RSAC 2023創新沙盒解讀，一網打盡

RSAC 2023創新沙盒決賽將於舊金山時間4月24日舉行，作為“安全圈的奧斯卡”，RSAC創新沙盒大賽每年都備受矚目。綠盟科技透過對本次十強初創公司進行整合分析，提前劇透當下最火熱的網路安全新熱點，讓我們一起洞悉安全發展趨勢。

圖1 RSAC 2023創新沙盒十強廠商

根據主要產品類別，創新沙盒十強公司可以被分為以下幾類：

圖2 RSAC2022創新沙盒十強產品領域

本次創新沙盒十強中有2家公司圍繞Web3.0安全這一概念，分別聚焦於區塊鏈安全與AI自身安全。雖然近年來網路安全行業對於區塊鏈安全和AI自身安全一直投入了一定程度的關注，但成熟的產品卻一直較少。相關產品出現在今年的創新沙盒，預示著Web3.0安全技術已逐漸走向成熟。

圖3 RSAC2022 vs RSAC2023創新沙盒十強產品賽道對比

Web3.0安全

如圖4所示[1]，在Web3.0架構中，人工智慧技術與區塊鏈技術（分散式網路）是具有代表性的兩個關鍵技術。可以預見，在Web3.0時代，大量基於人工智慧與區塊鏈的資產將會出現在網際網路中。

圖4 Web3.0架構

在Web3.0架構下，大量使用基於新技術的資產必將會同時擴充套件資產的攻擊面，從而引入新的安全風險。如何對這些傳統網路安全產品難以覆蓋的安全風險進行治理，是極具挑戰性的一個問題。

 

AnChain.AI在區塊鏈安全賽道提供了一個優秀的實踐案例。AnChain.AI利用人工智慧技術，實現了對於區塊鏈的交易追蹤和取證、異常事件檢測與風險評估與審計功能。如圖5所示[2]，AnChain.AI透過API對區塊鏈的事件與行為進行分析。

圖5 區塊鏈事件/行為分析API（BEI）

 

HiddenLayer則在AI安全賽道提供了面向AI資產的異常檢測與響應能力，MLDR，其業務流程如圖6所示[3]。MLDR產品能夠快速檢出一些用以欺騙AI模型的惡意對抗樣本，輔以人工服務和模型掃描，HiddenLayer宣稱其安全能力能夠覆蓋MITRE ATLAS給出的AI風險矩陣中的92.3%。

圖6  HiddenLayer MLDR框架

 

供應鏈安全治理

近年來，SolarwWinds、Log4j漏洞等安全事件均昭示了軟體供應鏈引入的安全風險對整個資訊行業帶來的巨大威脅。因此，供應鏈安全這一課題受到了網路安全行業的廣泛關注。本次創新沙盒十強中的兩家公司，創新性地對供應鏈安全治理工作提供了能力。

 

Endor Labs致力於治理開源軟體所帶來的供應鏈安全風險。在提供開源軟體視覺化的基礎上，Endor Labs透過採集開源軟體的多維特徵資訊，為開源軟體的風險進行評分，並透過自動化的准入審批機制組織高風險開源軟體被引入產品。在此基礎上，Endor Labs還能提供功能相似的開源軟體資訊，提示開發者使用低風險軟體進行替換，並會依照優先順序提示開發者對開源軟體中存在的漏洞進行修復。此外，值得一提的是，如圖7所示[4]，Endor Labs整合了GPT類模型，作為智慧機器人來提供開源軟體的相關資訊。

圖7 整合GPT類模型提供開源軟體資訊

 

Astrix雖然依照其面向的環境被劃分在雲安全賽道，但其產品對於供應鏈安全治理顯然有深入的研究和思考。Astrix致力於對使用者接入的第三方雲服務進行訪問管理。在雲服務已經普及的當下，第三方雲服務其實也是使用者產品供應鏈中的重要部分，但相關的安全風險卻往往被忽略。Astrix在提供全域性第三方雲服務接入視覺化的基礎上（如圖8所示[5]），覆蓋整個連結生命週期地提供對接入這些雲服務所引入威脅的檢測和響應。可以預見，Astrix的提名將為供應鏈安全治理工作中通常容易忽視的第三方雲服務問題帶來較大的關注度。

圖8 全域性第三方雲服務接入視覺化

 

