RSA 2021創(chuàng)新沙盒 | Apiiro公司緣何一舉奪魁？

RSAC大會傳統(tǒng)關注項目、大伙喜聞樂見的競猜環(huán)節(jié)——創(chuàng)新沙盒(InnovationSandbox)從往年大會召開首日下午挪到了第三天上午舉行，2021創(chuàng)新沙盒決賽的獲勝者是Apiiro，可以說是意料之外，情理之中。意料之外的是評委并沒有垂青于技術見長的Capeprivacy，也沒有傾向資本親睞的Wiz，或是火熱數(shù)據(jù)安全賽道的3家公司;情理之中的是Apiiro可謂天時地利人和均沾，奪冠也就理所當然。

為什么這么說呢，下面我們來做一個簡單分析：

天時：Solarwind事件爆發(fā)，供應鏈安全需求迫切

有一些創(chuàng)新沙盒的獲勝者都有“東風”助力，比如2018年BigID和2020年Security.ai因當年GDPR和CCPA法律出臺得到了很大的關注度。而2021年的Solarwind供應鏈污染，導致18000家機構被攻陷，直接影響大家對軟件供應鏈安全風險的關注度大幅提升，包括開源軟件和第三方商業(yè)軟件的安全性。而Apiiro公司開發(fā)的代碼風險平臺，關注開發(fā)者的異常行為，可以有效緩解供應鏈風險。Apiiro在現(xiàn)場介紹中，還專門給出了一個如何抵御Solarwind安全事件中攻擊的案例，最好的營銷不過如此。

地利：DevSecOps已是重要賽道，云原生浪潮下安全左移已是趨勢

隨著敏捷開發(fā)模式的成熟和云原生的迅猛發(fā)展，DevOps已經成為開發(fā)團隊常態(tài)，而從開發(fā)到運營如此長的鏈條中，安全怎么做始終是一個困難問題。其中涉及到多個團隊、多種流程、多種軟件協(xié)同，Gartner也是連續(xù)多年在提DevSecOps。2021年創(chuàng)新沙盒中出現(xiàn)了兩家從事DevSecOps的公司，可見這個賽道已經有了足夠多的玩家，客戶認知和接受度也已經相對成熟。

人和：產品關注風險，CEO臨場表現(xiàn)不俗

Apiiro雖然關注代碼安全，但并不只是從代碼本身入手，而是關注其風險，從服務API對外暴露的風險入手分析開發(fā)者的各種行為，這樣能夠聚焦運營時遇到的真實威脅，也能關注全面的風險，而不是檢測到一些無關痛癢的代碼問題，這才是客戶真正想要的。

此外，可能是因為本屆創(chuàng)新沙盒在線上發(fā)布的原因，大部分講者沒有到最佳狀態(tài)。往屆很多公司演講者在闡述時不浪費1秒鐘時間，但今年好幾家公司演講時和Q&A環(huán)節(jié)并沒有太多令人印象深刻的地方。反觀Apiiro公司CEOIden卻截然相反，對公司情況如數(shù)家珍，Q&A環(huán)節(jié)也是干貨滿滿，講出了其產品的核心價值和創(chuàng)新點，對比其他家加分不少。

關于Apiiro，最后想說的是：雖然艱難，但應用安全儼然成為一條新賽道，國內有一些初創(chuàng)公司在堅持這個方向，希望它們走得更寬、走得更快、走得更好。

最后分享一下參與本屆RSA目前觀察到的幾大趨勢。

疫情將深刻改變網(wǎng)絡安全

疫情期間，大量員工無法正常到企業(yè)上班，只能在家通過遠程連接企業(yè)環(huán)境辦公;此外，許多企業(yè)的IT系統(tǒng)上云，或者采用了企業(yè)級SaaS服務舉辦在線會議、進行在線協(xié)作等，因而，針對這種情況RSA的CEORohit在Keynote中提到work-from-anywhere-always將成為主流。后疫情時代，企業(yè)將越來越多地采用SDWAN和混合云架構，以及使用云原生的基礎設施賦能相關業(yè)務。

