美国当地时间2月24日8:00,RSA Conference 2020这场全球性安全盛会在旧金山正式开幕。非常时期,非常形式。安全界老朋友们再聚首,百度安全2020哥伦布之旅同期拔锚“起航”。透过来自百度安全直击一线的RSAC 2020图文直播,百余名华人安全圈的领军者在这艘“非常版”的线上游轮上开启为期五天的关乎2020网络安全大势的思维碰撞之旅。
就在刚刚,有着“全球网络安全风向标”之称的RSAC 2020创新沙盒(RSAC Innovation Sandbox Contest)冠军正式揭晓——来自美国的初创企业Securiti.ai从十强入围名单中脱颖而出,凭借在隐私保护与合规领域的创新与进展摘得桂冠。
融资总额达到8100万美元的Securiti.ai是十强名单中当前融资额最高的初创企业,所涉及的领域也是当前全球的热点。其引入了PrivacyOps的全新概念,核心的三项能力包括个人数据关联报告的生成、可视化管理跨国企业的个人数据及数据泄露发生后及时通知受影响的数据主体。目前,Securiti.ai已完成了对于欧盟GDPR、美国加州CCPA及巴西LGPD三项隐私合规法规的适配。
百度安全特邀嘉宾、赛博英杰董事长谭晓生认为,在GDPR及全球各个国家相继实施的个人信息保护法规下,从商业角度衡量,Securiti.ai隐私合规的卡位有巨大的市场需求,从中可以一窥评委的评判维度,亦可看出安全市场未来的合规导向。从产品创新角度,则有待后续观测。百度安全特邀嘉宾李康教授则认为,Securiti.ai获得冠军的结果是“比较符合预期的”,无论从问题定位还是技术方向上,非常契合创新沙盒的期待。他认为,隐私保护是当前安全行业、甚至整个IT产业都非常关注的问题,近年来不断出现的隐私和数据泄露事件驱动多项法律法规的完善,但是相关的解决方案更多聚焦于管理层面的合规服务,市场极端缺乏可以用来配合的技术工具。Securiti.ai的切入点,正是去试图回答“如何用技术手段支持隐私合规”这个问题。例如:获知哪些数据是与某个用户相关?数据从采集、到处理、再到应用是如何关联的?对于具体数据项的加密、删除这些处理方式,如何对应到合规的需求......这些都是困扰管理层及技术实施者的难题所在。李康教授认为,Securiti.ai在产品方面关注两个技术点:
1)追踪数据和用户的关系(People Data Graph):关联数据到其相关的用户。这也是近期隐私合规的一个关键技术锚点。2)数据关系识别机器人:利用机器学习技术,对数据库进行自动化分析,减少人为标识的开销。堪称RSAC上具创新特色的沙盒比赛迄今已有15年历史,这里汇聚了那些最擅长捕捉未来安全趋势的探索者,诸多突破性创新由此诞生。从资本层面,历届创新沙盒冠军的发展路径,非获得高额融资便是被巨头收购,由此印证了这些突破性创新切实契合了当下日趋复杂的网络安全形势需求。延续往年规则,10家入围企业各自进行3分钟路演+3分钟QA,有限的时间里虽不足以展示安全解决方案的全貌及应对评委刁钻的问题,我们尝试从有限的信息中一探究竟。就RSAC 2020创新沙盒“十强”企业整体而言,李康教授分享了三点感受:首先,对于从事工程和研究的人士,此届创新沙盒并没有展示让人惊奇的技术,这和RSA的商业展会定位是一致的 ;其次,隐私防护和安全意识风险管理是今年沙盒展示的新的关注方向;第三,SaaS安全仍然是安全创新热点,“SaaS Everywhere, SaaS security everywhere”入围本届RSAC创新沙盒十强名单的另外9家初创企业同样不容小觑。在它们当中,有7家来自美国,几乎全部诞生在加州湾区;还有两家分别来自法国和以色列。入围2020年RSAC创新沙盒十强名单的其他九家初创企业及其技术产品核心竞争力:这家在2018年才成立的初创企业试图解决的是云安全问题,其核心优势在于在SaaS安全防护普遍面临着诸如云端访问控制风险、公有云存储配置错误、云端告警平台缺失等问题的情况下,实现防火墙配置、访问控制的自动化,快速输出合规性报告和数据表单,支持配置管理及部署测试,并在较低性能消耗的前提下完成对系统的实时监测和告警。简言之,针对SaaS服务中的数据访问,AppOmni实现了安全性与可见性、合规性及安全自动化、合规控制和IT管理的统一。作为本届RSAC创新沙盒十强名单内最年轻的一家初创企业,成立于2019年的BluBracket主打的是代码安全解决方案,覆盖代码的管理和安全保障。前者主要实现的是整体代码宏观结构及协作编辑时具体位置的可视化,后者则针对Github等开源代码协作工具,提供弱密钥检测、代码盗用保护等功能。就往届RSAC而言,成立仅1年即进入创新沙盒十强之列确实少见。而顺应于DevSecOps逐步落地的大势所趋,BluBracket在代码安全和安全开发的开拓也的确是命中痛点。准确的说,Elevate Security聚焦的是在安全管理层面的智能化分析与实践。