資料安全與合規

資料安全與合規是近年來整個網路安全行業都非常關注的問題。在資料治理方面，Relyance AI透過使用AI技術，對使用者業務的隱私政策等合規文字進行資訊提取和分析，並結合靜態分析與動態檢測的結果幫助使用者發現應用行為中的不合規項，如圖9所示[6]。此外，Relyance AI也提供了完整的資料視覺化能力、資料隱私處理效果評估與其他合規要求的檢查能力。

圖9 隱私政策文字與應用行為的對比分析

 

在隱私計算方面，技術底蘊深厚的ZAMA推出了一系列圍繞隱私計算技術的開源工具庫。主要包括用來實現高效全同態加密演算法TFHE（Fast Fully Homomorphic Encryption over the Torus）的庫TFHE-rs、用來對一般應用程式進行全同態加密化改造的編譯器Concrete與用來在機器學習過程中保護隱私資料的工具集Concrete-ML。有證據顯示，ZAMA實現的工具優於目前已有的一些同態加密實現，如圖10所示[7]。ZAMA將上述程式設計庫與工具集進行了開源，此舉在對隱私計算技術進步做出明顯的貢獻的同時，在未來也有望透過自身技術的普及構建起一定規模的隱私計算行業生態。

圖10 透過TFHE-rs庫進行全同態加密計算的優秀效能

此外值得注意的是，本屆創新沙盒中，SafeBase的產品覆蓋了傳統合規治理容易忽略的方面——交易雙方的合規協議簽訂。SafeBase將企業安全資料編製成“簡歷”，負責安全審計的所有步驟，主動向買家展示完整、透明化的資訊，並在產品平臺上提供交易雙方進行合規相關協議簽署的能力，如圖11所示[8]。此外，SafeBase還提供了完善的合規知識庫，供交易雙方進行查詢，快速明確交易中的合規需求。對於涉及業務的內部檔案，SafeBase還提供細粒度的訪問控制與追溯檔案流轉的資料水印功能。

圖11 自動化NDA流程

 

雲環境下的網路安全

在雲端計算技術被廣泛應用的當下，如何在雲環境中推進網路安全工作是產業界近年來持續關注的一個重要問題。Dazz將雲安全漏洞緩解的步驟定義為Discover、Reduce、Fix三個環節。Discover環節透過分析在CI/CD的各個環節以及其他安全產品採集到的漏洞資訊和配置資料。Reduce環節使用自有技術進行告警資訊的過濾，使得真正的威脅能夠更清晰地呈現在使用者面前。Fix環節不但能夠提出對於資產錯誤配置的修改建議，更能自動化對已知漏洞的修復，在安全運營人員稽核透過後即可實現一鍵部署，如圖12所示[9]。

圖12 Dazz對於已知漏洞的自動修復

 

在SaaS被廣泛應用的當下，Valence Security在無需安裝代理的前提下，實現了對業務接入的SaaS平臺中以使用者側錯誤配置為主的風險，進行視覺化地進行風險展示和自動化修復，如圖13所示[10]。在Valence Security給出的Github環境案例中，產品首先透過蒐集連線到Github的個人訪問令牌、OAuth應用程式、GitHub應用程式和SSH金鑰發掘SaaS應用直接的連線關係，再分析諸如訪問範圍、實際使用情況、第三方API呼叫等資訊，給出潛在風險與解決方案。日漸複雜的SaaS網格環境中，Valence Security的風險視覺化能力能夠極大地提高SaaS安全治理工作的效率。

圖13 Valence Security的工作流程

 

此外，值得關注的是，Pangea以雲服務的形式將網路安全能力提供給開發者，並提出了SPaaS（安全平臺即服務）的概念。Pangea將資料脫敏、日誌審計、合規檢查、威脅情報等能力封裝成API介面，如圖14所示，並透過給使用者提供SDK的形式讓使用者對這些介面進行呼叫。不同於通常的雲服務使用Web頁面作為客戶端，Pangea的客戶端是使用者的程式設計環境與SDK。這樣的產品模式使得Pangea能夠全力關注於其安全產品在功能性與可靠性方面的提升，從而快速擴充產品能力，構建可靠的安全平臺，並搭建技術生態，從而實現SPaaS的理念。

圖14 Pangea的安全API

參考文獻

[1] https://www.101blockchain.com

[2] https://www.anchain.ai

[3] https://hiddenlayer.com/

[4] https://www.endorlabs.com/

[5] https://astrix.security

[6] https://www.relyance.ai/

[7] https://www.zama.ai/

[8] https://safebase.io/

[9] https://www.dazz.io/

[10] https://www.valencesecurity.com/

[11] https://pangea.cloud