2020 RSA 创新沙盒大赛尘埃落定，冠军花落Securiti.ai公司。作为本次大赛冠军，Securiti.ai是如何从十大“劲敌”中脱颖而出的呢？之前，绿盟君已经为大家分析过Securiti.ai的产品特点，今天，绿盟君再次带大家详细了解一下这所公司的与众不同。
 
一、情理之中的冠军得主
        总体而言，今年Securiti.ai夺冠是情理之中：于大势而言，数据安全、个人信息、敏感数据的识别、防护是国内外最重要的合规性要求，市场空间可期；于技术而言，通过技术手段对个人数据识别，使用People Data Graph构建面向人的知识图谱，为后续的分析提供模型支撑，通过聊天机器人实现智能化的交互；于方案而言，针对客户的数据安全难以落地的痛点，提供了整套解决方案，构建个人数据链接，实现消费者数据权利请求-响应的流程自动化处理，生成合规性审查报告，分析第三方风险。前年GDPR的发布引发了数据安全的关注，如果说BigID那次夺冠很大程度上是因为GDPR的颁布“蹭热点”，这两年已经有很多起违反GDPR罚款的案例，可以说这次Securiti.ai发布的产品和解决方案更加接地气，也更加全面，能够满足企业的数据安全合规性要求，本次夺冠更让人心服口服。  
        如果我们把安全行业的创新划分为两个维度：攻防技术的创新和以及行业的创新，那么从入选2020年创新沙盒决赛的公司和产品来看，今年的攻防技术创新在于模糊测试、响应技术、人工智能落地，而行业的创新集中在敏捷开发、数据安全等热点领域。此外，今年大会主题是以人为本，所以创新企业中也融入了人性的创新。下面以这三个维度进行分析。
 
1、以人为本的创新

        随着这几年的安全事件逐渐曝光，越来越显示出，只追求完善的安全制度或先进的安全防护技术，并无助于避免企业安全事件。因为人往往是企业安全中最薄弱的一环，所以如何提高员工的安全水平和安全意识，可能是今后企业安全中非常重要的一环。人、流程、技术，相辅相成，缺一不可。

 · 数据安全
        Securiti.ai主要是在数据安全领域，如今个人信息和敏感数据的合规性要求已经非常强了，之前绿盟君已经为大家做过分析做过分析（点此回顾）。GPDR、CCPA等法律的严格执行，使得近两年个人信息领域，特别是如何识别、如何匿名化、如何评估个人信息，成为行业一大热点。简单而言，Securiti.ai根据数据安全法律的合规性要求，特别是数据权利请求、第三方风险评估、许可生命周期管理等，通过技术的手段，自动化、程序化地进行监控、处理，从前端而言，整体感觉用户友好，可视化、易用性较好。
        亮点：直击个人信息合规性问题，持续监控、链接、评估个人信息  
 · 安全意识培训
        Elevate Security主页的标题是“人的风险：度量、影响、减少”，非常讨巧地切合了大会主旨，印象中这也是RSAC近年来第一家在安全意识培训（SAT）方面的创业公司。通过技术手段促进安全治理，发挥员工的主观能动性，能够更好地提升安全防护的效果。
        亮点：技术手段提升员工参与能动性
 
 · 邮件安全
        国外的电子邮件使用率远高于国内，所以邮件安全的重要程度可能高于其他安全领域。传统邮件安全网关通过发件人地址、内容是否包含恶意IOC，以及附件等网络安全角度去检测邮件的安全性，但这些无法抵御基于社会工程商业电子邮件犯罪（BEC）。INKY虽然在传统的邮件安全领域，但解决的是跟人密切相关的问题，它试图通过从人的感知的角度去分析其中的内容是否存在欺诈，所以能够检测出传统手段无法检测到的0day攻击。
        亮点：AI助力人脑很难识别的视觉欺诈
 
2、行业创新
 
 · 敏捷开发
        总体而言，DevSecOps是一个新兴的方向。今年创新沙盒有三家是DevSecOps方面的：ForAllSecure、Vulcan、BluBracket。其中Vulcan下文中会详细分析，BluBracket成立一年，内容较少。
 
        ForAllSecure聚焦在DevSecOps，有一支来自卡耐基梅隆大学科研团队，通过“下一代”模糊测试技术结合使用“符号执行”技术和“导向型模糊测试”技术，能够针对测试发现的安全漏洞自动化生成概念性验证（PoC）和补丁，在一定程度上避免传统白盒测试的高误报和黑盒测试的盲目性，具有很高的创新性和价值。该团队在DARPA CGC 2016中夺冠，足以验证其技术实力。
        亮点：DevSecOps+Fuzz，技术实力很强  
        DevSecOps成为了越来越多企业中开发者的选择，其中代码安全已经成为了非常重要的安全方面，开发阶段解决安全问题，远比运行时检测、响应的投入划算得多，所以看好未来几年代码安全相关的创新企业。
 
