作者:长亭科技联合创始人兼CEO 陈宇森
近期看了好多写 RSAC 2019 Innovation Sandbox 的文章,恰好刚刚听完现场10家创业公司的精彩演讲,简单写一下自己的心得和看法。
Innovation Sandbox 一如既往的火爆,按照惯例,提前一个小时左右排队,可以获得一个中间靠前的位置。
接下来可爱的主持人做了精彩的暖场发言,大概意思是“我们正持续面临不同的新威胁,需要以持续的创新来解决这些问题。”
相关人员的资料简介很多文章都有写,我这边就直接进入第一个公司的介绍。
WireWheel
第一个上台的公司是 WireWheel,创始人的履历十分有趣,他曾领导了奥巴马政府时期隐私相关的谈判工作,参与了 GDPR 标准制定的过程,属于政策与合规方面的专家,公司的产品从界面上来看还比较基础,但其成功的关键在于对政策和标准的深入理解,以及相关隐私保护条例/法规的执行部门对该公司的认可。如果有关部门认为用了 WireWheel 就可以更好地达到他们对于隐私保护的要求的话,在当前全球对隐私保护日益趋严的政策环境下,这个产品可能会有不错的发展空间。正如 WireWheel 的CEO所说:重要的是建立信任。最早期的信任往往来源于背书,而其在隐私相关领域的从业经历能否为公司做到足够的背书,有待进一步考量。期待这类强政策合规背景的安全创业公司的后期表现。
ShiftLeft
第二个上台的是 ShiftLeft,该公司可提供更强的静态代码检测和运行时的保护机制。在静态代码检测这部分,ShiftLeft 的 CEO 着重讲了通过 CFG(Code Property Graph)来发现静态代码中的安全问题。他提到了三个场景:
业务安全漏洞检测
后门检测
安全漏洞检测
在之后的问答环节,他表示业务安全漏洞需要甲方场景的知识,但他们会提供很好用的工具。
CFG 的确在漏洞发现领域有过很显著的成绩:
另外他们的动态应用保护技术,可以很好地解决“漏洞找不到人修复”、“漏洞来不及修复”的问题。从技术角度来说,要做好这两点着实不易。如果这方面真的实现完好的话,感觉应用场景还是很广的。从我有限的从业经验来看,大量甲方应用系统上发现的问题,都无法进行完全修复,存在着“已知漏洞没有进行有效修复与防护,从而被黑客利用”的可能性。
同时, ShiftLeft 也是这次10家创业公司中融资最多的一家。根据 Crunchbase 的数据,融资金额已达到$29.3M,产品成熟度比较能得到保证。代码安全和应用漏洞无法及时修复,都属于老且没有被很好解决的问题。ShiftLeft 的解决方案很符合这次 Innovation Sandbox 的主题:better,将过去存在的问题更好地解决。如果他们的产品真的能够在业务场景中很好地解决问题,那会是一家很棒的公司。
Salt
第三家是 Salt,他们的 CEO 十分有活力,要解决的问题“API安全”也是被越来越多人关注,但同时没有很好的解决方案的领域。
API 的使用日益广泛,同时安全问题也在不断出现。但不同于过去应用端的安全问题,其问题主要来源于已知的、与业务无关的漏洞。演讲者给了这样一张图,以表明:当今,越来越多的问题来源于业务相关的安全问题。
长亭科技作为一家立志于做最好的 WAF 的厂商,从目前了解到的国内的 Web 安全现状来看,Known Attack(即SQL、XSS等问题)仍然大量存在,但新兴的问题(即逻辑漏洞、特别是与API相关的逻辑漏洞)正在越来越多地出现,且没有很好的解决方案。
从产品的角度,我们提供了一个基于 lua 的可编程引擎,它可以在我们的产品内部写代码。从甲方安全人员的视角,可以用代码检测一个 API 是否被正确使用;从落地实践的角度,这种方式也解决了很多 API 安全相关的问题,这需要安全人员深入地理解业务,并具有一定的编程能力。
但如果 Salt 所做的“基于 AI 的正常、异常行为检测”足够准确的话,适用的场景将会更多,同时使用的门槛也会降低。然而,这类通用的“自学习”解决方案通常无法快速适应业务的变化。是否 API 的每次变化都需要重新学习业务特征?在做正常、异常行为判断的过程中,如何提高准确率和召回率?我对这些问题十分感兴趣,打算接下来去 Expo 上找找他们的展位,实际用用看。
Eclypsium
第四家是 Eclypsium,演讲者首先提出了一个问题:你真的了解你每天都在用的设备吗?然后放出了两张图:
在过去的一年,随着一些CPU漏洞、硬盘固件漏洞的爆发,硬件漏洞被越来越多地关注。
Eclypsium 想通过他们的产品来更好地解决“知道你的设备上到底有多少已知硬件漏洞“的问题。管理设备风险,属于一个比较新的领域,尚未被太多人关注,不知会有多少客户为这个点买单。
Duality Tech
第五家是 Duality Tech,CEO 是个没有头发的感觉很厉害的博士,联合创始人里面有2012年的图灵奖获得者 Shafi Goldwasser 教授,团队有大量的博士。
在隐私保护法规日益趋严的今天,他们解决的问题是很酷的“基于加密数据的计算”。这是一支十分学院派的技术团队,正如他们官网所说:Duality 结合高级密码学和数据科学,为受监管行业提供高性能隐私保护计算。
