RSA創新沙盒top10，最終贏家是？

掐指一算，RSA 2019 信息安全大會要來了。

今年的 RSA 大會于北京時間3月5日凌晨，在美國舊金山拉開帷幕（編輯朋友圈已經出現了不少舊金山打卡）。經過十余年的發展，RSA會議已經成為全世界安全行業的一個重要風向標，每年在RSA上展露頭腳的技術、產品、公司都會在今后的時間里成為行業、用戶、投資方、媒體所關注的焦點，其中尤以創新沙盒為甚。

進入 RSAC 創新沙盒比賽十強的公司都是安全行業中最大膽的創新者。在過去五年中，前十名決賽選手已經獲得20.5億美元以上的投資。

在這里，雷鋒網聯合小伙伴綠盟科技匯總了一波top10的相關介紹、產品信息和產品優勢（當然也有質疑），接下來就看各位能不能猜中最終贏家了。

Arkose Labs

領域：金融欺詐防御

官網：http://www.arkoselabs.com

Arkose Labs 成立于2015年，公司位于舊金山，主要為全球大型機構提供網絡防欺詐服務，客戶行業包括電商、旅游、金融、社交媒體與網絡游戲等。該公司通過極具創新性的全球遙感技術、用戶行為風險評估技術和專利保護服務，幫助用戶解決網絡欺詐難題，規避每年上百萬的經濟損失。Arkose Labs號稱能夠在不影響用戶體驗和業務開展的情況下，可事先阻斷欺詐和濫用行為。

當前一些主流的在線欺詐檢測工具都是基于行為分析或風險評分的機制，這些方法都存在固有的不足。這些工具通過對收集到的大量數據進行分析，并通過監控用戶行為的方式來對每個用戶進行風險評分。但是這些風險評分機制通常給出的是一種概率，很少能給出一個確定的好壞判定。同時，當前欺詐檢測工具大都是基于一些先驗證知識的事后檢測。

和其他的安全產品一樣，這些工具確實能有效地防御一些并不復雜的攻擊，但是對于一些具有強烈商業目的的高級欺詐來說，攻擊者會不斷的更新技術以繞過這些簡單風險分析手段。此外，當前的在線欺詐檢測方法無法給出明確的判定，主要是因為無法在保證不影響合法用戶的前提下檢測出惡意用戶。

 

【當前欺詐檢測方法】

當前的欺詐和濫用行為檢測機制只是以緩解為目標, 無法做到完全精準。因為它們預先設定了一些基本的假設，這些假設表示人們對欺詐的一些先驗知識，比如哪些用戶登錄行為有可能是非本人等。而基于這些假設的檢測方法，一方面很難在實際的應用中真正地區分人和機器，另一方面這些基本的假設通常是以單一目的（性能或準確率），過度的強調單一目標會影響欺詐防御的整體效率。

針對上述基于行為分析和風險評分的方法的缺點，Arkose Labs采用了一種“遙感節點-決策引擎（Enforcement）”的雙邊人機識別方式，將分布在全球的遙測節點檢測技術與決策引擎用可疑數據挑戰遙感節點結合起來，可以在不影響用戶體驗和業務開展的情況下事先阻斷欺詐和濫用行為。

從技術角度上來看，Arkose Labs確實做了一定的技術創新，并應用到了多個產品中：

第一是人機識別技術，當前已經的方法都無法做到絕對的準確，均是以減少識別誤差為目的的，而Arkose Labs宣稱它提出的一個完全安全可靠的識別技術，可以很準確的識別出人機。（當然，這里沒有看到詳細的技術內容，如果真能達到的話那么在技術上有了很大的創新。）

第二在動態識別上，基于商業目的攻擊者的技術手段也會更新，針對這個問題，Arkose Labs提出了一套便于實現的3D圖像轉換的人機驗證機制，這大大地增加了攻擊者的攻擊難度。

