掐指一算，RSA 2019 信息安全大會要來了。

今年的 RSA 大會于北京時間3月5日凌晨，在美國舊金山拉開帷幕（編輯朋友圈已經(jīng)出現(xiàn)了不少舊金山打卡）。經(jīng)過十余年的發(fā)展，RSA會議已經(jīng)成為全世界安全行業(yè)的一個重要風向標，每年在RSA上展露頭腳的技術、產品、公司都會在今后的時間里成為行業(yè)、用戶、投資方、媒體所關注的焦點，其中尤以創(chuàng)新沙盒為甚。

進入 RSAC 創(chuàng)新沙盒比賽十強的公司都是安全行業(yè)中最大膽的創(chuàng)新者。在過去五年中，前十名決賽選手已經(jīng)獲得20.5億美元以上的投資。

在這里，雷鋒網(wǎng)聯(lián)合小伙伴綠盟科技匯總了一波top10的相關介紹、產品信息和產品優(yōu)勢（當然也有質疑），接下來就看各位能不能猜中最終贏家了。

Arkose Labs

領域：金融欺詐防御

官網(wǎng)：http://www.arkoselabs.com

Arkose Labs 成立于2015年，公司位于舊金山，主要為全球大型機構提供網(wǎng)絡防欺詐服務，客戶行業(yè)包括電商、旅游、金融、社交媒體與網(wǎng)絡游戲等。該公司通過極具創(chuàng)新性的全球遙感技術、用戶行為風險評估技術和專利保護服務，幫助用戶解決網(wǎng)絡欺詐難題，規(guī)避每年上百萬的經(jīng)濟損失。Arkose Labs號稱能夠在不影響用戶體驗和業(yè)務開展的情況下，可事先阻斷欺詐和濫用行為。

當前一些主流的在線欺詐檢測工具都是基于行為分析或風險評分的機制，這些方法都存在固有的不足。這些工具通過對收集到的大量數(shù)據(jù)進行分析，并通過監(jiān)控用戶行為的方式來對每個用戶進行風險評分。但是這些風險評分機制通常給出的是一種概率，很少能給出一個確定的好壞判定。同時，當前欺詐檢測工具大都是基于一些先驗證知識的事后檢測。

和其他的安全產品一樣，這些工具確實能有效地防御一些并不復雜的攻擊，但是對于一些具有強烈商業(yè)目的的高級欺詐來說，攻擊者會不斷的更新技術以繞過這些簡單風險分析手段。此外，當前的在線欺詐檢測方法無法給出明確的判定，主要是因為無法在保證不影響合法用戶的前提下檢測出惡意用戶。

 

【當前欺詐檢測方法】

當前的欺詐和濫用行為檢測機制只是以緩解為目標, 無法做到完全精準。因為它們預先設定了一些基本的假設，這些假設表示人們對欺詐的一些先驗知識，比如哪些用戶登錄行為有可能是非本人等。而基于這些假設的檢測方法，一方面很難在實際的應用中真正地區(qū)分人和機器，另一方面這些基本的假設通常是以單一目的（性能或準確率），過度的強調單一目標會影響欺詐防御的整體效率。

針對上述基于行為分析和風險評分的方法的缺點，Arkose Labs采用了一種“遙感節(jié)點-決策引擎（Enforcement）”的雙邊人機識別方式，將分布在全球的遙測節(jié)點檢測技術與決策引擎用可疑數(shù)據(jù)挑戰(zhàn)遙感節(jié)點結合起來，可以在不影響用戶體驗和業(yè)務開展的情況下事先阻斷欺詐和濫用行為。

從技術角度上來看，Arkose Labs確實做了一定的技術創(chuàng)新，并應用到了多個產品中：

第一是人機識別技術，當前已經(jīng)的方法都無法做到絕對的準確，均是以減少識別誤差為目的的，而Arkose Labs宣稱它提出的一個完全安全可靠的識別技術，可以很準確的識別出人機。（當然，這里沒有看到詳細的技術內容，如果真能達到的話那么在技術上有了很大的創(chuàng)新。）

第二在動態(tài)識別上，基于商業(yè)目的攻擊者的技術手段也會更新，針對這個問題，Arkose Labs提出了一套便于實現(xiàn)的3D圖像轉換的人機驗證機制，這大大地增加了攻擊者的攻擊難度。

第三，Arkose Labs注重在線提供一種不影響用戶體驗的服務，這從用戶使用角度來說是一個很好的方法。作為業(yè)務安全問題，Arkose Labs的欺詐防御技術是企業(yè)的剛需，而且其商業(yè)價值是可以直接衡量的，但是對于僅基于這種雙邊方法實現(xiàn)100%的服務級反欺詐防御是存疑的。