问答环节中,能明显感觉到他们在商业准备上的不足。评委提出了一个尖锐的问题:我想用我的数据在受保护的情况下对外提供服务,我不懂技术,我的团队一个博士也没有,你如何向我证明你的方案是可行的?但演讲者的回答有些差强人意。
不过话说回来,如果他们的技术原型可以跑通并且能够解决问题的话,我认为这家公司会快速地被巨头并购。
DisruptOps
第六家是 DisruptOps,在这个越来越多人拥抱云计算的时代,要管理自己在云上的业务系统的安全可不是一件简单的事情,因为云太复杂了。
DisruptOps 提供自动化、便捷的云上安全基线管理,例如 IAM 服务的 access key管理:
成败与否的关键在于跟云的结合。我认为在云时代,如果将安全与云结合更紧密,去解决用云的用户所面临的新的安全问题,这里面存在着很多机会。
插播一下:写到刚刚,发现不小心错过了颁奖时间,刷了一下朋友圈,发现2019年获得 Innovation Sandbox 冠军的是第九个上场的 AXONIUS,他们 CMO 的演讲十分有意思,同时也是个成功的安全创业者。他说:我做的第二家安全公司一定要去解决一个大的没有被解决好的问题,按照顺序我还是在后面再介绍他们。
CloudKnox
第七家是 CloudKnox,专注于做云平台的权限管理,CloudKnox 认为,身份与权限是数字时代的超能力,当这个超能力没有被有效约束的时候,就很容易出现安全问题。
CloudKnox 认为,大多数高权限账户的99%的权限都是多余的,应该让每个账户“只拥有他需要的权限”。但这是个说起来容易做起来难的事情,几乎无法手动完成,所以他们搞了一套系统来帮大家解决这个问题。
又是一家拥抱云时代的安全公司,从业务视角来降低安全风险。
Capsule8
第八家是 Capsule8,一家专注于解决 Linux 安全问题的公司。他们讲到:Linux 目前在 server 领域处于主宰地位(自己做的市场足够大)。在 Linux 安全领域,Capsule8 表示自己足够专注足够厉害,在不搞内核的情况下(搞内核容易 Kernel Panic 啦),通过 Linux 提供的种种机制,可以提供实时的入侵防护(不是检测)。Capsule8 的 CEO 看起来比较黑客,看了一下简历也是常年浸淫在攻防领域。
回答问题部分比较有趣:
评委问题1:那么多厂商都搞 EDR,你们和他们的区别是啥?
答:他们都是本地收集信息加上一个大的管理平台,处理问题本身就有延迟,大多数也不敢在本地做阻断,而我们专注于做超级超级精准的阻断(感觉是个超好用的HIPS),然后他们处理多地多机房问题会比较复杂,有大量的数据交换,我们的数据交换比较少,大多数工作本地直接搞定,也容易规模化部署。
评委问题2:为啥一个CISO会考虑你们家的产品,有什么特别的理由吗?
答:我们的产品对运维超级超级友好。我们见过很多这样的对话,CISO:我想买这个产品,它可以很好的解决我们的安全问题,提升我们的安全防护水平,让我们抵御黑客攻击,blahblah….. 运维负责人:Ok, but not on my server. 在这种情况下,一个运维喜闻乐见和放心的安全产品,才是你所需要的。(参见下图第三点)
Axonius
第九个如上面所说:获奖的 Axonius。与其他都是 CEO 来演讲的公司不同,Axonius 是 CMO 来做的演讲,他的演讲十分具有感染力,PPT 里还有一个十分有趣的梗:
资产管理是个存在已久,但没有被非常好地解决的问题,但 Axonius 声称他们的系统能够通过更好地与其他系统的交互(包括通过自己的 Adaptor),以设备为视角,来更好地做资产管理,并且已经获得了一系列大客户的认可。演讲水平过硬,商业打法成熟。
还有个很有趣的比喻,资产管理在信息安全中的地位正如 Toyota 的 Camry(很多人的第一辆车),它应该基础、扎实、好用。
评委调侃说:大家都在解决当前的问题或者未来的问题,你这是在解决昨天的问题啊。
演讲者:我明白,但我还是对我们的产品充满信心。
这句话我十分认同,网络安全领域大量“昨天的问题”并没有被很好解决,这是个存在大量机会的行业。
Arkose Labs
第十家公司 Arkose Labs,来自澳大利亚,两位创始人都来自昆士兰大学。目前业务安全问题很严重,同时大量问题都是单一请求攻击,你只有一次阻断机会。
Arkose Labs 声称自己的解决方案可以100%解决业务安全问题,正确区分正常用户和恶意用户。从我有限的理解来看,他们做了一套机器无法识别,但对人来说又比较好识别的“验证码”系统(看PPT是基于视觉的动作输入),他们的系统可以自动生成机器无法解决的“验证问题”,感觉像是12306验证码里那种“选出以下图中的所有小狗”的高级版本。
Arkose Labs 好像是拿到了 Paypal 的投资,同时 Paypal 也是其客户。
这次的十家厂商里我比较喜欢的是 ShiftLeft 和 Salt,虽然他们都没有获奖。颠覆式的创新很难,但也很高兴地看到,在那些已经较为成熟的产品领域,“昨天的问题”在被人们用创新的方法更好地解决。
声明:本文来自长亭安全课堂,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。