RSAC2020創新沙盒評選結束,本篇通過對歷年RSAC創新沙盒的情況進行分析,分析了三個不同的觀點:做數據安全的企業,獲勝因為合規;平臺類產品是網絡安全界繞不過去的高級門檻,更是業界的制高點;雲安全需要進階,平臺加安全運營的配合才是進階的必修課。
2020年RSA Conference的創新沙盒花落SECURITI.AI,略有點意外。因為它與2018年獲得冠軍的BigID是同一類公司,核心業務是面向數據安全,前者起家靠GDPR,後者背靠CCPA。啟明星辰分析認為,在一個技術進步如此之快的年代,打動評委老師的原因,可能不是“AI”的名義。
這次RSAC官方宣佈了最終入選今年的創新沙盒十強初創公司:AppOmni、BluBracket、Elevate Security、ForAllSecure、INKY、Obsidian、SECURITI.AI、Sqreen、TalaSecurity、Vulcan。我們對這些入圍公司的核心業務、核心產品、核心特色技術均做了一個簡單的介紹,見上篇《從業務視角看2020RSA創新沙盒的安全業務》,啟明星辰也把最近三年的創新沙盒公司的核心技術做了一個歸類和整理,見下圖。
針對這些入圍的公司的分析,相同的觀點和內容就不再贅述了,今天主要分析一些大家容易忽略掉的觀點,主要有三個方面:
1、都是做數據安全的企業,解決問題的技術思路卻是質的不同,獲獎原因並不是因為AI技術。根據現場情況, SECURITI.ai的PrivacyOps平臺是以AI技術為核心,為組織提供協作和自動化編排的綜合性平臺, PRIVACI.ai 通過 AI 驅動的 PI (個人信息)數據發現、 DSR (數據主體權)自動化、文檔責任、數據處理可見性和 AI 自動化處理,來幫助企業應對合規需求。它所提供的隱私保護合規解決方案的關鍵核心是“可以幫助客戶實現隱私合規所需的所有主要功能的自動化。"而在2018年創新沙盒拿下冠軍的BigID,雖然也是數據安全的解決方案提供商,但其本質公司以數據保護為中心的一款平臺分析類產品。其更多的依託是合規市場帶來的產品機會,以幫助客戶應對GDPR、PI、PII等歐美合規要求,幫助企業更好的確保他們所擁有敏感數據的私密性,減少數據洩露,強化數據的合規保護。這點與今年獲勝的技術思路完全不同,而實際上2018年那一年,一起入圍的也有一家做AI的公司,只是那他們拿著AI技術去做了威脅確情報和下一代入侵檢測了。而且那家AI公司還與美國情報體系合作長達8年之久,充分利用了美國情報體系的威脅數據。那家公司最終因為技術吸引力不夠,未能打動到評委,說明AI技術評委們並不關注。由此可見,本屆評委感興趣的可能並不是技術本身,而關注的重點放在了合規上!!!合什麼規?合的是CCPA、GDPR、LGPD、PI、PII等的規。毋庸置疑,數據安全這個領域在未來相當長一段時間裡,作為用戶的核心需求,一定是會得到爆發性增長的,但是,很多人拿數據安全說故事的時候,只看到了市場機會,並沒有看到這個機會是不是“你的”這點。展開說,國外的數據安全生市場和國內的根本性不同,國內除了一些技術手段可以借鑑之外,治理環境不一樣,治理目標完全不同,因為國外是需要以快速識別企業面臨的隱私狀況和風險、高效準確地排除風險和履行各類法規(如CCPA、GDPR、LGPD)的合規義務,所以,存在根本性的差異,殊途不同歸。
2、平臺類產品永遠是安全界立足繞不過去的高級門檻,它更是業界的制高點。
