技术层面看2019 RSA创新沙盒十强产品

美国当地时间3月4日，万众瞩目的RSAC 2019在旧金山开幕，在有着“网络安全风向标”之称的创新沙盒环节中，10家入围网络安全厂商现场展示自家的前沿技术，这10家厂商涵盖了各种技术，包括：资产管理、DevOps、云安全、数据安全和固件安全等。

Axonius和Duality进入了比赛TOP2。

最终在今年2月5日获得了1300万美元A轮融资的 Axonius被评为RSAC  2019 创新沙盒“最具创新能力创业公司” 。而根据以往的经验，获此殊荣的公司在未来能够保持强大的创新能力和势头。

具体的技术分析可直接往下拉，不再赘述。简单谈谈我的感想。从近两年的趋势来看，很少出现颠覆性的创新产品，但出现越来越多的微创新或功能改进，解决传统环境或传统安全产品无法很好处理或忽略的痛点。如Axonius，问答环节评委就说这不是解决明天的问题，核心只是通过与各种管理系统打通，完成资产、脆弱性管理，解决企业灰色资产发现、非可管理设备的资产管理等用户痛点；而如Duality则是延续了17年同态加密Enveil的工作，支持机器学习的数据分析，另外同态加密的核心问题是性能，Duality做到处理性能比其他大企业更高，也是看好的原因。如果真如他们所说能提供商业化的产品或引擎，其应用前景非常广阔。

回到Axonius，感觉今年评委更换过之后偏好有所变化。15年时RSAC keynote大谈安全威胁无处不在、无孔不入，安全企业无法独力对抗，从"CHANGE"（再不改革企业就亡了..），思路从静态防御到纵深、动态防御；到16年“Connect to Protect”/17年“团结就是力量"，新技术层出不穷，欺骗、AI、自动化编排，一切都是尽可能地发现那个无处不在、却又无迹可寻的黑客，不管是什么新技术都拿来，编排起来去打败那个邪恶的反派一号；再到18年的“NOW”（就是干），似乎有点思路了，但又发现每个技术都不是安全公司吹嘘的那么好，都在幻想破灭期（Trough of Disillusionment)：编排系统需要大量能写脚本的高水平人员，AI没那么智能、只能应用图像领域，机器学习需要调参又不通用，总之看似有前景，但又没有那么fancy。大家相互问“NOW？now what？”，今年RSAC的回答是Better（明天会更好）。也许今年的评委更注重实用，关注微创新和实用的改进。

于是我们回到安全的第一课：资产、脆弱性、风险和威胁。利益总是存在的，威胁和攻击者总是无法消除。但我们可以管理给定范围内的全部资产，获得尽可能广、尽可能深的可视度（visibility），持续地评估、消除资产的脆弱性，这样才能有效缓解甚至避免风险。所以，资产管理虽然不是属于明天的那种fancy技术，但却是实实在在的让安全团队构建完整防守体系的第一步，也是最重要的一步。有时候，“知己”比“知彼”更难。

梦想是美好的，现实有点骨感，企业越大成立越早，业务越复杂，其信息系统越多，人员和业务系统越复杂。现有系统多是坏事但却也是好事，Axonius借助这些系统获取各种数据，进而进行关联分析，获得最终的资产视图。只有获得了资产整体情况，安全运营团队才能发现未被管理的资产，丰富资产属性，进而再跟其他如检测、响应、取证等系统联动，提高分析的精确度和策略下发的可信度。

当然其中肯定有很多问题要解决，如资产建模，多系统数据一致性，恐怕最大的挑战应该是与其他系统的适配。这跟'16年phantom遇到的问题很类似：编排体系很酷，但最终最大的工作是跟第三方actor、data source做适配。也许本次决赛给创业者一切启示：

1. 当遇到纷繁复杂情况，请回到第一步

2. 如果要干脏活累活，但能解决第一步的问题，那就干吧

3. 干脏活累活同样有不少技术问题要解决

有意思的是在之前我写的技术点评中，关于Duality中有“同样是做同态加密的创业公司Enveil的产品“零泄露计算架构”，在17年的RSA创新沙盒获得第二名，可见其受评委关注较高，但现在看同态加密虽然备受关注，但还是千年老二。现场评委反复质疑为什么相信Duality，现场虽然拿PhD说事也很欢乐，但是否说明了评委还没看到Enveil证明自己的价值呢（crunchbase上Enveil还不到10人，不知数据准吗？）。

