Securiti.ai 为何成为2020 RSAC创新沙盒冠军得主?
2020 RSA 创新沙盒大赛尘埃落定,冠军花落Securiti.ai公司。作为本次大赛冠军,Securiti.ai是如何从十大“劲敌”中脱颖而出的呢?之前,绿盟君已经为大家分析过Securiti.ai的产品特点,今天,绿盟君再次带大家详细了解一下这所公司的与众不同。
一、情理之中的冠军得主
总体而言,今年Securiti.ai夺冠是情理之中:于大势而言,数据安全、个人信息、敏感数据的识别、防护是国内外最重要的合规性要求,市场空间可期;于技术而言,通过技术手段对个人数据识别,使用People Data Graph构建面向人的知识图谱,为后续的分析提供模型支撑,通过聊天机器人实现智能化的交互;于方案而言,针对客户的数据安全难以落地的痛点,提供了整套解决方案,构建个人数据链接,实现消费者数据权利请求-响应的流程自动化处理,生成合规性审查报告,分析第三方风险。前年GDPR的发布引发了数据安全的关注,如果说BigID那次夺冠很大程度上是因为GDPR的颁布“蹭热点”,这两年已经有很多起违反GDPR罚款的案例,可以说这次Securiti.ai发布的产品和解决方案更加接地气,也更加全面,能够满足企业的数据安全合规性要求,本次夺冠更让人心服口服。
如果我们把安全行业的创新划分为两个维度:攻防技术的创新和以及行业的创新,那么从入选2020年创新沙盒决赛的公司和产品来看,今年的攻防技术创新在于模糊测试、响应技术、人工智能落地,而行业的创新集中在敏捷开发、数据安全等热点领域。此外,今年大会主题是以人为本,所以创新企业中也融入了人性的创新。下面以这三个维度进行分析。
1、以人为本的创新
随着这几年的安全事件逐渐曝光,越来越显示出,只追求完善的安全制度或先进的安全防护技术,并无助于避免企业安全事件。因为人往往是企业安全中最薄弱的一环,所以如何提高员工的安全水平和安全意识,可能是今后企业安全中非常重要的一环。人、流程、技术,相辅相成,缺一不可。
· 数据安全
Securiti.ai主要是在数据安全领域,如今个人信息和敏感数据的合规性要求已经非常强了,之前绿盟君已经为大家做过分析做过分析(点此回顾)。GPDR、CCPA等法律的严格执行,使得近两年个人信息领域,特别是如何识别、如何匿名化、如何评估个人信息,成为行业一大热点。简单而言,Securiti.ai根据数据安全法律的合规性要求,特别是数据权利请求、第三方风险评估、许可生命周期管理等,通过技术的手段,自动化、程序化地进行监控、处理,从前端而言,整体感觉用户友好,可视化、易用性较好。
亮点:直击个人信息合规性问题,持续监控、链接、评估个人信息
· 安全意识培训
Elevate Security主页的标题是“人的风险:度量、影响、减少”,非常讨巧地切合了大会主旨,印象中这也是RSAC近年来第一家在安全意识培训(SAT)方面的创业公司。通过技术手段促进安全治理,发挥员工的主观能动性,能够更好地提升安全防护的效果。
亮点:技术手段提升员工参与能动性
· 邮件安全
国外的电子邮件使用率远高于国内,所以邮件安全的重要程度可能高于其他安全领域。传统邮件安全网关通过发件人地址、内容是否包含恶意IOC,以及附件等网络安全角度去检测邮件的安全性,但这些无法抵御基于社会工程商业电子邮件犯罪(BEC)。INKY虽然在传统的邮件安全领域,但解决的是跟人密切相关的问题,它试图通过从人的感知的角度去分析其中的内容是否存在欺诈,所以能够检测出传统手段无法检测到的0day攻击。
亮点:AI助力人脑很难识别的视觉欺诈
2、行业创新
· 敏捷开发
总体而言,DevSecOps是一个新兴的方向。今年创新沙盒有三家是DevSecOps方面的:ForAllSecure、Vulcan、BluBracket。其中Vulcan下文中会详细分析,BluBracket成立一年,内容较少。
