--從RSAC2021創(chuàng)新沙盒十強(qiáng)看網(wǎng)絡(luò)安全創(chuàng)新趨勢(shì)

　　RSAC的Innovation Sandbox(創(chuàng)新沙盒)一直被看成是全球網(wǎng)絡(luò)安全行業(yè)創(chuàng)新風(fēng)向標(biāo)，4月15日(美國(guó)舊金山時(shí)間)，RSA Conference 2021公布了本年度入圍創(chuàng)新沙盒TOP10名單，這十家公司在各自細(xì)分技術(shù)領(lǐng)域有著獨(dú)到的技術(shù)創(chuàng)新和獨(dú)樹一幟的理念，是我們學(xué)習(xí)和借鑒的榜樣。

　　5月19日(美國(guó)舊金山時(shí)間)，創(chuàng)新沙盒即將決出本年度冠軍，奇安信戰(zhàn)略研究中心對(duì)本年度入圍TOP 10的十家公司做了簡(jiǎn)短分析，梳理了每家公司的創(chuàng)新點(diǎn)，也歡迎大家一起來(lái)預(yù)測(cè)本年度今年的冠軍會(huì)花落誰(shuí)家。

　　2021年創(chuàng)新沙盒入圍TOP

　　下表中匯總了RSAC2021創(chuàng)新沙盒TOP10的基本信息：

　　[1] 融資總額信息來(lái)自https://www.crunchbase.com/

　　Abnormal Security

　　成立日期：2018年

　　總部：美國(guó)

　　融資總額：7400萬(wàn)美元

　　核心優(yōu)勢(shì)：Abnormal Security作為原生云郵件安全創(chuàng)新者，采用創(chuàng)新方法來(lái)阻止傳統(tǒng)郵件安全網(wǎng)關(guān)無(wú)法檢測(cè)到的新型，復(fù)雜的電子郵件攻擊。支持通過(guò)與Microsoft 365和Google Workspace的一鍵式API集成，Abnormal平臺(tái)獨(dú)特地利用了行為數(shù)據(jù)科學(xué)方法來(lái)進(jìn)行分析和基線確定，以檢測(cè)異常和受侵害的帳戶。利用Abnormal AI威脅檢測(cè)引擎可對(duì)員工和外部發(fā)件人的身份進(jìn)行建模，創(chuàng)建關(guān)系圖，并分析電子郵件內(nèi)容，可以有效地阻止有針對(duì)性的社交工程攻擊。

　　Apiiro

　　成立日期：2019年

　　總部：以色列

　　融資總額：3500萬(wàn)美元

　　核心優(yōu)勢(shì)：Apiiro為用戶提供完整的業(yè)務(wù)應(yīng)用風(fēng)險(xiǎn)可見性來(lái)重新定義整個(gè)系統(tǒng)開發(fā)生命周期(SDLC)，Apiiro 創(chuàng)立了業(yè)界領(lǐng)先的Code Risk Platform可識(shí)別整個(gè)開發(fā)過(guò)程中的風(fēng)險(xiǎn)，加強(qiáng)應(yīng)用程序治理和合規(guī)性，并防止高級(jí)CI / CD攻擊-所有這些都可以在一個(gè)平臺(tái)上以及在開發(fā)生命周期的早期進(jìn)行。Apiiro會(huì)分析整個(gè)開發(fā)過(guò)程中的數(shù)據(jù)，以幫助企業(yè)識(shí)別，確定優(yōu)先順序并補(bǔ)救開發(fā)流程風(fēng)險(xiǎn)。Apiiro可為企業(yè)提供從設(shè)計(jì)到生產(chǎn)，跨應(yīng)用程序，基礎(chǔ)架構(gòu)，開發(fā)人員知識(shí)和業(yè)務(wù)影響的360度安全和合規(guī)風(fēng)險(xiǎn)視圖。該平臺(tái)專利技術(shù)使組織能夠發(fā)現(xiàn)和阻止類似于SolarWinds供應(yīng)鏈攻擊，首先可以防止構(gòu)建時(shí)代碼注入，這是SolarWinds漏洞的一個(gè)關(guān)鍵因素。其次是能夠檢測(cè)開發(fā)人員身份中的異常行為，以識(shí)別受損帳戶和內(nèi)部威脅。