现场的总体感觉是，大家都在讲故事，技术层面介绍比较少，毕竟三分钟讲不了什么。不过从总体看，敏捷开发/云计算的趋势似乎极大影响了安全创业公司的产品方向，其中4家是解决DevOps出现的开发、运营、API的问题，2家聚焦多云和混合云的安全问题；此外，随着GDPR推进，数据安全也会逐渐成为安全行业热点，今年2家公司都与数据隐私保护相关；此外，业务安全（人机识别、反薅羊毛）、设备固件安全（UEFI、物联网固件）也都是新兴的安全方向。

以下为技术方面的解读

上两周DJ和苹果资本老总胡洪涛分别从创业团队和投资的角度解读了RSA ‘19创新沙盒决赛的项目，诚然创新沙盒的投资和商业模式方向考虑的比较多，当然安全产业的发展本身也是技术的创新，所以本文也是从技术角度解读这十家公司的产品。

由于笔者每年会参加RSA和Gartner的安全峰会，个人感觉RSA是业界百花齐放，而Gartner峰会则是资深咨询师对于安全产业发展深入思考后提出的见解，特别是每年发布的TOP安全技术和安全项目，在很大程度上覆盖了行业内技术发展的新趋势。所以本文也参考Gartner从2016年开始所列的趋势（'16/'17为新技术，'18/'19为新项目）

16新技术	17新技术	18新项目
Adaptive Security Architecture	Cloud Workload Protection Platforms	Cloud Security Posture Management (CSPM) Project(配置检查+CWPP)
EDR	EDR	CARTA-Inspired Vulnerability Management Project
Nonsignature Approaches for Endpoint Prevention	Managed Detection and Response (MDR)	Active Anti-Phishing Project
Remote Browser	Remote Browser
Microsegmentation and Flow Visibility	Microsegmentation	Software-Defined Segmentation
	Network Traffic Analysis	Detection and Response Project(EPP + EDR UEBA Deception)/MDR
Deception	Deception
CASB	CASB	CASB
UEBA	SDP	Software-Defined Perimeter Project
Pervasive Trust Services		Application Control on Server Workloads Project
DevSecOps	DevSecOps
	Container Security	Privileged Account Management Project
iSOC Orchestration Solutions		Automated Security Scanning Project

虽然两者不是完全对齐，例如上述表格中没有包含数据安全相关的技术，19年新项目才出现了灰色数据发现，但这些技术和项目很大程度上在历史上创新沙盒决赛的公司得到了体现。例如'18的Acalvio的创新点是欺骗技术（Deception），Hysolate的创新点是与远程浏览器类似的增强体验型隔离技术，等等。19年的Gartner新项目刚刚发布，大家也可参阅（https://www.gartner.com/doc/3900996）。但需要说明的是“新技术”更能体现创新性，因为“新项目”更强调实用，甚至评价指标中说“要超过一半机构成功部署”就不能说“新”了，大家知道就好了，在此做个免责申明（感谢绿盟资深专家弘利叔提醒）

下面我简单谈一下技术方面的感受，并给了一些比较主观的评分。但更重要的是他们是否按照所宣称的目标完整实现，则需要大家这两天去展台跟他们好好聊聊。例如：Arkose Labs的人机识别技术看似很牛，并且承诺防止欺诈和滥用有100%的SLA，是否真能如此，还需要诸君判断。

1.Axonius

Axonius：融合多方系统的插件化资产管理

安全领域：资产管理

应用领域：通用

Axonius的资产管理产品可归于Gartner的18和19年的安全项目CARTA-Inspired Vulnerability Management，获得IT环境内可视度（visibility）成为抵御威胁和安全治理的前提，因而尽可能多地获知资产在哪里、属性是什么，存在哪些脆弱性，就成了脆弱性管理的重要内容，其中资产分析是第一步，Axonius的通过对接现有的各类IT、安全产品，尽可能多地看到资产，然而这些第三方产品分析的资产维度不同、关注点不同，因而资产属性差别较大，那么融合就成为了难点，如何保证资产属性完整、属性间一致，即为技术难点。