第三，Arkose Labs注重在線提供一種不影響用戶體驗的服務，這從用戶使用角度來說是一個很好的方法。作為業務安全問題，Arkose Labs的欺詐防御技術是企業的剛需，而且其商業價值是可以直接衡量的，但是對于僅基于這種雙邊方法實現100%的服務級反欺詐防御是存疑的。

作為一種欺詐防御方法，Arkose Labs的技術已經應用到如下領域：

 【Arkose Labs的技術的應用領域】

AXONIUS

領域：網絡安全資產管理

官網：http://www.axonius.com

Axonius 成立于2017年1月，并于2019年2月5日獲得了1300萬美元A輪融資。其是一家做網絡安全資產管理平臺（cybersecurity asset management platform）的公司，該平臺主要功能是對用戶的設備進行管理，包括資產管理、應用管理和補丁管理等。

目前隨著物聯網和移動辦公的發展，大量的手機、電腦以及智能設備進入了企業網絡中，顯然這么多的設備還是沒辦法統一進行管理。目前的方法大都是基于資產、身份、網絡等信息管理設備，每個系統（如終端安全：EPP、EDR，網絡安全：漏掃、NGFW，虛擬化平臺）都有自己的資產管理功能，但由于限于某個細分領域故而資產庫不全，彼此沒有互動形成豎井（Silo），因而安全團隊沒有辦法給出各個系統的資產之間的交叉聯系，也無法整合這些系統的知識完善資產屬性。

Axonius的網絡安全資產管理平臺，為每個設備提供一個管理的頁面（包括多輸入源融合的資產管理、補丁管理、動態設備發現和策略執行管理），可通過使用適配器通過API與現有系統連接，為每個設備創建唯一標識和配置文件，最后可通過插件實現跨設備的動作執行。

具體產品特點如下：

完整的資產發現和管理；

將多個第三方系統發現的資產進行融合，得到環境中完整、一致的資產數據庫，向SOC提供完整的資產信息。此外，對第三方系統的資產列表做對比，可及時發現某個系統未關注或未管理（Unmanaged）的資產，提高整個環境中的資產可視度。同時也借助第三方系統的更新通知，及時對資產變更進行相應的處置，調整訪問策略。

可擴展的插件架構與統一視圖管理；

將客戶現有的管理和安全技術集成到Axonius資產安全管理中，使用可擴展的插件架構，讓用戶能自己添加自定義的邏輯，并且用戶可以獲得所有設備的統一的界面——包括已知和未知的設備。

支持對物聯網設備管理；

BYOD設備的可見性；

雖然BYOD的模式方便了日常工作，但模糊了家庭和工作之間的界限。企業的員工擁有多設備，并且不斷增加更多設備，這些設備是異構、復雜，且很多是非可管理的。Axonius管理平臺可以告訴你這些設備何時連接和訪問資源，尤其是當這些設備不做任何的安全防護時。 

【Axonius可集成的安全方案】

Axonius的網絡安全資產管理平臺對現有安全管理平臺的整合確實是一種資產管理的解決思路，但如果企業中的管理及安全技術不能被Axonius集成，或是在網絡復雜且此前沒有對資產進行管理的企業中，Axonius的如何對資產進行管理呢？

所以資產管理單做集成是不夠的，還需要建立多場景下的資產識別管理模型，從更底層做起，減少對環境的依賴，或者添加采集控制節點形成閉環，不然Axonius的獨立發展空間還是十分有限。

此外，僅從官網資料看，Axonius的資產管理、補丁管理、對各個平臺兼容等功能，并不是顛覆性的創新，國內已經有一些安全公司在這些方面都做的比較好了，從技術實現上來看，只是可視化和API的編寫集成，不具有一定技術壁壘，很容易其他的資產安全管理平臺公司復制并超越，也可能是Axonius面臨的問題。

CAPSULE8——混合環境中的實時0day攻擊檢測、朔源和響應平臺

領域：Linux中的攻擊檢測與響應等

官網：http://capsule8.com

Capsule8是一家由經驗豐富的黑客和安全企業家創建的高新科技初創型企業，總部位于紐約布魯克林，成立于2016年秋季，在2018年8月獲得1500萬美元的B輪融資。