在這種趨勢下，安全創(chuàng)新企業(yè)應轉向零信任解決驅動的身份管理和訪問行為管理，以及采用云原生的安全架構或技術對企業(yè)客戶進行防護或賦能。

零信任成為爆點，身份管理是基石

AxisSecurity公司的核心在于使用代理云的技術實現(xiàn)了零信任的應用訪問，雖然創(chuàng)新度不高，但卻契合了2021年零信任的熱潮。拋開零信任，身份管理也成為了本次創(chuàng)新沙盒涉及最多的領域，包括零信任、反欺詐和混合云都涉及到身份管理，可見其是所有安全能力的基石，其重要程度可能會越來越重要。

云原生潤物細無聲

云原生已經成為云安全發(fā)展的必然趨勢，無論是利用云原生賦能安全，還是解決云原生自身安全都被各界熱切關注。例如Abnormal Security、Axis Security等公司在構建自己的安全能力時都內置了云原生的技術，使得在秒級、分鐘級就能彈性部署安全機制。而Wiz公司則是號稱全棧多云，覆蓋了虛擬化和云原生安全的各個層面?？梢灶A見未來國外安全企業(yè)的方案會越來越多地采用云原生架構，提供新的部署模式;或借助公有云無服務的技術，提供新的交付模式。

數(shù)據(jù)安全勢頭不減，賽道深化和融合并存

數(shù)據(jù)安全在近幾年的創(chuàng)新沙盒中始終占1-2家的比例，往年數(shù)據(jù)安全主要是對標法律法規(guī)，解決亟需的合規(guī)性要求，如隱私申明、數(shù)據(jù)遺忘發(fā)現(xiàn)、個人數(shù)據(jù)關聯(lián)等。今年數(shù)據(jù)安全則出現(xiàn)了3家，分散在云上數(shù)據(jù)安全、數(shù)據(jù)共享、數(shù)據(jù)訪問控制方向，可見在GDPR、CCPA等合規(guī)性壓力下，數(shù)據(jù)安全依然是網(wǎng)絡安全的大熱門，但創(chuàng)新企業(yè)需要做深做強，或者開辟新的細分賽道，才能得到認可。

安全左移，安全團隊和流程融合

業(yè)界提出“安全左移”口號已經有兩年多的時間，近年受供應鏈和上云趨勢的影響，DevOps受到重視。Solarwind事件的重大影響范圍也直接引發(fā)了大家對供應鏈安全的關注，云原生的快速發(fā)展也加快了企業(yè)對DevSecOps的需求，如何保證開發(fā)安全則是首先要解決的問題。兩家代表性公司中，Apiiro公司關注開發(fā)側的各類風險，倡導與開發(fā)流程打通;WABBI公司使用自動化、智能化、平臺化技術，使得安全、開發(fā)和運營流程融合，通過技術流程的合一，使得安全團隊、開發(fā)團隊和運營團隊的合作緊密，則是企業(yè)安全運營的重要目標。

網(wǎng)絡安全趨向全棧與智能

當前智能化的安全檢測和處置已經成為了行業(yè)的主流，但從傳統(tǒng)的、單一的維度，很難發(fā)現(xiàn)攻擊者降維或多維度攻擊，例如業(yè)務層面的異常是無法從網(wǎng)絡或終端側發(fā)現(xiàn)的。

2021年，無論是Axis公司的零信任、Apiiro公司的DevSecOps，還是Deduce公司的反欺詐，都需要基于上下文、人員屬性對當前的態(tài)勢進行持續(xù)安全評估，從而補全對應方案所需的安全可視度(visibility)。在所需的額外信息基礎上，使用人工智能技術進行動態(tài)、全棧的安全評估，因而AI成為了自適應安全的內在引擎。

（免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）