ForAllSecure聚焦在DevSecOps,有一支来自卡耐基梅隆大学科研团队,通过“下一代”模糊测试技术结合使用“符号执行”技术和“导向型模糊测试”技术,能够针对测试发现的安全漏洞自动化生成概念性验证(PoC)和补丁,在一定程度上避免传统白盒测试的高误报和黑盒测试的盲目性,具有很高的创新性和价值。该团队在DARPA CGC 2016中夺冠,足以验证其技术实力。
亮点:DevSecOps+Fuzz,技术实力很强
DevSecOps成为了越来越多企业中开发者的选择,其中代码安全已经成为了非常重要的安全方面,开发阶段解决安全问题,远比运行时检测、响应的投入划算得多,所以看好未来几年代码安全相关的创新企业。
· 云安全
无论在国内还是国外,云计算已经成为了普适的基础设施,云安全已经成为了传统的安全问题,例如云上配置、访问控制、检测响应等。
随着各种云上安全事件频繁,SaaS、PaaS的数据泄露已经成为这两年很热的话题,Gartner将该细分市场称为CSPM(Cloud Security Posture Management),目前大部分公司的配置核查主要是对如存储资源的访问凭证进行检查,避免弱口令或无口令拖库的事件。下面两家公司则更进一步,既然攻击者能够无凭证或获取弱凭证,那就需要监控云端服务的访问行为,聚焦在看似合法的访问,而非以往关注恶意攻击,有点像前几年内网持续遭到渗透后,业界开始聚焦在合法用户的异常行为,所以出现了UEBA。总体而言,这个方向的技术难度不大,借鉴的现有技术不少,创新不多,但市场空间大,所以创业公司的前景还不错。
AppOmni实现了公有云上的配置和访问控制策略的持续核查和监控,更多的是从合规性角度、安全策略可视化和监控方面更出彩。
亮点:SaaS持续访问控制监控
Obsidian实现类似的功能,但在RBAC基础上增加了检测和响应功能,通过监控用户的登陆、操作等事件,分析其中异常的行为操作,可以理解为xDR在云端SaaS的应用。本身创新度不大,主要还是新技术与云安全的融合。
亮点:xDR+SaaS融合
3、传统安全的创新和微创新融合
Sqreen、Tala Security和Vulcan Cyber三家均出现在Gartner的Security and Risk Management Cool Vendor 2019中,所以严格意义上说 这三家不算太新的公司,而且这三家在细分领域中没有突破性的创新,需要与成熟的厂商竞争。
Sqreen和Tala Security聚焦在Web安全领域,既传统的WAF,以及近年开始流行的RASP,都已然是服务端Web安全的标配。所以这两家公司不管是部署方式,还是功能层面,虽然有所创新,但均属于微创新。
Sqreen是以微代理的方式实现了RASP和In-App WAF,从功能上没有突破当前WAF和RASP。当然他们宣称捅过内嵌无侵入SDK的方式,可以做到对业务应用的无缝、可扩展防护,无论企业有多少服务,服务是基于什么语言,Sqreen都能嵌入,对上形成统一的视图,从而进行监控、分析和防护。借用Service Mesh的概念,Sqreen也提出了Security Mesh。
亮点:切近业务无缝对接
Vulcan Cyber将威胁脆弱性管理平台TVM融入了这两年热门的“响应”元素,通过编写剧本Playbook,将TVM与SOAR结合,自动化缓解高风险的漏洞,解决漏洞生命周期管理运维成本高的问题。决赛中Vulcan举了一个如何缓解Apache Structs的多种方法,通过SOAR实现workload的自动运行,这样就解决了大规模业务环境下漏洞管理的可扩展性和响应速度。
亮点:漏洞管理和SOAR融合
