网络安全领域最有潜力年轻公司都有谁?2023 RSAC 创新沙盒10强公布
The following article is from 安全喵喵站 Author 喵酱
2023年3月22日,RSA Conference今天宣布了第18届年度RSAC创新沙盒竞赛的10名决赛入围者。这批网络安全领域最有前途的年轻公司将于4月24日星期一在旧金山举行的2023年RSA会议上向评委小组和现场观众Demo他们的技术方案。
AnChain.AI
Web3是未来。作为一个如日中天的新兴火爆业务场景,Web3 Security的玩家也如雨后春笋,正遍地开花。AnChain.AI发布了业界首个Web3 SOC,正是其先锋代表之一。
AstrixAstrix
将自己定义为「守护App-to-App连接安全」厂商,着重强调non-human identities的管理能力。根据其官方介绍的信息,最为接近的赛道可能是机器身份管理MIM(Machine Identity Management)。在Gartner的描述中,App也属于是需要被管理的Machine类型之一。
Dazz
Dazz是一家专注于云开发阶段安全性的公司。Dazz的官方介绍中,强调自己的特点是通过整合多种开发安全工具,将代码、工件、部署和云环境与安全工具连接起来,以实现自动化的root cause分析和由开发人员主导的快速补救。他们可以快速发现盲点、确定问题的优先级并简化开发人员的修复工作流程,从而减少风险窗口,提升云安全问题补救速度。
与之最为相近的赛道概念可能是应用安全编排与相关性ASOC(Application Security Orchestration and Correlation)。当工具越来越多时,编排的价值就凸显出来。
Endor Labs
SCA近年来大火,Endor Labs之前就获得了硅谷CISO投资机构SVCI的背书加持,很可能是本届的夺冠大热门。
之前繁星创投在「繁星观察|网安国际投融资动态·2022年11月」中曾经对这家公司有过点评:Endor Labs找了一个新的切入点—依赖关系。当然,SCA工具都会去分析依赖关系。这家的不同之处在于:1. 它提出了依赖关系全生命周期管理的概念,也就是说从依赖关系被开发人员引入的那一刻就开始被管理了;2. 它会分析可达性,基于可达性来确定某个组件中的漏洞是否需要被处理。公司宣称可以比一般的SCA工具降低80%的误报。基于这些独特性,公司认为可以大大降低开发团队和安全团队之间的互相扯皮,从而在不牺牲安全的情况下保证软件开发的速度。
HiddenLayer
随着ChatGPT的崛起,AI有多火爆,安全问题就有多严肃,AI TRiSM(人工智能信任、风险和安全管理,AI Trust Risk and Security Management)想要直面的正是这一挑战,也被纳入Gartner 2023 10大重要战略技术趋势之一。从这个角度来看,HiddenLayer也可能是本年度的夺冠热门之一。
之前繁星创投在「繁星观察|网安国际投融资动态·2022年7月」中曾经对这家公司有过点评:网络安全领域最让人兴奋的地方,就是总是不断地会有新领域出现,这也是网络安全领域值得投资人长期关注的原因之一。Hiddenlayer的出现就是又一个证明。随着机器学习被广泛应用,针对机器学习的攻击也开始出现,Hiddenlayer认为机器学习算法及精心挑选的训练集是一个公司的独特竞争优势,但是一次成功的对抗性攻击将让你优势尽丧,甚至都完全没有注意到。Hiddenlayer提出了Machine Learning Detection and Response,MLDR来防护你的机器学习算法。
Pangea
Pangea定位为一个Security Platform as a Service安全平台即服务,目标是通过一个统一的框架、以API的模式、将客户需要使用的可信赖的安全功能整合到一起,使安全应用的交付成为开发周期的自然组成部分。