作為一種欺詐防御方法，Arkose Labs的技術已經(jīng)應用到如下領域：

 【Arkose Labs的技術的應用領域】

AXONIUS

領域：網(wǎng)絡安全資產管理

官網(wǎng)：http://www.axonius.com

Axonius 成立于2017年1月，并于2019年2月5日獲得了1300萬美元A輪融資。其是一家做網(wǎng)絡安全資產管理平臺（cybersecurity asset management platform）的公司，該平臺主要功能是對用戶的設備進行管理，包括資產管理、應用管理和補丁管理等。

目前隨著物聯(lián)網(wǎng)和移動辦公的發(fā)展，大量的手機、電腦以及智能設備進入了企業(yè)網(wǎng)絡中，顯然這么多的設備還是沒辦法統(tǒng)一進行管理。目前的方法大都是基于資產、身份、網(wǎng)絡等信息管理設備，每個系統(tǒng)（如終端安全：EPP、EDR，網(wǎng)絡安全：漏掃、NGFW，虛擬化平臺）都有自己的資產管理功能，但由于限于某個細分領域故而資產庫不全，彼此沒有互動形成豎井（Silo），因而安全團隊沒有辦法給出各個系統(tǒng)的資產之間的交叉聯(lián)系，也無法整合這些系統(tǒng)的知識完善資產屬性。

Axonius的網(wǎng)絡安全資產管理平臺，為每個設備提供一個管理的頁面（包括多輸入源融合的資產管理、補丁管理、動態(tài)設備發(fā)現(xiàn)和策略執(zhí)行管理），可通過使用適配器通過API與現(xiàn)有系統(tǒng)連接，為每個設備創(chuàng)建唯一標識和配置文件，最后可通過插件實現(xiàn)跨設備的動作執(zhí)行。

具體產品特點如下：

完整的資產發(fā)現(xiàn)和管理；

將多個第三方系統(tǒng)發(fā)現(xiàn)的資產進行融合，得到環(huán)境中完整、一致的資產數(shù)據(jù)庫，向SOC提供完整的資產信息。此外，對第三方系統(tǒng)的資產列表做對比，可及時發(fā)現(xiàn)某個系統(tǒng)未關注或未管理（Unmanaged）的資產，提高整個環(huán)境中的資產可視度。同時也借助第三方系統(tǒng)的更新通知，及時對資產變更進行相應的處置，調整訪問策略。

可擴展的插件架構與統(tǒng)一視圖管理；

將客戶現(xiàn)有的管理和安全技術集成到Axonius資產安全管理中，使用可擴展的插件架構，讓用戶能自己添加自定義的邏輯，并且用戶可以獲得所有設備的統(tǒng)一的界面——包括已知和未知的設備。

支持對物聯(lián)網(wǎng)設備管理；

BYOD設備的可見性；

雖然BYOD的模式方便了日常工作，但模糊了家庭和工作之間的界限。企業(yè)的員工擁有多設備，并且不斷增加更多設備，這些設備是異構、復雜，且很多是非可管理的。Axonius管理平臺可以告訴你這些設備何時連接和訪問資源，尤其是當這些設備不做任何的安全防護時。 

【Axonius可集成的安全方案】

Axonius的網(wǎng)絡安全資產管理平臺對現(xiàn)有安全管理平臺的整合確實是一種資產管理的解決思路，但如果企業(yè)中的管理及安全技術不能被Axonius集成，或是在網(wǎng)絡復雜且此前沒有對資產進行管理的企業(yè)中，Axonius的如何對資產進行管理呢？

所以資產管理單做集成是不夠的，還需要建立多場景下的資產識別管理模型，從更底層做起，減少對環(huán)境的依賴，或者添加采集控制節(jié)點形成閉環(huán)，不然Axonius的獨立發(fā)展空間還是十分有限。

此外，僅從官網(wǎng)資料看，Axonius的資產管理、補丁管理、對各個平臺兼容等功能，并不是顛覆性的創(chuàng)新，國內已經(jīng)有一些安全公司在這些方面都做的比較好了，從技術實現(xiàn)上來看，只是可視化和API的編寫集成，不具有一定技術壁壘，很容易其他的資產安全管理平臺公司復制并超越，也可能是Axonius面臨的問題。

CAPSULE8——混合環(huán)境中的實時0day攻擊檢測、朔源和響應平臺

領域：Linux中的攻擊檢測與響應等

官網(wǎng)：http://capsule8.com

Capsule8是一家由經(jīng)驗豐富的黑客和安全企業(yè)家創(chuàng)建的高新科技初創(chuàng)型企業(yè)，總部位于紐約布魯克林，成立于2016年秋季，在2018年8月獲得1500萬美元的B輪融資。

