RSA2015创新沙盒深度解析

  【天极网网络频道】作为信息安全行业技术创新和投资的风向标，每届RSA大会的创新沙盒(Innovation Sandbox)环节都是万众瞩目的焦点。据统计，自RSA大会举办“创新沙盒”活动以来，每年的赢家都在获胜后的一年内成功获得投资。有的公司已经发展成为了业界领跑者，如sourcefire(IPS领域领先企业，已被Cisco收购)、Imperva(安全审计领域领先企业)等。

  今年恰逢创新沙盒活动举办10周年，又赶上RSA大会将“改变”(Change)作为大会主题，那么今年的创新沙盒环节都有哪些公司受到青睐？与往年比有什么样的变化？本文将为您进行一一解答。

  1. RSA2015创新沙盒入围公司介绍

  1.1 整体情况介绍

  今年入选RSA创新沙盒环节的10家公司如下(按音序排名)：

  表1 RSA2015创新沙盒入围公司列表

  从表1中可以看到，今年入围的10家安全初创公司中，从事大数据安全分析的有3家(Fortscale，Securitydo，VECTRA);从事终端安全分析的有2家(cybereason，Sentinelone);其它5家分别包含了众包测试平台(bugcrowd)、工控安全(Nexdefense)、身份认证(ticto)、源代码审计(Trustinsoft)、应用安全(waratek)等领域，覆盖面还是很广的。

  更进一步分析可以看到，除了3家从事大数据安全分析的厂商外，还有2家公司也是以大数据分析技术为核心的：cybereason的技术方案中，终端只是负责采集数据，所有的检测分析能力都在汇总后的大数据平台中实现;Nexdefense的工控异常行为检测，也是建立在对工控设备间流量的建模基础上，通过大数据分析技术来实现。因此可以毫不夸张地说，大数据安全分析技术在本届创新沙盒中占据了半壁江山。

  然而数量多不代表优势大，最终主打Java应用安全的waratek笑到了最后，获得了本届RSA创新沙盒的冠军;ticto公司提供的身份认证技术也颇具亮点，成为了本环节的亚军。限于篇幅，下面对这两家公司的技术方案进行简要介绍

  1.2 titco

  该公司产品名称为tictopass，它使得一个群组内部的成员互相之间能够通过屏幕进行可视化身份认证，解决了传统的身份识别卡易伪造、判断一个身份识别卡的有效性需要专业的设备且时间成本较高等问题。

  Tictopass由智能卡、电子墨水屏(黑白屏)组成，当管理员指定一些用户属于同一个群组后，只要群组内的成员利用Tictopass卡完成了自身的身份认证，则该成员的Tictopass卡在规定的时间范围内，会按照设定的周期随机显示一些图形，这些图形用密码学算法保证了不可预测性，且同一个群组内成员的图形是相同的。这样如果大家发现某个成员卡上显示的图形与其他人不一样，就能判断该成员不是这个群组的合法成员。

  图1 tictopass示意图

  1.3 Waratek

  Gartner近年来曾经提出过一个理念：当前应用程序大都基于外部安全设备(如防火墙、IPS、WAF等)进行安全防护，但外部设备无法观测到应用内部的数据、流程、运行逻辑等，因此不能提供足够的安全防护能力。要改变这一现状，应用程序自身必须具备安全防护能力，由此产生了RASP(Runtime Application Self Protection：运行时应用自我防护)这一产品分类。Watatek的产品就是基于这一理念实现的。

  Waratek的AppSecurity for Java产品工作于Java虚拟机内部，为每个Java应用又封装了一个Java虚拟容器层，这个虚拟容器层能够监控到应用程序的所有行为，包括用户输入的数据、数据的处理流程等。

  图2waratek方案原理

  Waratek声称能够基于预定义的规则实现虚拟补丁、0day攻击检测、攻击可视化和取证等功能。以SQL注入攻击检测为例，它通过对动态生成SQL语句进行语义分析，判断用户输入的数据是否改变了初始SQL语句的语义从而识别注入攻击：

