掐指一算，RSA 2019 信息安全大會要來了。

今年的 RSA 大會于北京時(shí)間3月5日凌晨，在美國舊金山拉開帷幕（編輯朋友圈已經(jīng)出現(xiàn)了不少舊金山打卡）。經(jīng)過十余年的發(fā)展，RSA會議已經(jīng)成為全世界安全行業(yè)的一個(gè)重要風(fēng)向標(biāo)，每年在RSA上展露頭腳的技術(shù)、產(chǎn)品、公司都會在今后的時(shí)間里成為行業(yè)、用戶、投資方、媒體所關(guān)注的焦點(diǎn)，其中尤以創(chuàng)新沙盒為甚。

進(jìn)入 RSAC 創(chuàng)新沙盒比賽十強(qiáng)的公司都是安全行業(yè)中最大膽的創(chuàng)新者。在過去五年中，前十名決賽選手已經(jīng)獲得20.5億美元以上的投資。

在這里，雷鋒網(wǎng)聯(lián)合小伙伴綠盟科技匯總了一波top10的相關(guān)介紹、產(chǎn)品信息和產(chǎn)品優(yōu)勢（當(dāng)然也有質(zhì)疑），接下來就看各位能不能猜中最終贏家了。

Arkose Labs

領(lǐng)域：金融欺詐防御

官網(wǎng)：http://www.arkoselabs.com

Arkose Labs 成立于2015年，公司位于舊金山，主要為全球大型機(jī)構(gòu)提供網(wǎng)絡(luò)防欺詐服務(wù)，客戶行業(yè)包括電商、旅游、金融、社交媒體與網(wǎng)絡(luò)游戲等。該公司通過極具創(chuàng)新性的全球遙感技術(shù)、用戶行為風(fēng)險(xiǎn)評估技術(shù)和專利保護(hù)服務(wù)，幫助用戶解決網(wǎng)絡(luò)欺詐難題，規(guī)避每年上百萬的經(jīng)濟(jì)損失。Arkose Labs號稱能夠在不影響用戶體驗(yàn)和業(yè)務(wù)開展的情況下，可事先阻斷欺詐和濫用行為。

當(dāng)前一些主流的在線欺詐檢測工具都是基于行為分析或風(fēng)險(xiǎn)評分的機(jī)制，這些方法都存在固有的不足。這些工具通過對收集到的大量數(shù)據(jù)進(jìn)行分析，并通過監(jiān)控用戶行為的方式來對每個(gè)用戶進(jìn)行風(fēng)險(xiǎn)評分。但是這些風(fēng)險(xiǎn)評分機(jī)制通常給出的是一種概率，很少能給出一個(gè)確定的好壞判定。同時(shí)，當(dāng)前欺詐檢測工具大都是基于一些先驗(yàn)證知識的事后檢測。

和其他的安全產(chǎn)品一樣，這些工具確實(shí)能有效地防御一些并不復(fù)雜的攻擊，但是對于一些具有強(qiáng)烈商業(yè)目的的高級欺詐來說，攻擊者會不斷的更新技術(shù)以繞過這些簡單風(fēng)險(xiǎn)分析手段。此外，當(dāng)前的在線欺詐檢測方法無法給出明確的判定，主要是因?yàn)闊o法在保證不影響合法用戶的前提下檢測出惡意用戶。

 

【當(dāng)前欺詐檢測方法】

當(dāng)前的欺詐和濫用行為檢測機(jī)制只是以緩解為目標(biāo), 無法做到完全精準(zhǔn)。因?yàn)樗鼈冾A(yù)先設(shè)定了一些基本的假設(shè)，這些假設(shè)表示人們對欺詐的一些先驗(yàn)知識，比如哪些用戶登錄行為有可能是非本人等。而基于這些假設(shè)的檢測方法，一方面很難在實(shí)際的應(yīng)用中真正地區(qū)分人和機(jī)器，另一方面這些基本的假設(shè)通常是以單一目的（性能或準(zhǔn)確率），過度的強(qiáng)調(diào)單一目標(biāo)會影響欺詐防御的整體效率。

針對上述基于行為分析和風(fēng)險(xiǎn)評分的方法的缺點(diǎn)，Arkose Labs采用了一種“遙感節(jié)點(diǎn)-決策引擎（Enforcement）”的雙邊人機(jī)識別方式，將分布在全球的遙測節(jié)點(diǎn)檢測技術(shù)與決策引擎用可疑數(shù)據(jù)挑戰(zhàn)遙感節(jié)點(diǎn)結(jié)合起來，可以在不影響用戶體驗(yàn)和業(yè)務(wù)開展的情況下事先阻斷欺詐和濫用行為。

從技術(shù)角度上來看，Arkose Labs確實(shí)做了一定的技術(shù)創(chuàng)新，并應(yīng)用到了多個(gè)產(chǎn)品中：

第一是人機(jī)識別技術(shù)，當(dāng)前已經(jīng)的方法都無法做到絕對的準(zhǔn)確，均是以減少識別誤差為目的的，而Arkose Labs宣稱它提出的一個(gè)完全安全可靠的識別技術(shù)，可以很準(zhǔn)確的識別出人機(jī)。（當(dāng)然，這里沒有看到詳細(xì)的技術(shù)內(nèi)容，如果真能達(dá)到的話那么在技術(shù)上有了很大的創(chuàng)新。）

第二在動態(tài)識別上，基于商業(yè)目的攻擊者的技術(shù)手段也會更新，針對這個(gè)問題，Arkose Labs提出了一套便于實(shí)現(xiàn)的3D圖像轉(zhuǎn)換的人機(jī)驗(yàn)證機(jī)制，這大大地增加了攻擊者的攻擊難度。

第三，Arkose Labs注重在線提供一種不影響用戶體驗(yàn)的服務(wù)，這從用戶使用角度來說是一個(gè)很好的方法。作為業(yè)務(wù)安全問題，Arkose Labs的欺詐防御技術(shù)是企業(yè)的剛需，而且其商業(yè)價(jià)值是可以直接衡量的，但是對于僅基于這種雙邊方法實(shí)現(xiàn)100%的服務(wù)級反欺詐防御是存疑的。