　　Axis Security

　　成立日期：2018年

　　總部：美國(guó)

　　融資總額：9950萬(wàn)美元

　　核心優(yōu)勢(shì)：Axis 主打Application Access Cloud平臺(tái)提供基于零信任架構(gòu)的云安全解決方案，它為關(guān)鍵業(yè)務(wù)應(yīng)用訪問(wèn)提供了最簡(jiǎn)單和最安全的方式。該解決方案提供了一種新的無(wú)代理模式，在任何地點(diǎn)將任何設(shè)備上的用戶安全連接到企業(yè)業(yè)務(wù)應(yīng)用，而無(wú)需接觸網(wǎng)絡(luò)或應(yīng)用本身。App Access Cloud不需要更改現(xiàn)有網(wǎng)絡(luò)架構(gòu)并且從本質(zhì)上講更加安全，因?yàn)槠洫?dú)特的應(yīng)用程序隔離技術(shù)可將用戶與公司網(wǎng)絡(luò)隔離，并使應(yīng)用程序與內(nèi)部網(wǎng)絡(luò)和Internet隔離。App Access Cloud可以顯著減少不斷增長(zhǎng)的網(wǎng)絡(luò)威脅的影響，例如最近的SolarWinds和Microsoft郵件服務(wù)器漏洞造成的威脅。

　　Cape Privacy

　　成立日期：2018年

　　總部：美國(guó)

　　融資總額：2500萬(wàn)美元

　　核心優(yōu)勢(shì)：Cape Privacy將先進(jìn)的機(jī)器學(xué)習(xí)和密碼學(xué)相結(jié)合致力構(gòu)建與實(shí)現(xiàn)一個(gè)多方數(shù)據(jù)協(xié)作與隱私保護(hù)的企業(yè)級(jí)SaaS平臺(tái)，旨在解決隱私監(jiān)管下的敏感數(shù)據(jù)共享難題。該平臺(tái)可以實(shí)現(xiàn)數(shù)據(jù)“可用不可見”有效保護(hù)數(shù)據(jù)隱私與合規(guī)，使外部數(shù)據(jù)源能夠在多方之間安全地發(fā)送加密數(shù)據(jù)，Cape可以在不解密的情況下處理這些數(shù)據(jù)。隨后利用豐富的模型輸出被Cape的用戶解密和使用。Cape的技術(shù)已經(jīng)在金融行業(yè)有成功的應(yīng)用，將來(lái)會(huì)在生命科學(xué)和政府領(lǐng)域得到廣泛應(yīng)用。

　　Deduce

　　成立日期：2019年

　　總部：美國(guó)

　　融資總額：730萬(wàn)美元

　　核心優(yōu)勢(shì)：Deduce可以保護(hù)企業(yè)及其客戶阻止未經(jīng)授權(quán)的帳戶訪問(wèn)、防止數(shù)據(jù)泄露和身份欺詐。它是第一家將身份識(shí)別與領(lǐng)先的網(wǎng)絡(luò)安全技術(shù)結(jié)合在一起的公司，以一種實(shí)用和經(jīng)濟(jì)的方式為幾乎所有規(guī)模的企業(yè)提供服務(wù),該公司的平臺(tái)遵循全球數(shù)據(jù)隱私規(guī)則(包括GDPR和CCPA)，維護(hù)超過(guò)2億的美國(guó)個(gè)人資料，這些個(gè)人資料可用來(lái)確定用戶是否是他們聲稱的在線身份。Deduce通過(guò)推出身份網(wǎng)絡(luò)，幫助任何規(guī)模的公司都可以保護(hù)客戶的賬戶，減少欺詐風(fēng)險(xiǎn)和潛在的監(jiān)管罰款，同時(shí)提高客戶滿意度和品牌價(jià)值。

　　Open Raven

　　成立日期：2019年

　　總部：美國(guó)