Tala Security聚焦在客户侧的Web应用防护,通过CSP机制抵御如XSS、挖矿等针对客户端浏览器的攻击,主要面向金融交易的安全防护。这是传统Web安全缺失的地方,如果没有威胁情报,服务器端安全机制无法判断网站中的第三方引用是否存在安全问题(因为第三方的流量不会经过WAF)。Tala Security通过客户端浏览器CSP的安全策略,覆盖了传统Web安全的短板,有一定的新颖之处,是传统服务端Web安全有益的补充,但本身替代不了WAF,两者应该是互为补充,最终形成端到端的Web安全方案。
亮点:客户端的Web安全机制
二、总结
从技术点上看,自动化似乎贯穿了很多公司的产品特点,如PrivacyOps、SOAR、xDR、API Driven等等,原因是当前的攻防到了争分夺秒的阶段,而安全运营也面临规模化、复杂化的挑战,只有通过自动化提升整体的安全防护效率,才能应对这些挑战。
而从安全防护体系来看,人的因素的重视程度一直在提升,如何降低所有员工中安全防护水平的短板,如何利用人的积极性提升整体防护水平,也是创业公司通过技术驱动完善制度、符合合规性要求需要考虑的重要问题。
总体而言,网络安全的创新一直在进行中,但从这几年的创新沙盒看,没有哪个行业,也没有哪个技术是全新、闻所未闻的。尽管国内的网络安全企业与国外的差距在逐渐缩小,但需要指出的是,国外的IT环境在很大程度上跟国内是有差异性的,例如云计算、电子邮件等,所以当我们思考相关的安全创新也需要考虑到国情,避免邯郸学步。
(来源:未知)
一、情理之中的冠军得主
总体而言,今年Securiti.ai夺冠是情理之中:于大势而言,数据安全、个人信息、敏感数据的识别、防护是国内外最重要的合规性要求,市场空间可期;于技术而言,通过技术手段对个人数据识别,使用People Data Graph构建面向人的知识图谱,为后续的分析提供模型支撑,通过聊天机器人实现智能化的交互;于方案而言,针对客户的数据安全难以落地的痛点,提供了整套解决方案,构建个人数据链接,实现消费者数据权利请求-响应的流程自动化处理,生成合规性审查报告,分析第三方风险。前年GDPR的发布引发了数据安全的关注,如果说BigID那次夺冠很大程度上是因为GDPR的颁布“蹭热点”,这两年已经有很多起违反GDPR罚款的案例,可以说这次Securiti.ai发布的产品和解决方案更加接地气,也更加全面,能够满足企业的数据安全合规性要求,本次夺冠更让人心服口服。
如果我们把安全行业的创新划分为两个维度:攻防技术的创新和以及行业的创新,那么从入选2020年创新沙盒决赛的公司和产品来看,今年的攻防技术创新在于模糊测试、响应技术、人工智能落地,而行业的创新集中在敏捷开发、数据安全等热点领域。此外,今年大会主题是以人为本,所以创新企业中也融入了人性的创新。下面以这三个维度进行分析。
1、以人为本的创新
随着这几年的安全事件逐渐曝光,越来越显示出,只追求完善的安全制度或先进的安全防护技术,并无助于避免企业安全事件。因为人往往是企业安全中最薄弱的一环,所以如何提高员工的安全水平和安全意识,可能是今后企业安全中非常重要的一环。人、流程、技术,相辅相成,缺一不可。
· 数据安全
Securiti.ai主要是在数据安全领域,如今个人信息和敏感数据的合规性要求已经非常强了,之前绿盟君已经为大家做过分析做过分析(点此回顾)。GPDR、CCPA等法律的严格执行,使得近两年个人信息领域,特别是如何识别、如何匿名化、如何评估个人信息,成为行业一大热点。简单而言,Securiti.ai根据数据安全法律的合规性要求,特别是数据权利请求、第三方风险评估、许可生命周期管理等,通过技术的手段,自动化、程序化地进行监控、处理,从前端而言,整体感觉用户友好,可视化、易用性较好。
亮点:直击个人信息合规性问题,持续监控、链接、评估个人信息
· 安全意识培训
