RSAC2022創(chuàng)新沙盒決賽將于舊金山時(shí)間6月6日舉行，作為“安全圈的奧斯卡”，大賽每年都備受矚目。綠盟君通過(guò)對(duì)本次十強(qiáng)初創(chuàng)公司進(jìn)行整合分析，提前劇透當(dāng)下最火熱的網(wǎng)絡(luò)安全新熱點(diǎn)，讓我們一起去看一下。

圖1 RSAC2022創(chuàng)新沙盒十強(qiáng)公司

根據(jù)主要產(chǎn)品類(lèi)別，創(chuàng)新沙盒十強(qiáng)公司可以被分為以下幾類(lèi)：

圖2RSAC2022創(chuàng)新沙盒十強(qiáng)產(chǎn)品領(lǐng)域

本次創(chuàng)新沙盒十強(qiáng)中共有4家云安全公司，通過(guò)與RSAC2021十強(qiáng)初創(chuàng)公司的產(chǎn)品類(lèi)型對(duì)比，可以看出RSAC2021創(chuàng)新沙盒的產(chǎn)品種類(lèi)分布相對(duì)平均，且云安全似乎也不是絕對(duì)的重頭。那為什么2022年RSAC的云安全公司數(shù)量如此之多呢？綠盟君通過(guò)對(duì)2022年的云安全產(chǎn)品進(jìn)行分析，發(fā)現(xiàn)這些產(chǎn)品的功能已很難用單一的傳統(tǒng)云安全產(chǎn)品概念去覆蓋。

圖3 RSAC2021與RSAC2022創(chuàng)新沙盒產(chǎn)品領(lǐng)域?qū)Ρ?/p>

1、云安全產(chǎn)品的創(chuàng)新

圖4為Araali Networks彈性補(bǔ)丁的執(zhí)行流程。Araali Networks基于eBPF對(duì)云上應(yīng)用行為進(jìn)行檢測(cè)，并在應(yīng)用行為與預(yù)定義行為出現(xiàn)偏移時(shí)，自動(dòng)化糾正應(yīng)用行為偏差。這種方案有別于傳統(tǒng)的威脅檢測(cè)與響應(yīng)，更偏向內(nèi)生安全的理念。

推薦閱讀：RSA創(chuàng)新沙盒盤(pán)點(diǎn)｜Araali Networks——云原生風(fēng)險(xiǎn)緩解

圖4 Araali Networks基于應(yīng)用行為路徑的異常行為修復(fù)

圖5為Cado Security的威脅溯源和響應(yīng)，不光支持基于攻擊路徑與可疑行為的可視化分析與時(shí)序化的惡意行為報(bào)表，還支持用戶(hù)自定義SOAR。復(fù)合型的能力使我們很難將其歸類(lèi)到相對(duì)傳統(tǒng)的云安全產(chǎn)品分類(lèi)中。

推薦閱讀：RSA創(chuàng)新沙盒盤(pán)點(diǎn)｜Cado Security——云原生取證和響應(yīng)

圖5 Cado基于攻擊路徑的威脅溯源與時(shí)序報(bào)表

圖6為L(zhǎng)ightSpin的云環(huán)境DevOps安全能力架構(gòu)。不過(guò)LightSpin并未關(guān)注DevSecOps產(chǎn)品通常關(guān)注的代碼掃描、源碼泄露、CI/CD集成等功能，而是面向云環(huán)境，從DevOps視角整合了IaC安全、CSPM、基于威脅建模的實(shí)時(shí)保護(hù)能力與K8S運(yùn)行時(shí)安全能力。

推薦閱讀：RSA創(chuàng)新沙盒盤(pán)點(diǎn)｜Lightspin——攻擊者視角下的DevOps安全

圖6 Lightspin的云DevOps架構(gòu)

這些產(chǎn)品很難被歸類(lèi)為傳統(tǒng)的云安全產(chǎn)品（CASB、CSPM、CIEM等），而是同時(shí)覆蓋了云安全領(lǐng)域與其他安全技術(shù)領(lǐng)域的交集。一方面，這些產(chǎn)品為云環(huán)境中的接入方式與特有安全風(fēng)險(xiǎn)都提供了良好的兼容；另一方面，這些產(chǎn)品也針對(duì)某一些具體任務(wù)或具體場(chǎng)景提供了完善的安全能力。

圖7 云安全與其他安全領(lǐng)域的交集

2、新入圍領(lǐng)域與保留領(lǐng)域

與2021年相比，除了云安全類(lèi)公司入圍數(shù)量上升外，2022年的決賽名單也出現(xiàn)了往年RSAC創(chuàng)新沙盒較少關(guān)注的瀏覽器安全產(chǎn)品公司——Talon Cyber Security。據(jù)推測(cè)，該產(chǎn)品應(yīng)該是通過(guò)沙箱整合瀏覽器的本地部署方案，來(lái)對(duì)面向?yàn)g覽器的惡意行為進(jìn)行管理，并提供DLP、插件管理等實(shí)用功能，如圖8所示[5]。