　　融資總額：1910萬(wàn)美元

　　核心優(yōu)勢(shì)：Open Raven是一個(gè)云原生數(shù)據(jù)平臺(tái)，使數(shù)據(jù)治理活動(dòng)(如庫(kù)存和分類)變得簡(jiǎn)單，同時(shí)自動(dòng)化安全任務(wù)(如防止數(shù)據(jù)泄漏和滿足合規(guī)性目標(biāo))。數(shù)據(jù)是現(xiàn)代企業(yè)發(fā)展的命脈，但是很多時(shí)候，安全和云基礎(chǔ)架構(gòu)團(tuán)隊(duì)沒有合適的工具來(lái)跟上其數(shù)據(jù)爆炸性增長(zhǎng)的步伐。問(wèn)題包括“我們的數(shù)據(jù)在哪里?”，“我們擁有什么類型的數(shù)據(jù)?”和“是否正確保護(hù)了數(shù)據(jù)?” 。Open Raven通過(guò)使用無(wú)服務(wù)器功能和本機(jī)API完全映射云資產(chǎn)，支持PB級(jí)數(shù)據(jù)分類，并支持現(xiàn)有工作流實(shí)現(xiàn)基于策略的監(jiān)控，從而消除盲點(diǎn)。

　　Satori

　　成立日期：2019年

　　總部：以色列

　　融資總額：530萬(wàn)美元

　　核心優(yōu)勢(shì)：Satori開創(chuàng)了業(yè)界第一個(gè)DataSecOps平臺(tái)，一個(gè)通用的、基于SaaS的數(shù)據(jù)訪問(wèn)和安全平臺(tái)，為現(xiàn)代數(shù)據(jù)基礎(chǔ)設(shè)施的數(shù)據(jù)訪問(wèn)、安全和隱私帶來(lái)了革命性的變革。Satori安全數(shù)據(jù)訪問(wèn)云(SecurityDataAccessCloud)提供監(jiān)視和管理云中的數(shù)據(jù)使用和數(shù)據(jù)訪問(wèn)。許多組織面臨著識(shí)別敏感數(shù)據(jù)，監(jiān)視數(shù)據(jù)使用以及執(zhí)行安全性，隱私和合規(guī)性策略的挑戰(zhàn)。Satori的平臺(tái)通過(guò)集成，自動(dòng)化和可擴(kuò)展的解決方案來(lái)應(yīng)對(duì)這些挑戰(zhàn)。Satori可以執(zhí)行諸如GDPR和CCPA之類的法規(guī)，滿足諸如SOC2和HIPAA之類的數(shù)據(jù)訪問(wèn)審計(jì)和控制的合規(guī)性要求，并為企業(yè)數(shù)據(jù)存儲(chǔ)中敏感數(shù)據(jù)使用提供完全可視性和控制。

　　Strata

　　成立日期：2019年

　　總部：美國(guó)

　　融資總額：1150萬(wàn)美元

　　核心優(yōu)勢(shì)：Strata是分布式、多云身份編排概念的先驅(qū)。如今企業(yè)越來(lái)越多地使用多種云服務(wù)。在這些分布式環(huán)境中，無(wú)法跨每個(gè)云平臺(tái)集中管理身份和安全策略，因?yàn)槊總�(gè)云平臺(tái)都使用獨(dú)立的、內(nèi)置的身份系統(tǒng)，Strata通過(guò)構(gòu)建一個(gè)分布式身份結(jié)構(gòu)(Identity Fabric)連接并統(tǒng)一了多個(gè)云身份系統(tǒng)，包括舊的本地身份系統(tǒng)，因此它們可以作為一個(gè)整體進(jìn)行管理。該公司的創(chuàng)始人參加合著了身份互操作性的SAML開放標(biāo)準(zhǔn)，創(chuàng)建了第一個(gè)云身份服務(wù)，交付了第一個(gè)開源身份產(chǎn)品，現(xiàn)在正在構(gòu)建第一個(gè)分布式身份平臺(tái)。

　　Wabbi

　　成立日期：2018年

　　總部：美國(guó)