基于对钓鱼邮件等常见安全问题的防范,其平台包含的四大功能模块分别指向基准评估、风险分析、员工培训和以攻击者为视角的强化培训。事实上,相较于种种技术层面的安全问题,人本身永远是网络安全防护中最薄弱的环节,传统填鸭式的安全意识教育能够起到多大作用你我都心知肚明。而基于对行为科学的研究,通过这一可视化、可量化的方案实现对于员工安全意识的补足和提升,不失是一种可以尝试的方式。对比入选十强名单的其他初创企业,ForAllSecure可谓是自带光环的。背靠卡耐基梅隆大学,其不仅曾在美国国防部先进项目研究局DARPA主办的CGC竞赛中拿过冠军,也成功入选过麻省理工科技评论“全球最聪明的50家公司”榜单之列。ForAllSecure的核心产品是名为Mayhem的下一代模糊测试安全方案,其在Fuzzing模糊测试本身具备的有效降低安全测试门槛的“基本优势”之上,不仅完成了自动化漏洞检测,还实现了零误报并支持DevOps的企业级应用。据ForAllSecure在现场的介绍,目前Mayhem已经有10家企业用户和25家政府用户。
如果以时间做维度,成立于2008年INKY大概已不属于初创企业,但其在2019年11月完成了一笔600万美元的融资。而简单来说,其产品的核心在于利用AI视觉能力对网络钓鱼邮件提前进行识别和阻止,从而帮助企业屏蔽恶意邮件。目前,适配于微软的Exchange、Office 365及谷歌的G Suite。
随着钓鱼邮件制作手法的升级,传统的基于规则的检测方法已无法进行有效检测。INKY的创新主要在于无需修改邮件系统,借助AI识别文本、文件类型和图像方面的异常,并可对可疑发件人、恶意链接、恶意代码等进行检测。Obsidian提出了云检测与响应的概念,旨在提供完整的、规范化的、可视化的信息及SaaS访问的全景监测,协助企业安全团队快速检测、调查并响应威胁,“SaaS Everywhere,SaaS Security Everywhere”。同时,由于其通过API集成入SaaS服务,故可在数分钟内完成启动,并在数小时内输出检测结果。实际上,对于云安全来说,安全风险的监测与安全漏洞的修补均是相对完善的。但在二者之间,仍缺乏有效的中介连接以支持更好地的协同与信息利用。Obsidian正好弥补了这一中间环节,在云端环境的可见性、自动化检测和安全风险监控方面达成了一致。Sqreen来自法国,一言以蔽之,旨在以“插件化”实现更轻量的网络安全服务。众所周知,WAF和RASP是当前Web安全防护的标配。但对于大多数中小企业来说,自行组建安全团队进行部署不仅在成本上划不来,其也面临着具体落地、策略调整等一系列复杂的挑战。在这一背景下,Sqreen提供了低成本、高水平的RASP+in App WAF解决方案。借助微代理的模式,其可实现快速部署,并有较强的可扩展性,同时规避了网络延迟问题,在商业上其也被认为有着较好的应用前景。
Tala Security的核心产品是WAF,基于AI引擎对于网站行为和脚本的实时分析,可应对诸如XSS、挖矿脚本、广告注入等针对客户端的攻击行为,实现Web安全策略的自动化动态调整,并保障用户数据使用的合规性。
对于需要大量引用第三方资源的电商类、金融类网站,Tala Security的方案将是其现有WAF方案外的重要补充。但由于其并不具备防范利用常规漏洞进行入侵的安全能力,故大多需要进行组合部署。在网络安全领域,以色列所扮演的从来都是站在行业前列的角色,而Vulcan Cyber的核心竞争力来自对于SOAR安全编排自动化与响应理念的实践。其通过自动化漏洞威胁缓解解决方案,完成了对于已有开发、运维工具的集成与整合,从而实现了对突发安全漏洞的快速响应,缩短企业安全威胁的时间窗口。Vulcan Cyber将其产品功能归结于可视化的风险信息聚合、基于风险优先级排序的威胁分析和自动化漏洞批量修复三项。换句话说,传统的安全工具更多关注于找出问题,而Vulcan Cyber关注的是知晓了漏洞之后该怎么办。本届RSAC主题Human Element,官方注解称,当女演员、作家兼制片人Tina Fey2019年登上RSAC坦言“几乎看不到所处行业与网络安全之间的重叠”的时候,RSAC主席Hugh Thompson经调查却发现,“人类行为的普遍性已然超越了时间、代纪与工业”。人为因素在网络信息安全决策与生态发展进程中正在扮演日趋重要的角色。“通过以人为视角的风险管理,来促进员工安全意识的提升,把个人的事儿,转变成岗位角色和部门风险以及不同层面纵横比较的事情,员工意识风险化、组织化,这个对老板来讲更好理解,也更容易分解成各职能责任而便于操作。”引用安在CEO张耀疆对于本届RSAC主题的解读,2020百度安全哥伦布之旅首日航程暂且告一段落。对于这一全球网络安全领域最权威的行业大会,百度安全也将在现场进行持续的关注,为大家带来一手的信息。“非常版”哥伦布之旅今日才刚刚启航!