啟明星辰根據連續三年的創新沙盒入圍名單中發現,幾乎都發現了各類平臺的身影。無論這些平臺是以分析平臺、漏洞管理平臺、威脅狩獵平臺、雲防護和檢測平臺形態的,還是以自動化運維、調查等形態的,甚至是,包括知識管理與培訓的平臺,形形色色,花樣各異。如果我們把時間尺度放的更長,視野範圍看得更廣,會發現,平臺化的踐行一直在發達國家有著非常重要的一席之地,與平臺相關的各個領域的創新最多,挑戰者最多。
2020年的情形是這樣。
1、Obsidian,具備威脅狩獵能力,同時,能為SaaS應用程序提供安全防護雲檢測與響應平臺。它提出的理念是CDR(Cloud Detection and Response)能為SaaS應用程序提供安全防護,幫助安全運營團隊檢測並響應入侵和內部威脅,做到快速發現、調查和響應SaaS應用程序中的漏洞和內部威脅,在不影響業務的情況下實現持續的監控與分析。
2、Elevate Security提供的平臺是通過統一的可視化手段,監測、管理員工的安全行為,並提供助於提升企業安全文化的郵件反饋和安全教育資源,Elevate平臺主要提供以下四個功能模塊,Reflex提供網絡釣魚郵件攻擊模擬及相關結果評估;Vision提供儀表盤,將釣魚郵件攻擊模擬結果,以API集成方式,把人為因素相關安全數據統一整合及分析;Pulse提供可配置的、基於郵件的員工評級反饋系統和安全行為評級;Hacker’s Mind提供攻擊者視角的安全培訓,降低員工人為因素關聯的安全風險,提高員工安全意識、改善安全行為和防護能力。
2019年的情形是這樣。
1、Capsule8,防護平臺,解決任何Linux生產環境的防護問題,尤其是對0-day的防護,包括容器、雲服務器、物理機的防護,並在提升防護能力的同時,需要降低安全運維人員巨大工作量。
2、DisruptOps,雲安全及自動化運維管理 ,解決雲基礎設施的管理問題,在降低攻擊面的同時,也需要減輕安全運營團隊的工作負荷。 平臺通過一個SaaS化的雲管理平臺Guardrail來實現對於雲資源的自動化控制。建立持續的安全評估,並從安全、運維、經濟三個維度來施加策略,實現IAM、持續監控、合理組網、數據安全存儲訪問等功能。
2018年的情形還是這樣。
1、Vulcan Cyber:化被動為主動的雲端漏洞響應自動化平臺,為企業提供了一套自動化漏洞威脅緩解(Automated Vulnerability Remediation)解決方案,通過對已有開發、運維工具的集成與整合,實現對突發安全漏洞的快速響應,將企業受到安全威脅的時間窗口從數週、數月縮短到小時級。 Vulcan Cyber是業界自動化漏洞緩解概念的先行者。它也是早期安全編排自動化與響應SOAR(Security Orchestration, Automation andResponse)的積極響應者之一。
2、Awake Security提供基於機器學習的安全分析平臺,結合網絡流量等數據,為安全分析人員提供了一個上下文豐富、可以持續進行追蹤的高級分析功能系統,是一個安全調查平臺(Security Investigation Platform),平臺使用網絡數據來識別環境中的所有實際實體(如設備,用戶和域名),然後構建一個獨特的安全知識圖譜(Security Knowledge Graph)數據模型,裡面包含了實體間詳細的映射關係,以及每個實體諸如設備類型,操作系統、應用軟件版本和行為活動等信息。
因此,啟明星辰認為平臺是一種能力交付,更是一種技術壁壘。國外是這樣,國內更是。國內很多的SOC、CSA、CDR、MSSP、MDR等細分領域平臺,或是安全運營、城市運營,甚至到更加全面的安全中臺,都是創新者們最好的回答。隨著技術的進步,只有用戶想不到的平臺類型!!!但考慮的平臺概念的內涵外延非常豐富,只有把自己的視野放到足夠遠大,路才會越走越寬!!