作為一種欺詐防御方法，Arkose Labs的技術(shù)已經(jīng)應(yīng)用到如下領(lǐng)域：

 【Arkose Labs的技術(shù)的應(yīng)用領(lǐng)域】

AXONIUS

領(lǐng)域：網(wǎng)絡(luò)安全資產(chǎn)管理

官網(wǎng)：http://www.axonius.com

Axonius 成立于2017年1月，并于2019年2月5日獲得了1300萬美元A輪融資。其是一家做網(wǎng)絡(luò)安全資產(chǎn)管理平臺（cybersecurity asset management platform）的公司，該平臺主要功能是對用戶的設(shè)備進(jìn)行管理，包括資產(chǎn)管理、應(yīng)用管理和補(bǔ)丁管理等。

目前隨著物聯(lián)網(wǎng)和移動辦公的發(fā)展，大量的手機(jī)、電腦以及智能設(shè)備進(jìn)入了企業(yè)網(wǎng)絡(luò)中，顯然這么多的設(shè)備還是沒辦法統(tǒng)一進(jìn)行管理。目前的方法大都是基于資產(chǎn)、身份、網(wǎng)絡(luò)等信息管理設(shè)備，每個(gè)系統(tǒng)（如終端安全：EPP、EDR，網(wǎng)絡(luò)安全：漏掃、NGFW，虛擬化平臺）都有自己的資產(chǎn)管理功能，但由于限于某個(gè)細(xì)分領(lǐng)域故而資產(chǎn)庫不全，彼此沒有互動形成豎井（Silo），因而安全團(tuán)隊(duì)沒有辦法給出各個(gè)系統(tǒng)的資產(chǎn)之間的交叉聯(lián)系，也無法整合這些系統(tǒng)的知識完善資產(chǎn)屬性。

Axonius的網(wǎng)絡(luò)安全資產(chǎn)管理平臺，為每個(gè)設(shè)備提供一個(gè)管理的頁面（包括多輸入源融合的資產(chǎn)管理、補(bǔ)丁管理、動態(tài)設(shè)備發(fā)現(xiàn)和策略執(zhí)行管理），可通過使用適配器通過API與現(xiàn)有系統(tǒng)連接，為每個(gè)設(shè)備創(chuàng)建唯一標(biāo)識和配置文件，最后可通過插件實(shí)現(xiàn)跨設(shè)備的動作執(zhí)行。

具體產(chǎn)品特點(diǎn)如下：

完整的資產(chǎn)發(fā)現(xiàn)和管理；

將多個(gè)第三方系統(tǒng)發(fā)現(xiàn)的資產(chǎn)進(jìn)行融合，得到環(huán)境中完整、一致的資產(chǎn)數(shù)據(jù)庫，向SOC提供完整的資產(chǎn)信息。此外，對第三方系統(tǒng)的資產(chǎn)列表做對比，可及時(shí)發(fā)現(xiàn)某個(gè)系統(tǒng)未關(guān)注或未管理（Unmanaged）的資產(chǎn)，提高整個(gè)環(huán)境中的資產(chǎn)可視度。同時(shí)也借助第三方系統(tǒng)的更新通知，及時(shí)對資產(chǎn)變更進(jìn)行相應(yīng)的處置，調(diào)整訪問策略。

可擴(kuò)展的插件架構(gòu)與統(tǒng)一視圖管理；

將客戶現(xiàn)有的管理和安全技術(shù)集成到Axonius資產(chǎn)安全管理中，使用可擴(kuò)展的插件架構(gòu)，讓用戶能自己添加自定義的邏輯，并且用戶可以獲得所有設(shè)備的統(tǒng)一的界面——包括已知和未知的設(shè)備。

支持對物聯(lián)網(wǎng)設(shè)備管理；

BYOD設(shè)備的可見性；

雖然BYOD的模式方便了日常工作，但模糊了家庭和工作之間的界限。企業(yè)的員工擁有多設(shè)備，并且不斷增加更多設(shè)備，這些設(shè)備是異構(gòu)、復(fù)雜，且很多是非可管理的。Axonius管理平臺可以告訴你這些設(shè)備何時(shí)連接和訪問資源，尤其是當(dāng)這些設(shè)備不做任何的安全防護(hù)時(shí)。 

【Axonius可集成的安全方案】

Axonius的網(wǎng)絡(luò)安全資產(chǎn)管理平臺對現(xiàn)有安全管理平臺的整合確實(shí)是一種資產(chǎn)管理的解決思路，但如果企業(yè)中的管理及安全技術(shù)不能被Axonius集成，或是在網(wǎng)絡(luò)復(fù)雜且此前沒有對資產(chǎn)進(jìn)行管理的企業(yè)中，Axonius的如何對資產(chǎn)進(jìn)行管理呢？

所以資產(chǎn)管理單做集成是不夠的，還需要建立多場景下的資產(chǎn)識別管理模型，從更底層做起，減少對環(huán)境的依賴，或者添加采集控制節(jié)點(diǎn)形成閉環(huán)，不然Axonius的獨(dú)立發(fā)展空間還是十分有限。

此外，僅從官網(wǎng)資料看，Axonius的資產(chǎn)管理、補(bǔ)丁管理、對各個(gè)平臺兼容等功能，并不是顛覆性的創(chuàng)新，國內(nèi)已經(jīng)有一些安全公司在這些方面都做的比較好了，從技術(shù)實(shí)現(xiàn)上來看，只是可視化和API的編寫集成，不具有一定技術(shù)壁壘，很容易其他的資產(chǎn)安全管理平臺公司復(fù)制并超越，也可能是Axonius面臨的問題。

CAPSULE8——混合環(huán)境中的實(shí)時(shí)0day攻擊檢測、朔源和響應(yīng)平臺

領(lǐng)域：Linux中的攻擊檢測與響應(yīng)等

官網(wǎng)：http://capsule8.com

Capsule8是一家由經(jīng)驗(yàn)豐富的黑客和安全企業(yè)家創(chuàng)建的高新科技初創(chuàng)型企業(yè)，總部位于紐約布魯克林，成立于2016年秋季，在2018年8月獲得1500萬美元的B輪融資。