混合云架構已經成為企業 IT 基礎設施的重要架構，但由于存在多云服務商，缺乏中心控制和完整的合規性規劃，存在邊界模糊，訪問策略不一致等問題，加上公有云的暴露面增大，攻擊者容易通過進入薄弱點，進而借助利用 0day 漏洞。如在容器環境中利用逃逸漏洞（近日爆出在特權容器中逃逸的runc漏洞CVE-2019-5736），或虛擬化環境中的利用CPU漏洞Meltdown/Spectre等，進入宿主機，進而橫向到企業的云內或企業側網絡，造成更大的威脅。

此外，傳統的攻擊檢測平臺的工作機制通常是分析網絡和安全設備（如入侵檢測系統）的大量日志告警，進行關聯分析，最后還原出惡意攻擊。然而多年來，設備日志告警的置信度不高等問題導致絕大多數平臺告警是誤報，也造成了企業的安全團隊持續處于警報疲勞的狀態。

為此，該公司推出的0day攻擊實時檢測平臺Capsule8，在發生攻擊時通過自動檢測和關閉正在利用漏洞的惡意網絡連接，從而大規模減少安全操作的工作量，而且不會給生產基礎架構帶來風險。

Capsules8平臺整體架構圖如下所示：

① Capsule8 OSS傳感器，即Capsule8工作負載保護平臺的探針，是許多威脅檢測機制的基礎。傳感器旨在收集系統安全和性能數據，對服務的影響很小，它能夠實時了解到生產環境正在做什么；

② Backplane，包含一個實時消息總線，可以獲取到傳感器傳來的實時事件以及Flight Recorder記錄的歷史事件，它實現了背壓從而確保了平臺不會因為過多的Capsule8遙測事件而導致網絡洪水事件；

③ The Capsule8 API server，提供了統一的接口，允許企業管理生產環境中基礎設施架構所有跟安全相關的數據；

④ Capsulators封裝了連接客戶端軟件的API,通過它企業可以快速集成實現特定功能的軟件如Splunk和Hadoop，方便企業進行數據分析。通過Capsulators企業不僅可以實時感知集群信息，還可以通過Flight Recorders獲得歷史數據，依據IOC（Indicators of Compromise，包括MD5 hash、IP地址硬編碼、注冊表等），從而實現追溯調查；

⑤ 第三方工具，如Splunk和Spark等；

⑥ Capsule8 Console，前端可視化界面。

假設客戶生產環境是一個混合云環境，服務器部署于客戶側數據中心、公有云AWS和Azure中。Capsule8 如何實時檢測并阻止 0day 攻擊？整個工作流程主要分四步：

1.  感知。為了保護分布式環境，Capsule8傳感器遍布在整個基礎架構中-云環境和數據中心的裸機以及容器上。由于傳感器運行在用戶空間，捕獲少量的安全關鍵數據，故不會對系統工作負載的穩定性和性能造成影響。

2. 檢測。感知階段收集到的關鍵數據通過Capsule8 Backplane傳送到企業側臨近位置的Capsule8 Detect分析引擎，利用云端專家的知識庫將數據還原成事件，并對可疑事件進行分析。

3. 阻斷。當Capsule8檢測到攻擊時，它可以在攻擊發生之前自動關閉連接，重啟工作負載或者立即警告安全團隊。

4. 調查。由于0day攻擊持續事件較長，所以除了實時檢測外，Capsule8會在本地記錄遙測數據，便于專家利用歷史數據進行攻擊朔源。

隨著企業尋求基礎設施現代化，DevSecOps的落地在現代混合云環境下就顯得尤為重要。Capsule8可以無縫的集成到企業的Linux基礎架構中，并在企業的整個平臺上提供持續的安全響應。此外，它不是SaaS解決方案，它是與用戶的IT基礎設施一起部署。因此，數據完全保存在客戶環境，消除了第三方傳播、刪除或損壞數據的風險，從而給企業帶來更好的安全新體驗。

