根據十強初創企業的公開資料信息,應用安全相關的佔半數;其次是雲安全。此外就是安全意識教育、隱私保護及郵件安全領域的初創企業。
一年一度的網絡安全行業盛會RSA Conference將於2020年2月24日-28日在舊金山Moscone Center拉開帷幕。大會的創新沙盒(Innovation Sandbox Contest)環節備受矚目,成為全球網絡安全行業技術創新和投資的風向標,讓很多年輕的初創公司迅速取得了成功。
根據RSAC的數據統計,過去的十多年中,Top 10的入圍初創企業共進行了48次的收購,融資規模達到52億美元。致力於SOAR領域的2016年冠軍Phantom已被Splunk公司3.5億美元收購;2018年冠軍BigID總融資規模已達1.46億美元;網絡安全資產管理領域的公司Axonius拿到2019年冠軍並已經完成B輪融資。
近日,RSAC官方宣佈了最終入選今年的創新沙盒十強初創公司,並將在當地時間2月25日下午1時決出最終冠軍。
根據十強初創企業的公開資料信息,應用安全(Application Security)相關的佔半數(根據Gartner定義技術領域),如代碼安全、Fuzzing、In-App Security、漏洞管理,同時也支持DevSecOps等熱點;其次是雲安全(Cloud Security),其中兩家公司提供SaaS安全解決方案。此外就是安全意識教育、隱私保護及郵件安全領域的初創企業。從十強初創企業的技術領域分佈,基本已經能判斷出今年網絡安全技術創新的熱點方向 。
下面是今年的RSAC2020創新沙盒十強的信息:
AppOmni成立於2018年,核心創始團隊均來自於Salesforce。AppOmni的解決方案主要針對SaaS應用提供數據訪問的可見性、安全性、合規性,平臺組件包括安全自動化、合規控制以及IT管理。參考Gartner Framework for SaaS Security Controls,AppOmni的解決方案主要聚焦於雲的安全訪問。
SaaS在IT成熟市場已被廣泛應用,相關數據表明到2024年全球SaaS的市場規模將達到1800億美元,年複合增長率超過20%,快速增長的市場,SaaS的應用安全市場也將快速增長,相關領域如雲中的數據的可見性如何實現,用戶訪問控制,跨雲的應用程序安全性和數據訪問策略等等。參照雲安全責任共擔模型,這些安全挑戰都是需要用戶側來承擔和應對。國內的雲計算成熟度相對較低以及SaaS應用不廣泛,這個在國內短期還難形成規模。
BluBracket成立於2019年,總部位於美國硅谷,種子輪650萬美元融資是當前十強初創公司中最低的一家。BluBracket是一家提供企業級代碼安全解決方案的公司,能夠發現並保護開發者的代碼環節,提升開發效率。BluBracket代碼安全解決方案提供兩個組件,CodeInsights 實現代碼環境可見性,支持代碼分類,滿足合規性需求;CodeSecure能夠識別、防止代碼從企業中意外或惡意的洩露,並對代碼進行風險評估響應。
源代碼作為軟件的最初原始形態,其安全缺陷是導致軟件漏洞的直接根源,全球發達國家對代碼安全的體系建立的比較完整,當前DevSecOps如何在企業內部落地也是熱點,突顯了代碼安全和安全開發的重要性。Gartner將代碼安全歸屬到Application Security Testing (AST)市場分類,2019年全球AST市場規模是11.5億美元,未來3年將保持10%的年複合增長率。
總部位於美國加州的Elevate Security成立於2017年,兩位創始人都來自於Salesforce安全團隊。當前超過90%以上的安全事件是因為人的過失導致,人是最薄弱的環節,傳統的安全意識教育並沒有發揮很大的作用,Elevate Security的解決方案聚焦網絡安全用戶行為變化,致力於將安全意識教育提升到新的層次,幫助用戶建立積極主動的Security Culture。利用四大組件對內部人為因素開展管理:Reflex負責運行基準評估,並對員工活動進行指標分析;Vision允許安全管理員對員工行為及相關風險做出分析;Pulse負責為員工提供培訓,幫助他們改善自己的高風險行為;Hacker’s Mind則是一種遊戲化培訓方案,旨在增強員工個人乃至團隊的整體安全意識。