3、雲上安全業務機會遠未到來,雲安全從來沒有被弱化,快速成長期遠未到來,這個成長來自旺盛的安全需求,因此,雲安全需要進階,有平臺作為根基,加上安全運營的配合,才是進階的必修課。
根據本次官方參會數據,全球共有677家廠商參展,接近三分之一的企業涉獵雲安全(Cloud Security),或是企業的業務中做著與雲上安全相關的業務。僅在創新沙盒的十個入圍廠商中,就有超過五成公司涉獵雲安全, 如AppOmini,Obsidian Security,Sqreen這三家都是直接提供SaaS安全解決方案的企業。這說明,雲上安全已經從早前的概念熱鬧階段,邁入了全面實踐的落地階段,這是從供給端給出的分析結論。
而在需求端,隨著政府企事業單位的上雲節奏變快,直接要求雲上安全的技術進步需要儘快趕上節奏。看看離我們最近發生的三個雲上的安全事件,可以用觸目驚心來形容。
第一個:Big game hunting勒索軟件,他們只針對大型目標,比如企業網絡,有云上業務的,而不是像家庭用戶這樣的小目標。在 2019 年的大多數攻擊的是託管服務提供商、美國的學校、美國的地方政府,以及最近搬到歐洲的更大的公司,這樣攻擊者可以索要更多的金錢。“Big game hunting”是 CrowdStrike 在 2018 年創造的,目前使用這種策略的團伙數量已經超過 10 個。
第二個,2019 年 7 月,美國金融控股公司第一資本(Capital One)數據洩露事件影響了超過 1 億的美國人和 600 萬加拿大人。此次攻擊行動背後的嫌疑人是 AWS 的一名前員工,他被控非法訪問第一資本的 AWS 服務器以獲取數據,還有其他 30 家公司的數據。
第三個,2020年2月23日19點,香港上市公司某盟,其託管在騰訊上的雲服務出現故障,大面積服務集群無法響應,生產環境及數據遭受嚴重破壞,直接造成公司業務大範圍衝擊,大量客戶的店鋪數據丟失,包括賬號信息、店鋪以及店鋪權益信息、店鋪服務版本及服務週期等數據。該公司的二級市場市值損失數幾十億港元,雖然,2月25日晚,該公司表示已立刻啟動緊急響應機制,犯罪嫌疑人已經被寶山區公安局刑事拘留,系某廠研發中心運維部核心運維人員賀某惡意破壞。雖然,事件最後數據全部得以恢復,某廠也給出1.5億的賠償方案終結,但教訓是慘痛的。
結合我們前不久在一些有云上業務的機構做的滲透測試結果,包括參與的一些國家級的演練行動,對這些有云上業務的攻防滲透成功率超過90%,這個數據反映了不容樂觀的現狀,但也一定程度說明了雲上安全需求的旺盛。然而,需求旺盛的客觀存在,挑戰處處存在。
在常見的企業網雲架構中,有公有云、數據中心、私有云三大場景,用戶對雲安全的需求覆蓋必然廣泛。用戶不僅需要關注傳統雲下安全的業務,從資產安全、流量分析、威脅檢測、日誌審計、業務支撐安全、漏洞管理等雲下安全,還需要關注雲自身的安全,尤其是解決各類雲上特有攻擊,譬如:通過公有云即可訪問攻擊目標本地及私有云系統的跨雲攻擊;滲透內網的跨數據中心攻擊;利用雲租戶之間的網絡流量發起的跨租戶攻擊;基於雲和虛擬化的工作負載以及容器都可以輕易地實現連接的跨工作負載攻擊;還有,編排攻擊、無服務器攻擊等等。除此之外,用戶還需要考慮業務上移的安全,譬如:數據安全等,進一步看,對這些有效的安全管理、技術控制、實施安全策略等都需要納入整體考慮。
用戶提出如此多雲上和雲下的安全防護能力堆疊,勢必需要供給方的安全進階。這個進階的代表就是以及依託安全管理平臺而生的安全運營實踐成為必然,所以,啟明星辰相信,雲安全最火熱的部分遠未到來。可以肯定的是,沿著雲業務蔓延開去,雲安全以“平臺+運營”模式的進階,在如此旺盛的安全需求下,雲安全的燎火之日可期,而且燒的最快的主戰場,一定是在中國。
寫在最後,本次大會主題Human Element的主題,更傾向翻譯成“人的元素”。這個翻譯基本上是符合具有戰略思維的國度的價值觀述求的。Human Element被提出,是具有時代背景的,這個時代背景就是機器的盛行、算法的橫道。當人機對抗、人工智能、機器交易、機器警察.....滲透進我們生活的方方面面的時候,我們人,和機器能不能和平共處,也許是一個博弈的過程。這個博弈過程,國內暫時還不會經歷,因為,機器還沒有足夠發達足夠智能,這就是“技術差距”。所以,談“人”這個元素,需要有這樣的技術背景去理解,這也算是我對本次大會的主題找一個思考和解讀吧。(內容來自 科技狗)
閱讀更多 狐狸議科技 的文章