混合云架構已經(jīng)成為企業(yè) IT 基礎設施的重要架構，但由于存在多云服務商，缺乏中心控制和完整的合規(guī)性規(guī)劃，存在邊界模糊，訪問策略不一致等問題，加上公有云的暴露面增大，攻擊者容易通過進入薄弱點，進而借助利用 0day 漏洞。如在容器環(huán)境中利用逃逸漏洞（近日爆出在特權容器中逃逸的runc漏洞CVE-2019-5736），或虛擬化環(huán)境中的利用CPU漏洞Meltdown/Spectre等，進入宿主機，進而橫向到企業(yè)的云內或企業(yè)側網(wǎng)絡，造成更大的威脅。

此外，傳統(tǒng)的攻擊檢測平臺的工作機制通常是分析網(wǎng)絡和安全設備（如入侵檢測系統(tǒng)）的大量日志告警，進行關聯(lián)分析，最后還原出惡意攻擊。然而多年來，設備日志告警的置信度不高等問題導致絕大多數(shù)平臺告警是誤報，也造成了企業(yè)的安全團隊持續(xù)處于警報疲勞的狀態(tài)。

為此，該公司推出的0day攻擊實時檢測平臺Capsule8，在發(fā)生攻擊時通過自動檢測和關閉正在利用漏洞的惡意網(wǎng)絡連接，從而大規(guī)模減少安全操作的工作量，而且不會給生產基礎架構帶來風險。

Capsules8平臺整體架構圖如下所示：

① Capsule8 OSS傳感器，即Capsule8工作負載保護平臺的探針，是許多威脅檢測機制的基礎。傳感器旨在收集系統(tǒng)安全和性能數(shù)據(jù)，對服務的影響很小，它能夠實時了解到生產環(huán)境正在做什么；

② Backplane，包含一個實時消息總線，可以獲取到傳感器傳來的實時事件以及Flight Recorder記錄的歷史事件，它實現(xiàn)了背壓從而確保了平臺不會因為過多的Capsule8遙測事件而導致網(wǎng)絡洪水事件；

③ The Capsule8 API server，提供了統(tǒng)一的接口，允許企業(yè)管理生產環(huán)境中基礎設施架構所有跟安全相關的數(shù)據(jù)；

④ Capsulators封裝了連接客戶端軟件的API,通過它企業(yè)可以快速集成實現(xiàn)特定功能的軟件如Splunk和Hadoop，方便企業(yè)進行數(shù)據(jù)分析。通過Capsulators企業(yè)不僅可以實時感知集群信息，還可以通過Flight Recorders獲得歷史數(shù)據(jù)，依據(jù)IOC（Indicators of Compromise，包括MD5 hash、IP地址硬編碼、注冊表等），從而實現(xiàn)追溯調查；

⑤ 第三方工具，如Splunk和Spark等；

⑥ Capsule8 Console，前端可視化界面。

假設客戶生產環(huán)境是一個混合云環(huán)境，服務器部署于客戶側數(shù)據(jù)中心、公有云AWS和Azure中。Capsule8 如何實時檢測并阻止 0day 攻擊？整個工作流程主要分四步：

1.  感知。為了保護分布式環(huán)境，Capsule8傳感器遍布在整個基礎架構中-云環(huán)境和數(shù)據(jù)中心的裸機以及容器上。由于傳感器運行在用戶空間，捕獲少量的安全關鍵數(shù)據(jù)，故不會對系統(tǒng)工作負載的穩(wěn)定性和性能造成影響。

2. 檢測。感知階段收集到的關鍵數(shù)據(jù)通過Capsule8 Backplane傳送到企業(yè)側臨近位置的Capsule8 Detect分析引擎，利用云端專家的知識庫將數(shù)據(jù)還原成事件，并對可疑事件進行分析。

3. 阻斷。當Capsule8檢測到攻擊時，它可以在攻擊發(fā)生之前自動關閉連接，重啟工作負載或者立即警告安全團隊。

4. 調查。由于0day攻擊持續(xù)事件較長，所以除了實時檢測外，Capsule8會在本地記錄遙測數(shù)據(jù)，便于專家利用歷史數(shù)據(jù)進行攻擊朔源。

隨著企業(yè)尋求基礎設施現(xiàn)代化，DevSecOps的落地在現(xiàn)代混合云環(huán)境下就顯得尤為重要。Capsule8可以無縫的集成到企業(yè)的Linux基礎架構中，并在企業(yè)的整個平臺上提供持續(xù)的安全響應。此外，它不是SaaS解決方案，它是與用戶的IT基礎設施一起部署。因此，數(shù)據(jù)完全保存在客戶環(huán)境，消除了第三方傳播、刪除或損壞數(shù)據(jù)的風險，從而給企業(yè)帶來更好的安全新體驗。