CloudKnox

領域：混合云環境中的身份權限管理

官網：http://cloudknox.io

CloudKnox是一家位于美國加利福尼亞州森尼韋爾的初創高科技公司，成立于2015年9月。公司已經完成A輪融資，累計融資1075萬美元。該公司提供一個云安全平臺（CloudKnox Security Platform），用于混合云環境中的身份授權管理（Identity Authorization Administration，IAA），以降低憑據丟失、誤操作和惡意的內部人員所帶來的風險。

目前該平臺已經支持主流的云計算環境，如Microsoft Azure、VMWare vSphere、Amazon Web Services、Google Cloud等。

CloudKnox Security Platform有五大關鍵能力：

1. 對于身份、權限、活動和資源的可視化和洞察力；

2.  對身份進行基于活動的授權（Activity-based authorization），授權對象包括服務賬戶、API keys、第三方合作伙伴等；

3. JEP（Just Enough Privileges）控制器可自動調整用戶的權限，從而降低高權限用戶所帶來的風險；

4. 在混合云環境中進行異常檢測和身份活動分析；

5. 提供高質量的活動數據用于合規性報告，提供強大的查詢接口用于調查問題。

傳統的權限管理具有固定、不持續的特點，容易造成管理和運營的脫節。通過分析，CloudKnox的思路是一個用戶具備某個權限，但是平時又不使用這個權限，則可以認為這個用戶不具備這個權限并予以撤銷。這其實也是對最小特權原理的一種實現方式。CloudKnox所提出的JEP，本質上也就是最小特權原理，但這種運行時進行閉環式的評估，比傳統的權限管理更有實用性和更好的用戶體驗。

但實際環境中，身份、權限關系復雜，即便一些權限一直未使用，在某一刻也有可能需要使用。這一刻有可能對應憑據丟失、誤操作和惡意的內部人員的操作，但也有可能是正常用戶的需要。雖然管理員可以對已經撤銷的權限進行再次授權，但從用戶需要這一權限到管理員進行核實確認并授權中間會有一定的時間間隔，而這一間隔，有可能使得一些關鍵業務響應不夠及時。另外，當身份、權限眾多時，管理員的工作量有可能很大。這些問題從CloudKnox的公開資料中暫未看到相關描述。但總的來說，通過對用戶的實際未使用權限進行限制，確實可以有效降低憑據丟失、誤操作和惡意的內部人員所帶來的風險。

DisruptOps, Inc.

領域：云安全

官網：http://disruptops.com

DisruptOps Inc.成立于2014年，位于密蘇里州堪薩斯城，該公司致力于通過為多云基礎設施提供自動化的防護來提升云操作的安全性，實現對云基礎設施的持續檢測和控制。2018年10月，公司獲得了由Rally Ventures領投的250萬美元的種子輪融資。

近年來，公有云在國外得到快速發展，大量中小公司開始積極擁抱云計算。然而，公有云服務商的技術能力、安全水平始終成為客戶上云的最大顧慮。

在這樣的背景下，多云（Multi-Cloud）架構成為云計算IT架構的下一個飛躍，在多云架構下，用戶同時使用多個公有云提供商和內部私有云資源來實現業務目標。可有效提高公有云基礎設施可用性，且降低廠商鎖定（Vendor Lock-in）的風險。

然而，管理多個云環境的運營團隊面臨大規模和復雜的云環境，將很快導致運營成本不斷上升；此外，敏捷開發也為越來越多的開發團隊所親睞，云中開發、運營復用的系統將越來越多，DevOps將成為新的云應用常態，那么不同環境中的配置不一致會導致安全風險的顯著增加。常見錯誤包括存儲系統的數據被非授權訪問、錯誤配置的安全組導致的內部網絡可被外部訪問，以及過度分配的資源所導致的資金浪費。例如2017年曝光的美國陸軍及NSA情報平臺將絕密文件放在可公開訪問的Amazon S3存儲桶中，這個錯誤配置的S3存儲桶，只要輸入正確的URL，任何人都能看到AWS子域名“inscom”上存儲的內容。這包含有47個文件和目錄，其中3個甚至可以任意下載。