Elevate Security的理念也正好呼應了RSAC2020的主題,Human Elements。記得2017年我們在中國互聯網安全大會上提出了 “人是安全的尺度” ,提升安全意識,降低因人為因素導致的安全風險,也得到了產業界的共鳴。我預測Elevate Security很有可能進入今年Innovation Sandbox的Top 2。
ForAllSecure成立於2012年,創始人團隊來自CMU卡內基美隆大學以及MIT麻省理工學院的教授和研究員,致力於為電信、航空航天、汽車等行業提供新一代的模糊測試解決方案。研究機構451Research針對DevSecOps現狀調研表明,隨著開發速度和部署頻率的增強,安全測試的優先級被拋在了後面。61%的企業表示缺乏自動化的、集成的安全測試工具是DevSecOps面臨的最大挑戰。ForAllSecure的下一代模糊化測試解決方案Mayhem貫穿於整個軟件生命週期,與DevOps流程的整合,通過持續檢查軟件中可能存在的問題,為客戶提供可靠的質量與安全性保障。
ForAllSecure與BluBrcacket公司的解決方案都是致力於保障應用開發環境的安全,前者是聚焦於模糊測試,後者是側重在代碼安全。模糊測試Fuzzing是一種安全測試方法,介於人工滲透測試和自動化工具測試之間,利用機器自動化隨機生成和發送數據,並且結合安全專家的經驗,降低安全測試門檻。與代碼分析、代碼審計對比,模糊測試簡易型更好,而且通過自動化工具,模糊測試可以把安全方面的經驗積累到工具中,提供持續的安全性測試。
INKY成立於2008年(RSA對初創公司年限沒有限制?),主要提供Cloud-base郵件安全解決方案,除了針對惡意軟件,垃圾郵件防護之外,INKY就是利用人工智能技術和機器學習對網絡釣魚郵件進行提前識別與阻止,從而搶在抵達員工收件箱前將惡意郵件屏蔽在外。
Gartner在2019年將Business Email Compromise列為年度十大安全項目之一,在郵件安全解決方案領域,當前還是以郵件安全網關SEG為主力防護產品。隨著越來越多的客戶將郵件系統遷移到雲端,如Office365,Google G Suite,專注於釣魚攻擊防護的廠商比如INKY,Gartner定義為Cloud email security supplements (CESSs),通常是通過API調用對雲託管收件箱的訪問來進行檢測和修復,也會融入一些例如沙箱分析的功能,但是目前還不足以取代SEG在企業郵件安全的主導地位。
專注於SaaS Security的Obsidian於2017年成立,創始團隊來自於Cylance、Carbon Black和NSA,總融資額已達2950萬美元。Obsidian Cloud Detection and Response為SaaS應用程序提供安全防護,幫助安全團隊發現,調查並響應入侵和內部威脅。以身份為中心,Obsidian安全團隊可以快速調查漏洞,發現內部威脅,並加強雲環境的安全性,且不會對業務造成影響。
Obsidian提出了一個新的理念叫Cloud Detection and Response (CDR),認為這是當前雲安全體系中缺失的一部分,CASB能起到防護但是做不到檢測與響應,就像終端上的EDR和網絡中的NTA解決了可見性需求類似,CDR需要對雲環境提供全面的可見性,持續收集和分析SaaS的活動來檢測並進行事件響應。筆者研究了Obsidian的核心能力,主要包括雲環境的可見性、基於安全策略的自動化檢測和分析以及安全風險監控,基本是SaaS安全的核心需求,對比AppOmni,整體Story的邏輯理念要更好。
Top 10中當前融資最高的公司SECURITI.AI,成立於2018年,當前融資總額已超過8000萬美元,旗下的產品套件Privacy.ai通過AI驅動的PI(個人信息)數據發現、DSR(數據主體權)自動化、文檔責任、數據處理可見性和AI自動化處理幫助企業應對合規需求, 隱私保護合規解決方案以及完全覆蓋GDPR (The EU General Data Protection Regulation), CCPA (The California Consumer Privacy Act) 等。