技术创新点：++++

技术难点：++++

评委问答highlight：是否有可视度，大多数有的，如资产信息、补丁信息... 你们在解决昨天的问题，做的不错，我们提供API，不需要用户用我们自己的dashboard，而只需集成到他们的即可。

2.Duality

Duality：支持机器学习的同态加密引擎

安全领域：隐私保护

应用领域：云计算，数据分析

Duality的产品是基于同态加密的数据分析和隐私保护方案，同态加密支持密文上的计算和操作，如对加密后的数字直接计算，在数据不可控的场景下保持了数据的秘密性。同样是做同态加密的创业公司Enveil的产品“零泄露计算架构”，在17年的RSA创新沙盒获得第二名，可见其受评委关注较高。Duality的创新之处在于同态加密算法融入了机器学习的支持，这对于算法设计应该是有相当的门槛。一旦该技术成熟，在公有云或企业敏感数据分析场景下，可在保证数据保密性的同时，还能进行高级的数据分析，彻底打通数据分析团队关于上云和分析敏感数据的顾虑，可催生大量的应用，意义重大。

技术创新性：++++

技术难点：++++

技术难点：++++

评委问答highlight：端到端的同态加密实用化，为什么相信你（哈哈）？基于开源，比IBM的更快；我不是博士，为什么我要买你？我们有博士，你可以买我的，PHDaaS（再次哈哈），大公司标准，有代码开源，有POC流程，outperform IBM，告诉数据分析者什么时候可用或不可用；怎么用，硬件，API（时间到）。

3.CloudKnox

CloudKnox ：用于混合云环境中的身份授权管理平台

安全领域：IAM

应用领域：混合云

最大的亮点是克服了传统静态、事前的权限管理，运行时监控授权情况，再动态评估已权限的必要性，闭环的运营能使权限管理准确、可调整，实现了权限最小化的目标。

CloudKnox的权限管理方案属于Gartner的新项目 Privileged Account Management Project,'18, '19。Gartner强调需要使用一种基于风险的方法，聚焦于高风险高价值的账户，CloudKnox的方案正是减少这些账户的高风险权限，并且支持混合云是一个很好的特色。当然，从方案完整性来看，还应支持多因子认证、SIEM和SOAR，支持员工和机器账户，等等。

技术创新度：++++

技术难度：++

4.DisruptOps

DisruptOps ：面向敏捷开发的多云管理平台

安全领域：DevSecOps

应用领域：多云，敏捷开发

多云是云计算运营团队关注的热点，而DevOps同样使用无服务、云原生、容器等新技术与敏捷开发理念集合，成为开发团队关注的热点，从安全角度，多云和敏捷开发的安全也都是值得关注的安全新趋势，如DevSecOps是Gartner的'16、'17的新技术。DisruptOps以SaaS化的服务方式，通过对用户的多个云资源进行安全与操作问题的快速检测并自动修复，一方面节省了客户上云的成本，另一方面实现对云基础架构的持续安全控制，在安全、运营和成本等方面，给用户带来最大的收益。此外，借助自动化和服务编排的技术，推动云原生应用和DevSecOps的落地。只是从技术角度来看，该产品似乎没有涉及到技术层面的创新点，也许就是背靠了行业热点，创业团队和商业前景得到了初赛评委的亲睐？

演讲的时候介绍了访问凭证的管理、检测到异常deactive，这在百万级应用交互非常有用。故事讲的还不错，只是3分钟只介绍这个，有点戛然而止的感觉...