推薦閱讀：RSA創(chuàng)新沙盒盤(pán)點(diǎn)| Talon Cyber Security——面向企業(yè)的安全瀏覽器

圖8 Talon Security檢測(cè)瀏覽器惡意行為

過(guò)去幾年一直獲得RSAC關(guān)注的DevSecOps類(lèi)產(chǎn)品2022年仍然成功入圍。Cycode在優(yōu)化了如硬編碼秘密掃描、源碼泄露檢測(cè)、代碼訪問(wèn)權(quán)限控制、IaC安全等DevSecOps產(chǎn)品中較為常見(jiàn)的安全能力之外，也創(chuàng)新性地提供了基于知識(shí)圖譜的代碼防篡改能力，如圖9所示[6]。

推薦閱讀：RSA創(chuàng)新沙盒盤(pán)點(diǎn)| Cycode——軟件供應(yīng)鏈安全完整解決方案

圖9 CyCode基于知識(shí)圖譜的代碼防篡改能力

3、產(chǎn)品設(shè)計(jì)趨勢(shì)

本次入選的產(chǎn)品雖然面向的任務(wù)種類(lèi)與解決的具體問(wèn)題各不相同，但從產(chǎn)品設(shè)計(jì)的維度來(lái)看卻具有一些共性，這些共性能夠反映出當(dāng)前市場(chǎng)對(duì)安全產(chǎn)品的需求。

積極兼容其他廠商安全產(chǎn)品

Sevco Security通過(guò)Automox、CrowdStrike、Lansweeper、MalwareBytes Nebula、Microsoft AD五種產(chǎn)品搜集用戶(hù)的資產(chǎn)情報(bào)，自己并不對(duì)用戶(hù)系統(tǒng)進(jìn)行掃描，而是對(duì)這五種產(chǎn)品采集到的資產(chǎn)情報(bào)數(shù)據(jù)進(jìn)行融合與分析，如圖10所示[7]。

推薦閱讀：RSA創(chuàng)新沙盒盤(pán)點(diǎn)| Sevco Security——專(zhuān)注數(shù)據(jù)融合的資產(chǎn)管理平臺(tái)

圖10 Sevco Security整合其他產(chǎn)品采集的資產(chǎn)情報(bào)數(shù)據(jù)進(jìn)行融合分析

BastionZero集成第三方SSO服務(wù)商的SSO服務(wù)，將三方SSO的認(rèn)證憑證作為第一級(jí)證書(shū)，再級(jí)聯(lián)BastionZero自己的MFA認(rèn)證，來(lái)形成可追溯且無(wú)法被單點(diǎn)攻陷的多信任根認(rèn)證鏈，如圖11所示[8]。

推薦閱讀：RSA創(chuàng)新沙盒盤(pán)點(diǎn)｜BastionZero——零信任基礎(chǔ)設(shè)施訪問(wèn)服務(wù)

圖11 Bastion Zero的多信任根身份認(rèn)證

積極進(jìn)行自動(dòng)化響應(yīng)

Torq支持用戶(hù)自定義的對(duì)于惡意IP進(jìn)行封禁、自動(dòng)刪除惡意文件、調(diào)用第三方EDR工具停止惡意進(jìn)程等多種自動(dòng)化響應(yīng)。較為常見(jiàn)的發(fā)送工單給安全工程師來(lái)處理安全事件，僅是其自動(dòng)化響應(yīng)中的一種選項(xiàng)，如圖12所示[9]。

推薦閱讀：RSA創(chuàng)新沙盒盤(pán)點(diǎn)｜Torq——無(wú)代碼安全自動(dòng)化

圖12 Torq支持自定義的自動(dòng)屏蔽IP與調(diào)用EDR隔離惡意文件的響應(yīng)策略

Dasera對(duì)于長(zhǎng)期不使用，但具有敏感數(shù)據(jù)訪問(wèn)權(quán)限的賬號(hào)，不光會(huì)進(jìn)行告警，更會(huì)主動(dòng)撤銷(xiāo)其敏感數(shù)據(jù)訪問(wèn)權(quán)限，該過(guò)程完全不需要人工參與，如圖13所示[10]。

推薦閱讀：RSA創(chuàng)新沙盒盤(pán)點(diǎn)｜Dasera——全生命周期保護(hù)云上數(shù)據(jù)安全

圖13 Dasera從身份的維度進(jìn)行數(shù)據(jù)治理，根據(jù)身份風(fēng)險(xiǎn)自動(dòng)化管理身份權(quán)限

積極宣傳無(wú)代理接入模式

本次入選的公司中，Neosec、Araali Networks、Sevco Security、Dasera均宣稱(chēng)使用了無(wú)代理的接入模式。雖然這些產(chǎn)品“無(wú)代理”的實(shí)現(xiàn)方式與實(shí)現(xiàn)程度并不相同，部分產(chǎn)品也沒(méi)有對(duì)其部署方式做詳細(xì)介紹，但這些公司都將“無(wú)代理”作為了產(chǎn)品的重要宣傳點(diǎn)。我們推測(cè)與Araali Networks類(lèi)似，Neosec也使用了eBPF來(lái)實(shí)現(xiàn)“無(wú)代理”的部署方式，如圖14所示[11]。

推薦閱讀：RSA創(chuàng)新沙盒盤(pán)點(diǎn)｜Neosec——面向API安全的SaaS化防護(hù)方案

圖14 Neosec對(duì)通過(guò)無(wú)代理模式提供API安全能力的宣傳

備注：文中所有圖片均來(lái)源RSAC官網(wǎng)及創(chuàng)新沙盒十強(qiáng)公司官網(wǎng)

審核編輯：符乾江