2020 RSA 創新沙盒大賽塵埃落定,冠軍花落Securiti.ai公司。作為本次大賽冠軍,Securiti.ai是如何從十大“勁敵”中脫穎而出的呢?之前,綠盟君已經為大家分析過Securiti.ai的產品特點,今天,綠盟君再次帶大家詳細瞭解一下這所公司的與眾不同。
一、情理之中的冠軍得主
總體而言,今年Securiti.ai奪冠是情理之中:於大勢而言,資料安全、個人資訊、敏感資料的識別、防護是國內外最重要的合規性要求,市場空間可期;於技術而言,透過技術手段對個人資料識別,使用People Data Graph構建面向人的知識圖譜,為後續的分析提供模型支撐,透過聊天機器人實現智慧化的互動;於方案而言,針對客戶的資料安全難以落地的痛點,提供了整套解決方案,構建個人資料連結,實現消費者資料權利請求-響應的流程自動化處理,生成合規性審查報告,分析第三方風險。前年GDPR的釋出引發了資料安全的關注,如果說BigID那次奪冠很大程度上是因為GDPR的頒佈“蹭熱點”,這兩年已經有很多起違反GDPR罰款的案例,可以說這次Securiti.ai釋出的產品和解決方案更加接地氣,也更加全面,能夠滿足企業的資料安全合規性要求,本次奪冠更讓人心服口服。
如果我們把安全行業的創新劃分為兩個維度:攻防技術的創新和以及行業的創新,那麼從入選2020年創新沙盒決賽的公司和產品來看,今年的攻防技術創新在於模糊測試、響應技術、人工智慧落地,而行業的創新集中在敏捷開發、資料安全等熱點領域。此外,今年大會主題是以人為本,所以創新企業中也融入了人性的創新。下面以這三個維度進行分析。
1、以人為本的創新
隨著這幾年的安全事件逐漸曝光,越來越顯示出,只追求完善的安全制度或先進的安全防護技術,並無助於避免企業安全事件。因為人往往是企業安全中最薄弱的一環,所以如何提高員工的安全水平和安全意識,可能是今後企業安全中非常重要的一環。人、流程、技術,相輔相成,缺一不可。
l 資料安全
Securiti.ai主要是在資料安全領域,如今個人資訊和敏感資料的合規性要求已經非常強了,之前綠盟君已經為大家做過分析做過分析(點此回顧)。GPDR、CCPA等法律的嚴格執行,使得近兩年個人資訊領域,特別是如何識別、如何匿名化、如何評估個人資訊,成為行業一大熱點。簡單而言,Securiti.ai根據資料安全法律的合規性要求,特別是資料權利請求、第三方風險評估、許可生命週期管理等,透過技術的手段,自動化、程式化地進行監控、處理,從前端而言,整體感覺使用者友好,視覺化、易用性較好。
亮點:直擊個人資訊合規性問題,持續監控、連結、評估個人資訊
Elevate Security主頁的標題是“人的風險:度量、影響、減少”,非常討巧地切合了大會主旨,印象中這也是RSAC近年來第一家在安全意識培訓(SAT)方面的創業公司。透過技術手段促進安全治理,發揮員工的主觀能動性,能夠更好地提升安全防護的效果。
亮點:技術手段提升員工參與能動性
國外的電子郵件使用率遠高於國內,所以郵件安全的重要程度可能高於其他安全領域。傳統郵件安全閘道器透過發件人地址、內容是否包含惡意IOC,以及附件等網路安全形度去檢測郵件的安全性,但這些無法抵禦基於社會工程商業電子郵件犯罪(BEC)。INKY雖然在傳統的郵件安全領域,但解決的是跟人密切相關的問題,它試圖透過從人的感知的角度去分析其中的內容是否存在欺詐,所以能夠檢測出傳統手段無法檢測到的0day攻擊。
亮點:AI助力人腦很難識別的視覺欺詐
2、行業創新
總體而言,DevSecOps是一個新興的方向。今年創新沙盒有三家是DevSecOps方面的:ForAllSecure、Vulcan、BluBracket。其中Vulcan下文中會詳細分析,BluBracket成立一年,內容較少。
ForAllSecure聚焦在DevSecOps,有一支來自卡耐基梅隆大學科研團隊,透過“下一代”模糊測試技術結合使用“符號執行”技術和“導向型模糊測試”技術,能夠針對測試發現的安全漏洞自動化生成概念性驗證(PoC)和補丁,在一定程度上避免傳統白盒測試的高誤報和黑盒測試的盲目性,具有很高的創新性和價值。該團隊在DARPA CGC 2016中奪冠,足以驗證其技術實力。
亮點:DevSecOps+Fuzz,技術實力很強
DevSecOps成為了越來越多企業中開發者的選擇,其中程式碼安全已經成為了非常重要的安全方面,開發階段解決安全問題,遠比執行時檢測、響應的投入划算得多,所以看好未來幾年程式碼安全相關的創新企業。