技术创新度：++

技术难点：++

评委问答briefing：竞争激烈为什么成功？人员很厉害。变化太快是挑战，策略不一致，关注三方面：存储、网络和IAM。提供最佳实践，自动化。现在能适配什么平台，阿里巴巴？聚焦aws，下几个月azure，我们是operational的

5.Eclypsium

Eclypsium：专注设备底层固件的安全防护

安全领域：固件安全

应用领域：桌面、物联网终端

该公司研究团队深入研究了UEFI固件中的安全问题，并在BlackHat USA 2018会议上介绍基于UEFI的系统的远程攻击面，在DEFCON 26会议上也介绍了相似话题，由此可见该公司在计算机固件安全方面的功力之深厚。除了UEFI和BIOS这类固件之外，该公司在BMC（Baseboard Management Controller）方面也具备丰富的安全研究积累。

但其产品亮点较少，业界UEFI等固件的安全机制已经有较多的工作。比较新颖的功能是未知攻击的检测。可以想到的思路是通过硬件设备相关的日志来捕获，但是这需要看UEFI这类底层固件中是否有日志，量是否足够大，以满足较长时间段内的设备行为检测、外部接口访问的检测等，并需要对UEFI固件做一定的更改。该公司的成员在这方面比较擅长，问题在于，如果该团队研发了一个UEFI固件，客户是否有一个必须使用该固件和平台的理由，来满足企业内设备的安全需求？很明显，现在缺少一个理由说服客户必须用该平台，以保证设备足够安全。此外，随着BYOD和物联网的推进，物联网的设备固件安全如何处理，毕竟太碎片化了...

技术创新度：+++

技术难度：+++++

评委问答briefing：：设备标准化，跟设备厂商合作，共同提出解决方案

6.Capsule8

Capsule8：混合环境中的实时0day攻击检测、朔源和响应平台

安全领域：检测响应

应用领域：云计算、敏捷开发

敏捷开发涉及团队和技术层面较多，导致支撑的IT技术比较复杂，涉及裸机、虚拟机和容器等设施和工作流业务的安全防护，由于这些混合环境的边界分散、暴露面多，面临风险和安全威胁不容忽视。传统的云安全方案如访问控制、入侵检测、Web防护、DDoS缓解和反病毒等是适用于传统业务模式的云计算场景，很难适用于这样复杂环境和业务的场景，Capsule8的方案去掉了入侵检测、防病毒等old school的机制，直接面向这些IT设施的共同操作系统：Linux，在所有终端上部署可做到无死角，通过行为检测及时识别区别于日常正常的行为，快速发现0day，避免漏报，响应处置完成闭环防护。

技术上，结合类边缘计算的检测模型提高检测速度，减少数据传输量和敏感数据泄露风险。将专家知识与检测引擎结合，提高识别准确率，今后如果将专家支持包装为独立的服务，即为云中的MDR服务。

Capsule8更多的是一种架构上的融合创新，涉及到多个Gartner提出的新技术和新项目：Detection and Response '19，Security Incident Response '19，Container Security '17,'19，Cloud Workload Protection Platforms '17，MDR '17。

技术创新性：+++

技术难点：+++

评委问答highlight：跟CSP自己的方案相比如何？他们只是集成TI，我们关注真实的威胁，看到的真实的事件。Linux提供了所需的数据。我们做实时防护阻断，我们的机制是透明的，用户知道我们不会犯错。跟EDR相比如何，EDR有云中分析中心，这样会有延迟、数据太多，我们的技术减少延迟（这就是前面说的边缘计算技术嘛）。Security DevOps，我们把方案卖给开发、安全团队，解决他们之间的冲突。

回看他们表现也很不错哦

7.WireWheel

WireWheel：基于SaaS的企业数据隐私协同保护平台

安全领域：隐私保护

应用领域：数据分析

WireWheel聚焦于多企业之间的数据流转敏感信息保护，致力于提供一种SaaS服务的方式，使得更多企业接入门槛降低、进而更多公司加入意味着更完整的数据流转视图，保护效果更好，形成良性闭环。与其说技术方面的创新，倒不如说是模式上的创新，使用云服务和技术手段解决了如第三方供应链、数据跨境等现实的合规性现实问题。

Gartner也是第一次把数据安全Dark Data Discovery '19 灰色敏感数据发现列入十大新项目，可见GDPR等合规性要求倒逼技术的前进。WireWheel产品的快速发现、识别隐私数据，具有可视化能力，正是属于该项目，为下一步敏感数据的保护打下基础。