混合云架構(gòu)已經(jīng)成為企業(yè) IT 基礎(chǔ)設(shè)施的重要架構(gòu)，但由于存在多云服務(wù)商，缺乏中心控制和完整的合規(guī)性規(guī)劃，存在邊界模糊，訪問策略不一致等問題，加上公有云的暴露面增大，攻擊者容易通過進(jìn)入薄弱點(diǎn)，進(jìn)而借助利用 0day 漏洞。如在容器環(huán)境中利用逃逸漏洞（近日爆出在特權(quán)容器中逃逸的runc漏洞CVE-2019-5736），或虛擬化環(huán)境中的利用CPU漏洞Meltdown/Spectre等，進(jìn)入宿主機(jī)，進(jìn)而橫向到企業(yè)的云內(nèi)或企業(yè)側(cè)網(wǎng)絡(luò)，造成更大的威脅。

此外，傳統(tǒng)的攻擊檢測平臺的工作機(jī)制通常是分析網(wǎng)絡(luò)和安全設(shè)備（如入侵檢測系統(tǒng)）的大量日志告警，進(jìn)行關(guān)聯(lián)分析，最后還原出惡意攻擊。然而多年來，設(shè)備日志告警的置信度不高等問題導(dǎo)致絕大多數(shù)平臺告警是誤報(bào)，也造成了企業(yè)的安全團(tuán)隊(duì)持續(xù)處于警報(bào)疲勞的狀態(tài)。

為此，該公司推出的0day攻擊實(shí)時(shí)檢測平臺Capsule8，在發(fā)生攻擊時(shí)通過自動檢測和關(guān)閉正在利用漏洞的惡意網(wǎng)絡(luò)連接，從而大規(guī)模減少安全操作的工作量，而且不會給生產(chǎn)基礎(chǔ)架構(gòu)帶來風(fēng)險(xiǎn)。

Capsules8平臺整體架構(gòu)圖如下所示：

① Capsule8 OSS傳感器，即Capsule8工作負(fù)載保護(hù)平臺的探針，是許多威脅檢測機(jī)制的基礎(chǔ)。傳感器旨在收集系統(tǒng)安全和性能數(shù)據(jù)，對服務(wù)的影響很小，它能夠?qū)崟r(shí)了解到生產(chǎn)環(huán)境正在做什么；

② Backplane，包含一個(gè)實(shí)時(shí)消息總線，可以獲取到傳感器傳來的實(shí)時(shí)事件以及Flight Recorder記錄的歷史事件，它實(shí)現(xiàn)了背壓從而確保了平臺不會因?yàn)檫^多的Capsule8遙測事件而導(dǎo)致網(wǎng)絡(luò)洪水事件；

③ The Capsule8 API server，提供了統(tǒng)一的接口，允許企業(yè)管理生產(chǎn)環(huán)境中基礎(chǔ)設(shè)施架構(gòu)所有跟安全相關(guān)的數(shù)據(jù)；

④ Capsulators封裝了連接客戶端軟件的API,通過它企業(yè)可以快速集成實(shí)現(xiàn)特定功能的軟件如Splunk和Hadoop，方便企業(yè)進(jìn)行數(shù)據(jù)分析。通過Capsulators企業(yè)不僅可以實(shí)時(shí)感知集群信息，還可以通過Flight Recorders獲得歷史數(shù)據(jù)，依據(jù)IOC（Indicators of Compromise，包括MD5 hash、IP地址硬編碼、注冊表等），從而實(shí)現(xiàn)追溯調(diào)查；

⑤ 第三方工具，如Splunk和Spark等；

⑥ Capsule8 Console，前端可視化界面。

假設(shè)客戶生產(chǎn)環(huán)境是一個(gè)混合云環(huán)境，服務(wù)器部署于客戶側(cè)數(shù)據(jù)中心、公有云AWS和Azure中。Capsule8 如何實(shí)時(shí)檢測并阻止 0day 攻擊？整個(gè)工作流程主要分四步：

1.  感知。為了保護(hù)分布式環(huán)境，Capsule8傳感器遍布在整個(gè)基礎(chǔ)架構(gòu)中-云環(huán)境和數(shù)據(jù)中心的裸機(jī)以及容器上。由于傳感器運(yùn)行在用戶空間，捕獲少量的安全關(guān)鍵數(shù)據(jù)，故不會對系統(tǒng)工作負(fù)載的穩(wěn)定性和性能造成影響。

2. 檢測。感知階段收集到的關(guān)鍵數(shù)據(jù)通過Capsule8 Backplane傳送到企業(yè)側(cè)臨近位置的Capsule8 Detect分析引擎，利用云端專家的知識庫將數(shù)據(jù)還原成事件，并對可疑事件進(jìn)行分析。

3. 阻斷。當(dāng)Capsule8檢測到攻擊時(shí)，它可以在攻擊發(fā)生之前自動關(guān)閉連接，重啟工作負(fù)載或者立即警告安全團(tuán)隊(duì)。

4. 調(diào)查。由于0day攻擊持續(xù)事件較長，所以除了實(shí)時(shí)檢測外，Capsule8會在本地記錄遙測數(shù)據(jù)，便于專家利用歷史數(shù)據(jù)進(jìn)行攻擊朔源。

隨著企業(yè)尋求基礎(chǔ)設(shè)施現(xiàn)代化，DevSecOps的落地在現(xiàn)代混合云環(huán)境下就顯得尤為重要。Capsule8可以無縫的集成到企業(yè)的Linux基礎(chǔ)架構(gòu)中，并在企業(yè)的整個(gè)平臺上提供持續(xù)的安全響應(yīng)。此外，它不是SaaS解決方案，它是與用戶的IT基礎(chǔ)設(shè)施一起部署。因此，數(shù)據(jù)完全保存在客戶環(huán)境，消除了第三方傳播、刪除或損壞數(shù)據(jù)的風(fēng)險(xiǎn)，從而給企業(yè)帶來更好的安全新體驗(yàn)。