 · 云安全
        无论在国内还是国外，云计算已经成为了普适的基础设施，云安全已经成为了传统的安全问题，例如云上配置、访问控制、检测响应等。
 
        随着各种云上安全事件频繁，SaaS、PaaS的数据泄露已经成为这两年很热的话题，Gartner将该细分市场称为CSPM（Cloud Security Posture Management），目前大部分公司的配置核查主要是对如存储资源的访问凭证进行检查，避免弱口令或无口令拖库的事件。下面两家公司则更进一步，既然攻击者能够无凭证或获取弱凭证，那就需要监控云端服务的访问行为，聚焦在看似合法的访问，而非以往关注恶意攻击，有点像前几年内网持续遭到渗透后，业界开始聚焦在合法用户的异常行为，所以出现了UEBA。总体而言，这个方向的技术难度不大，借鉴的现有技术不少，创新不多，但市场空间大，所以创业公司的前景还不错。
 
        AppOmni实现了公有云上的配置和访问控制策略的持续核查和监控，更多的是从合规性角度、安全策略可视化和监控方面更出彩。
        亮点：SaaS持续访问控制监控  
        Obsidian实现类似的功能，但在RBAC基础上增加了检测和响应功能，通过监控用户的登陆、操作等事件，分析其中异常的行为操作，可以理解为xDR在云端SaaS的应用。本身创新度不大，主要还是新技术与云安全的融合。
        亮点：xDR+SaaS融合  
3、传统安全的创新和微创新融合
 
        Sqreen、Tala Security和Vulcan Cyber三家均出现在Gartner的Security and Risk Management Cool Vendor 2019中，所以严格意义上说 这三家不算太新的公司，而且这三家在细分领域中没有突破性的创新，需要与成熟的厂商竞争。
 
        Sqreen和Tala Security聚焦在Web安全领域，既传统的WAF，以及近年开始流行的RASP，都已然是服务端Web安全的标配。所以这两家公司不管是部署方式，还是功能层面，虽然有所创新，但均属于微创新。
 
        Sqreen是以微代理的方式实现了RASP和In-App WAF，从功能上没有突破当前WAF和RASP。当然他们宣称捅过内嵌无侵入SDK的方式，可以做到对业务应用的无缝、可扩展防护，无论企业有多少服务，服务是基于什么语言，Sqreen都能嵌入，对上形成统一的视图，从而进行监控、分析和防护。借用Service Mesh的概念，Sqreen也提出了Security Mesh。
        亮点：切近业务无缝对接  
        Vulcan Cyber将威胁脆弱性管理平台TVM融入了这两年热门的“响应”元素，通过编写剧本Playbook，将TVM与SOAR结合，自动化缓解高风险的漏洞，解决漏洞生命周期管理运维成本高的问题。决赛中Vulcan举了一个如何缓解Apache Structs的多种方法，通过SOAR实现workload的自动运行，这样就解决了大规模业务环境下漏洞管理的可扩展性和响应速度。
        亮点：漏洞管理和SOAR融合  
        Tala Security聚焦在客户侧的Web应用防护，通过CSP机制抵御如XSS、挖矿等针对客户端浏览器的攻击，主要面向金融交易的安全防护。这是传统Web安全缺失的地方，如果没有威胁情报，服务器端安全机制无法判断网站中的第三方引用是否存在安全问题（因为第三方的流量不会经过WAF）。Tala Security通过客户端浏览器CSP的安全策略，覆盖了传统Web安全的短板，有一定的新颖之处，是传统服务端Web安全有益的补充，但本身替代不了WAF，两者应该是互为补充，最终形成端到端的Web安全方案。
        亮点：客户端的Web安全机制  
二、总结
        从技术点上看，自动化似乎贯穿了很多公司的产品特点，如PrivacyOps、SOAR、xDR、API Driven等等，原因是当前的攻防到了争分夺秒的阶段，而安全运营也面临规模化、复杂化的挑战，只有通过自动化提升整体的安全防护效率，才能应对这些挑战。
 
        而从安全防护体系来看，人的因素的重视程度一直在提升，如何降低所有员工中安全防护水平的短板，如何利用人的积极性提升整体防护水平，也是创业公司通过技术驱动完善制度、符合合规性要求需要考虑的重要问题。
 
        总体而言，网络安全的创新一直在进行中，但从这几年的创新沙盒看，没有哪个行业，也没有哪个技术是全新、闻所未闻的。尽管国内的网络安全企业与国外的差距在逐渐缩小，但需要指出的是，国外的IT环境在很大程度上跟国内是有差异性的，例如云计算、电子邮件等，所以当我们思考相关的安全创新也需要考虑到国情，避免邯郸学步。