RSAC2022創新沙盒決賽將于舊金山時間6月6日舉行，作為“安全圈的奧斯卡”，大賽每年都備受矚目。綠盟君通過對本次十強初創公司進行整合分析，提前劇透當下最火熱的網絡安全新熱點，讓我們一起去看一下。

圖1 RSAC2022創新沙盒十強公司

根據主要產品類別，創新沙盒十強公司可以被分為以下幾類：

圖2RSAC2022創新沙盒十強產品領域

本次創新沙盒十強中共有4家云安全公司，通過與RSAC2021十強初創公司的產品類型對比，可以看出RSAC2021創新沙盒的產品種類分布相對平均，且云安全似乎也不是絕對的重頭。那為什么2022年RSAC的云安全公司數量如此之多呢？綠盟君通過對2022年的云安全產品進行分析，發現這些產品的功能已很難用單一的傳統云安全產品概念去覆蓋。

圖3 RSAC2021與RSAC2022創新沙盒產品領域對比

1、云安全產品的創新

圖4為Araali Networks彈性補丁的執行流程。Araali Networks基于eBPF對云上應用行為進行檢測，并在應用行為與預定義行為出現偏移時，自動化糾正應用行為偏差。這種方案有別于傳統的威脅檢測與響應，更偏向內生安全的理念。

推薦閱讀：RSA創新沙盒盤點｜Araali Networks——云原生風險緩解

圖4 Araali Networks基于應用行為路徑的異常行為修復

圖5為Cado Security的威脅溯源和響應，不光支持基于攻擊路徑與可疑行為的可視化分析與時序化的惡意行為報表，還支持用戶自定義SOAR。復合型的能力使我們很難將其歸類到相對傳統的云安全產品分類中。

推薦閱讀：RSA創新沙盒盤點｜Cado Security——云原生取證和響應

圖5 Cado基于攻擊路徑的威脅溯源與時序報表

圖6為LightSpin的云環境DevOps安全能力架構。不過LightSpin并未關注DevSecOps產品通常關注的代碼掃描、源碼泄露、CI/CD集成等功能，而是面向云環境，從DevOps視角整合了IaC安全、CSPM、基于威脅建模的實時保護能力與K8S運行時安全能力。

推薦閱讀：RSA創新沙盒盤點｜Lightspin——攻擊者視角下的DevOps安全

圖6 Lightspin的云DevOps架構

這些產品很難被歸類為傳統的云安全產品（CASB、CSPM、CIEM等），而是同時覆蓋了云安全領域與其他安全技術領域的交集。一方面，這些產品為云環境中的接入方式與特有安全風險都提供了良好的兼容；另一方面，這些產品也針對某一些具體任務或具體場景提供了完善的安全能力。

圖7 云安全與其他安全領域的交集

2、新入圍領域與保留領域

與2021年相比，除了云安全類公司入圍數量上升外，2022年的決賽名單也出現了往年RSAC創新沙盒較少關注的瀏覽器安全產品公司——Talon Cyber Security。據推測，該產品應該是通過沙箱整合瀏覽器的本地部署方案，來對面向瀏覽器的惡意行為進行管理，并提供DLP、插件管理等實用功能，如圖8所示[5]。

推薦閱讀：RSA創新沙盒盤點| Talon Cyber Security——面向企業的安全瀏覽器

圖8 Talon Security檢測瀏覽器惡意行為

過去幾年一直獲得RSAC關注的DevSecOps類產品2022年仍然成功入圍。Cycode在優化了如硬編碼秘密掃描、源碼泄露檢測、代碼訪問權限控制、IaC安全等DevSecOps產品中較為常見的安全能力之外，也創新性地提供了基于知識圖譜的代碼防篡改能力，如圖9所示[6]。

推薦閱讀：RSA創新沙盒盤點| Cycode——軟件供應鏈安全完整解決方案

圖9 CyCode基于知識圖譜的代碼防篡改能力

3、產品設計趨勢

本次入選的產品雖然面向的任務種類與解決的具體問題各不相同，但從產品設計的維度來看卻具有一些共性，這些共性能夠反映出當前市場對安全產品的需求。

積極兼容其他廠商安全產品

Sevco Security通過Automox、CrowdStrike、Lansweeper、MalwareBytes Nebula、Microsoft AD五種產品搜集用戶的資產情報，自己并不對用戶系統進行掃描，而是對這五種產品采集到的資產情報數據進行融合與分析，如圖10所示[7]。

推薦閱讀：RSA創新沙盒盤點| Sevco Security——專注數據融合的資產管理平臺

圖10 Sevco Security整合其他產品采集的資產情報數據進行融合分析

BastionZero集成第三方SSO服務商的SSO服務，將三方SSO的認證憑證作為第一級證書，再級聯BastionZero自己的MFA認證，來形成可追溯且無法被單點攻陷的多信任根認證鏈，如圖11所示[8]。

推薦閱讀：RSA創新沙盒盤點｜BastionZero——零信任基礎設施訪問服務

圖11 Bastion Zero的多信任根身份認證

積極進行自動化響應

Torq支持用戶自定義的對于惡意IP進行封禁、自動刪除惡意文件、調用第三方EDR工具停止惡意進程等多種自動化響應。較為常見的發送工單給安全工程師來處理安全事件，僅是其自動化響應中的一種選項，如圖12所示[9]。

推薦閱讀：RSA創新沙盒盤點｜Torq——無代碼安全自動化

圖12 Torq支持自定義的自動屏蔽IP與調用EDR隔離惡意文件的響應策略

Dasera對于長期不使用，但具有敏感數據訪問權限的賬號，不光會進行告警，更會主動撤銷其敏感數據訪問權限，該過程完全不需要人工參與，如圖13所示[10]。

推薦閱讀：RSA創新沙盒盤點｜Dasera——全生命周期保護云上數據安全

圖13 Dasera從身份的維度進行數據治理，根據身份風險自動化管理身份權限

積極宣傳無代理接入模式

本次入選的公司中，Neosec、Araali Networks、Sevco Security、Dasera均宣稱使用了無代理的接入模式。雖然這些產品“無代理”的實現方式與實現程度并不相同，部分產品也沒有對其部署方式做詳細介紹，但這些公司都將“無代理”作為了產品的重要宣傳點。我們推測與Araali Networks類似，Neosec也使用了eBPF來實現“無代理”的部署方式，如圖14所示[11]。

推薦閱讀：RSA創新沙盒盤點｜Neosec——面向API安全的SaaS化防護方案

圖14 Neosec對通過無代理模式提供API安全能力的宣傳

備注：文中所有圖片均來源RSAC官網及創新沙盒十強公司官網

審核編輯：符乾江