CloudKnox

領(lǐng)域：混合云環(huán)境中的身份權(quán)限管理

官網(wǎng)：http://cloudknox.io

CloudKnox是一家位于美國加利福尼亞州森尼韋爾的初創(chuàng)高科技公司，成立于2015年9月。公司已經(jīng)完成A輪融資，累計(jì)融資1075萬美元。該公司提供一個(gè)云安全平臺（CloudKnox Security Platform），用于混合云環(huán)境中的身份授權(quán)管理（Identity Authorization Administration，IAA），以降低憑據(jù)丟失、誤操作和惡意的內(nèi)部人員所帶來的風(fēng)險(xiǎn)。

目前該平臺已經(jīng)支持主流的云計(jì)算環(huán)境，如Microsoft Azure、VMWare vSphere、Amazon Web Services、Google Cloud等。

CloudKnox Security Platform有五大關(guān)鍵能力：

1. 對于身份、權(quán)限、活動和資源的可視化和洞察力；

2.  對身份進(jìn)行基于活動的授權(quán)（Activity-based authorization），授權(quán)對象包括服務(wù)賬戶、API keys、第三方合作伙伴等；

3. JEP（Just Enough Privileges）控制器可自動調(diào)整用戶的權(quán)限，從而降低高權(quán)限用戶所帶來的風(fēng)險(xiǎn)；

4. 在混合云環(huán)境中進(jìn)行異常檢測和身份活動分析；

5. 提供高質(zhì)量的活動數(shù)據(jù)用于合規(guī)性報(bào)告，提供強(qiáng)大的查詢接口用于調(diào)查問題。

傳統(tǒng)的權(quán)限管理具有固定、不持續(xù)的特點(diǎn)，容易造成管理和運(yùn)營的脫節(jié)。通過分析，CloudKnox的思路是一個(gè)用戶具備某個(gè)權(quán)限，但是平時(shí)又不使用這個(gè)權(quán)限，則可以認(rèn)為這個(gè)用戶不具備這個(gè)權(quán)限并予以撤銷。這其實(shí)也是對最小特權(quán)原理的一種實(shí)現(xiàn)方式。CloudKnox所提出的JEP，本質(zhì)上也就是最小特權(quán)原理，但這種運(yùn)行時(shí)進(jìn)行閉環(huán)式的評估，比傳統(tǒng)的權(quán)限管理更有實(shí)用性和更好的用戶體驗(yàn)。

但實(shí)際環(huán)境中，身份、權(quán)限關(guān)系復(fù)雜，即便一些權(quán)限一直未使用，在某一刻也有可能需要使用。這一刻有可能對應(yīng)憑據(jù)丟失、誤操作和惡意的內(nèi)部人員的操作，但也有可能是正常用戶的需要。雖然管理員可以對已經(jīng)撤銷的權(quán)限進(jìn)行再次授權(quán)，但從用戶需要這一權(quán)限到管理員進(jìn)行核實(shí)確認(rèn)并授權(quán)中間會有一定的時(shí)間間隔，而這一間隔，有可能使得一些關(guān)鍵業(yè)務(wù)響應(yīng)不夠及時(shí)。另外，當(dāng)身份、權(quán)限眾多時(shí)，管理員的工作量有可能很大。這些問題從CloudKnox的公開資料中暫未看到相關(guān)描述。但總的來說，通過對用戶的實(shí)際未使用權(quán)限進(jìn)行限制，確實(shí)可以有效降低憑據(jù)丟失、誤操作和惡意的內(nèi)部人員所帶來的風(fēng)險(xiǎn)。

DisruptOps, Inc.

領(lǐng)域：云安全

官網(wǎng)：http://disruptops.com

DisruptOps Inc.成立于2014年，位于密蘇里州堪薩斯城，該公司致力于通過為多云基礎(chǔ)設(shè)施提供自動化的防護(hù)來提升云操作的安全性，實(shí)現(xiàn)對云基礎(chǔ)設(shè)施的持續(xù)檢測和控制。2018年10月，公司獲得了由Rally Ventures領(lǐng)投的250萬美元的種子輪融資。

近年來，公有云在國外得到快速發(fā)展，大量中小公司開始積極擁抱云計(jì)算。然而，公有云服務(wù)商的技術(shù)能力、安全水平始終成為客戶上云的最大顧慮。

在這樣的背景下，多云（Multi-Cloud）架構(gòu)成為云計(jì)算IT架構(gòu)的下一個(gè)飛躍，在多云架構(gòu)下，用戶同時(shí)使用多個(gè)公有云提供商和內(nèi)部私有云資源來實(shí)現(xiàn)業(yè)務(wù)目標(biāo)?？捎行岣吖性苹A(chǔ)設(shè)施可用性，且降低廠商鎖定（Vendor Lock-in）的風(fēng)險(xiǎn)。

然而，管理多個(gè)云環(huán)境的運(yùn)營團(tuán)隊(duì)面臨大規(guī)模和復(fù)雜的云環(huán)境，將很快導(dǎo)致運(yùn)營成本不斷上升；此外，敏捷開發(fā)也為越來越多的開發(fā)團(tuán)隊(duì)所親睞，云中開發(fā)、運(yùn)營復(fù)用的系統(tǒng)將越來越多，DevOps將成為新的云應(yīng)用常態(tài)，那么不同環(huán)境中的配置不一致會導(dǎo)致安全風(fēng)險(xiǎn)的顯著增加。常見錯(cuò)誤包括存儲系統(tǒng)的數(shù)據(jù)被非授權(quán)訪問、錯(cuò)誤配置的安全組導(dǎo)致的內(nèi)部網(wǎng)絡(luò)可被外部訪問，以及過度分配的資源所導(dǎo)致的資金浪費(fèi)。例如2017年曝光的美國陸軍及NSA情報(bào)平臺將絕密文件放在可公開訪問的Amazon S3存儲桶中，這個(gè)錯(cuò)誤配置的S3存儲桶，只要輸入正確的URL，任何人都能看到AWS子域名“inscom”上存儲的內(nèi)容。這包含有47個(gè)文件和目錄，其中3個(gè)甚至可以任意下載。