CloudKnox

領域：混合云環(huán)境中的身份權限管理

官網(wǎng)：http://cloudknox.io

CloudKnox是一家位于美國加利福尼亞州森尼韋爾的初創(chuàng)高科技公司，成立于2015年9月。公司已經(jīng)完成A輪融資，累計融資1075萬美元。該公司提供一個云安全平臺（CloudKnox Security Platform），用于混合云環(huán)境中的身份授權管理（Identity Authorization Administration，IAA），以降低憑據(jù)丟失、誤操作和惡意的內部人員所帶來的風險。

目前該平臺已經(jīng)支持主流的云計算環(huán)境，如Microsoft Azure、VMWare vSphere、Amazon Web Services、Google Cloud等。

CloudKnox Security Platform有五大關鍵能力：

1. 對于身份、權限、活動和資源的可視化和洞察力；

2.  對身份進行基于活動的授權（Activity-based authorization），授權對象包括服務賬戶、API keys、第三方合作伙伴等；

3. JEP（Just Enough Privileges）控制器可自動調整用戶的權限，從而降低高權限用戶所帶來的風險；

4. 在混合云環(huán)境中進行異常檢測和身份活動分析；

5. 提供高質量的活動數(shù)據(jù)用于合規(guī)性報告，提供強大的查詢接口用于調查問題。

傳統(tǒng)的權限管理具有固定、不持續(xù)的特點，容易造成管理和運營的脫節(jié)。通過分析，CloudKnox的思路是一個用戶具備某個權限，但是平時又不使用這個權限，則可以認為這個用戶不具備這個權限并予以撤銷。這其實也是對最小特權原理的一種實現(xiàn)方式。CloudKnox所提出的JEP，本質上也就是最小特權原理，但這種運行時進行閉環(huán)式的評估，比傳統(tǒng)的權限管理更有實用性和更好的用戶體驗。

但實際環(huán)境中，身份、權限關系復雜，即便一些權限一直未使用，在某一刻也有可能需要使用。這一刻有可能對應憑據(jù)丟失、誤操作和惡意的內部人員的操作，但也有可能是正常用戶的需要。雖然管理員可以對已經(jīng)撤銷的權限進行再次授權，但從用戶需要這一權限到管理員進行核實確認并授權中間會有一定的時間間隔，而這一間隔，有可能使得一些關鍵業(yè)務響應不夠及時。另外，當身份、權限眾多時，管理員的工作量有可能很大。這些問題從CloudKnox的公開資料中暫未看到相關描述。但總的來說，通過對用戶的實際未使用權限進行限制，確實可以有效降低憑據(jù)丟失、誤操作和惡意的內部人員所帶來的風險。

DisruptOps, Inc.

領域：云安全

官網(wǎng)：http://disruptops.com

DisruptOps Inc.成立于2014年，位于密蘇里州堪薩斯城，該公司致力于通過為多云基礎設施提供自動化的防護來提升云操作的安全性，實現(xiàn)對云基礎設施的持續(xù)檢測和控制。2018年10月，公司獲得了由Rally Ventures領投的250萬美元的種子輪融資。

近年來，公有云在國外得到快速發(fā)展，大量中小公司開始積極擁抱云計算。然而，公有云服務商的技術能力、安全水平始終成為客戶上云的最大顧慮。

在這樣的背景下，多云（Multi-Cloud）架構成為云計算IT架構的下一個飛躍，在多云架構下，用戶同時使用多個公有云提供商和內部私有云資源來實現(xiàn)業(yè)務目標?？捎行岣吖性苹A設施可用性，且降低廠商鎖定（Vendor Lock-in）的風險。

然而，管理多個云環(huán)境的運營團隊面臨大規(guī)模和復雜的云環(huán)境，將很快導致運營成本不斷上升；此外，敏捷開發(fā)也為越來越多的開發(fā)團隊所親睞，云中開發(fā)、運營復用的系統(tǒng)將越來越多，DevOps將成為新的云應用常態(tài)，那么不同環(huán)境中的配置不一致會導致安全風險的顯著增加。常見錯誤包括存儲系統(tǒng)的數(shù)據(jù)被非授權訪問、錯誤配置的安全組導致的內部網(wǎng)絡可被外部訪問，以及過度分配的資源所導致的資金浪費。例如2017年曝光的美國陸軍及NSA情報平臺將絕密文件放在可公開訪問的Amazon S3存儲桶中，這個錯誤配置的S3存儲桶，只要輸入正確的URL，任何人都能看到AWS子域名“inscom”上存儲的內容。這包含有47個文件和目錄，其中3個甚至可以任意下載。

如果通過手動操作的方式來應對這些挑戰(zhàn)，效率低下且無效。DisruptOps通過實施可自定義的最佳實踐庫來確保一致性和安全性，從而使DevOps團隊能夠快速無風險地遷移，從而實現(xiàn)云管理的自動化。