Elevate Security主页的标题是“人的风险:度量、影响、减少”,非常讨巧地切合了大会主旨,印象中这也是RSAC近年来第一家在安全意识培训(SAT)方面的创业公司。通过技术手段促进安全治理,发挥员工的主观能动性,能够更好地提升安全防护的效果。
亮点:技术手段提升员工参与能动性
· 邮件安全
国外的电子邮件使用率远高于国内,所以邮件安全的重要程度可能高于其他安全领域。传统邮件安全网关通过发件人地址、内容是否包含恶意IOC,以及附件等网络安全角度去检测邮件的安全性,但这些无法抵御基于社会工程商业电子邮件犯罪(BEC)。INKY虽然在传统的邮件安全领域,但解决的是跟人密切相关的问题,它试图通过从人的感知的角度去分析其中的内容是否存在欺诈,所以能够检测出传统手段无法检测到的0day攻击。
亮点:AI助力人脑很难识别的视觉欺诈
2、行业创新
· 敏捷开发
总体而言,DevSecOps是一个新兴的方向。今年创新沙盒有三家是DevSecOps方面的:ForAllSecure、Vulcan、BluBracket。其中Vulcan下文中会详细分析,BluBracket成立一年,内容较少。
ForAllSecure聚焦在DevSecOps,有一支来自卡耐基梅隆大学科研团队,通过“下一代”模糊测试技术结合使用“符号执行”技术和“导向型模糊测试”技术,能够针对测试发现的安全漏洞自动化生成概念性验证(PoC)和补丁,在一定程度上避免传统白盒测试的高误报和黑盒测试的盲目性,具有很高的创新性和价值。该团队在DARPA CGC 2016中夺冠,足以验证其技术实力。
亮点:DevSecOps+Fuzz,技术实力很强
DevSecOps成为了越来越多企业中开发者的选择,其中代码安全已经成为了非常重要的安全方面,开发阶段解决安全问题,远比运行时检测、响应的投入划算得多,所以看好未来几年代码安全相关的创新企业。
· 云安全
无论在国内还是国外,云计算已经成为了普适的基础设施,云安全已经成为了传统的安全问题,例如云上配置、访问控制、检测响应等。
随着各种云上安全事件频繁,SaaS、PaaS的数据泄露已经成为这两年很热的话题,Gartner将该细分市场称为CSPM(Cloud Security Posture Management),目前大部分公司的配置核查主要是对如存储资源的访问凭证进行检查,避免弱口令或无口令拖库的事件。下面两家公司则更进一步,既然攻击者能够无凭证或获取弱凭证,那就需要监控云端服务的访问行为,聚焦在看似合法的访问,而非以往关注恶意攻击,有点像前几年内网持续遭到渗透后,业界开始聚焦在合法用户的异常行为,所以出现了UEBA。总体而言,这个方向的技术难度不大,借鉴的现有技术不少,创新不多,但市场空间大,所以创业公司的前景还不错。
AppOmni实现了公有云上的配置和访问控制策略的持续核查和监控,更多的是从合规性角度、安全策略可视化和监控方面更出彩。
亮点:SaaS持续访问控制监控
Obsidian实现类似的功能,但在RBAC基础上增加了检测和响应功能,通过监控用户的登陆、操作等事件,分析其中异常的行为操作,可以理解为xDR在云端SaaS的应用。本身创新度不大,主要还是新技术与云安全的融合。
亮点:xDR+SaaS融合
3、传统安全的创新和微创新融合
Sqreen、Tala Security和Vulcan Cyber三家均出现在Gartner的Security and Risk Management Cool Vendor 2019中,所以严格意义上说 这三家不算太新的公司,而且这三家在细分领域中没有突破性的创新,需要与成熟的厂商竞争。
Sqreen和Tala Security聚焦在Web安全领域,既传统的WAF,以及近年开始流行的RASP,都已然是服务端Web安全的标配。所以这两家公司不管是部署方式,还是功能层面,虽然有所创新,但均属于微创新。
