RSAC 2019关键词 安全创新从未止步

■本刊记者 赵志远

历年的RSAC是安全厂商展示其最新网络安全产品的重要场所，今年的RSAC的主题是“Better”，寓意着网络安全在不断创新中将会变得“更好”。

国内部分安全厂商参加RSAC感受颇深，据绿盟科技政企技术二部总监庞南总结，在安全治理/风险/GRC领域，演讲涉及网络安全体系框架和标准、GDPR合规、威胁建模应用、风险建模应用、安全度量实践、风险评估方法等主题；人员安全管理领域，相关演讲主要涉及安全培训、安全意识等领域的实践分享，突出了人员安全管理对于整体信息安全保障的重要性；信息系统生命周期管理领域，议程中DevSecOps Day以及众多关于如何将安全控制前移，有效覆盖信息系统全生命周期的开发和运维阶段的演讲，分享行业管理实践、自动化技术工具等方面的探索和经验。

RSAC 2019创新沙盒大赛带来了网络安全最大胆的创新者，他们为减少用户网络安全风险而努力，同时也竭尽所能吸引投资人的目光。今年入围的10家创新安全公司中，有的是建立在原有技术基础之上的进一步创新，也有独树一帜的大胆突破。

关键词：资产管理

目前对网络的资产识别和管理，业界有三种主流形式：安装代理（Agent）、流量分析、主动探测。Axonius公司采取Agent方式，其网络安全资产管理平台主要是对用户的设备进行管理，包括资产管理、应用管理和补丁管理等。Axonius据此获得了今年的RSAC创新沙盒大赛冠军。保护网络资产的关键是了解网络中的网络设备等情况，通过Axonius网络安全资产管理平台，使用者可只需从一个页面了解所有设备的情况。Axonius是通过插件化的方式与各种IT、安全和网络平台对接，可将多个第三方系统发现的资产进行融合。

关键词：反欺诈、业务安全

Arkose Labs公司通过创新性的全球遥感技术、用户行为风险评估技术和专利保护服务，为全球大型机构提供网络防欺诈服务，Arkose Labs宣称能够在不影响用户体验和业务开展的情况下，可事先阻断欺诈和滥用行为。

关键词：0-day、容器安全

Capsule8公司开发的针对Linux的实时0day攻击检测平台，可主动保护用户的Linux基础设施免受已知和未知的攻击。Capsule8实时0day攻击检测平台可显著改善和简化当今基础架构的安全性，同时为未来的容器化环境提供弹性的支持。

关键词：身份与访问管理、特权账号管理、零信任

CloudKnox公司专注于访问控制领域，致力解决上述问题，关注于用户身份所具有的权限和其实际使用的权限。该公司提供一个云安全平台，依据用户最小特权原理，用于混合云环境中的身份授权管理（IAA），以降低凭据丢失、误操作和恶意的内部人员所带来的风险。

关键词 ：DevSecOps、云安全管理、自动化

DisruptOps公司为多云基础设施提供自动化的防护来提升云操作的安全性，通过实施可自定义的最佳实践库来确保一致性和安全性，使DevOps团队能够快速无风险地迁移。公司推出的基于SaaS的云管理平台，通过持续评估和执行安全、运营和经济的防护栏，可以使企业更好地保持运营控制。

关键词：数据安全、同态加密Duality Technologies

公司致力于大数据和云环境的数据安全与隐私保护技术，为企业提供安全的数字协作平台。公司依靠同态加密技术，做到在整个数据生命周期中始终保持加密状态，用户无需解密即可生成数据分析结果。公司SecurePlus平台在安全数据分析、机器学习模型的版权保护和数据共享的隐私保护等场景下有着创新表现。

关键词：固件安全

Eclypsium公司专注于服务器、PC和网络设备的固件层的检测和防护，公司面向企业用户提供固件防护平台，特别针对引导阶段机器码本身的完整性和可用性，主要包括漏洞扫描、固件升级、防篡改等方面的防护，特别是对未知攻击的检测上是一大亮点。

关键词： API安全

Salt Security 公司为SaaS平台、Web平台、移动端、微服务和物联网应用程序的核心API提供保护解决方案，该公司已推出业界首个探测与防御API攻击的解决方案，基于AI和大数据技术，通过不断的学习API行为来建立API细粒度正常行为基线，能够检测针对API逻辑的攻击。该方案分为检测、防护、补救三个阶段，在攻击者成功入侵应用程序和窃取敏感数据之前，检测并阻断威胁。

关键词：应用安全、代码安全

ShiftLeft公司将应用的静态防护和运行时的防护与DevOps相结合，以提升软件开发生命周期中的安全性。公司利用CPG技术让漏洞检出率和误报率均得到了有效改善，并且从漏洞检测、静态防护、运行时防护、自定制查询漏洞等方面对软件开发生命周期进行安全防护，从而实现DevSecOps的落地。

关键词：隐私数据保护、隐私数据管理、GDPR、CCPA

Wirewheel公司通过降低数据隐私保护合规能力建设难度，帮助企业应对日益复杂、严厉的法案、条例规定。公司提供的基于SaaS的数据隐私保护平台，主要包括隐私数据发现及分类、流程映射、任务计划和隐私引擎等功能，满足企业隐私影响评估、数据保护影响评估、供应商评估等多方面需求。