該公司推出的基于SaaS的云管理平臺，實現(xiàn)對云基礎設施的自動控制。通過持續(xù)評估和執(zhí)行安全、運營和經(jīng)濟的防護欄，企業(yè)可以在保持運營控制的同時，可以安全的享受云計算提供的靈活性，速度和創(chuàng)新等好處。 

安全防護欄（Security Guardrail）

DevOps的模式促使開發(fā)團隊和運營團隊能夠更快地行動、更快地部署和更快地適應。因此，安全問題不能妨礙或減慢整個DevOps進程。安全防護欄會自動執(zhí)行安全最佳實踐，不僅可以發(fā)現(xiàn)錯誤配置和攻擊，而且通?？梢栽诎l(fā)現(xiàn)問題之前修復它們。這樣使得DevOps團隊能夠在沒有風險的情況下快速執(zhí)行。

具體包括：

1. 身份管理。確保身份策略在整個云中保持一致，從而消除過多的權限問題。監(jiān)控。

2. 確保在多個帳戶中一致的設置日志記錄和告警，確保所有云活動的完全可見。

3. 網(wǎng)絡安全。管理適當?shù)木W(wǎng)絡訪問策略，確保正確配置安全組以最小化攻擊面。

4. 存儲安全。確保通過自動執(zhí)行基于策略的標記、訪問和加密規(guī)則來保護存儲的關鍵數(shù)據(jù)。

運營防護欄（Operations Guardrail）

成熟的云組織在其所有云環(huán)境中實施共享服務，包括監(jiān)控/日志記錄、IAM和備份等。運營防護欄可以實現(xiàn)這些共享服務的最佳操作實踐，而不需要腳本或任何其它本地的解決方案。

經(jīng)濟防護欄（Economic Guardrail）

通常，開發(fā)團隊會將更多的精力致力于如何更好的構建并快速的部署相關的應用。然而，卻很少會有明確的意識，在資源不使用時主動的去關閉它們，這樣就會造成云成本的失控。經(jīng)濟防護欄使用預先構建的策略，自動化的關閉不需要的云資源，在不影響開發(fā)人員效率或需要本地腳本的情況下節(jié)省用戶的資金。

多云和敏捷開發(fā)是云計算的熱點，DisruptOps以SaaS化的服務方式，通過對用戶的多個云資源進行安全與操作問題的快速檢測并自動修復，一方面節(jié)省了客戶上云的成本，另一方面實現(xiàn)對云基礎架構的持續(xù)安全控制，在安全、運營和成本等方面，給用戶帶來最大的收益。此外，借助自動化和服務編排的技術，推動云原生應用和DevSecOps的落地。

Duality Technologies

領域：隱私與IP保護 / 數(shù)據(jù)安全

官網(wǎng)：duality.cloud

Duality Technologies成立于2016年，總部位于美國馬薩諸塞州劍橋市，由著名的密碼專家和數(shù)據(jù)科學家聯(lián)合創(chuàng)立。公司致力于研究大數(shù)據(jù)/云環(huán)境下的數(shù)據(jù)安全與隱私保護技術，為企業(yè)組織提供了一個安全的數(shù)字協(xié)作平臺，目前在美國和以色列開展業(yè)務。目前獲得了由Team8領導的400萬美元投資。

隨著云計算和大數(shù)據(jù)技術的發(fā)展，越來越多的數(shù)據(jù)在第三方平臺進行存儲和計算。在云端實現(xiàn)數(shù)據(jù)處理的同時，如何保證數(shù)據(jù)的安全性是客戶的一個普遍訴求。

Duality公司的SecurePlus?平臺基于自主研發(fā)的同態(tài)加密先進技術，提供了不一樣的解決思路。提供的三種實際業(yè)務場景（安全數(shù)據(jù)分析 、機器學習模型的版權保護、數(shù)據(jù)共享的隱私保護），抓住了客戶的痛點，實現(xiàn)了“maximizing data utility, minimizing risk”，在第三方平臺進行機器學習和數(shù)據(jù)挖掘任務同時，可以保證數(shù)據(jù)不會被泄露。

基于同態(tài)加密的機器學習是指在加密數(shù)據(jù)上實現(xiàn)機器學習任務，如分類和聚類等，是近年來新的學術研究熱點。它可以分為加密神經(jīng)網(wǎng)絡、加密KNN、加密決策樹和加密支持向量機等算法。猜測Duality公司在方案實現(xiàn)上吸收和借鑒了這些已公開的研究成果。目前面臨一些問題與挑戰(zhàn)是：