Sqreen是以微代理的方式实现了RASP和In-App WAF,从功能上没有突破当前WAF和RASP。当然他们宣称捅过内嵌无侵入SDK的方式,可以做到对业务应用的无缝、可扩展防护,无论企业有多少服务,服务是基于什么语言,Sqreen都能嵌入,对上形成统一的视图,从而进行监控、分析和防护。借用Service Mesh的概念,Sqreen也提出了Security Mesh。
亮点:切近业务无缝对接
Vulcan Cyber将威胁脆弱性管理平台TVM融入了这两年热门的“响应”元素,通过编写剧本Playbook,将TVM与SOAR结合,自动化缓解高风险的漏洞,解决漏洞生命周期管理运维成本高的问题。决赛中Vulcan举了一个如何缓解Apache Structs的多种方法,通过SOAR实现workload的自动运行,这样就解决了大规模业务环境下漏洞管理的可扩展性和响应速度。
亮点:漏洞管理和SOAR融合
Tala Security聚焦在客户侧的Web应用防护,通过CSP机制抵御如XSS、挖矿等针对客户端浏览器的攻击,主要面向金融交易的安全防护。这是传统Web安全缺失的地方,如果没有威胁情报,服务器端安全机制无法判断网站中的第三方引用是否存在安全问题(因为第三方的流量不会经过WAF)。Tala Security通过客户端浏览器CSP的安全策略,覆盖了传统Web安全的短板,有一定的新颖之处,是传统服务端Web安全有益的补充,但本身替代不了WAF,两者应该是互为补充,最终形成端到端的Web安全方案。
亮点:客户端的Web安全机制
二、总结
从技术点上看,自动化似乎贯穿了很多公司的产品特点,如PrivacyOps、SOAR、xDR、API Driven等等,原因是当前的攻防到了争分夺秒的阶段,而安全运营也面临规模化、复杂化的挑战,只有通过自动化提升整体的安全防护效率,才能应对这些挑战。
而从安全防护体系来看,人的因素的重视程度一直在提升,如何降低所有员工中安全防护水平的短板,如何利用人的积极性提升整体防护水平,也是创业公司通过技术驱动完善制度、符合合规性要求需要考虑的重要问题。
总体而言,网络安全的创新一直在进行中,但从这几年的创新沙盒看,没有哪个行业,也没有哪个技术是全新、闻所未闻的。尽管国内的网络安全企业与国外的差距在逐渐缩小,但需要指出的是,国外的IT环境在很大程度上跟国内是有差异性的,例如云计算、电子邮件等,所以当我们思考相关的安全创新也需要考虑到国情,避免邯郸学步。
- 凡本网注明"来源:的所有作品,版权均属于中,转载请必须注明中,。违反者本网将追究相关法律责任。
- 本网转载并注明自其它来源的作品,目的在于传递更多信息,并不代表本网赞同其观点或证实其内容的真实性,不承担此类作品侵权行为的直接责任及连带责任。其他媒体、网站或个人从本网转载时,必须保留本网注明的作品来源,并自负版权等法律责任。
- 如涉及作品内容、版权等问题,请在作品发表之日起一周内与本网联系,否则视为放弃相关权利。
- 01南讯联合服饰汇成功举办“2019服
12月27日,由南讯联合客道杂志社和服饰汇举办的千人级思想盛会[详细]
- 02予以下一代更美好的未来 HiPP德国
0-3岁是培养孩子良好习惯、塑造良好性格的重要时期,作为出生[详细]
- 03天津大学-好扑科技区块链实验室
在面向数字经济转型的当下,数字内容正呈现爆发式的增长,但[详细]
- 04十二载RSAC热点聚焦 | 绿盟科技邀
拥有29年历史的 RSA 大会(RSAC),作为世界规模最大的网络安全[详细]
- 05第三套人民币
第三套人民币 人民币的第三套人民币是中国人民银行于1962年4月[详细]
- 06Overlay怎么理财获利,使用安全吗
虚拟数字货币也好、实际现金支付也好,货币的功能无非就是支[详细]
- 07科普丨公链是什么?公链有什么用
公链是区块链当中每一个节点都是公开的,每个人都可以参与区[详细]
- 08补了健康还是添加剂?