如果通過手動操作的方式來應對這些挑戰，效率低下且無效。DisruptOps通過實施可自定義的最佳實踐庫來確保一致性和安全性，從而使DevOps團隊能夠快速無風險地遷移，從而實現云管理的自動化。

該公司推出的基于SaaS的云管理平臺，實現對云基礎設施的自動控制。通過持續評估和執行安全、運營和經濟的防護欄，企業可以在保持運營控制的同時，可以安全的享受云計算提供的靈活性，速度和創新等好處。 

安全防護欄（Security Guardrail）

DevOps的模式促使開發團隊和運營團隊能夠更快地行動、更快地部署和更快地適應。因此，安全問題不能妨礙或減慢整個DevOps進程。安全防護欄會自動執行安全最佳實踐，不僅可以發現錯誤配置和攻擊，而且通常可以在發現問題之前修復它們。這樣使得DevOps團隊能夠在沒有風險的情況下快速執行。

具體包括：

1. 身份管理。確保身份策略在整個云中保持一致，從而消除過多的權限問題。監控。

2. 確保在多個帳戶中一致的設置日志記錄和告警，確保所有云活動的完全可見。

3. 網絡安全。管理適當的網絡訪問策略，確保正確配置安全組以最小化攻擊面。

4. 存儲安全。確保通過自動執行基于策略的標記、訪問和加密規則來保護存儲的關鍵數據。

運營防護欄（Operations Guardrail）

成熟的云組織在其所有云環境中實施共享服務，包括監控/日志記錄、IAM和備份等。運營防護欄可以實現這些共享服務的最佳操作實踐，而不需要腳本或任何其它本地的解決方案。

經濟防護欄（Economic Guardrail）

通常，開發團隊會將更多的精力致力于如何更好的構建并快速的部署相關的應用。然而，卻很少會有明確的意識，在資源不使用時主動的去關閉它們，這樣就會造成云成本的失控。經濟防護欄使用預先構建的策略，自動化的關閉不需要的云資源，在不影響開發人員效率或需要本地腳本的情況下節省用戶的資金。

多云和敏捷開發是云計算的熱點，DisruptOps以SaaS化的服務方式，通過對用戶的多個云資源進行安全與操作問題的快速檢測并自動修復，一方面節省了客戶上云的成本，另一方面實現對云基礎架構的持續安全控制，在安全、運營和成本等方面，給用戶帶來最大的收益。此外，借助自動化和服務編排的技術，推動云原生應用和DevSecOps的落地。

Duality Technologies

領域：隱私與IP保護 / 數據安全

官網：duality.cloud

Duality Technologies成立于2016年，總部位于美國馬薩諸塞州劍橋市，由著名的密碼專家和數據科學家聯合創立。公司致力于研究大數據/云環境下的數據安全與隱私保護技術，為企業組織提供了一個安全的數字協作平臺，目前在美國和以色列開展業務。目前獲得了由Team8領導的400萬美元投資。

隨著云計算和大數據技術的發展，越來越多的數據在第三方平臺進行存儲和計算。在云端實現數據處理的同時，如何保證數據的安全性是客戶的一個普遍訴求。

Duality公司的SecurePlus?平臺基于自主研發的同態加密先進技術，提供了不一樣的解決思路。提供的三種實際業務場景（安全數據分析 、機器學習模型的版權保護、數據共享的隱私保護），抓住了客戶的痛點，實現了“maximizing data utility, minimizing risk”，在第三方平臺進行機器學習和數據挖掘任務同時，可以保證數據不會被泄露。

基于同態加密的機器學習是指在加密數據上實現機器學習任務，如分類和聚類等，是近年來新的學術研究熱點。它可以分為加密神經網絡、加密KNN、加密決策樹和加密支持向量機等算法。猜測Duality公司在方案實現上吸收和借鑒了這些已公開的研究成果。目前面臨一些問題與挑戰是：