及分类（Data Discovery & Classification）第一步是这个项目的。

技术创新性：+++

技术难点：+++

参加公司的合照了，没赶上。不过再多说一句，虽然技术本身的创新之处不明显，但模式创新以及紧扣数据安全热点。

8.Salt Security

Salt Security：探测与防御API攻击的解决方案及平台

安全领域：应用安全

应用领域：SaaS

随着无服务、服务网格的技术发展，服务的入口，即API的安全将会成为一个热点，现有的API/Web防护只能实现已知模式的防护，而不能防护未知的逻辑漏洞。Salt Security通过学习API调用的特征建立行为基线，然后对于偏离基线的API调用进行阻断。从技术上来看比以往通过规则匹配的方式要先进，但考虑到如UEBA、EDR等技术都是”建立基线，偏离基线告警“的方式，所以也不算眼前一亮的突破性创新。

技术创新性：+++

技术难点：+++

评委highlight：如何处理加密流量？在server、网关终结SSL；漏洞优先级，一天处理的脆弱性：CI/CD使得持续化的评估（没有回答评委问题，哈哈），如何跟大企业（WAF）竞争，聚焦。

9.Arkose Labs

Arkose Labs：基于客户遥感和图像编排人机识别的高置信度反欺诈机制

安全领域：反欺诈

应用领域：Web应用

反欺诈与传统网络安全不同，聚焦在业务本身的安全，如Arkose Labs做的人机识别。人机识别已有很多公司在做，如Google的reCapture，但攻击者也在学习防守者的算法，是一种典型的对抗学习。针对传统人机识别算法特征固定，在有限时间内可被离线计算的缺点，Arkose Labs提出了一种新的3D图像变换和映射技术，使得攻击者无法在短时间内分析出防守者模型的参数。另外，也看到了单点人机识别无法短时间准确区分人机，于是借鉴威胁情报的思想，通过网页脚本识别客户端并建立信誉，在全局范围内将信誉扩散，最终云端信誉和客户侧识别引擎形成闭环。粗看要解决一个很经典的问题，而技术层面有一定创新，与拟态防御有一些相似性。

技术创新性：++++

技术难点：++++

评委问答highlight：reCapture厂商的区别是什么，攻击者变化，没有太多的经验，没有变好，我们有100%的SLA。挑战谁？明显异常的，随机挑战。

回答的不错

10.ShiftLeft

ShiftLeft：面向软件开发生命周期的持续性安全防护

安全领域：DevSecOps

应用领域：敏捷开发

前述DevSecOps已是Gartner提的新技术，ShiftLeft无疑是紧扣该题，克服了传统的SAST误报率高、耗时多等问题，静态分析时使用CPG创建了代码的多层三维表示，具有很强的洞察力，这使得开发人员可充分了解应用程序每个版本执行的内容及可能带来的风险；动态监测时使用RSAP技术，检测恶意行为的准确率更高；另外还有漏洞发现的能力。整个方案覆盖了开发和运营，比较完整，使用的技术也有一定创新性。

技术创新性：++++

技术难点：++++

评委问答highlight：inline patching有误报的挑战，不能自动发现业务后门，用cfg建立映射，用户来做调整

• 【RSA2019创新沙盒】Arkose Labs：基于客户遥感和图像编排人机识别的高置信度反欺诈机制

• 【RSA2019创新沙盒】ShiftLeft：面向软件开发生命周期的持续性安全防护

• 【RSA2019创新沙盒】Salt Security：探测与防御API攻击的解决方案及平台

• 【RSA2019创新沙盒】Eclypsium：专注设备底层固件的安全防护

• 【RSA2019创新沙盒】Capsule8：混合环境中的实时0day攻击检测、朔源和响应平台

• 【RSA2019创新沙盒】Axonius：融合多方系统的插件化资产管理

• 【RSA2019创新沙盒】WireWheel：基于SaaS的企业数据隐私协同保护平台

• 【RSA2019创新沙盒】Duality：基于同态加密的数据分析和隐私保护方案

• 【RSA2019创新沙盒】CloudKnox：用于混合云环境中的身份授权管理平台

• 【RSA2019创新沙盒】DisruptOps：面向敏捷开发的多云管理平台

声明：本文来自绿盟科技研究通讯，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。