如果通過手動操作的方式來應(yīng)對這些挑戰(zhàn)，效率低下且無效。DisruptOps通過實(shí)施可自定義的最佳實(shí)踐庫來確保一致性和安全性，從而使DevOps團(tuán)隊(duì)能夠快速無風(fēng)險(xiǎn)地遷移，從而實(shí)現(xiàn)云管理的自動化。

該公司推出的基于SaaS的云管理平臺，實(shí)現(xiàn)對云基礎(chǔ)設(shè)施的自動控制。通過持續(xù)評估和執(zhí)行安全、運(yùn)營和經(jīng)濟(jì)的防護(hù)欄，企業(yè)可以在保持運(yùn)營控制的同時(shí)，可以安全的享受云計(jì)算提供的靈活性，速度和創(chuàng)新等好處。 

安全防護(hù)欄（Security Guardrail）

DevOps的模式促使開發(fā)團(tuán)隊(duì)和運(yùn)營團(tuán)隊(duì)能夠更快地行動、更快地部署和更快地適應(yīng)。因此，安全問題不能妨礙或減慢整個(gè)DevOps進(jìn)程。安全防護(hù)欄會自動執(zhí)行安全最佳實(shí)踐，不僅可以發(fā)現(xiàn)錯(cuò)誤配置和攻擊，而且通常可以在發(fā)現(xiàn)問題之前修復(fù)它們。這樣使得DevOps團(tuán)隊(duì)能夠在沒有風(fēng)險(xiǎn)的情況下快速執(zhí)行。

具體包括：

1. 身份管理。確保身份策略在整個(gè)云中保持一致，從而消除過多的權(quán)限問題。監(jiān)控。

2. 確保在多個(gè)帳戶中一致的設(shè)置日志記錄和告警，確保所有云活動的完全可見。

3. 網(wǎng)絡(luò)安全。管理適當(dāng)?shù)木W(wǎng)絡(luò)訪問策略，確保正確配置安全組以最小化攻擊面。

4. 存儲安全。確保通過自動執(zhí)行基于策略的標(biāo)記、訪問和加密規(guī)則來保護(hù)存儲的關(guān)鍵數(shù)據(jù)。

運(yùn)營防護(hù)欄（Operations Guardrail）

成熟的云組織在其所有云環(huán)境中實(shí)施共享服務(wù)，包括監(jiān)控/日志記錄、IAM和備份等。運(yùn)營防護(hù)欄可以實(shí)現(xiàn)這些共享服務(wù)的最佳操作實(shí)踐，而不需要腳本或任何其它本地的解決方案。

經(jīng)濟(jì)防護(hù)欄（Economic Guardrail）

通常，開發(fā)團(tuán)隊(duì)會將更多的精力致力于如何更好的構(gòu)建并快速的部署相關(guān)的應(yīng)用。然而，卻很少會有明確的意識，在資源不使用時(shí)主動的去關(guān)閉它們，這樣就會造成云成本的失控。經(jīng)濟(jì)防護(hù)欄使用預(yù)先構(gòu)建的策略，自動化的關(guān)閉不需要的云資源，在不影響開發(fā)人員效率或需要本地腳本的情況下節(jié)省用戶的資金。

多云和敏捷開發(fā)是云計(jì)算的熱點(diǎn)，DisruptOps以SaaS化的服務(wù)方式，通過對用戶的多個(gè)云資源進(jìn)行安全與操作問題的快速檢測并自動修復(fù)，一方面節(jié)省了客戶上云的成本，另一方面實(shí)現(xiàn)對云基礎(chǔ)架構(gòu)的持續(xù)安全控制，在安全、運(yùn)營和成本等方面，給用戶帶來最大的收益。此外，借助自動化和服務(wù)編排的技術(shù)，推動云原生應(yīng)用和DevSecOps的落地。

Duality Technologies

領(lǐng)域：隱私與IP保護(hù) / 數(shù)據(jù)安全

官網(wǎng)：duality.cloud

Duality Technologies成立于2016年，總部位于美國馬薩諸塞州劍橋市，由著名的密碼專家和數(shù)據(jù)科學(xué)家聯(lián)合創(chuàng)立。公司致力于研究大數(shù)據(jù)/云環(huán)境下的數(shù)據(jù)安全與隱私保護(hù)技術(shù)，為企業(yè)組織提供了一個(gè)安全的數(shù)字協(xié)作平臺，目前在美國和以色列開展業(yè)務(wù)。目前獲得了由Team8領(lǐng)導(dǎo)的400萬美元投資。

隨著云計(jì)算和大數(shù)據(jù)技術(shù)的發(fā)展，越來越多的數(shù)據(jù)在第三方平臺進(jìn)行存儲和計(jì)算。在云端實(shí)現(xiàn)數(shù)據(jù)處理的同時(shí)，如何保證數(shù)據(jù)的安全性是客戶的一個(gè)普遍訴求。

Duality公司的SecurePlus?平臺基于自主研發(fā)的同態(tài)加密先進(jìn)技術(shù)，提供了不一樣的解決思路。提供的三種實(shí)際業(yè)務(wù)場景（安全數(shù)據(jù)分析 、機(jī)器學(xué)習(xí)模型的版權(quán)保護(hù)、數(shù)據(jù)共享的隱私保護(hù)），抓住了客戶的痛點(diǎn)，實(shí)現(xiàn)了“maximizing data utility, minimizing risk”，在第三方平臺進(jìn)行機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘任務(wù)同時(shí)，可以保證數(shù)據(jù)不會被泄露。