“Pangea的SPaaS框架适用于所有需要为其应用程序添加安全功能的开发人员。开发人员使用Pangea记录安全事件,管理出口限制,处理个人身份信息(PII)并阻止已知的威胁行为者(文件、域、IP、URL威胁情报)。”创始人Friedrichs说。“就像您访问AWS进行计算、存储、数据库和许多其他微服务一样,Pangea为您提供开箱即用的微服务,将安全性直接嵌入到您的应用程序中。这就是Pangea成立的原因-为开发人员统一安全,提供一个单一的位置,在那里API优先安全服务聚集在一起,使安全用户体验的交付变得可行和容易。”
这一思路或许和创始人的背景有关,Pangea由Oliver Friedrichs和Sourabh Satish联合创立,他们是Phantom SOAR平台的创造者,该平台于2018年被Splunk收购。
目前业界也有少部分公司提过类似的概念,但安全能力整合平台是否已经成为一个新兴赛道形态,依然有待观察。当前Pangea已实现的能力聚焦于GRC合规自动化、威胁情报和数据安全中的特权密钥等部分场景,身份及其他功能依然有待增强。
SafeBase
SafeBase也同为GRC赛道玩家,其聚焦的场景是使安全和销售团队能够主动共享和自动访问安全、合规和隐私信息,企业可以避免冗余的问卷调查,建立客户信任,并更快地完成交易。
SafeBase为中小型企业提供了一个功能齐全的安全和合规门户,通常只有在具有成熟信息安全举措的大公司中才能看到。SafeBase的“自助”访问允许组织快速收集有关供应商安全计划的信息。审计员可以通过在门户中创建帐户,签署自动发送给请求者的NDA,以及安全地下载SOC、ISO、PCI TRUSTe等报告或认证的水印PDF副本,来快速安全地收集信息。
在SafeBase的CEO Al Yang看来,他们与Security Scorecard这样的SRS安全评分厂商更多是一种合作关系。SRS评分是公司在判断供应商安全性时可以使用的一条信息,但Yang表示SafeBase可以提供这一评分背后的详细信息。
Relyance AI
Relyance AI的口号是“Privacy. It's in the Code.”,强调可以在一个直观的平台上无缝管理隐私、数据治理和合规性操作。数据隐私是近几年全球爆火的赛道,Relyance AI也被收录于IAPP「2022 PRIVACY TECH VENDOR REPORT」中。
Valence Security
SSPM,这可能是个短期在国内看不到玩家的赛道,但国外正逐渐进入主流。大多数安全漏洞是由于 SaaS 配置错误或用户错误,而不是代码漏洞,并且用户没有能力自行抵御这些风险。即使是 GitHub、HubSpot、LastPass、Mailchimp、Okta 等最近成为漏洞受害者的大型知名供应商,也容易受到错误配置和滥用的影响。
Valence SaaS应用程序安全平台在不影响业务灵活性的情况下降低了SaaS安全风险,支持协作、自动化工作流程和安全防护措施,以确保组织安全。
Zama
好久没有听到同态加密赛道的声音了。因此本次看到Zama入围10强,不由得让人怀疑这会不会是一匹黑马。Zama总部位于巴黎,为开发人员构建开源同态加密工具,他们的技术支持广泛的隐私保护用例,从机密智能合约到加密机器学习和隐私保护云应用程序。不得不说,主页风格就很法国。
在Zama看来,人们不应该关心隐私。不是因为这无关紧要,而是因为这不应该成为一个问题!从数据泄露和云应用程序监控,到一切公开的区块链智能合约,在网上私下做事情变得越来越复杂。解决这个问题的唯一方法是端到端加密所有内容,无论应用程序在哪里运行。唯一能做到这一点的方法是同态加密成为主流。
十强选手,各显神通,最终冠军会花落谁家,4月24日,我们一起期待!可以通过阅读原文一起竞猜冠军花落谁家吧!
END
往期推荐01下一个是谁?ChatGPT持续引发数据泄露风波!02云南省首个!《大理州数据治理工程—数据安全与数据要素化工程总体方案》通过专家论证03一键ChatGPT?从监管视角看AIGC应用中的数据合规问题