1. 如何在保證數據安全的前提下選擇合適的同態加密方案來實現不同的數據分析；

2. 如何解決全同態加密方案中存在的噪聲、運算復雜和運算效率低等問題；

3. 如何在確保算法安全性的前提下，使加密機器學習算法的準確度在可接受范圍內。
   

Eclypsium

領域：硬件與固件安全

官網：http://eclypsium.com

Eclypsium 公司專注于服務器、筆記本電腦和網絡設備（交換機、路由器等）的固件層的檢測和防護。至今為止，該公司已經完成A輪融資，累計融資1105萬美元。公司成員中，Yuriy Bulygin曾在英特爾工作11年（高級工程師），在McAfee工作了兩個月（CTO）。Alex Bazhaniuk和John Loucaides也來自英特爾，在此之前，這三位均負責英特爾的硬件、固件安全。Ron Talwalkar在McAfee工作了11年，作為終端安全業務部產品管理高級總監，負責英特爾安全相關的業務。所以，該公司熟知采用英特爾處理器的設備在硬件和固件上的安全現狀。

隨著網絡產品的普及，個人電腦、服務器、網絡設備的數量在急劇增長。設備底層的固件也在不斷地迭代，從BIOS到EFI再到UEFI，這些設備的底層固件的安全話題也一直是網絡安全領域的熱點。

Eclypsium專注于企業內部計算機類設備的固件層的安全防護，其特點非常明顯：在固件層做設備風險管理。固件的能力涉及對主板和與主板連接的外圍設備的初始化、網絡管理、內存管理、操作系統引導等。換句話說，該程序具備讀取、更改設備硬件狀態的能力，設備權限很高。這種狀態下的代碼一旦被更改，設備的運行狀態也就被篡改了。該公司研究人員也是利用了該代碼管理設備風險。

風險管理的能力主要涉及4個方面：漏洞掃描、固件升級管理、防篡改（尤其是后門檢測）、未知攻擊檢測、配置檢查。

除了固件保護平臺之外，該公司深入研究了UEFI固件中的安全問題，除了UEFI和BIOS這類固件之外，該公司在BMC（Baseboard Management Controller）方面也具備豐富的安全研究積累。

從研究的角度看，該公司成員在底層固件的研究上非常深入。但是觀其產品，漏洞掃描、固件升級、防篡改這類技術已經非常成熟，亮點較少。比較新穎的功能是未知攻擊的檢測。可以想到的思路是通過硬件設備相關的日志來捕獲，但是這需要看UEFI這類底層固件中是否有日志，量是否足夠大，以滿足較長時間段內的設備行為檢測、外部接口訪問的檢測等，并需要對UEFI固件做一定的更改。該公司的成員在這方面比較擅長，問題在于，如果該團隊研發了一個UEFI固件，客戶是否有一個必須使用該固件和平臺的理由，來滿足企業內設備的安全需求？很明顯，現在缺少一個理由說服客戶必須用該平臺，以保證設備足夠安全。

好在公司有了1000萬美元的融資，能支持其一段時間的研究、研發、運營等，這段時間內能否開發出客戶必須使用的底層固件和配套的平臺，尚未可知。一旦提供了一個必須使用Eclypsium的平臺的理由，該平臺的盈利也將相當可觀，畢竟亞馬遜、阿里巴巴、騰訊等企業的服務器的數量加起來也有數百萬臺。

Salt Security

領域：API接口安全

官網：https://salt.security

Salt Security是一家起源于以色列的安全服務公司，公司于2016年成立，總部設在硅谷和以色列，創始人有以色列國防軍校友、網絡安全領域專家等。該公司致力于為軟件即服務（SaaS）平臺、Web平臺、移動端、微服務和物聯網應用程序的核心API提供保護解決方案。