基于同態(tài)加密的機(jī)器學(xué)習(xí)是指在加密數(shù)據(jù)上實(shí)現(xiàn)機(jī)器學(xué)習(xí)任務(wù)，如分類和聚類等，是近年來新的學(xué)術(shù)研究熱點(diǎn)。它可以分為加密神經(jīng)網(wǎng)絡(luò)、加密KNN、加密決策樹和加密支持向量機(jī)等算法。猜測Duality公司在方案實(shí)現(xiàn)上吸收和借鑒了這些已公開的研究成果。目前面臨一些問題與挑戰(zhàn)是：

1. 如何在保證數(shù)據(jù)安全的前提下選擇合適的同態(tài)加密方案來實(shí)現(xiàn)不同的數(shù)據(jù)分析；

2. 如何解決全同態(tài)加密方案中存在的噪聲、運(yùn)算復(fù)雜和運(yùn)算效率低等問題；

3. 如何在確保算法安全性的前提下，使加密機(jī)器學(xué)習(xí)算法的準(zhǔn)確度在可接受范圍內(nèi)。
   

Eclypsium

領(lǐng)域：硬件與固件安全

官網(wǎng)：http://eclypsium.com

Eclypsium 公司專注于服務(wù)器、筆記本電腦和網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器等）的固件層的檢測和防護(hù)。至今為止，該公司已經(jīng)完成A輪融資，累計(jì)融資1105萬美元。公司成員中，Yuriy Bulygin曾在英特爾工作11年（高級工程師），在McAfee工作了兩個(gè)月（CTO）。Alex Bazhaniuk和John Loucaides也來自英特爾，在此之前，這三位均負(fù)責(zé)英特爾的硬件、固件安全。Ron Talwalkar在McAfee工作了11年，作為終端安全業(yè)務(wù)部產(chǎn)品管理高級總監(jiān)，負(fù)責(zé)英特爾安全相關(guān)的業(yè)務(wù)。所以，該公司熟知采用英特爾處理器的設(shè)備在硬件和固件上的安全現(xiàn)狀。

隨著網(wǎng)絡(luò)產(chǎn)品的普及，個(gè)人電腦、服務(wù)器、網(wǎng)絡(luò)設(shè)備的數(shù)量在急劇增長。設(shè)備底層的固件也在不斷地迭代，從BIOS到EFI再到UEFI，這些設(shè)備的底層固件的安全話題也一直是網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)。

Eclypsium專注于企業(yè)內(nèi)部計(jì)算機(jī)類設(shè)備的固件層的安全防護(hù)，其特點(diǎn)非常明顯：在固件層做設(shè)備風(fēng)險(xiǎn)管理。固件的能力涉及對主板和與主板連接的外圍設(shè)備的初始化、網(wǎng)絡(luò)管理、內(nèi)存管理、操作系統(tǒng)引導(dǎo)等。換句話說，該程序具備讀取、更改設(shè)備硬件狀態(tài)的能力，設(shè)備權(quán)限很高。這種狀態(tài)下的代碼一旦被更改，設(shè)備的運(yùn)行狀態(tài)也就被篡改了。該公司研究人員也是利用了該代碼管理設(shè)備風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)管理的能力主要涉及4個(gè)方面：漏洞掃描、固件升級管理、防篡改（尤其是后門檢測）、未知攻擊檢測、配置檢查。

除了固件保護(hù)平臺之外，該公司深入研究了UEFI固件中的安全問題，除了UEFI和BIOS這類固件之外，該公司在BMC（Baseboard Management Controller）方面也具備豐富的安全研究積累。

從研究的角度看，該公司成員在底層固件的研究上非常深入。但是觀其產(chǎn)品，漏洞掃描、固件升級、防篡改這類技術(shù)已經(jīng)非常成熟，亮點(diǎn)較少。比較新穎的功能是未知攻擊的檢測。可以想到的思路是通過硬件設(shè)備相關(guān)的日志來捕獲，但是這需要看UEFI這類底層固件中是否有日志，量是否足夠大，以滿足較長時(shí)間段內(nèi)的設(shè)備行為檢測、外部接口訪問的檢測等，并需要對UEFI固件做一定的更改。該公司的成員在這方面比較擅長，問題在于，如果該團(tuán)隊(duì)研發(fā)了一個(gè)UEFI固件，客戶是否有一個(gè)必須使用該固件和平臺的理由，來滿足企業(yè)內(nèi)設(shè)備的安全需求？很明顯，現(xiàn)在缺少一個(gè)理由說服客戶必須用該平臺，以保證設(shè)備足夠安全。

好在公司有了1000萬美元的融資，能支持其一段時(shí)間的研究、研發(fā)、運(yùn)營等，這段時(shí)間內(nèi)能否開發(fā)出客戶必須使用的底層固件和配套的平臺，尚未可知。一旦提供了一個(gè)必須使用Eclypsium的平臺的理由，該平臺的盈利也將相當(dāng)可觀，畢竟亞馬遜、阿里巴巴、騰訊等企業(yè)的服務(wù)器的數(shù)量加起來也有數(shù)百萬臺。

Salt Security

領(lǐng)域：API接口安全

官網(wǎng)：https://salt.security

Salt Security是一家起源于以色列的安全服務(wù)公司，公司于2016年成立，總部設(shè)在硅谷和以色列，創(chuàng)始人有以色列國防軍校友、網(wǎng)絡(luò)安全領(lǐng)域?qū)＜业?。該公司致力于為軟件即服?wù)（SaaS）平臺、Web平臺、移動端、微服務(wù)和物聯(lián)網(wǎng)應(yīng)用程序的核心API提供保護(hù)解決方案。

隨著互聯(lián)網(wǎng)應(yīng)用的多元化復(fù)雜化，應(yīng)用服務(wù)化成為顯著的趨勢，越來越多場景中的應(yīng)用架構(gòu)中采用應(yīng)用編程接口（API）作為應(yīng)用間數(shù)據(jù)傳輸和控制流程。同時(shí)API接口負(fù)責(zé)傳輸數(shù)據(jù)的數(shù)據(jù)量以及敏感性也在增加。因此針對API的攻擊已經(jīng)變得越來越頻繁和復(fù)雜，成為當(dāng)今不少公司的頭號安全威脅。在過去的幾年時(shí)間里，市場上已經(jīng)看到了API面臨的風(fēng)險(xiǎn)和攻擊的巨大增長，不僅出現(xiàn)了FaceBook、T-Mobile等公司的API違規(guī)事件，也出現(xiàn)了美國郵政服務(wù)（USPS）和Google+的最新漏洞泄露事件。

