RSAC2022創新沙盒解讀，一網打盡

RSAC2022創新沙盒決賽將於舊金山時間6月6日舉行，作為“安全圈的奧斯卡”，大賽每年都備受矚目。綠盟君透過對本次十強初創公司進行整合分析，提前劇透當下最火熱的網路安全新熱點，讓我們一起去看一下。

圖1 RSAC2022創新沙盒十強公司[1]

根據主要產品類別，創新沙盒十強公司可以被分為以下幾類：

圖2 RSAC2022創新沙盒十強產品領域

本次創新沙盒十強中共有4家雲安全公司，透過與RSAC2021十強初創公司的產品型別對比，可以看出RSAC2021創新沙盒的產品種類分佈相對平均，且雲安全似乎也不是絕對的重頭。那為什麼2022年RSAC的雲安全公司數量如此之多呢？綠盟君透過對2022年的雲安全產品進行分析，發現這些產品的功能已很難用單一的傳統雲安全產品概念去覆蓋。

圖3 RSAC2021與RSAC2022創新沙盒產品領域對比

1、雲安全產品的創新
圖4[2]為Araali Networks彈性補丁的執行流程。Araali Networks基於eBPF對雲上應用行為進行檢測，並在應用行為與預定義行為出現偏移時，自動化糾正應用行為偏差。這種方案有別於傳統的威脅檢測與響應，更偏向內生安全的理念。
推薦閱讀：RSA創新沙盒盤點｜Araali Networks——雲原生風險緩解

圖4 Araali Networks基於應用行為路徑的異常行為修復

圖5[3]為Cado Security的威脅溯源和響應，不光支援基於攻擊路徑與可疑行為的視覺化分析與時序化的惡意行為報表，還支援使用者自定義SOAR。複合型的能力使我們很難將其歸類到相對傳統的雲安全產品分類中。
推薦閱讀：RSA創新沙盒盤點｜Cado Security——雲原生取證和響應

圖5 Cado基於攻擊路徑的威脅溯源與時序報表

圖6[4]為LightSpin的雲環境DevOps安全能力架構。不過LightSpin並未關注DevSecOps產品通常關注的程式碼掃描、原始碼洩露、CI/CD整合等功能，而是面向雲環境，從DevOps視角整合了IaC安全、CSPM、基於威脅建模的實時保護能力與K8S執行時安全能力。
推薦閱讀：RSA創新沙盒盤點｜Lightspin——攻擊者視角下的DevOps安全

這些產品很難被歸類為傳統的雲安全產品（CASB、CSPM、CIEM等），而是同時覆蓋了雲安全領域與其他安全技術領域的交集。一方面，這些產品為雲環境中的接入方式與特有安全風險都提供了良好的相容；另一方面，這些產品也針對某一些具體任務或具體場景提供了完善的安全能力。

圖7 雲安全與其他安全領域的交集

2、新入圍領域與保留領域
與2021年相比，除了雲安全類公司入圍數量上升外，2022年的決賽名單也出現了往年RSAC創新沙盒較少關注的瀏覽器安全產品公司——Talon Cyber Security。據推測，該產品應該是透過沙箱整合瀏覽器的本地部署方案，來對面向瀏覽器的惡意行為進行管理，並提供DLP、外掛管理等實用功能，如圖8所示[5]。
推薦閱讀：RSA創新沙盒盤點 | Talon Cyber Security——面向企業的安全瀏覽器

圖8 Talon Security檢測瀏覽器惡意行為

過去幾年一直獲得RSAC關注的DevSecOps類產品2022年仍然成功入圍。Cycode在最佳化了如硬編碼秘密掃描、原始碼洩露檢測、程式碼訪問許可權控制、IaC安全等DevSecOps產品中較為常見的安全能力之外，也創新性地提供了基於知識圖譜的程式碼防篡改能力，如圖9所示[6]。
推薦閱讀：RSA創新沙盒盤點 | Cycode——軟體供應鏈安全完整解決方案

圖9 CyCode基於知識圖譜的程式碼防篡改能力

3、產品設計趨勢
本次入選的產品雖然面向的任務種類與解決的具體問題各不相同，但從產品設計的維度來看卻具有一些共性，這些共效能夠反映出當前市場對安全產品的需求。

積極相容其他廠商安全產品
Sevco Security透過Automox、CrowdStrike、Lansweeper、MalwareBytes Nebula、Microsoft AD五種產品蒐集使用者的資產情報，自己並不對使用者系統進行掃描，而是對這五種產品採集到的資產情報資料進行融合與分析，如圖10所示[7]。
推薦閱讀：RSA創新沙盒盤點 | Sevco Security——專注資料融合的資產管理平臺

圖10 Sevco Security整合其他產品採集的資產情報資料進行融合分析

BastionZero整合第三方SSO服務商的SSO服務，將三方SSO的認證憑證作為第一級證書，再級聯BastionZero自己的MFA認證，來形成可追溯且無法被單點攻陷的多信任根認證鏈，如圖11所示[8]。
推薦閱讀：RSA創新沙盒盤點｜BastionZero——零信任基礎設施訪問服務

圖11 Bastion Zero的多信任根身份認證

積極進行自動化響應
Torq支援使用者自定義的對於惡意IP進行封禁、自動刪除惡意檔案、呼叫第三方EDR工具停止惡意程式等多種自動化響應。較為常見的傳送工單給安全工程師來處理安全事件，僅是其自動化響應中的一種選項，如圖12所示[9]。
推薦閱讀：RSA創新沙盒盤點｜Torq——無程式碼安全自動化

圖12 Torq支援自定義的自動遮蔽IP與呼叫EDR隔離惡意檔案的響應策略

Dasera對於長期不使用，但具有敏感資料訪問許可權的賬號，不光會進行告警，更會主動撤銷其敏感資料訪問許可權，該過程完全不需要人工參與，如圖13所示[10]。
推薦閱讀：RSA創新沙盒盤點｜Dasera——全生命週期保護雲上資料安全

圖13 Dasera從身份的維度進行資料治理，根據身份風險自動化管理身份許可權

積極宣傳無代理接入模式
本次入選的公司中，Neosec、Araali Networks、Sevco Security、Dasera均宣稱使用了無代理的接入模式。雖然這些產品“無代理”的實現方式與實現程度並不相同，部分產品也沒有對其部署方式做詳細介紹，但這些公司都將“無代理”作為了產品的重要宣傳點。我們推測與Araali Networks類似，Neosec也使用了eBPF來實現“無代理”的部署方式，如圖14所示[11]。
推薦閱讀：RSA創新沙盒盤點｜Neosec——面向API安全的SaaS化防護方案

圖14 Neosec對透過無代理模式提供API安全能力的宣傳

備註：文中所有圖片均來源RSAC官網及創新沙盒十強公司官網

參考文獻
[1]https://www.rsaconference.com/usa/programs/innovation-sandbox
[2]https://www.araalinetworks.com/
[3]https://www.cadosecurity.com
[4]https://www.lightspin.io
[5]https://talon-sec.com
[6]https://cycode.com
[7]https://sevcosecurity.com
[8]https://www.bastionzero.com
[9]https://torq.io
[10]https://www.dasera.com
[11]https://www.neosec.org