RSAC2022創(chuàng)新沙盒決賽將于舊金山時間6月6日舉行，作為“安全圈的奧斯卡”，大賽每年都備受矚目。綠盟君通過對本次十強初創(chuàng)公司進行整合分析，提前劇透當下最火熱的網(wǎng)絡安全新熱點，讓我們一起去看一下。

圖1 RSAC2022創(chuàng)新沙盒十強公司

根據(jù)主要產(chǎn)品類別，創(chuàng)新沙盒十強公司可以被分為以下幾類：

圖2 RSAC2022創(chuàng)新沙盒十強產(chǎn)品領(lǐng)域

本次創(chuàng)新沙盒十強中共有4家云安全公司，通過與RSAC2021十強初創(chuàng)公司的產(chǎn)品類型對比，可以看出RSAC2021創(chuàng)新沙盒的產(chǎn)品種類分布相對平均，且云安全似乎也不是絕對的重頭。那為什么2022年RSAC的云安全公司數(shù)量如此之多呢？綠盟君通過對2022年的云安全產(chǎn)品進行分析，發(fā)現(xiàn)這些產(chǎn)品的功能已很難用單一的傳統(tǒng)云安全產(chǎn)品概念去覆蓋。

圖3  RSAC2021與RSAC2022創(chuàng)新沙盒產(chǎn)品領(lǐng)域?qū)Ρ?/p>

1、云安全產(chǎn)品的創(chuàng)新

圖4為Araali Networks彈性補丁的執(zhí)行流程。Araali Networks基于eBPF對云上應用行為進行檢測，并在應用行為與預定義行為出現(xiàn)偏移時，自動化糾正應用行為偏差。這種方案有別于傳統(tǒng)的威脅檢測與響應，更偏向內(nèi)生安全的理念。

推薦閱讀：RSA創(chuàng)新沙盒盤點｜Araali Networks——云原生風險緩解

圖4 Araali Networks基于應用行為路徑的異常行為修復

圖5為Cado Security的威脅溯源和響應，不光支持基于攻擊路徑與可疑行為的可視化分析與時序化的惡意行為報表，還支持用戶自定義SOAR。復合型的能力使我們很難將其歸類到相對傳統(tǒng)的云安全產(chǎn)品分類中。

推薦閱讀：RSA創(chuàng)新沙盒盤點｜Cado Security——云原生取證和響應

圖5 Cado基于攻擊路徑的威脅溯源與時序報表

圖6為LightSpin的云環(huán)境DevOps安全能力架構(gòu)。不過LightSpin并未關(guān)注DevSecOps產(chǎn)品通常關(guān)注的代碼掃描、源碼泄露、CI/CD集成等功能，而是面向云環(huán)境，從DevOps視角整合了IaC安全、CSPM、基于威脅建模的實時保護能力與K8S運行時安全能力。

推薦閱讀：RSA創(chuàng)新沙盒盤點｜Lightspin——攻擊者視角下的DevOps安全

圖6 Lightspin的云DevOps架構(gòu)

這些產(chǎn)品很難被歸類為傳統(tǒng)的云安全產(chǎn)品（CASB、CSPM、CIEM等），而是同時覆蓋了云安全領(lǐng)域與其他安全技術(shù)領(lǐng)域的交集。一方面，這些產(chǎn)品為云環(huán)境中的接入方式與特有安全風險都提供了良好的兼容；另一方面，這些產(chǎn)品也針對某一些具體任務或具體場景提供了完善的安全能力。

圖7 云安全與其他安全領(lǐng)域的交集

2、新入圍領(lǐng)域與保留領(lǐng)域

與2021年相比，除了云安全類公司入圍數(shù)量上升外，2022年的決賽名單也出現(xiàn)了往年RSAC創(chuàng)新沙盒較少關(guān)注的瀏覽器安全產(chǎn)品公司——Talon Cyber Security。據(jù)推測，該產(chǎn)品應該是通過沙箱整合瀏覽器的本地部署方案，來對面向瀏覽器的惡意行為進行管理，并提供DLP、插件管理等實用功能，如圖8所示[5]。

