RSA 2021创新沙盒 | Apiiro公司缘何一举夺魁?

RSAC大会传统关注项目、大伙喜闻乐见的竞猜环节——创新沙盒(InnovationSandbox)从往年大会召开首日下午挪到了第三天上午举行,2021创新沙盒决赛的获胜者是Apiiro,可以说是意料之外,情理之中。意料之外的是评委并没有垂青于技术见长的Capeprivacy,也没有倾向资本亲睐的Wiz,或是火热数据安全赛道的3家公司;情理之中的是Apiiro可谓天时地利人和均沾,夺冠也就理所当然。

RSA 2021创新沙盒

为什么这么说呢,下面我们来做一个简单分析:

天时:Solarwind事件爆发,供应链安全需求迫切

有一些创新沙盒的获胜者都有“东风”助力,比如2018年BigID和2020年Security.ai因当年GDPR和CCPA法律出台得到了很大的关注度。而2021年的Solarwind供应链污染,导致18000家机构被攻陷,直接影响大家对软件供应链安全风险的关注度大幅提升,包括开源软件和第三方商业软件的安全性。而Apiiro公司开发的代码风险平台,关注开发者的异常行为,可以有效缓解供应链风险。Apiiro在现场介绍中,还专门给出了一个如何抵御Solarwind安全事件中攻击的案例,最好的营销不过如此。

地利:DevSecOps已是重要赛道,云原生潮下安全左移已是趋势

随着敏捷开发模式的成熟和云原生的迅猛发展,DevOps已经成为开发团队常态,而从开发到运营如此长的链条中,安全怎么做始终是一个困难问题。其中涉及到多个团队、多种流程、多种软件协同,Gartner也是连续多年在提DevSecOps。2021年创新沙盒中出现了两家从事DevSecOps的公司,可见这个赛道已经有了足够多的玩家,客户认知和接受度也已经相对成熟。

人和:产品关注风险,CEO临场表现不俗

Apiiro虽然关注代码安全,但并不只是从代码本身入手,而是关注其风险,从服务API对外暴露的风险入手分析开发者的各种行为,这样能够聚焦运营时遇到的真实威胁,也能关注全面的风险,而不是检测到一些无关痛痒的代码问题,这才是客户真正想要的。

此外,可能是因为本届创新沙盒在线上发布的原因,大部分讲者没有到最佳状态。往届很多公司演讲者在阐述时不浪费1秒钟时间,但今年好几家公司演讲时和Q&A环节并没有太多令人印象深刻的地方。反观Apiiro公司CEOIden却截然相反,对公司情况如数家珍,Q&A环节也是干货满满,讲出了其产品的核心价值和创新点,对比其他家加分不少。

关于Apiiro,最后想说的是:虽然艰难,但应用安全俨然成为一条新赛道,国内有一些初创公司在坚持这个方向,希望它们走得更宽、走得更快、走得更好。

最后分享一下参与本届RSA目前观察到的几大趋势。

疫情将深刻改变网络安全

疫情期间,大量员工无法正常到企业上班,只能在家通过远程连接企业环境办公;此外,许多企业的IT系统上云,或者采用了企业级SaaS服务举办在线会议、进行在线协作等,因而,针对这种情况RSA的CEORohit在Keynote中提到work-from-anywhere-always将成为主流。后疫情时代,企业将越来越多地采用SDWAN和混合云架构,以及使用云原生的基础设施赋能相关业务。

在这种趋势下,安全创新企业应转向零信任解决驱动的身份管理和访问行为管理,以及采用云原生的安全架构或技术对企业客户进行防护或赋能。

零信任成为爆点,身份管理是基石

AxisSecurity公司的核心在于使用代理云的技术实现了零信任的应用访问,虽然创新度不高,但却契合了2021年零信任的热潮。抛开零信任,身份管理也成为了本次创新沙盒涉及最多的领域,包括零信任、反欺诈和混合云都涉及到身份管理,可见其是所有安全能力的基石,其重要程度可能会越来越重要。

云原生润物细无声

云原生已经成为云安全发展的必然趋势,无论是利用云原生赋能安全,还是解决云原生自身安全都被各界热切关注。例如Abnormal Security、Axis Security等公司在构建自己的安全能力时都内置了云原生的技术,使得在秒级、分钟级就能弹性部署安全机制。而Wiz公司则是号称全栈多云,覆盖了虚拟化和云原生安全的各个层面。可以预见未来国外安全企业的方案会越来越多地采用云原生架构,提供新的部署模式;或借助公有云无服务的技术,提供新的交付模式。

数据安全势头不减,赛道深化和融合并存

数据安全在近几年的创新沙盒中始终占1-2家的比例,往年数据安全主要是对标法律法规,解决亟需的合规性要求,如隐私申明、数据遗忘发现、个人数据关联等。今年数据安全则出现了3家,分散在云上数据安全、数据共享、数据访问控制方向,可见在GDPR、CCPA等合规性压力下,数据安全依然是网络安全的大热门,但创新企业需要做深做强,或者开辟新的细分赛道,才能得到认可。

安全左移,安全团队和流程融合

业界提出“安全左移”口号已经有两年多的时间,近年受供应链和上云趋势的影响,DevOps受到重视。Solarwind事件的重大影响范围也直接引发了大家对供应链安全的关注,云原生的快速发展也加快了企业对DevSecOps的需求,如何保证开发安全则是首先要解决的问题。两家代表性公司中,Apiiro公司关注开发侧的各类风险,倡导与开发流程打通;WABBI公司使用自动化、智能化、平台化技术,使得安全、开发和运营流程融合,通过技术流程的合一,使得安全团队、开发团队和运营团队的合作紧密,则是企业安全运营的重要目标。

网络安全趋向全栈与智能

当前智能化的安全检测和处置已经成为了行业的主流,但从传统的、单一的维度,很难发现攻击者降维或多维度攻击,例如业务层面的异常是无法从网络或终端侧发现的。

2021年,无论是Axis公司的零信任、Apiiro公司的DevSecOps,还是Deduce公司的反欺诈,都需要基于上下文、人员属性对当前的态势进行持续安全评估,从而补全对应方案所需的安全可视度(visibility)。在所需的额外信息基础上,使用人工智能技术进行动态、全栈的安全评估,因而AI成为了自适应安全的内在引擎。

(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )