瞭解資安產業的新風向,從新創公司選擇切入的產品或技術面來觀察,是不錯的出發點之一,或許也能從中得到啟發。日前全球資安盛會RSA大會(RSAC)登場,而每年舉辦的創新沙盒(Innovation Sandbox)競賽活動,也是大會的重頭戲之一,不僅給予每年資安新創業者大顯身手的舞臺,同時也讓關心資安領域發展的人,不論是資安技術人員或是投資者,能夠觀察市場風向與挖掘新的潮流。
事實上,國內研究機構與資安新創公司,如資策會與奧義智慧也都關切此一發展,近年都持續親自前往RSA大會,就近觀察產業、商業的趨勢與交流,而創新沙盒也是他們關注的焦點之一。
從入圍十大資安新創,捕捉資安解決方案新風向
RSA大會這項資安創新計畫已邁入第15年,今年持續選出十大資安新創公司,而從這些業者發展的解決方案,將能反映今年資安技術創新的焦點。
整體而言,這次大部分是美國新創公司,也有來自法國,像是Sqreen,以及以色列的Vulcan Cyber,而Blubracket成立時間最短,是2019年才設立的公司。
以專攻的領域而言,有兩家新創公司是發展SaaS雲端安全的解決方案,例如,AppOmni與Obsidian Security;有兩家是發展DevSecOps安全開發相關,分別是BluBracket與ForAllSecure,前者聚焦程式碼安全,後者聚焦模糊測試。
至於其他入選的業者,包括:資安意識培訓的Elevate Security,郵件詐騙防護的INKY Technology,還有主打隱私合規解決方案的SECURITI.ai、應用程式安全管理的Sqreen、網站詐欺預防的Tala Security,以及弱點管理與自動化修補的Vulcan Cyber。
顯然,這些領域或技術發展就是當今市場關注的焦點。畢竟,資安領域相當廣,不論是這些新創針對的面向,與採用的技術,以及對應新資安議題所提出的解決方案,都將成為資安產業挖掘下一個機會的參考。
重點一:解決隱私權與法遵問題,預料是企業新興需求
該如何看待今年這些資安新創的發展趨勢,與往年有何不同之處?
首先,就是隱私保護,今年奪下這項競賽最佳創新獎的SECURITI.ai,可謂重要指標。在該公司推出的PrivacyOps的解決方案,利用AI與自動化,搭配自家的People Data Graph技術,可以快速檢視企業的隱私狀況與合規風險,幫助因應相關法遵面的需求。同時,產品本身還結合了自然語言(NLP)處理能力,讓使用者可直接在產品介面上,能以普通對話的方式,獲得各式資料與擁有者的資訊。
值得注意的是,兩年前2018年這項活動的冠軍BigID,也是致力於隱私保護方案,顯然這方面的安全技術發展,持續受到重視。
對於這樣的趨勢,臺灣資安業界也同樣關注。奧義智慧共同創辦人叢培侃表示,資料保護與法規遵循還是受評審青睞,雲端上個人資料的自動化盤點、追蹤與授權,就是重點。
事實上,近年隱私保護解決方案持續受重視。畢竟全球對隱私管理的要求愈來愈高,在歐盟,有GDPR,美國的加州消費者隱私法(California Consumer Privacy Act,CCPA)今年正式生效,企業若違反法規將會被罰。
面對全球隱私法規與個別資安要求,資策會資安所副所長吳建興也提出見解。他說,這方面的法規細節其實相當多,若只靠顧問或人工方式來處理,即時性與完整性都不夠,因此,如果利用AI將法規要求結合起來,能協助企業做好即時的隱私保護把關。
他認為,SECURITI.ai獲得首選的重大意義在於,他們已經跳出軟體生命週期的概念,將隱私、資料的生命週期結合,成為「Privacy Ops」,這是市場新機會。
再從產業發展角度來看,臺灣是否也有可以借鏡的部分?對此,吳建興表示,對於臺灣而言,整體市場需求尚未浮現,他坦言,國內隱私法規的落實,除了金融業較為徹底、醫療業開始重視,以及少數科技公司被業者要求,其他領域則還在觀望,因此,若新創產業要投入這個領域,需特別留意切入的時間點。
![]()
為了幫助企業檢視隱私狀況與合規風險,SECURITI.ai提出Privacy Ops的解決方案,可運用其People Data Graph技術,強調透過AI與自動化來做到隱私權資料的管理。在今年RSA大會的Innovation Sandbox競賽活動上,SECURITI.ai拿下年度最佳創新獎