隨著互聯網應用的多元化復雜化，應用服務化成為顯著的趨勢，越來越多場景中的應用架構中采用應用編程接口（API）作為應用間數據傳輸和控制流程。同時API接口負責傳輸數據的數據量以及敏感性也在增加。因此針對API的攻擊已經變得越來越頻繁和復雜，成為當今不少公司的頭號安全威脅。在過去的幾年時間里，市場上已經看到了API面臨的風險和攻擊的巨大增長，不僅出現了FaceBook、T-Mobile等公司的API違規事件，也出現了美國郵政服務（USPS）和Google+的最新漏洞泄露事件。

API是架構師設計，并由開發者實現，每個API都是唯一的，具有各自的邏輯，因而產生的漏洞也沒有統一的模式。目前傳統API安全解決方案僅關注已知的攻擊類型，缺乏對API的細粒度理解，忽略針對API邏輯的攻擊。

2018年Salt Security推出了業界首個探測與防御API攻擊的解決方案，以確保SaaS、Web、移動端、微服務和物聯網等應用的安全。Salt Security的API安全防護平臺能夠在攻擊者成功入侵關鍵業務應用程序和竊取敏感數據之前，檢測并阻斷威脅。

Salt Security的API防護平臺分三個階段運行：

檢測階段：Salt Security防護平臺會自動并持續的監控環境中所有API，當環境發生變化時防護平臺通過自動探測捕獲到API的變化，以便后續分析API背后的風險。通過洞察API環境中流動的數據來識別其中的敏感數據，便于評估敏感數據潛在的暴露風險。防護平臺跟蹤并驗證API更新后的最新狀態，確認所有的API都滿足安全需求。

防護階段：Salt Security防護平臺不僅對安全堆棧中現有的漏洞進行檢測，而且能針對API邏輯攻擊提供實時保護機制。防護平臺使用人工智能（AI）技術和大數據技術，基于API的細粒度合法行為建立API正常行為基線，實時對API行為進行監控，一旦檢測到API活動中出現偏離基線的行為即作為可疑惡意行為進行API攻擊行為評估，該API防護平臺可以在攻擊者的偵察階段實時防止API攻擊的發生。

補救階段：通過防護階段對攻擊者行為的快速評估結果，補救階段自動化相應威脅并對攻擊者的惡意活動進行阻斷。為了向安全團隊提供有價值的情報，防護平臺向開發人員提供API源代碼相關漏洞信息，以便從根源上阻止API攻擊進而提高API安全性。

下圖是API防護平臺經過三個階段為安全人員提供的API攻擊行為信息。 

Salt Security的API防護平臺的創新之處在于利用API細粒度正常行為構建行為基線，監控API活動和流動的數據以確保API行為沒有偏離正常基線而且隱私數據不會被泄露。這種結合AI和大數據技術的解決方案能夠動態監控API安全做到API的實時防護。

但也有顧慮是部署其防護平臺的公司是否需要向Salt Security暴露部分API交互過程中的數據以做到更好地建立API行為基線，這一點沒有在其落地的產品中看到有關的解釋。

ShiftLeft

領域：應用安全

官網：http://www.shiftleft.io

ShiftLeft公司，成立于2016年，總部位于美國加利福尼亞州圣克拉拉市。該公司致力于將應用的靜態防護和運行時防護與應用開發自動化工作流相結合以提升軟件開發生命周期中的安全性。公司創始人Manish Gupta曾在FireEye、Cisco、McAfee等公司任重要職位。ShiftLeft在2019年2月獲得了2000萬美元的新一輪融資，總資金達到2930萬美元。

在軟件開發生命周期中，傳統的安全防護都是人工在代碼版本發布后通過執行相應腳本檢測漏洞信息，之后再將漏洞信息提交至公司的漏洞管理平臺或人工去做處理的。

這樣做有幾個缺點，首先執行腳本通常誤報率高，處理誤報的漏洞無疑增加了人工成本，也非常耗時；其次檢測漏洞的腳本非常多樣化缺乏統一標準，也增加了人工維護的成本；最后檢測和處理漏洞通常花費時間長達數小時或數天且準確率難以保障。

