RSA 2021創新沙盒 | Apiiro公司緣何一舉奪魁?

語言: CN / TW / HK

閲讀: 1

RSAC大會傳統關注項目、大夥喜聞樂見的競猜環節——創新沙盒(Innovation Sandbox)從往年大會召開首日下午挪到了第三天上午舉行,2021創新沙盒決賽的獲勝者是Apiiro,可以説是意料之外,情理之中。意料之外的是評委並沒有垂青於技術見長的Cape privacy,也沒有傾向資本親睞的Wiz,或是火熱數據安全賽道的3家公司;情理之中的是Apiiro可謂天時地利人和均沾,奪冠也就理所當然。

為什麼這麼説呢,下面我們來做一個簡單分析:

天時:Solarwind事件爆發,供應鏈安全需求迫切

有一些創新沙盒的獲勝者都有“東風”助力,比如2018年BigID和2020年Security.ai因當年GDPR和CCPA法律出台得到了很大的關注度。而2021年的Solarwind供應鏈污染,導致18000家機構被攻陷,直接影響大家對軟件供應鏈安全風險的關注度大幅提升,包括開源軟件和第三方商業軟件的安全性。而Apiiro公司開發的代碼風險平台,關注開發者的異常行為,可以有效緩解供應鏈風險。Apiiro在現場介紹中,還專門給出了一個如何抵禦Solarwind安全事件中攻擊的案例,最好的營銷不過如此。

地利:DevSecOps已是重要賽道,雲原生浪潮下安全左移已是趨勢

隨着敏捷開發模式的成熟和雲原生的迅猛發展,DevOps已經成為開發團隊常態,而從開發到運營如此長的鏈條中,安全怎麼做始終是一個困難問題。其中涉及到多個團隊、多種流程、多種軟件協同,Gartner也是連續多年在提DevSecOps。2021年創新沙盒中出現了兩家從事DevSecOps的公司,可見這個賽道已經有了足夠多的玩家,客户認知和接受度也已經相對成熟。

人和:產品關注風險,CEO臨場表現不俗

Apiiro雖然關注代碼安全,但並不只是從代碼本身入手,而是關注其風險,從服務API對外暴露的風險入手分析開發者的各種行為,這樣能夠聚焦運營時遇到的真實威脅,也能關注全面的風險,而不是檢測到一些無關痛癢的代碼問題,這才是客户真正想要的。

此外,可能是因為本屆創新沙盒在線上發佈的原因,大部分講者沒有到最佳狀態。往屆很多公司演講者在闡述時不浪費1秒鐘時間,但今年好幾家公司演講時和Q&A環節並沒有太多令人印象深刻的地方。反觀Apiiro公司CEO Iden卻截然相反,對公司情況如數家珍,Q&A環節也是乾貨滿滿,講出了其產品的核心價值和創新點,對比其他家加分不少。

關於Apiiro,最後想説的是:雖然艱難,但應用安全儼然成為一條新賽道,國內有一些初創公司在堅持這個方向,希望它們走得更寬、走得更快、走得更好。

最後分享一下參與本屆RSA目前觀察到的幾大趨勢。

疫情將深刻改變網絡安全

疫情期間,大量員工無法正常到企業上班,只能在家通過遠程連接企業環境辦公;此外,許多企業的IT系統上雲,或者採用了企業級SaaS服務舉辦在線會議、進行在線協作等,因而,針對這種情況RSA的CEO Rohit 在Keynote中提到work-from-anywhere-always將成為主流。後疫情時代,企業將越來越多地採用SDWAN和混合雲架構,以及使用雲原生的基礎設施賦能相關業務。

在這種趨勢下,安全創新企業應轉向零信任解決驅動的身份管理和訪問行為管理,以及採用雲原生的安全架構或技術對企業客户進行防護或賦能。

零信任成為爆點,身份管理是基石

Axis Security公司的核心在於使用代理雲的技術實現了零信任的應用訪問,雖然創新度不高,但卻契合了2021年零信任的熱潮。拋開零信任,身份管理也成為了本次創新沙盒涉及最多的領域,包括零信任、反欺詐和混合雲都涉及到身份管理,可見其是所有安全能力的基石,其重要程度可能會越來越重要。

雲原生潤物細無聲

雲原生已經成為雲安全發展的必然趨勢,無論是利用雲原生賦能安全,還是解決雲原生自身安全都被各界熱切關注。例如Abnormal Security、Axis Security等公司在構建自己的安全能力時都內置了雲原生的技術,使得在秒級、分鐘級就能彈性部署安全機制。而Wiz公司則是號稱全棧多雲,覆蓋了虛擬化和雲原生安全的各個層面。可以預見未來國外安全企業的方案會越來越多地採用雲原生架構,提供新的部署模式;或藉助公有云無服務的技術,提供新的交付模式。

數據安全勢頭不減,賽道深化和融合並存

數據安全在近幾年的創新沙盒中始終佔1-2家的比例,往年數據安全主要是對標法律法規,解決亟需的合規性要求,如隱私申明、數據遺忘發現、個人數據關聯等。今年數據安全則出現了3家,分散在雲上數據安全、數據共享、數據訪問控制方向,可見在GDPR、CCPA等合規性壓力下,數據安全依然是網絡安全的大熱門,但創新企業需要做深做強,或者開闢新的細分賽道,才能得到認可。

安全左移,安全團隊和流程融合

業界提出“安全左移”口號已經有兩年多的時間,近年受供應鏈和上雲趨勢的影響,DevOps受到重視。Solarwind事件的重大影響範圍也直接引發了大家對供應鏈安全的關注,雲原生的快速發展也加快了企業對DevSecOps的需求,如何保證開發安全則是首先要解決的問題。兩家代表性公司中,Apiiro公司關注開發側的各類風險,倡導與開發流程打通;WABBI公司使用自動化、智能化、平台化技術,使得安全、開發和運營流程融合,通過技術流程的合一,使得安全團隊、開發團隊和運營團隊的合作緊密,則是企業安全運營的重要目標。

網絡安全趨向全棧與智能

當前智能化的安全檢測和處置已經成為了行業的主流,但從傳統的、單一的維度,很難發現攻擊者降維或多維度攻擊,例如業務層面的異常是無法從網絡或終端側發現的。

2021年,無論是Axis公司的零信任、Apiiro公司的DevSecOps,還是Deduce公司的反欺詐,都需要基於上下文、人員屬性對當前的態勢進行持續安全評估,從而補全對應方案所需的安全可視度(visibility)。在所需的額外信息基礎上,使用人工智能技術進行動態、全棧的安全評估,因而AI成為了自適應安全的內在引擎。

版權聲明

本站“技術博客”所有內容的版權持有者為綠盟科技集團股份有限公司(“綠盟科技”)。作為分享技術資訊的平台,綠盟科技期待與廣大用户互動交流,並歡迎在標明出處(綠盟科技-技術博客)及網址的情形下,全文轉發。

上述情形之外的任何使用形式,均需提前向綠盟科技(010-68438880-5462)申請版權授權。如擅自使用,綠盟科技保留追責權利。同時,如因擅自使用博客內容引發法律糾紛,由使用者自行承擔全部法律責任,與綠盟科技無關。