  图3 waratek防范SQL注入攻击原理

  2. 近两年创新沙盒的发展趋势分析

  回顾2014年RSA创新沙盒，当时入围的10家公司中，从事基于大数据安全分析的有3家(RedOwl，LigthCyber，Cylance)，从事BYOD安全解决方案的有2家(Skycure，Bluebox)，其余5家分别为DDoS流量清洗(Defense.Net)、恶意代码检测(Cyphort)、安全事件处置(Co3 System)、安全情报智能分析(ThreatStream)和Web访问安全(White Ops)。

  将最近两年RSA创新沙盒入围企业进行综合比较分析，我们不难发现以下趋势：

  (1) 大数据安全分析是初创安全公司扎堆的热点。在近2年的入围企业中，都有超过三成的企业提供大数据安全分析类产品或服务，采集的数据源涵盖了网络流、终端状态信息、终端日志、网络设备日志、安全设备日志、用户上网数据等。这表明汇总更广泛、更长期的数据，辅助安全分析人员进行入侵行为检测，已经成为了安全分析的发展趋势。

  (2) 基于机器学习的可疑行为检测技术成为研究焦点。如果说基于特征匹配的检测防范了已知威胁、基于虚拟执行的检测阻止了未知恶意代码进入系统内部，那么对于已经渗透进入系统内部的恶意代码而言，可疑行为检测成为了识别该类威胁的唯一机会，而机器学习成为了该类问题的首选解决方案。当然，这种解决方案在安全检测领域的有效性还有待检验。近两年的创新沙盒环节中有不少公司在机器学习上大做文章，以至于在问答环节中评委们对机器学习都失去新鲜感。

  (3) 通过在客户环境中采集数据、汇总到云端提炼安全情报，再共享到客户环境中，成为安全情报产生和使用的主要情景。在2014年入围公司中的Cyphort、ThreatStream，2015年的cybereason中，我们都能看到这种安全情报利用机制的身影。

  (4) 以轻量级代理加弹性可扩展计算平台的方式提供安全能力，成为初创公司青睐的业务模式，硬件盒子出现的机会越来越少。相较于传统安全企业将检测能力以硬件设备的方式提供给用户，初创公司更倾向于在用户系统内部进行简单的配置，或者布置轻量级的代理采集所需要的数据，将分析功能放在在公有或私有的云端来完成。这样做一方面可以降低对用户网络环境的干扰，另一方面有助于提供按需分配的检测能力。

  (5) 众包模式作为一种新兴的组织形式，开始出现在网络安全服务中。在2015年的入围企业中，出现了两家利用众包方式的公司：bugcrowd本身就是一个众包安全测试管理平台，在上万名安全研究人员和需要安全测试服务的机构间架起了一座桥梁;ticto则提出了一种新颖的身份认证解决方案，使得组织内部的每个个体可以参与到对其他人的身份鉴别当中。这种业务模式在之前的创新沙盒中尚未出现过。

  3. 总结

  虽然RSA大会的创新沙盒环节赚足了参会人员的眼球，但它毕竟只有10家公司，且均为小规模的初创企业;相对于整个RSA展会的400余家厂商、众多业界标杆企业，创新沙盒环节不可能代表整个安全业界的发展趋势，我们对此不应过度解读。

  本届RSA创新沙盒中的几个典型技术元素，如基于机器学习的大数据安全分析、众包安全测试平台、终端异常行为检测、工控系统流量可视化等，我们都可以在国内主流安全厂商中找到相似的解决方案，这说明国内安全企业在前沿技术研究方面并不落后。我们所欠缺的，可能只是产品的成熟度、界面的直观性和易用性，以及在国外高端客户的成功案例。期待有一天能够在RSA创新沙盒中见到中国安全企业的身影!