1. 如何在保證數(shù)據(jù)安全的前提下選擇合適的同態(tài)加密方案來實現(xiàn)不同的數(shù)據(jù)分析；

2. 如何解決全同態(tài)加密方案中存在的噪聲、運算復雜和運算效率低等問題；

3. 如何在確保算法安全性的前提下，使加密機器學習算法的準確度在可接受范圍內。
   

Eclypsium

領域：硬件與固件安全

官網(wǎng)：http://eclypsium.com

Eclypsium 公司專注于服務器、筆記本電腦和網(wǎng)絡設備（交換機、路由器等）的固件層的檢測和防護。至今為止，該公司已經(jīng)完成A輪融資，累計融資1105萬美元。公司成員中，Yuriy Bulygin曾在英特爾工作11年（高級工程師），在McAfee工作了兩個月（CTO）。Alex Bazhaniuk和John Loucaides也來自英特爾，在此之前，這三位均負責英特爾的硬件、固件安全。Ron Talwalkar在McAfee工作了11年，作為終端安全業(yè)務部產品管理高級總監(jiān)，負責英特爾安全相關的業(yè)務。所以，該公司熟知采用英特爾處理器的設備在硬件和固件上的安全現(xiàn)狀。

隨著網(wǎng)絡產品的普及，個人電腦、服務器、網(wǎng)絡設備的數(shù)量在急劇增長。設備底層的固件也在不斷地迭代，從BIOS到EFI再到UEFI，這些設備的底層固件的安全話題也一直是網(wǎng)絡安全領域的熱點。

Eclypsium專注于企業(yè)內部計算機類設備的固件層的安全防護，其特點非常明顯：在固件層做設備風險管理。固件的能力涉及對主板和與主板連接的外圍設備的初始化、網(wǎng)絡管理、內存管理、操作系統(tǒng)引導等。換句話說，該程序具備讀取、更改設備硬件狀態(tài)的能力，設備權限很高。這種狀態(tài)下的代碼一旦被更改，設備的運行狀態(tài)也就被篡改了。該公司研究人員也是利用了該代碼管理設備風險。

風險管理的能力主要涉及4個方面：漏洞掃描、固件升級管理、防篡改（尤其是后門檢測）、未知攻擊檢測、配置檢查。

除了固件保護平臺之外，該公司深入研究了UEFI固件中的安全問題，除了UEFI和BIOS這類固件之外，該公司在BMC（Baseboard Management Controller）方面也具備豐富的安全研究積累。

從研究的角度看，該公司成員在底層固件的研究上非常深入。但是觀其產品，漏洞掃描、固件升級、防篡改這類技術已經(jīng)非常成熟，亮點較少。比較新穎的功能是未知攻擊的檢測?？梢韵氲降乃悸肥峭ㄟ^硬件設備相關的日志來捕獲，但是這需要看UEFI這類底層固件中是否有日志，量是否足夠大，以滿足較長時間段內的設備行為檢測、外部接口訪問的檢測等，并需要對UEFI固件做一定的更改。該公司的成員在這方面比較擅長，問題在于，如果該團隊研發(fā)了一個UEFI固件，客戶是否有一個必須使用該固件和平臺的理由，來滿足企業(yè)內設備的安全需求？很明顯，現(xiàn)在缺少一個理由說服客戶必須用該平臺，以保證設備足夠安全。

好在公司有了1000萬美元的融資，能支持其一段時間的研究、研發(fā)、運營等，這段時間內能否開發(fā)出客戶必須使用的底層固件和配套的平臺，尚未可知。一旦提供了一個必須使用Eclypsium的平臺的理由，該平臺的盈利也將相當可觀，畢竟亞馬遜、阿里巴巴、騰訊等企業(yè)的服務器的數(shù)量加起來也有數(shù)百萬臺。

Salt Security

領域：API接口安全

官網(wǎng)：https://salt.security

Salt Security是一家起源于以色列的安全服務公司，公司于2016年成立，總部設在硅谷和以色列，創(chuàng)始人有以色列國防軍校友、網(wǎng)絡安全領域專家等。該公司致力于為軟件即服務（SaaS）平臺、Web平臺、移動端、微服務和物聯(lián)網(wǎng)應用程序的核心API提供保護解決方案。

隨著互聯(lián)網(wǎng)應用的多元化復雜化，應用服務化成為顯著的趨勢，越來越多場景中的應用架構中采用應用編程接口（API）作為應用間數(shù)據(jù)傳輸和控制流程。同時API接口負責傳輸數(shù)據(jù)的數(shù)據(jù)量以及敏感性也在增加。因此針對API的攻擊已經(jīng)變得越來越頻繁和復雜，成為當今不少公司的頭號安全威脅。在過去的幾年時間里，市場上已經(jīng)看到了API面臨的風險和攻擊的巨大增長，不僅出現(xiàn)了FaceBook、T-Mobile等公司的API違規(guī)事件，也出現(xiàn)了美國郵政服務（USPS）和Google+的最新漏洞泄露事件。

