,为了保证产品可靠性,一些已切换到新平台的厂商正是由于这个问题不得不延续旧的D525平台的供货,这也延长了D525平台的产品生命周期。由于固件更新不是一件容易的事,出现这类问题的硬件厂商可能需要大规模召回产品,甚至面临巨额赔偿,所以硬件生产商对其安全性非常重视。我们在Eclypsium的投资者中看到了Intel Capital的身影,这也说明了对其技术的认可。在今年Blackhat大会上他们就介绍了他们的方案,坦率的说这确实很酷,也有技术含量,只是商业化应用场景比较狭窄。如果这是一次黑客技术大赛,他们的方案也许会获奖。
历史融资情况:
8Salt Security
业务标签: API安全
总部所在地:旧金山
官网:https://salt.security
目前,在互联网上API被广泛使用,不断增加的复杂性和暴露敏感数据让API成为攻击者的首要目标,应用的安全风险大增。这主要是因为开发者的思考问题的方式和攻击者有显著不同,他们更关注创新。对安全关注度不够带来了API风险,也给攻击者留下了机会。攻击者也正在将目光转移到API上,攻击的复杂性主要体现在针对特定API的漏洞利用,这让传统的基于签名的解决方案不能应对今天的API攻击。
Salt Security通过AI技术检测和防御API攻击,能够做到分钟级部署,永远不需要配置。Salt Security从API发现入手,能够自动连续检测客户的环境中的API,即使环境发生了变化,这样就能够消除盲点。通过专利的AI技术确定合法行为的基线,并实时识别攻击行为,阻断针对API的恶意攻击。还能够为开发团队提供详细的API漏洞细节并提供修复建议,这样能够提升漏洞修复效率,从源头上解决API的安全问题。Salt的解决方案能同时应用于公有云、容器和私有化数据中心,主流环境都可以提供支持。
API经济时代已来,很多企业能力或竞争力将以API服务的方式呈现,API成为连接互联网商业生态的重要环节。近几年国内外产业链合作伙伴及上下游之间广泛应用API进行数据交互,这些数据是非常敏感的,数据交换过程即是商业价值的交换过程。随着物联网的快速发展,万物互联时代将会更加依赖API。虽然API对于一般用户来说看不见,摸不着,但对于企业来说API安全却是个刚需性问题,出现问题不仅会损失企业商业利益,严重的情况甚至会动摇企业的商业基础。Salt的方案易部署的属性,配置简便的特点能够适应众多应用场景,保证其市场的宽度。只是如何应对传统应用安全厂商的快速进入对他们来说是个问题。Salt Sercurity在本次大赛中非常有竞争力。
历史融资情况:
9ShiftLeft
业务标签:应用安全 代码安全
总部所在地:圣克拉拉
官网:https://www.shiftleft.io
ShiftLeft认为从应用生命周期的视角来看,开发过程与生产环境是割裂的。当前防御方法是在生产环境中部署如应用防火墙类的产品,这种方法是有局限性的。其方案针对应用的生命周期不同阶段提供了完整的安全防护。在开发过程中提供了一个CI插件,在新版本发布时对软件进行代码分析并构建安全DNA,在生产环境中通过微代理保护应用,当运行时发现代码级漏洞时会优先报告,从而形成从开发到生产过程的闭环来实现应用全生命周期的安全防护。值得注意的是他们的独特性在于他们将源代码转换为图形展示,这能够快速准确找出代码中的所有关系。在2015年他们的首席科学家发表了一片论文阐述使用这种方法发现了18个linux内核的0 day漏洞,并且被确认并修复了。另一个关键词是安全DNA,这个我也没太理解,哪位专家了解还请不吝赐教。ShiftLeft专注于应用层安全,其方案具备良好的适用性,可以支持微服务、主流操作系统、虚拟机、容器和云环境中。
ShiftLeft同时提供了代码级安全检测和运行时的持续的动态程序运行跟踪,可以完善的覆盖应用生命周期,形成较为可靠的自动化安全保障。但从另一方面来说,虽然采用了轻量级的插件和代理,但是对数据采集会对应用本身产生多大的影响,ShiftLeft也没有提及太多。2015年的大赛冠军Waratek是以RASP理念获胜。与RASP相比,其方案同时兼顾了代码级安全且有一定独特性,ShiftLeft也是一个有竞争力的选手。
历史融资情况:
10 Wirewheel
业务标签:隐私数据保护 隐私数据管理 GDPR CCPA
总部所在地:阿灵顿
官网:https://wirewheel.io/
Wirewheel提供一套隐私管理平台,可以告诉企业谁在收集哪些隐私信息,谁在使用这些信息,以及这些信息应该如何被安全使用。通过一整套的平台,从单个仪表盘实现隐私的规划、跟踪、分配、协作及管理,让企业在管理隐私项目的关键要素[如隐私影响评估(PIA)、处理记录(ROP)和数据主体访问请求(DSARs)] 方面节省大量成本,从而减轻IT部门的负担,满足GDPR、CCPA等合规性要求。
其平台部署在AWS上,可以说WireWheel提供的是隐私保护SaaS解决方案。其解决方案提供的关键特性包括:隐私引擎(提供向导指导企业人员合理使用隐私数据)、隐私过程框架和预定义工作流、个人隐私数据的识别发现和分类、隐私合规自动化、持续的数据监控和告警等。在Whirewheel相关资料中,我们看到的更多是产品工程角度的提升,而并未感受到其独特性和创新性。
由于GDPR的政策导向,隐私管理和隐私保护方向的厂商日渐增多,技术也侧重于隐私数据的发现、管理、使用、保护等几个方面,形成隐私数据生命周期管理。2018年RSA创新沙盒BigID夺冠后,已然借势成为这个细分领域的领跑者。Whirewheel虽然是AWS的高级技术合作伙伴,加入AWS的商业生态自然会对其发展有很大助力,但在本次大赛中形势不太乐观,而且纵观十几年来创新沙盒大赛的历史,没有一次连续两年将创新沙盒冠军颁给同一领域的创业者。
历史融资情况:
看到这里,你的心里有了冠军人选了吗?重申一下我们的竞猜规则:在本篇文章的留言区发表你认为的【沙盒冠军(一条评论只可以写一家)+简单推荐理由】,答对且获得点赞数最多的网友,将会获得1000元京东卡的奖励。北京时间3月5日上午10:00开奖。
声明:本文来自数说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。