隨著技術和開發模式的不斷更新換代，敏捷開發如DevOps、CI/CD等的出現解決了軟件開發生命周期自動化的問題，很多企業在研究如何在整個過程保證安全性，即近年來很熱的DevSecOps。但要實現DevSecOps的安全（Sec）部分還需要有公司提供相應的安全能力。

Shiftleft 將下一代靜態代碼分析與應用開發自動化工作流中涉及的安全工具（SAST、IAST、RASP）相結合，利用CPG技術讓漏洞檢測的檢出率和誤報率均得到了有效提升并且從漏洞檢測、靜態防護、運行時防護、自定制查詢漏洞等多方面對軟件開發生命周期進行安全防護從而實現了DevSecOps的落地，給大部分用戶帶來了收益。

從技術角度而言， ShiftLeft產品的創新度高，完成度也相對較高，且與DevOps、CI/CD的有力結合可以很大程度上提升其產品的競爭力。

從市場角度而言，ShiftLeft憑借實力在近期又獲得了新一輪融資，其又可以招納各路專家擴展其業務和專業知識，從而加快公司業務發展。

Wirewheel

領域：個人隱私保護與數據安全

官網：http://wirewheel.io

WireWheel成立于2016年，總部位于華盛頓，該公司致力于降低數據隱私保護合規能力建設的難度，幫助企業來應對復雜、嚴厲的法案、條例規定。2018年10月，公司獲得了PSP Growth領投的1000萬美元的A輪融資。

隱私保護、數據安全已成為企業安全能力建設的重要環節，然而，在復雜的IT系統環境下加強數據隱私保護，對傳統的數據防泄密技術及產品是非常大的挑戰，也給企業的數據管理增加沉重的負擔。

大型企業內部網絡環境、數據存儲架構復雜，數據隱私保護依賴數據發現、管理、分類等多環節的技術支撐；多部門數據協作共享，需通過數據的關聯、聚合分析才能更合理的發現隱私泄露隱患；與合作伙伴或供應商等第三方企業的數據共享環節，數據的管理、隱私策略的配置尤為關鍵。特別是面對GDPR針對應用使用用戶隱私數據的權限管理，以及數據流動過程中的合規問題，在復雜的企業多部門協同和跨企業的供應鏈數據流管理方面，存在巨大的合規性挑戰。

應對這些挑戰需要專業的、自動化的管理流程和技術方案的支持。WireWheel公司提供的基于SaaS的數據隱私保護平臺，能夠滿足企業隱私影響評估（Privacy Impact Assessments, PIAs）、數據保護影響評估（Data Protection Impact Assessments, DPIAs）、供應商評估等多方面需求。其數據隱私保護平臺的主要包含以下主要功能：

隱私數據發現及分類（Data Discovery & Classification）；

發現并盤點個人信息，提供數據在組織中駐存、流動的可視化能力；在企業基礎設施、數據存儲及界面上集成隱私保護能力；支持識別、歸類和保護個人隱私數據。

流程映射（Process Mapping）；

支持云端資產發現，包括計算節點、存儲及serverless組件；包括內置的業務流程映射；能夠自動化識別并集成第三方流程。

任務計劃（Tasking）；

根據角色、業務類型、業務范圍制定任務計劃，促進和保障相關人員、業務按照計劃執行行動。

隱私引擎（Privacy Engine）；

提供用戶友好的自助式隱私數據保護向導，降低隱私保護任務、操作相關步驟的行動難度。

結語

從2019年創新沙盒比賽十強企業的研究方向可以看出，未來3-5年網絡安全技術熱門趨勢將會是：金融欺詐防御、網絡安全資產管理平臺、Linux中的攻擊檢測、混合云環境中的身份權限管理、云安全、數據安全、硬件與固件安全、API接口安全、應用安全等。

但是，創新沙盒舉辦幾屆之后，各個新公司的產品在創新方面的吸引力可能會降低。在這樣的背景下，能否誕生一家大家都十分信服的企業，非常值得期待。你更看好哪家企業？為什么？歡迎留言討論。

本文由綠盟科技投稿，雷鋒網編輯。雷鋒網

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。