隨著GDPR的生效,要求收集、處理個人信息的企業進行嚴格的數據保護,對執行過程進行監督,並對違規行為進行嚴格的懲罰,隱私及數據保護市場也將快速發展。Gartner認為對70%的組織來說,歸檔個人數據是隱私風險最大的市場,並預測到2022年,全球一半人的個人信息將受到GDPR的保護。2016年創新沙盒的冠軍BigID做數據安全的出發點就是個人隱私信息保護,這正好契合了當時GDPR的熱點,也引發了隱私保護市場的發展方向。
Sqreen是一家來自法國巴黎的網絡安全創業公司,成立於2015年,創始團隊來自於蘋果公司的攻防團隊,其解決方案聚焦於應用程序安全防護。對於應用開發和安全運營的場景,Sqreen平臺的模塊包括RASP (Runtime Application Self-Protection) 、 In-App WAF、Security Header以及通過虛擬補丁防止應用程序漏洞被利用,為開發人員提供了從應用程序收集到的安全漏洞信息及響應措施。2019年下半年Sqreen被Gartner評選為Cool Vendor。
隨著軟件邏輯應用架構遷移到客戶端,應用程序的自我保護能力變得至關重要。In-App應用程序內保護將自我防禦功能引入到到客戶端應用程序中,包括應用程序屏蔽、應用程序實時自我保護(RASP)和反惡意軟件技術,這是非常適合以零信任approach來應對應用安全。Gartner預測到2022年,超過50%的針對點擊劫持和移動應用的攻擊可以通過In-App解決方案來阻止。
總部位於硅谷的Tala Security成立於2018年,創始團隊來自Symantec。Tala Security提供的Web安全解決方案,保護企業網站免受Formjacking、Magecart以及其他高級攻擊,用戶提供安全的web體驗。尤其針對Magecart attack,使用基於AI的分析引擎實時分析網站的行為和腳本,幫助標準的web安全策略(如CSP、SRI、HSTS等)進行自動化動態調整,確保實時阻斷所有針對客戶端的攻擊。同時可監控和保護用戶數據實現合規性遵從,包括GDPR和其他法規。
2019年Tala Security被Gartner評選為Cool Vendor。企業組織如有面向外部的Web應用程序,需要應對跨站點腳本,欺詐性的點擊劫持和表單劫持攻擊的需求,且不願再應用程序層面做更改,Tala的方案比較合適。此外,提供 JavaScript監控、CSP及SRI功能的In-App的廠商或WAF的廠商以不同類型的解決方案將直接和Tala展開競爭。
Vulcan 是Top 10中唯一的一家以色列公司,成立於2018年,聚焦於新一代的漏洞管理。Vulcan 提供一套用於自動化管理修復流程的平臺,幫助企業降低安全漏洞帶來的影響。2019年也入選Gartner Cool Vendor。Vulcan認為當前的漏洞管理平臺設計原則需要滿足幾,可見性、自動化補救以及漏洞修復的優先級,其三大核心組件:Remediation - 通過自定義或預定義的修復策略,自動化執行漏洞修復,提升DevSecOps效率和協作;Prioritization – 基於威脅情報將企業安全數據與IT數據融合,使安全管理團隊能夠判斷及基於優先級響應關鍵的安全事件;Total Visibility – 通過本地API與安全評估、運營集成,建立完整的視圖。
但是這算不上是一站式漏洞管理的解決方案,因為客戶需要具備一定的技術能力和工具,比如網絡和應用漏洞評估工具、協作工具,以及軟件部署工具,協同起來才能發揮最大化優勢。Vulcan的解決方案畢竟在市場上推出才一年,相信未來產品功能應該會不斷完善。
今年的創新沙盒冠軍究竟花落誰家,讓我們拭目以待。《安全內參》對RSA2020持續報道,歡迎關注和投稿。
閱讀更多 奇安信 的文章
關鍵字: 國創上頭條 Salesforce 網絡安全