　　融資總額：33萬(wàn)美元

　　核心優(yōu)勢(shì):Wabbi提供一個(gè)安全的DevOps(SecDevOps)基礎(chǔ)架構(gòu)平臺(tái)，幫助企業(yè)能夠交付更安全的代碼，同時(shí)降低交付風(fēng)險(xiǎn)。Wabbi的SecDevOps基礎(chǔ)架構(gòu)平臺(tái)可在整個(gè)SDLC中安全部署、自動(dòng)化和編排安全應(yīng)用。通過(guò)集成到現(xiàn)有的DevOps工作流程中，開發(fā)團(tuán)隊(duì)不再需要在速度，敏捷性或安全性之間進(jìn)行權(quán)衡。借助集中式安全治理，開發(fā)團(tuán)隊(duì)可以在本地管理業(yè)務(wù)應(yīng)用安全，從而輕松地部署相關(guān)工具和流程。

　　WIZ

　　成立日期：2020年

　　總部：以色列

　　融資總額：2.3億美元

　　核心優(yōu)勢(shì)：WIZ是云安全領(lǐng)域的創(chuàng)新者。它為企業(yè)安全團(tuán)隊(duì)設(shè)計(jì)了首個(gè)云可見性解決方案，可以分析整個(gè)云環(huán)境安全風(fēng)險(xiǎn)，提供跨云、容器和工作負(fù)載的360度安全風(fēng)險(xiǎn)。提供可操作的、基于圖形分析和完全無(wú)代理的模式來(lái)發(fā)現(xiàn)風(fēng)險(xiǎn)，Wiz可以在不到一天的時(shí)間內(nèi)掃描客戶的云路徑，而其它廠商依賴代理跟蹤活動(dòng)的系統(tǒng)需要12到18個(gè)月的時(shí)間。

　　從TOP10看網(wǎng)絡(luò)安全熱點(diǎn)和趨勢(shì)

　　今年TOP10 創(chuàng)新網(wǎng)絡(luò)安全企業(yè)覆蓋安全技術(shù)領(lǐng)域：數(shù)據(jù)安全3家，身份與訪問(wèn)安全2家，軟件供應(yīng)鏈安全2家，云安全1家，郵件安全1家。從技術(shù)領(lǐng)域分布來(lái)看基本上能判斷出今年網(wǎng)絡(luò)安全技術(shù)創(chuàng)新的熱點(diǎn)方向。TOP10中有7家公司總部設(shè)在美國(guó)，3家公司總部位于以色列，再次證明了美國(guó)和以色列在網(wǎng)絡(luò)安全領(lǐng)域的創(chuàng)新能力，這離不開兩國(guó)在網(wǎng)絡(luò)安全領(lǐng)域政府政策支持和巨大投入，以及技術(shù)創(chuàng)新的基因，美國(guó)一直是網(wǎng)絡(luò)安全獨(dú)角獸的搖籃而以色列已成為全球網(wǎng)安領(lǐng)域創(chuàng)新領(lǐng)導(dǎo)者。

　　（1）新冠疫情深刻影響網(wǎng)絡(luò)安全行業(yè)

　　今年創(chuàng)新沙盒十強(qiáng)企業(yè)的誕生與新冠疫情的影響密不可分，疫情加速了數(shù)字化進(jìn)程，改變了企業(yè)的信息化環(huán)境，諸如遠(yuǎn)程辦公、業(yè)務(wù)上云加速了傳統(tǒng)“邊界”的消弭，帶來(lái)了新的安全需求，也驅(qū)動(dòng)了安全技術(shù)、產(chǎn)品和方案創(chuàng)新。

　　（2）數(shù)據(jù)安全創(chuàng)企成為奪冠熱門

　　2018年到2021年連續(xù)四年，數(shù)據(jù)安全一直是RSAC創(chuàng)新沙盒比賽的焦點(diǎn)，每年都至少有一家是數(shù)據(jù)安全領(lǐng)域初創(chuàng)公司入選。今年更是有三家相關(guān)創(chuàng)新企業(yè)入圍——Cape Privacy、Open Raven、Satori，其中Open Raven提供云原生數(shù)據(jù)平臺(tái)，使數(shù)據(jù)治理活動(dòng)(如庫(kù)存和分類)變得簡(jiǎn)單，同時(shí)可實(shí)現(xiàn)自動(dòng)化安全任務(wù)(如防止數(shù)據(jù)泄漏和滿足合規(guī)性目標(biāo));Satori專注監(jiān)視和管理云中的數(shù)據(jù)使用和數(shù)據(jù)訪問(wèn)，幫助企業(yè)識(shí)別敏感數(shù)據(jù)，監(jiān)視數(shù)據(jù)使用以及執(zhí)行安全和隱私合規(guī);Cape Privacy則致力于構(gòu)建與實(shí)現(xiàn)一個(gè)多方數(shù)據(jù)協(xié)作與隱私保護(hù)的企業(yè)級(jí)SaaS平臺(tái)，旨在解決隱私監(jiān)管下的敏感數(shù)據(jù)共享難題，從技術(shù)角度上是足夠創(chuàng)新，其商業(yè)模式也足夠新穎即通過(guò)SaaS模式提供訂閱式服務(wù)，從商業(yè)價(jià)值上來(lái)看數(shù)據(jù)作為一種新資源，只有流動(dòng)起來(lái)才能產(chǎn)生價(jià)值。