API是架構師設計，并由開發(fā)者實現(xiàn)，每個API都是唯一的，具有各自的邏輯，因而產生的漏洞也沒有統(tǒng)一的模式。目前傳統(tǒng)API安全解決方案僅關注已知的攻擊類型，缺乏對API的細粒度理解，忽略針對API邏輯的攻擊。

2018年Salt Security推出了業(yè)界首個探測與防御API攻擊的解決方案，以確保SaaS、Web、移動端、微服務和物聯(lián)網(wǎng)等應用的安全。Salt Security的API安全防護平臺能夠在攻擊者成功入侵關鍵業(yè)務應用程序和竊取敏感數(shù)據(jù)之前，檢測并阻斷威脅。

Salt Security的API防護平臺分三個階段運行：

檢測階段：Salt Security防護平臺會自動并持續(xù)的監(jiān)控環(huán)境中所有API，當環(huán)境發(fā)生變化時防護平臺通過自動探測捕獲到API的變化，以便后續(xù)分析API背后的風險。通過洞察API環(huán)境中流動的數(shù)據(jù)來識別其中的敏感數(shù)據(jù)，便于評估敏感數(shù)據(jù)潛在的暴露風險。防護平臺跟蹤并驗證API更新后的最新狀態(tài)，確認所有的API都滿足安全需求。

防護階段：Salt Security防護平臺不僅對安全堆棧中現(xiàn)有的漏洞進行檢測，而且能針對API邏輯攻擊提供實時保護機制。防護平臺使用人工智能（AI）技術和大數(shù)據(jù)技術，基于API的細粒度合法行為建立API正常行為基線，實時對API行為進行監(jiān)控，一旦檢測到API活動中出現(xiàn)偏離基線的行為即作為可疑惡意行為進行API攻擊行為評估，該API防護平臺可以在攻擊者的偵察階段實時防止API攻擊的發(fā)生。

補救階段：通過防護階段對攻擊者行為的快速評估結果，補救階段自動化相應威脅并對攻擊者的惡意活動進行阻斷。為了向安全團隊提供有價值的情報，防護平臺向開發(fā)人員提供API源代碼相關漏洞信息，以便從根源上阻止API攻擊進而提高API安全性。

下圖是API防護平臺經(jīng)過三個階段為安全人員提供的API攻擊行為信息。 

Salt Security的API防護平臺的創(chuàng)新之處在于利用API細粒度正常行為構建行為基線，監(jiān)控API活動和流動的數(shù)據(jù)以確保API行為沒有偏離正?；€而且隱私數(shù)據(jù)不會被泄露。這種結合AI和大數(shù)據(jù)技術的解決方案能夠動態(tài)監(jiān)控API安全做到API的實時防護。

但也有顧慮是部署其防護平臺的公司是否需要向Salt Security暴露部分API交互過程中的數(shù)據(jù)以做到更好地建立API行為基線，這一點沒有在其落地的產品中看到有關的解釋。

ShiftLeft

領域：應用安全

官網(wǎng)：http://www.shiftleft.io

ShiftLeft公司，成立于2016年，總部位于美國加利福尼亞州圣克拉拉市。該公司致力于將應用的靜態(tài)防護和運行時防護與應用開發(fā)自動化工作流相結合以提升軟件開發(fā)生命周期中的安全性。公司創(chuàng)始人Manish Gupta曾在FireEye、Cisco、McAfee等公司任重要職位。ShiftLeft在2019年2月獲得了2000萬美元的新一輪融資，總資金達到2930萬美元。

在軟件開發(fā)生命周期中，傳統(tǒng)的安全防護都是人工在代碼版本發(fā)布后通過執(zhí)行相應腳本檢測漏洞信息，之后再將漏洞信息提交至公司的漏洞管理平臺或人工去做處理的。

這樣做有幾個缺點，首先執(zhí)行腳本通常誤報率高，處理誤報的漏洞無疑增加了人工成本，也非常耗時；其次檢測漏洞的腳本非常多樣化缺乏統(tǒng)一標準，也增加了人工維護的成本；最后檢測和處理漏洞通?；ㄙM時間長達數(shù)小時或數(shù)天且準確率難以保障。

隨著技術和開發(fā)模式的不斷更新?lián)Q代，敏捷開發(fā)如DevOps、CI/CD等的出現(xiàn)解決了軟件開發(fā)生命周期自動化的問題，很多企業(yè)在研究如何在整個過程保證安全性，即近年來很熱的DevSecOps。但要實現(xiàn)DevSecOps的安全（Sec）部分還需要有公司提供相應的安全能力。

Shiftleft 將下一代靜態(tài)代碼分析與應用開發(fā)自動化工作流中涉及的安全工具（SAST、IAST、RASP）相結合，利用CPG技術讓漏洞檢測的檢出率和誤報率均得到了有效提升并且從漏洞檢測、靜態(tài)防護、運行時防護、自定制查詢漏洞等多方面對軟件開發(fā)生命周期進行安全防護從而實現(xiàn)了DevSecOps的落地，給大部分用戶帶來了收益。