無論在國內還是國外,雲端計算已經成為了普適的基礎設施,雲安全已經成為了傳統的安全問題,例如雲上配置、訪問控制、檢測響應等。
隨著各種雲上安全事件頻繁,SaaS、PaaS的資料洩露已經成為這兩年很熱的話題,Gartner將該細分市場稱為CSPM(Cloud Security Posture Management),目前大部分公司的配置核查主要是對如儲存資源的訪問憑證進行檢查,避免弱口令或無口令拖庫的事件。下面兩家公司則更進一步,既然攻擊者能夠無憑證或獲取弱憑證,那就需要監控雲端服務的訪問行為,聚焦在看似合法的訪問,而非以往關注惡意攻擊,有點像前幾年內網持續遭到滲透後,業界開始聚焦在合法使用者的異常行為,所以出現了UEBA。總體而言,這個方向的技術難度不大,借鑑的現有技術不少,創新不多,但市場空間大,所以創業公司的前景還不錯。
AppOmni實現了公有云上的配置和訪問控制策略的持續核查和監控,更多的是從合規性角度、安全策略視覺化和監控方面更出彩。
亮點:SaaS持續訪問控制監控
Obsidian實現類似的功能,但在RBAC基礎上增加了檢測和響應功能,透過監控使用者的登陸、操作等事件,分析其中異常的行為操作,可以理解為xDR在雲端SaaS的應用。本身創新度不大,主要還是新技術與雲安全的融合。
亮點:xDR+SaaS融合
3、傳統安全的創新和微創新融合
Sqreen、Tala Security和Vulcan Cyber三家均出現在Gartner的Security and Risk Management Cool Vendor 2019中,所以嚴格意義上說 這三家不算太新的公司,而且這三家在細分領域中沒有突破性的創新,需要與成熟的廠商競爭。
Sqreen和Tala Security聚焦在Web安全領域,既傳統的WAF,以及近年開始流行的RASP,都已然是服務端Web安全的標配。所以這兩家公司不管是部署方式,還是功能層面,雖然有所創新,但均屬於微創新。
Sqreen是以微代理的方式實現了RASP和In-App WAF,從功能上沒有突破當前WAF和RASP。當然他們宣稱捅過內嵌無侵入SDK的方式,可以做到對業務應用的無縫、可擴充套件防護,無論企業有多少服務,服務是基於什麼語言,Sqreen都能嵌入,對上形成統一的檢視,從而進行監控、分析和防護。借用Service Mesh的概念,Sqreen也提出了Security Mesh。
亮點:切近業務無縫對接
Vulcan Cyber將威脅脆弱性管理平臺TVM融入了這兩年熱門的“響應”元素,透過編寫劇本Playbook,將TVM與SOAR結合,自動化緩解高風險的漏洞,解決漏洞生命週期管理運維成本高的問題。決賽中Vulcan舉了一個如何緩解Apache Structs的多種方法,透過SOAR實現workload的自動執行,這樣就解決了大規模業務環境下漏洞管理的可擴充套件性和響應速度。
亮點:漏洞管理和SOAR融合
Tala Security聚焦在客戶側的Web應用防護,透過CSP機制抵禦如XSS、挖礦等針對客戶端瀏覽器的攻擊,主要面向金融交易的安全防護。這是傳統Web安全缺失的地方,如果沒有威脅情報,伺服器端安全機制無法判斷網站中的第三方引用是否存在安全問題(因為第三方的流量不會經過WAF)。Tala Security透過客戶端瀏覽器CSP的安全策略,覆蓋了傳統Web安全的短板,有一定的新穎之處,是傳統服務端Web安全有益的補充,但本身替代不了WAF,兩者應該是互為補充,最終形成端到端的Web安全方案。
亮點:客戶端的Web安全機制
二、總結
從技術點上看,自動化似乎貫穿了很多公司的產品特點,如PrivacyOps、SOAR、xDR、API Driven等等,原因是當前的攻防到了爭分奪秒的階段,而安全運營也面臨規模化、複雜化的挑戰,只有透過自動化提升整體的安全防護效率,才能應對這些挑戰。
而從安全防護體系來看,人的因素的重視程度一直在提升,如何降低所有員工中安全防護水平的短板,如何利用人的積極性提升整體防護水平,也是創業公司透過技術驅動完善制度、符合合規性要求需要考慮的重要問題。
總體而言,網路安全的創新一直在進行中,但從這幾年的創新沙盒看,沒有哪個行業,也沒有哪個技術是全新、聞所未聞的。儘管國內的網路安全企業與國外的差距在逐漸縮小,但需要指出的是,國外的IT環境在很大程度上跟國內是有差異性的,例如雲端計算、電子郵件等,所以當我們思考相關的安全創新也需要考慮到國情,避免邯鄲學步。