RSA 2021创新沙盒 | Apiiro公司缘何一举夺魁?

RSAC大会传统关注项目、大伙喜闻乐见的竞猜环节——创新沙盒(Innovation Sandbox)从往年大会召开首日下午挪到了第三天上

RSAC大会传统关注项目、大伙喜闻乐见的竞猜环节——创新沙盒(Innovation Sandbox)从往年大会召开首日下午挪到了第三天上午举行,2021创新沙盒决赛的获胜者是Apiiro,可以说是意料之外,情理之中。意料之外的是评委并没有垂青于技术见长的Cape privacy,也没有倾向资本亲睐的Wiz,或是火热数据安全赛道的3家公司;情理之中的是Apiiro可谓天时地利人和均沾,夺冠也就理所当然。

为什么这么说呢,下面我们来做一个简单分析:

天时:Solarwind事件爆发,供应链安全需求迫切

有一些创新沙盒的获胜者都有“东风”助力,比如2018年BigID和2020年Security.ai因当年GDPR和CCPA法律出台得到了很大的关注度。而2021年的Solarwind供应链污染,导致18000家机构被攻陷,直接影响大家对软件供应链安全风险的关注度大幅提升,包括开源软件和第三方商业软件的安全性。而Apiiro公司开发的代码风险平台,关注开发者的异常行为,可以有效缓解供应链风险。Apiiro在现场介绍中,还专门给出了一个如何抵御Solarwind安全事件中攻击的案例,最好的营销不过如此。

地利:DevSecOps已是重要赛道,云原生 潮下安全左移已是趋势

随着敏捷开发模式的成熟和云原生的迅猛发展,DevOps已经成为开发团队常态,而从开发到运营如此长的链条中,安全怎么做始终是一个困难问题。其中涉及到多个团队、多种流程、多种软件协同,Gartner也是连续多年在提DevSecOps。2021年创新沙盒中出现了两家从事DevSecOps的公司,可见这个赛道已经有了足够多的玩家,客户认知和接受度也已经相对成熟。

人和:产品关注风险,CEO临场表现不俗

Apiiro虽然关注代码安全,但并不只是从代码本身入手,而是关注其风险,从服务API对外暴露的风险入手分析开发者的各种行为,这样能够聚焦运营时遇到的真实威胁,也能关注全面的风险,而不是检测到一些无关痛痒的代码问题,这才是客户真正想要的。

此外,可能是因为本届创新沙盒在线上发布的原因,大部分讲者没有到最佳状态。往届很多公司演讲者在阐述时不浪费1秒钟时间,但今年好几家公司演讲时和Q&A环节并没有太多令人印象深刻的地方。反观Apiiro公司CEO Iden却截然相反,对公司情况如数家珍,Q&A环节也是干货满满,讲出了其产品的核心价值和创新点,对比其他家加分不少。

关于Apiiro,最后想说的是:虽然艰难,但应用安全俨然成为一条新赛道,国内有一些初创公司在坚持这个方向,希望它们走得更宽、走得更快、走得更好。

最后分享一下参与本届RSA目前观察到的几大趋势。

疫情将深刻改变网络安全

疫情期间,大量员工无法正常到企业上班,只能在家通过远程连接企业环境办公;此外,许多企业的IT系统上云,或者采用了企业级SaaS服务举办在线会议、进行在线协作等,因而,针对这种情况RSA的CEO Rohit 在Keynote中提到work-from-anywhere-always将成为主流。后疫情时代,企业将越来越多地采用SDWAN和混合云架构,以及使用云原生的基础设施赋能相关业务。

在这种趋势下,安全创新企业应转向零信任解决驱动的身份管理和访问行为管理,以及采用云原生的安全架构或技术对企业客户进行防护或赋能。

零信任成为爆点,身份管理是基石

Axis Security公司的核心在于使用代理云的技术实现了零信任的应用访问,虽然创新度不高,但却契合了2021年零信任的热潮。抛开零信任,身份管理也成为了本次创新沙盒涉及最多的领域,包括零信任、反欺诈和混合云都涉及到身份管理,可见其是所有安全能力的基石,其重要程度可能会越来越重要。

云原生润物细无声

云原生已经成为云安全发展的必然趋势,无论是利用云原生赋能安全,还是解决云原生自身安全都被各界热切关注。例如Abnormal Security、Axis Security等公司在构建自己的安全能力时都内置了云原生的技术,使得在秒级、分钟级就能弹性部署安全机制。而Wiz公司则是号称全栈多云,覆盖了虚拟化和云原生安全的各个层面。可以预见未来国外安全企业的方案会越来越多地采用云原生架构,提供新的部署模式;或借助公有云无服务的技术,提供新的交付模式。

数据安全势头不减,赛道深化和融合并存

数据安全在近几年的创新沙盒中始终占1-2家的比例,往年数据安全主要是对标法律法规,解决亟需的合规性要求,如隐私申明、数据遗忘发现、个人数据关联等。今年数据安全则出现了3家,分散在云上数据安全、数据共享、数据访问控制方向,可见在GDPR、CCPA等合规性压力下,数据安全依然是网络安全的大热门,但创新企业需要做深做强,或者开辟新的细分赛道,才能得到认可。

安全左移,安全团队和流程融合

业界提出“安全左移”口号已经有两年多的时间,近年受供应链和上云趋势的影响,DevOps受到重视。Solarwind事件的重大影响范围也直接引发了大家对供应链安全的关注,云原生的快速发展也加快了企业对DevSecOps的需求,如何保证开发安全则是首先要解决的问题。两家代表性公司中,Apiiro公司关注开发侧的各类风险,倡导与开发流程打通;WABBI公司使用自动化、智能化、平台化技术,使得安全、开发和运营流程融合,通过技术流程的合一,使得安全团队、开发团队和运营团队的合作紧密,则是企业安全运营的重要目标。

网络安全趋向全栈与智能

当前智能化的安全检测和处置已经成为了行业的主流,但从传统的、单一的维度,很难发现攻击者降维或多维度攻击,例如业务层面的异常是无法从网络或终端侧发现的。

2021年,无论是Axis公司的零信任、Apiiro公司的DevSecOps,还是Deduce公司的反欺诈,都需要基于上下文、人员属性对当前的态势进行持续安全评估,从而补全对应方案所需的安全可视度(visibility)。在所需的额外信息基础上,使用人工智能技术进行动态、全栈的安全评估,因而AI成为了自适应安全的内在引擎。