RSAC2022创新沙盒决赛将于旧金山时间6月6日举行，作为“安全圈的奥斯卡”，大赛每年都备受瞩目。绿盟君通过对本次十强初创公司进行整合分析，提前剧透当下最火热的网络安全新热点，让我们一起去看一下。

图1 RSAC2022创新沙盒十强公司[1]

根据主要产品类别，创新沙盒十强公司可以被分为以下几类：

图2 RSAC2022创新沙盒十强产品领域

本次创新沙盒十强中共有4家云安全公司，通过与RSAC2021十强初创公司的产品类型对比，可以看出RSAC2021创新沙盒的产品种类分布相对平均，且云安全似乎也不是绝对的重头。那为什么2022年RSAC的云安全公司数量如此之多呢？绿盟君通过对2022年的云安全产品进行分析，发现这些产品的功能已很难用单一的传统云安全产品概念去覆盖。

图3 RSAC2021与RSAC2022创新沙盒产品领域对比

1、云安全产品的创新
图4[2]为Araali Networks弹性补丁的执行流程。Araali Networks基于eBPF对云上应用行为进行检测，并在应用行为与预定义行为出现偏移时，自动化纠正应用行为偏差。这种方案有别于传统的威胁检测与响应，更偏向内生安全的理念。
推荐阅读：RSA创新沙盒盘点｜Araali Networks——云原生风险缓解

图4 Araali Networks基于应用行为路径的异常行为修复

图5[3]为Cado Security的威胁溯源和响应，不光支持基于攻击路径与可疑行为的可视化分析与时序化的恶意行为报表，还支持用户自定义SOAR。复合型的能力使我们很难将其归类到相对传统的云安全产品分类中。
推荐阅读：RSA创新沙盒盘点｜Cado Security——云原生取证和响应

图5 Cado基于攻击路径的威胁溯源与时序报表

图6[4]为LightSpin的云环境DevOps安全能力架构。不过LightSpin并未关注DevSecOps产品通常关注的代码扫描、源码泄露、CI/CD集成等功能，而是面向云环境，从DevOps视角整合了IaC安全、CSPM、基于威胁建模的实时保护能力与K8S运行时安全能力。
推荐阅读：RSA创新沙盒盘点｜Lightspin——攻击者视角下的DevOps安全

这些产品很难被归类为传统的云安全产品（CASB、CSPM、CIEM等），而是同时覆盖了云安全领域与其他安全技术领域的交集。一方面，这些产品为云环境中的接入方式与特有安全风险都提供了良好的兼容；另一方面，这些产品也针对某一些具体任务或具体场景提供了完善的安全能力。

图7 云安全与其他安全领域的交集

2、新入围领域与保留领域
与2021年相比，除了云安全类公司入围数量上升外，2022年的决赛名单也出现了往年RSAC创新沙盒较少关注的浏览器安全产品公司——Talon Cyber Security。据推测，该产品应该是通过沙箱整合浏览器的本地部署方案，来对面向浏览器的恶意行为进行管理，并提供DLP、插件管理等实用功能，如图8所示[5]。
推荐阅读：RSA创新沙盒盘点 | Talon Cyber Security——面向企业的安全浏览器

图8 Talon Security检测浏览器恶意行为

过去几年一直获得RSAC关注的DevSecOps类产品2022年仍然成功入围。Cycode在优化了如硬编码秘密扫描、源码泄露检测、代码访问权限控制、IaC安全等DevSecOps产品中较为常见的安全能力之外，也创新性地提供了基于知识图谱的代码防篡改能力，如图9所示[6]。
推荐阅读：RSA创新沙盒盘点 | Cycode——软件供应链安全完整解决方案

图9 CyCode基于知识图谱的代码防篡改能力

3、产品设计趋势
本次入选的产品虽然面向的任务种类与解决的具体问题各不相同，但从产品设计的维度来看却具有一些共性，这些共性能够反映出当前市场对安全产品的需求。

积极兼容其他厂商安全产品
Sevco Security通过Automox、CrowdStrike、Lansweeper、MalwareBytes Nebula、Microsoft AD五种产品搜集用户的资产情报，自己并不对用户系统进行扫描，而是对这五种产品采集到的资产情报数据进行融合与分析，如图10所示[7]。
推荐阅读：RSA创新沙盒盘点 | Sevco Security——专注数据融合的资产管理平台

图10 Sevco Security整合其他产品采集的资产情报数据进行融合分析

BastionZero集成第三方SSO服务商的SSO服务，将三方SSO的认证凭证作为第一级证书，再级联BastionZero自己的MFA认证，来形成可追溯且无法被单点攻陷的多信任根认证链，如图11所示[8]。
推荐阅读：RSA创新沙盒盘点｜BastionZero——零信任基础设施访问服务

图11 Bastion Zero的多信任根身份认证

积极进行自动化响应
Torq支持用户自定义的对于恶意IP进行封禁、自动删除恶意文件、调用第三方EDR工具停止恶意进程等多种自动化响应。较为常见的发送工单给安全工程师来处理安全事件，仅是其自动化响应中的一种选项，如图12所示[9]。
推荐阅读：RSA创新沙盒盘点｜Torq——无代码安全自动化

图12 Torq支持自定义的自动屏蔽IP与调用EDR隔离恶意文件的响应策略

Dasera对于长期不使用，但具有敏感数据访问权限的账号，不光会进行告警，更会主动撤销其敏感数据访问权限，该过程完全不需要人工参与，如图13所示[10]。
推荐阅读：RSA创新沙盒盘点｜Dasera——全生命周期保护云上数据安全

图13 Dasera从身份的维度进行数据治理，根据身份风险自动化管理身份权限

积极宣传无代理接入模式
本次入选的公司中，Neosec、Araali Networks、Sevco Security、Dasera均宣称使用了无代理的接入模式。虽然这些产品“无代理”的实现方式与实现程度并不相同，部分产品也没有对其部署方式做详细介绍，但这些公司都将“无代理”作为了产品的重要宣传点。我们推测与Araali Networks类似，Neosec也使用了eBPF来实现“无代理”的部署方式，如图14所示[11]。
推荐阅读：RSA创新沙盒盘点｜Neosec——面向API安全的SaaS化防护方案

图14 Neosec对通过无代理模式提供API安全能力的宣传

备注：文中所有图片均来源RSAC官网及创新沙盒十强公司官网

参考文献
[1]https://www.rsaconference.com/usa/programs/innovation-sandbox
[2]https://www.araalinetworks.com/
[3]https://www.cadosecurity.com
[4]https://www.lightspin.io
[5]https://talon-sec.com
[6]https://cycode.com
[7]https://sevcosecurity.com
[8]https://www.bastionzero.com
[9]https://torq.io
[10]https://www.dasera.com
[11]https://www.neosec.org