和熊孩子们斗智斗勇的日常啊~~~谁经历谁秒懂!特别是这个悠长[详细]
- 09体育+区块链进行时:尤文图斯将
2019年12月3日,马耳他 Chiliz(币安代码:$CHZ)现已为尤文图斯足[详细]
- 01可占全国30%GDP! 空港经济创变城
机场不仅是交通枢纽,更为周边发展带来无可匹敌的竞争力,这[详细]
- 02下一个比特币,π币手机免费挖矿
这一个斯坦福几个博士创业者做一个项目,目前还处于早期阶段[详细]
- 03昔日千万富姐二次负债500万,信用
这世上每一个幸福的故事都是相似的,而不幸的故事则各有各的[详细]
- 04精品推荐钱币----乾隆通宝
钱币收藏是民间收藏中一个重要的门类,收藏者的目光多专注于[详细]
- 05专访Peony Chain皮尔链中国区CEO金山
区块链作为一种极有潜力的新技术,正在引领全球新一轮技术变[详细]
- 06广东联通VoLTE在手,上网通话都巨
这个春天格外漫长 困难阻隔了我们与外界的联系 开始了漫长的[详细]
- 07好扑科技线上春季校招,区块链开
为响应人社部号召,努力降低疫情对就业的影响,稳定高校毕业[详细]
- 08VDS上线牛顿交易所——币圈震荡后
北京时间9月25日凌晨时分,比特币开始了新一轮的价格震荡,一[详细]
- 09收视女王孙俪新剧《安家》将播,
由耀客传媒制作,六六、九枚玉编剧、安建执导,孙俪、罗晋、[详细]
- 01蜂巢HiveChain助力 | 2018云和数据 —
核心提示 | 一个人的创业历程,是一部血与汗铸就的辛酸史;5800人[详细]
- 02英国拓沃保护剂还招商吗?有哪些
根据国家统计局2018年底统计数据可知,全国冬季采暖总面积是[详细]
- 03孙中山开国纪念币
孙中山开国纪念币 中华民国上六星孙小头开国纪念币。直径:3[详细]
- 04GBFC模式下的革新与颠覆
GBFC,即Globalization Financial Chain,是一种基于人工智能与区块链技术[详细]
- 05拥抱行业合规 BitTok币拓分析瑞士
在分析过全球区块链政策的现状之后,BitTok币拓认为瑞士一直被[详细]
- 06贺寿利牛奶咬咬片告诉你补了健康
和熊孩子们斗智斗勇的日常啊~~~谁经历谁秒懂!特别是这个悠长[详细]
- 07Is Korean Botox Safe?
Korea aethetic products:#meditox #meditoxin #botulax #dermalex #revolex If you [详细]
- 08米力登集团的α-亚麻酸对高血压有
高血压是最常见的慢性病,也是心脑血管病最主要的危险因素。正[详细]
- 09首届3E 国际青少年智能与创意设计
2019年12月16日,由中国自动化学会牵头主办、中国自动化学会智[详细]