　　Cape Privacy的加密機(jī)器學(xué)習(xí)技術(shù)在需要秘密共享和隱私保 護(hù)的場(chǎng)景中具有重要意義，其主要適用的場(chǎng)景包括聯(lián)合數(shù)據(jù)分析、數(shù)據(jù)安全查詢、數(shù)據(jù)可信交換等，Cape Privacy的技術(shù)已經(jīng)在金融行業(yè)有成功的應(yīng)用，將來(lái)會(huì)在生命科學(xué)和政府領(lǐng)域得到廣泛應(yīng)用,預(yù)測(cè)商業(yè)價(jià)值上的回報(bào)是可觀的。基于以上分析我們看好數(shù)據(jù)安全細(xì)分領(lǐng)域，特別是隱私計(jì)算在企業(yè)數(shù)字化轉(zhuǎn)型應(yīng)用中的廣闊前景，因此大膽預(yù)測(cè)Cape Privacy有望成為本屆RSAC創(chuàng)新沙盒大賽冠軍。

　　（3）身份與訪問(wèn)安全創(chuàng)企是冠軍有力爭(zhēng)奪者

　　身份與訪問(wèn)安全是近年來(lái)的網(wǎng)絡(luò)安全熱點(diǎn)創(chuàng)新領(lǐng)域，也是企業(yè)數(shù)字化轉(zhuǎn)型中的關(guān)鍵安全控制點(diǎn)。今年的創(chuàng)新沙盒十強(qiáng)中，Axis、Deduce、Strata三家創(chuàng)新企業(yè)都以身份與訪問(wèn)安全作為其核心創(chuàng)新能力。其中Axis的主要產(chǎn)品Application Access Cloud安全接入平臺(tái)提供基于零信任架構(gòu)的云安全解決方案，以無(wú)代理模式將任何設(shè)備上的用戶安全連接到企業(yè)業(yè)務(wù)應(yīng)用。Deduce致力于身份管理及關(guān)聯(lián)行為分析，根據(jù)量化的身份及行為風(fēng)險(xiǎn)值，調(diào)用不同級(jí)別的認(rèn)證方法，增強(qiáng)對(duì)身份欺詐的防御能力。Strata則是分布式、多云身份編排的先驅(qū)。企業(yè)數(shù)字化轉(zhuǎn)型中越來(lái)越多的使用多種云服務(wù)的混合云環(huán)境，每個(gè)云平臺(tái)都使用獨(dú)立的、內(nèi)置的身份系統(tǒng)。Strata通過(guò)構(gòu)建一個(gè)分布式身份結(jié)構(gòu)(Identity Fabric)連接并統(tǒng)一了多個(gè)云身份系統(tǒng)，包括舊的本地身份系統(tǒng)，因此它們可以作為一個(gè)整體進(jìn)行管理。

　　Strata致力于多云身份識(shí)別技術(shù)的研發(fā)，抓住了當(dāng)前疫情影響下企業(yè)數(shù)字化轉(zhuǎn)型和業(yè)務(wù)向云端遷移時(shí)所面臨的安全痛點(diǎn)。其產(chǎn)品Maverics提供了預(yù)先構(gòu)建的能夠快速部署的身份編排機(jī)制，用戶可以在不重新開發(fā)應(yīng)用程序的前提下實(shí)現(xiàn)跨多個(gè)云的身份識(shí)別系統(tǒng)的遷移，包括應(yīng)用身份的遷移和用戶身份的遷移。有效降低應(yīng)用程序往云端遷移的成本，加速企業(yè)應(yīng)用往云端遷移的進(jìn)程，并為后續(xù)企業(yè)在多云環(huán)境下的應(yīng)用持續(xù)升級(jí)提供了基于身份的安全基石。因此大膽猜測(cè)，身份與訪問(wèn)安全成為今年網(wǎng)絡(luò)安全領(lǐng)域的創(chuàng)新熱點(diǎn)，而Strata公司是今年創(chuàng)新沙盒的奪冠熱門。