API是架構(gòu)師設(shè)計(jì)，并由開發(fā)者實(shí)現(xiàn)，每個(gè)API都是唯一的，具有各自的邏輯，因而產(chǎn)生的漏洞也沒有統(tǒng)一的模式。目前傳統(tǒng)API安全解決方案僅關(guān)注已知的攻擊類型，缺乏對API的細(xì)粒度理解，忽略針對API邏輯的攻擊。

2018年Salt Security推出了業(yè)界首個(gè)探測與防御API攻擊的解決方案，以確保SaaS、Web、移動端、微服務(wù)和物聯(lián)網(wǎng)等應(yīng)用的安全。Salt Security的API安全防護(hù)平臺能夠在攻擊者成功入侵關(guān)鍵業(yè)務(wù)應(yīng)用程序和竊取敏感數(shù)據(jù)之前，檢測并阻斷威脅。

Salt Security的API防護(hù)平臺分三個(gè)階段運(yùn)行：

檢測階段：Salt Security防護(hù)平臺會自動并持續(xù)的監(jiān)控環(huán)境中所有API，當(dāng)環(huán)境發(fā)生變化時(shí)防護(hù)平臺通過自動探測捕獲到API的變化，以便后續(xù)分析API背后的風(fēng)險(xiǎn)。通過洞察API環(huán)境中流動的數(shù)據(jù)來識別其中的敏感數(shù)據(jù)，便于評估敏感數(shù)據(jù)潛在的暴露風(fēng)險(xiǎn)。防護(hù)平臺跟蹤并驗(yàn)證API更新后的最新狀態(tài)，確認(rèn)所有的API都滿足安全需求。

防護(hù)階段：Salt Security防護(hù)平臺不僅對安全堆棧中現(xiàn)有的漏洞進(jìn)行檢測，而且能針對API邏輯攻擊提供實(shí)時(shí)保護(hù)機(jī)制。防護(hù)平臺使用人工智能（AI）技術(shù)和大數(shù)據(jù)技術(shù)，基于API的細(xì)粒度合法行為建立API正常行為基線，實(shí)時(shí)對API行為進(jìn)行監(jiān)控，一旦檢測到API活動中出現(xiàn)偏離基線的行為即作為可疑惡意行為進(jìn)行API攻擊行為評估，該API防護(hù)平臺可以在攻擊者的偵察階段實(shí)時(shí)防止API攻擊的發(fā)生。

補(bǔ)救階段：通過防護(hù)階段對攻擊者行為的快速評估結(jié)果，補(bǔ)救階段自動化相應(yīng)威脅并對攻擊者的惡意活動進(jìn)行阻斷。為了向安全團(tuán)隊(duì)提供有價(jià)值的情報(bào)，防護(hù)平臺向開發(fā)人員提供API源代碼相關(guān)漏洞信息，以便從根源上阻止API攻擊進(jìn)而提高API安全性。

下圖是API防護(hù)平臺經(jīng)過三個(gè)階段為安全人員提供的API攻擊行為信息。 

Salt Security的API防護(hù)平臺的創(chuàng)新之處在于利用API細(xì)粒度正常行為構(gòu)建行為基線，監(jiān)控API活動和流動的數(shù)據(jù)以確保API行為沒有偏離正?；€而且隱私數(shù)據(jù)不會被泄露。這種結(jié)合AI和大數(shù)據(jù)技術(shù)的解決方案能夠動態(tài)監(jiān)控API安全做到API的實(shí)時(shí)防護(hù)。

但也有顧慮是部署其防護(hù)平臺的公司是否需要向Salt Security暴露部分API交互過程中的數(shù)據(jù)以做到更好地建立API行為基線，這一點(diǎn)沒有在其落地的產(chǎn)品中看到有關(guān)的解釋。

ShiftLeft

領(lǐng)域：應(yīng)用安全

官網(wǎng)：http://www.shiftleft.io

ShiftLeft公司，成立于2016年，總部位于美國加利福尼亞州圣克拉拉市。該公司致力于將應(yīng)用的靜態(tài)防護(hù)和運(yùn)行時(shí)防護(hù)與應(yīng)用開發(fā)自動化工作流相結(jié)合以提升軟件開發(fā)生命周期中的安全性。公司創(chuàng)始人Manish Gupta曾在FireEye、Cisco、McAfee等公司任重要職位。ShiftLeft在2019年2月獲得了2000萬美元的新一輪融資，總資金達(dá)到2930萬美元。

在軟件開發(fā)生命周期中，傳統(tǒng)的安全防護(hù)都是人工在代碼版本發(fā)布后通過執(zhí)行相應(yīng)腳本檢測漏洞信息，之后再將漏洞信息提交至公司的漏洞管理平臺或人工去做處理的。

這樣做有幾個(gè)缺點(diǎn)，首先執(zhí)行腳本通常誤報(bào)率高，處理誤報(bào)的漏洞無疑增加了人工成本，也非常耗時(shí)；其次檢測漏洞的腳本非常多樣化缺乏統(tǒng)一標(biāo)準(zhǔn)，也增加了人工維護(hù)的成本；最后檢測和處理漏洞通?；ㄙM(fèi)時(shí)間長達(dá)數(shù)小時(shí)或數(shù)天且準(zhǔn)確率難以保障。

隨著技術(shù)和開發(fā)模式的不斷更新?lián)Q代，敏捷開發(fā)如DevOps、CI/CD等的出現(xiàn)解決了軟件開發(fā)生命周期自動化的問題，很多企業(yè)在研究如何在整個(gè)過程保證安全性，即近年來很熱的DevSecOps。但要實(shí)現(xiàn)DevSecOps的安全（Sec）部分還需要有公司提供相應(yīng)的安全能力。

