了解安全产业的新风向,从创业公司选择切入的产品或技术面来观察,是不错的出发点之一,或许也能从中得到启发。日前全球安全盛会RSA大会(RSAC)登场,而每年举办的创新沙盒(Innovation Sandbox)竞赛活动,也是大会的重头戏之一,不仅给予每年安全创业公司企业大显身手的舞台,同时也让关心安全领域发展的人,不论是安全技术人员或是投资者,能够观察市场风向与挖掘新的潮流。
事实上,研究机构与安全创业公司,如资策会与奥义智能也都关切该发展,近年都持续亲自前往RSA大会,就近观察产业、商业的趋势与交流,而创新沙盒也是他们关注的焦点之一。
RSA大会这项安全创新计划已迈入第15年,今年持续选出十大安全创业公司,而从这些企业发展的解决方案,将能反映今年安全技术创新的焦点。
整体而言,这次大部分是美国创业公司,也有来自法国,像是Sqreen,以及以色列的Vulcan Cyber,而Blubracket成立时间最短,是2019年才设立的公司。
以专攻的领域而言,有两家创业公司是发展SaaS云计算安全的解决方案,例如,AppOmni与Obsidian Security;有两家是发展DevSecOps安全开发相关,分别是BluBracket与ForAllSecure,前者聚焦程序代码安全,后者聚焦模糊测试。
至于其他入选的企业,包括:安全意识培训的Elevate Security,邮件诈骗防护的INKY Technology,还有主打隐私合规解决方案的SECURITI.ai、应用程序安全管理的Sqreen、网站欺诈预防的Tala Security,以及弱点管理与自动化修补的Vulcan Cyber。
显然,这些领域或技术发展就是当今市场关注的焦点。毕竟,安全领域相当广,不论是这些创业公司针对的面向,与采用的技术,以及对应新安全议题所提出的解决方案,都将成为安全产业挖掘下一个机会的参考。
重点一:解决隐私权与法遵问题,预料是企业新兴需求
该如何看待今年这些安全创业公司的发展趋势,与往年有何不同之处?
首先,就是隐私保护,今年夺下这项竞赛最佳创新奖的SECURITI.ai,可谓重要指标。在该公司推出的PrivacyOps的解决方案,利用AI与自动化,搭配自家的People Data Graph技术,可以快速查看企业的隐私状况与合规风险,帮助因应相关法遵面的需求。同时,产品本身还结合了自然语言(NLP)处理能力,让用户可直接在产品接口上,能以普通对话的方式,获得各式资料与拥有者的信息。
值得注意的是,两年前2018年这项活动的冠军BigID,也是致力于隐私保护方案,显然这方面的安全技术发展,持续受到重视。
对于这样的趋势,台湾安全业界也同样关注。奥义智能共同创办人丛培侃表示,资料保护与法规遵循还是受评审青睐,云计算上个人资料的自动化盘点、关注与授权,就是重点。
事实上,近年隐私保护解决方案持续受重视。毕竟全球对隐私管理的要求越来越高,在欧盟,有GDPR,美国的加州消费者隐私法(California Consumer Privacy Act,CCPA)今年正式生效,企业若违反法规将会被罚。
面对全球隐私法规与个别安全要求,资策会安全所副所长吴建兴也提出见解。他说,这方面的法规细节其实相当多,若只靠顾问或人工方式来处理,即时性与完整性都不够,因此,如果利用AI将法规要求结合起来,能协助企业做好即时的隐私保护把关。
他认为,SECURITI.ai获得首选的重大意义在于,他们已经跳出软件生命周期的概念,将隐私、资料的生命周期结合,成为“Privacy Ops”,这是市场新机会。
再从产业发展角度来看,台湾是否也有可以借鉴的部分?对此,吴建兴表示,对于台湾而言,整体市场需求尚未浮现,他坦言,隐私法规的落实,除了金融业较为彻底、医疗业开始重视,以及少数科技公司被企业要求,其他领域则还在观望,因此,若创业公司产业要投入这个领域,需特别留意切入的时间点。
为了帮助企业查看隐私状况与合规风险,SECURITI.ai提出Privacy Ops的解决方案,可运用其People Data Graph技术,强调通过AI与自动化来做到隐私权资料的管理。在今年RSA大会的Innovation Sandbox竞赛活动上,SECURITI.ai拿下年度最佳创新奖
重点二:SaaS云计算安全防护与安全即服务都成趋势
SaaS云计算安全也是一大重点,RSA大会创新沙盒十强今年有两家创业公司聚焦于此,这主要也是美国市场对公有云应用接受度高,相关安全需求也较多,这几年来,针对企业采用SaaS而提供的专属防护方案,也正持续发展。
对此,丛培侃表示,对于SaaS服务的管理,已是现今企业的重要课题,当服务都搬到云计算上后,要如何协助企业云计算的IT管理就是重点,包括弱点、审核与权限等,今年确实也见到一些创业公司朝此发展。
至于另一面向,是安全创业公司将服务或产品云化的趋势。吴建兴指出,今年的SaaS应用比过去更多见,Security as a Service已是美国当地重要的趋势,许多创业公司团队在此发展商业的解决方案。
他认为,公有云的好处在于能够快速集成相关资源,包括安全纵深防御(Defense-in-Depth)、安全治理等环节,也能一起提出解决方案。
然而,对于台湾环境而言,他认为,目前各行各业对于投入公有云市场,还是保持着较为保守的态度,再加上大众型公有云市场已被Amazon、脸书、Google与微软所把持,从产业发展来看,若是台湾要创造出独特优势与市场机会,结合制造业等主流产业来发展应用也是一条路。他提到,像是这次艾讯科技也参展RSA大会,就是发展硬件产品结合云服务的策略,试图提升产品竞争力。
重点三:软件安全渐受重视,精准高效的模糊测试发展受关切
在RSA大会创新沙盒十强中,还有那些创业公司的发展值得重视?我们认为,还有安全开发相关的DevSecOps、应用程序安全管理,以及漏洞修补自动化等不同面向。
对此,丛培侃特别强调,应用程序安全仍是很多企业面临的问题,今年有半数厂商聚焦于此,发展相应的解决方案;吴建兴则是对于检测面向的创业公司ForAllSecure,非常关注。
关于ForAllSecure,它是来自美国卡内基梅隆大学的团队,过去曾拿下美国国防部国防高等研究计划局(DARPA)举办的自动网络攻防竞赛CyberGrand Challenge冠军。
基本上,他们所发展出的DevSecOps解决方案,强项是利用模糊测试(Fuzzing Test)的机制,找到软件漏洞,提供安全开发。吴建兴指出,这样的检测技术,等于是将红队演练做到自动化,虽然目前该应用主力还不是企业安全,但未来有机会在工业与国防领域成为黑马。
同时他也说明,模糊测试是项高挑战的技术,要做到好需要非常的精准,该公司的技术能有效集成专家知识,做到高效率的精准判断,而不是用穷举法来找漏洞,这部分将是台湾值得学习之处,并期望能将这样的技术引进台湾,或是创建合作关系。
另外,吴建兴也提到,对于员工行为风险,以及开放源码安全的检查,这些安全产品所要解决的安全风险面,也将是可以注意的趋势与机会。