從技術角度而言， ShiftLeft產品的創(chuàng)新度高，完成度也相對較高，且與DevOps、CI/CD的有力結合可以很大程度上提升其產品的競爭力。

從市場角度而言，ShiftLeft憑借實力在近期又獲得了新一輪融資，其又可以招納各路專家擴展其業(yè)務和專業(yè)知識，從而加快公司業(yè)務發(fā)展。

Wirewheel

領域：個人隱私保護與數(shù)據(jù)安全

官網(wǎng)：http://wirewheel.io

WireWheel成立于2016年，總部位于華盛頓，該公司致力于降低數(shù)據(jù)隱私保護合規(guī)能力建設的難度，幫助企業(yè)來應對復雜、嚴厲的法案、條例規(guī)定。2018年10月，公司獲得了PSP Growth領投的1000萬美元的A輪融資。

隱私保護、數(shù)據(jù)安全已成為企業(yè)安全能力建設的重要環(huán)節(jié)，然而，在復雜的IT系統(tǒng)環(huán)境下加強數(shù)據(jù)隱私保護，對傳統(tǒng)的數(shù)據(jù)防泄密技術及產品是非常大的挑戰(zhàn)，也給企業(yè)的數(shù)據(jù)管理增加沉重的負擔。

大型企業(yè)內部網(wǎng)絡環(huán)境、數(shù)據(jù)存儲架構復雜，數(shù)據(jù)隱私保護依賴數(shù)據(jù)發(fā)現(xiàn)、管理、分類等多環(huán)節(jié)的技術支撐；多部門數(shù)據(jù)協(xié)作共享，需通過數(shù)據(jù)的關聯(lián)、聚合分析才能更合理的發(fā)現(xiàn)隱私泄露隱患；與合作伙伴或供應商等第三方企業(yè)的數(shù)據(jù)共享環(huán)節(jié)，數(shù)據(jù)的管理、隱私策略的配置尤為關鍵。特別是面對GDPR針對應用使用用戶隱私數(shù)據(jù)的權限管理，以及數(shù)據(jù)流動過程中的合規(guī)問題，在復雜的企業(yè)多部門協(xié)同和跨企業(yè)的供應鏈數(shù)據(jù)流管理方面，存在巨大的合規(guī)性挑戰(zhàn)。

應對這些挑戰(zhàn)需要專業(yè)的、自動化的管理流程和技術方案的支持。WireWheel公司提供的基于SaaS的數(shù)據(jù)隱私保護平臺，能夠滿足企業(yè)隱私影響評估（Privacy Impact Assessments, PIAs）、數(shù)據(jù)保護影響評估（Data Protection Impact Assessments, DPIAs）、供應商評估等多方面需求。其數(shù)據(jù)隱私保護平臺的主要包含以下主要功能：

隱私數(shù)據(jù)發(fā)現(xiàn)及分類（Data Discovery & Classification）；

發(fā)現(xiàn)并盤點個人信息，提供數(shù)據(jù)在組織中駐存、流動的可視化能力；在企業(yè)基礎設施、數(shù)據(jù)存儲及界面上集成隱私保護能力；支持識別、歸類和保護個人隱私數(shù)據(jù)。

流程映射（Process Mapping）；

支持云端資產發(fā)現(xiàn)，包括計算節(jié)點、存儲及serverless組件；包括內置的業(yè)務流程映射；能夠自動化識別并集成第三方流程。

任務計劃（Tasking）；

根據(jù)角色、業(yè)務類型、業(yè)務范圍制定任務計劃，促進和保障相關人員、業(yè)務按照計劃執(zhí)行行動。

隱私引擎（Privacy Engine）；

提供用戶友好的自助式隱私數(shù)據(jù)保護向導，降低隱私保護任務、操作相關步驟的行動難度。

結語

從2019年創(chuàng)新沙盒比賽十強企業(yè)的研究方向可以看出，未來3-5年網(wǎng)絡安全技術熱門趨勢將會是：金融欺詐防御、網(wǎng)絡安全資產管理平臺、Linux中的攻擊檢測、混合云環(huán)境中的身份權限管理、云安全、數(shù)據(jù)安全、硬件與固件安全、API接口安全、應用安全等。

但是，創(chuàng)新沙盒舉辦幾屆之后，各個新公司的產品在創(chuàng)新方面的吸引力可能會降低。在這樣的背景下，能否誕生一家大家都十分信服的企業(yè)，非常值得期待。你更看好哪家企業(yè)？為什么？歡迎留言討論。

本文由綠盟科技投稿，雷鋒網(wǎng)編輯。雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。