重點二:SaaS雲端安全防護與資安即服務都成趨勢
SaaS雲端安全也是一大重點,RSA大會創新沙盒十強今年有兩家新創聚焦於此,這主要也是美國市場對公有雲應用接受度高,相關資安需求也較多,這幾年來,針對企業採用SaaS而提供的專屬防護方案,也正持續發展。
對此,叢培侃表示,對於SaaS服務的管理,已是現今企業的重要課題,當服務都搬到雲端上後,要如何協助企業雲端的IT管理就是重點,包括弱點、稽核與權限等,今年確實也見到一些新創公司朝此發展。
至於另一面向,是資安新創公司將服務或產品雲端化的趨勢。吳建興指出,今年的SaaS應用比過去更多見,Security as a Service已是美國當地重要的趨勢,許多新創團隊在此發展商業的解決方案。
他認為,公有雲的好處在於能夠快速整合相關資源,包括資安縱深防禦(Defense-in-Depth)、資安治理等環節,也能一起提出解決方案。
然而,對於臺灣環境而言,他認為,目前國內各行各業對於投入公有雲市場,還是保持著較為保守的態度,再加上大眾型公有雲市場已被Amazon、臉書、Google與微軟所把持,從產業發展來看,若是臺灣要創造出獨特優勢與市場機會,結合製造業等主流產業來發展應用也是一條路。他提到,像是這次國內艾訊科技也參展RSA大會,就是發展硬體產品結合雲服務的策略,試圖提升產品競爭力。
重點三:軟體安全漸受重視,精準高效的模糊測試發展受關切
在RSA大會創新沙盒十強中,還有那些新創公司的發展值得重視?我們認為,還有安全開發相關的DevSecOps、應用程式安全管理,以及漏洞修補自動化等不同面向。
對此,叢培侃特別強調,應用程式安全仍是很多企業面臨的問題,今年有半數廠商聚焦於此,發展相應的解決方案;吳建興則是對於檢測面向的新創ForAllSecure,非常關注。
關於ForAllSecure,它是來自美國卡內基美隆大學的團隊,過去曾拿下美國國防部國防高等研究計畫署(DARPA)舉辦的自動網路攻防競賽Cyber Grand Challenge冠軍。
基本上,他們所發展出的DevSecOps解決方案,強項是利用模糊測試(Fuzzing Test)的機制,找到軟體漏洞,提供安全開發。吳建興指出,這樣的檢測技術,等於是將紅隊演練做到自動化,雖然目前該應用主力還不是企業資安,但未來有機會在工業與國防領域成為黑馬。
同時他也說明,模糊測試是項高挑戰的技術,要做到好需要非常的精準,該公司的技術能有效整合專家知識,做到高效率的精準判斷,而不是用窮舉法來找漏洞,這部分將是臺灣值得學習之處,並期望能將這樣的技術引進臺灣,或是建立合作關係。
另外,吳建興也提到,對於員工行為風險,以及開放原始碼安全的檢查,這些資安產品所要解決的資安風險面,也將是國內可以注意的趨勢與機會。
RSA大會2020年資安十大新創公司 | | | 公司名稱 | 聚焦資安領域 | 成立時間 | 國家 | | | AppOmni | SaaS安全管控 | 2018年 | 美國 | | | Blubracket | DevSecOps/程式碼安全 | 2019年 | 美國 | | | Elevate Security | 資安意識培訓 | 2017年 | 美國 | | | ForAllSecure | DevSecOps/模糊測試 | 2012年 | 美國 | | | INKY Technology | 郵件安全/釣魚詐騙郵件防護 | 2008年 | 美國 | | | Obsidian Security | SaaS安全管控 | 2017年 | 美國 | | | SECURITI.ai | 隱私保護合規 | 2018年 | 美國 | | | Sqreen | 應用程式安全管理 | 2015年 | 法國 | | | Tala Security | 網站安全/網站詐欺預防 | 2016年 | 美國 | | | Vulcan Cyber | 弱點管理/漏洞修補自動化 | 2018年 | 以色列 | | |
|
資料來源:各公司,iThome整理,2020年3月
.jpg)
.jpg)
.jpg)