　　（4）軟件供應(yīng)鏈安全概念公司有望進(jìn)入TOP3

　　供應(yīng)鏈攻擊已經(jīng)成為網(wǎng)絡(luò)攻擊的一種流行手法，近年來(lái)愈演愈烈，2020年的SolarWinds攻擊事件的影響不亞于2017年的永恒之藍(lán)勒索攻擊事件，事件之后軟件供應(yīng)鏈安全迅速成為熱點(diǎn)。

　　以安全開發(fā)生命周期(Security Development Lifecycle，SDLC)(2019)為目標(biāo)的開發(fā)安全是保障供應(yīng)鏈安全的一個(gè)重要手段，因此在最近幾年的RSAC上DevSecOPS一直是一個(gè)熱點(diǎn)，設(shè)置有專門的議題和論壇進(jìn)行研討，在2019年和2020年的創(chuàng)新沙盒中，也分別有兩家基于DevSecOPS理念的公司入圍，遺憾的是都沒有進(jìn)入前三名。

　　今年再次有Apiiro和WABBI兩家DevSecOPS概念的公司入圍創(chuàng)新沙盒，Apiiro是代碼風(fēng)險(xiǎn)管理平臺(tái)，提供多維應(yīng)用程序風(fēng)險(xiǎn)管理與可視化;WABBI是DevSecOps平臺(tái)，提供應(yīng)用全生命周期的安全防護(hù)。

　　SolarWinds供應(yīng)鏈攻擊事件之后，軟件供應(yīng)鏈安全在網(wǎng)絡(luò)安全行業(yè)被空前關(guān)注，各國(guó)陸續(xù)出臺(tái)相關(guān)法律法規(guī)保障和審查軟件供應(yīng)鏈安全，有了這樣的背景，軟件供應(yīng)鏈安全必然會(huì)成為創(chuàng)新沙盒的奪冠熱門，至少會(huì)改變過(guò)去兩年無(wú)法進(jìn)入前三名的局面，Apiiro和WABBI兩家公司中，WABBI的SecDevOps平臺(tái)可能更具有競(jìng)爭(zhēng)力。

　　總結(jié)

　　隨著全球范圍內(nèi)數(shù)字化轉(zhuǎn)型的深入，網(wǎng)絡(luò)安全問(wèn)題對(duì)世界發(fā)展的影響越來(lái)越大，網(wǎng)絡(luò)安全正在成為世界安全的基礎(chǔ)組成部分，面對(duì)國(guó)家間對(duì)抗升級(jí)、網(wǎng)絡(luò)犯罪加劇和由新冠疫情帶來(lái)的各種不確定性，網(wǎng)絡(luò)安全在建立具有“彈性”能力的同時(shí)，同樣需要技術(shù)創(chuàng)新來(lái)不斷解決諸多急迫和亟需解決的問(wèn)題，比如數(shù)據(jù)安全和隱私保護(hù)、身份和訪問(wèn)安全以及供應(yīng)鏈安全。

　　創(chuàng)新沙盒成功之處不僅在于對(duì)網(wǎng)絡(luò)安全行業(yè)熱點(diǎn)和方向的把握，更在于創(chuàng)新熱點(diǎn)、技術(shù)路線和技術(shù)趨勢(shì)的引領(lǐng)，尤其是對(duì)于解決急迫和亟需安全問(wèn)題的技術(shù)創(chuàng)新的挖掘和引領(lǐng)，所以創(chuàng)新沙盒的價(jià)值，不僅是冠軍和TOP10，還包括了每家公司每個(gè)產(chǎn)品的創(chuàng)新技術(shù)思維和技術(shù)細(xì)節(jié)。