推薦閱讀：RSA創(chuàng)新沙盒盤點 | Talon Cyber Security——面向企業(yè)的安全瀏覽器

圖8 Talon Security檢測瀏覽器惡意行為

過去幾年一直獲得RSAC關(guān)注的DevSecOps類產(chǎn)品2022年仍然成功入圍。Cycode在優(yōu)化了如硬編碼秘密掃描、源碼泄露檢測、代碼訪問權(quán)限控制、IaC安全等DevSecOps產(chǎn)品中較為常見的安全能力之外，也創(chuàng)新性地提供了基于知識圖譜的代碼防篡改能力，如圖9所示[6]。

推薦閱讀：RSA創(chuàng)新沙盒盤點 | Cycode——軟件供應鏈安全完整解決方案

圖9 CyCode基于知識圖譜的代碼防篡改能力

3、產(chǎn)品設(shè)計趨勢

本次入選的產(chǎn)品雖然面向的任務種類與解決的具體問題各不相同，但從產(chǎn)品設(shè)計的維度來看卻具有一些共性，這些共性能夠反映出當前市場對安全產(chǎn)品的需求。

積極兼容其他廠商安全產(chǎn)品

Sevco Security通過Automox、CrowdStrike、Lansweeper、MalwareBytes Nebula、Microsoft AD五種產(chǎn)品搜集用戶的資產(chǎn)情報，自己并不對用戶系統(tǒng)進行掃描，而是對這五種產(chǎn)品采集到的資產(chǎn)情報數(shù)據(jù)進行融合與分析，如圖10所示[7]。

推薦閱讀：RSA創(chuàng)新沙盒盤點 | Sevco Security——專注數(shù)據(jù)融合的資產(chǎn)管理平臺

圖10 Sevco Security整合其他產(chǎn)品采集的資產(chǎn)情報數(shù)據(jù)進行融合分析

BastionZero集成第三方SSO服務商的SSO服務，將三方SSO的認證憑證作為第一級證書，再級聯(lián)BastionZero自己的MFA認證，來形成可追溯且無法被單點攻陷的多信任根認證鏈，如圖11所示[8]。

推薦閱讀：RSA創(chuàng)新沙盒盤點｜BastionZero——零信任基礎(chǔ)設(shè)施訪問服務

圖11 Bastion Zero的多信任根身份認證

積極進行自動化響應

Torq支持用戶自定義的對于惡意IP進行封禁、自動刪除惡意文件、調(diào)用第三方EDR工具停止惡意進程等多種自動化響應。較為常見的發(fā)送工單給安全工程師來處理安全事件，僅是其自動化響應中的一種選項，如圖12所示[9]。

推薦閱讀：RSA創(chuàng)新沙盒盤點｜Torq——無代碼安全自動化

圖12 Torq支持自定義的自動屏蔽IP與調(diào)用EDR隔離惡意文件的響應策略

Dasera對于長期不使用，但具有敏感數(shù)據(jù)訪問權(quán)限的賬號，不光會進行告警，更會主動撤銷其敏感數(shù)據(jù)訪問權(quán)限，該過程完全不需要人工參與，如圖13所示[10]。

推薦閱讀：RSA創(chuàng)新沙盒盤點｜Dasera——全生命周期保護云上數(shù)據(jù)安全

圖13 Dasera從身份的維度進行數(shù)據(jù)治理，根據(jù)身份風險自動化管理身份權(quán)限

積極宣傳無代理接入模式

本次入選的公司中，Neosec、Araali Networks、Sevco Security、Dasera均宣稱使用了無代理的接入模式。雖然這些產(chǎn)品“無代理”的實現(xiàn)方式與實現(xiàn)程度并不相同，部分產(chǎn)品也沒有對其部署方式做詳細介紹，但這些公司都將“無代理”作為了產(chǎn)品的重要宣傳點。我們推測與Araali Networks類似，Neosec也使用了eBPF來實現(xiàn)“無代理”的部署方式，如圖14所示[11]。

推薦閱讀：RSA創(chuàng)新沙盒盤點｜Neosec——面向API安全的SaaS化防護方案

圖14 Neosec對通過無代理模式提供API安全能力的宣傳

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據(jù)。

關(guān)鍵詞：