Shiftleft 將下一代靜態(tài)代碼分析與應(yīng)用開發(fā)自動化工作流中涉及的安全工具（SAST、IAST、RASP）相結(jié)合，利用CPG技術(shù)讓漏洞檢測的檢出率和誤報(bào)率均得到了有效提升并且從漏洞檢測、靜態(tài)防護(hù)、運(yùn)行時(shí)防護(hù)、自定制查詢漏洞等多方面對軟件開發(fā)生命周期進(jìn)行安全防護(hù)從而實(shí)現(xiàn)了DevSecOps的落地，給大部分用戶帶來了收益。

從技術(shù)角度而言， ShiftLeft產(chǎn)品的創(chuàng)新度高，完成度也相對較高，且與DevOps、CI/CD的有力結(jié)合可以很大程度上提升其產(chǎn)品的競爭力。

從市場角度而言，ShiftLeft憑借實(shí)力在近期又獲得了新一輪融資，其又可以招納各路專家擴(kuò)展其業(yè)務(wù)和專業(yè)知識，從而加快公司業(yè)務(wù)發(fā)展。

Wirewheel

領(lǐng)域：個(gè)人隱私保護(hù)與數(shù)據(jù)安全

官網(wǎng)：http://wirewheel.io

WireWheel成立于2016年，總部位于華盛頓，該公司致力于降低數(shù)據(jù)隱私保護(hù)合規(guī)能力建設(shè)的難度，幫助企業(yè)來應(yīng)對復(fù)雜、嚴(yán)厲的法案、條例規(guī)定。2018年10月，公司獲得了PSP Growth領(lǐng)投的1000萬美元的A輪融資。

隱私保護(hù)、數(shù)據(jù)安全已成為企業(yè)安全能力建設(shè)的重要環(huán)節(jié)，然而，在復(fù)雜的IT系統(tǒng)環(huán)境下加強(qiáng)數(shù)據(jù)隱私保護(hù)，對傳統(tǒng)的數(shù)據(jù)防泄密技術(shù)及產(chǎn)品是非常大的挑戰(zhàn)，也給企業(yè)的數(shù)據(jù)管理增加沉重的負(fù)擔(dān)。

大型企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境、數(shù)據(jù)存儲架構(gòu)復(fù)雜，數(shù)據(jù)隱私保護(hù)依賴數(shù)據(jù)發(fā)現(xiàn)、管理、分類等多環(huán)節(jié)的技術(shù)支撐；多部門數(shù)據(jù)協(xié)作共享，需通過數(shù)據(jù)的關(guān)聯(lián)、聚合分析才能更合理的發(fā)現(xiàn)隱私泄露隱患；與合作伙伴或供應(yīng)商等第三方企業(yè)的數(shù)據(jù)共享環(huán)節(jié)，數(shù)據(jù)的管理、隱私策略的配置尤為關(guān)鍵。特別是面對GDPR針對應(yīng)用使用用戶隱私數(shù)據(jù)的權(quán)限管理，以及數(shù)據(jù)流動過程中的合規(guī)問題，在復(fù)雜的企業(yè)多部門協(xié)同和跨企業(yè)的供應(yīng)鏈數(shù)據(jù)流管理方面，存在巨大的合規(guī)性挑戰(zhàn)。

應(yīng)對這些挑戰(zhàn)需要專業(yè)的、自動化的管理流程和技術(shù)方案的支持。WireWheel公司提供的基于SaaS的數(shù)據(jù)隱私保護(hù)平臺，能夠滿足企業(yè)隱私影響評估（Privacy Impact Assessments, PIAs）、數(shù)據(jù)保護(hù)影響評估（Data Protection Impact Assessments, DPIAs）、供應(yīng)商評估等多方面需求。其數(shù)據(jù)隱私保護(hù)平臺的主要包含以下主要功能：

隱私數(shù)據(jù)發(fā)現(xiàn)及分類（Data Discovery & Classification）；

發(fā)現(xiàn)并盤點(diǎn)個(gè)人信息，提供數(shù)據(jù)在組織中駐存、流動的可視化能力；在企業(yè)基礎(chǔ)設(shè)施、數(shù)據(jù)存儲及界面上集成隱私保護(hù)能力；支持識別、歸類和保護(hù)個(gè)人隱私數(shù)據(jù)。

流程映射（Process Mapping）；

支持云端資產(chǎn)發(fā)現(xiàn)，包括計(jì)算節(jié)點(diǎn)、存儲及serverless組件；包括內(nèi)置的業(yè)務(wù)流程映射；能夠自動化識別并集成第三方流程。

任務(wù)計(jì)劃（Tasking）；

根據(jù)角色、業(yè)務(wù)類型、業(yè)務(wù)范圍制定任務(wù)計(jì)劃，促進(jìn)和保障相關(guān)人員、業(yè)務(wù)按照計(jì)劃執(zhí)行行動。

隱私引擎（Privacy Engine）；

提供用戶友好的自助式隱私數(shù)據(jù)保護(hù)向?qū)?，降低隱私保護(hù)任務(wù)、操作相關(guān)步驟的行動難度。

結(jié)語

從2019年創(chuàng)新沙盒比賽十強(qiáng)企業(yè)的研究方向可以看出，未來3-5年網(wǎng)絡(luò)安全技術(shù)熱門趨勢將會是：金融欺詐防御、網(wǎng)絡(luò)安全資產(chǎn)管理平臺、Linux中的攻擊檢測、混合云環(huán)境中的身份權(quán)限管理、云安全、數(shù)據(jù)安全、硬件與固件安全、API接口安全、應(yīng)用安全等。

但是，創(chuàng)新沙盒舉辦幾屆之后，各個(gè)新公司的產(chǎn)品在創(chuàng)新方面的吸引力可能會降低。在這樣的背景下，能否誕生一家大家都十分信服的企業(yè)，非常值得期待。你更看好哪家企業(yè)？為什么？歡迎留言討論。

本文由綠盟科技投稿，雷鋒網(wǎng)編輯。雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。