绿盟君带你看RSA2016创新沙盒

RSA大会的“创新沙盒”评选活动，可以算的上安全界的“奥斯卡”，每年的入选企业会成为本年度安全创新技术风向标，往往在下一轮的收购热潮中，这些入选企业也会成为大企业争相抢购的目标。
往届创新沙盒中曾拔得头筹的厂商包括Sourcefire (2005)、Imperva (2006)、Appthority (2012)和Waratek (2015)等。今年在经过严格的筛选和激烈辩论后，共有10家初创公司被提名入选决赛,决赛选手会在RSA第一天进行3分钟的主题演讲，并进行产品demo演示，角逐出冠军。

2016 RSA创新沙盒决赛入选厂商：

那么究竟哪家厂商会成为“RSA大会2016最具创新价值的初创公司”？哪种创新技术又最被看好呢？绿盟科技的绿盟君进行一些思考和探讨，一方面可以发挥想象，没准在国内的创新热潮中，也会诞生一些这样的公司or项目，另一方面可以猜猜最后花落谁家，这就看各位的智慧了。

Bastille公司

关键词：物联网安全 无线威胁 MouseJack

Bastille公司位于美国亚特兰大，2014年4月成立，并在2015年8月完成了900万美元的A轮融资。该公司是首家物联网安全公司，可利用其下一代传感器和软件监测企业“领空”中存在的物联网设备威胁，如使用WiFi、Zigbee、Bluetooth、蓝牙、Low Energy等上百种无线通信协议连接的无线设备。企业可利用该技术扫描整个电磁波谱，检测、定位、和评估物联网设备安全风险。Bastille打算2016年初将该物联网安全技术产品化，目前已在一些大型金融机构等做了试点。

Bastille还深入研究了MouseJack（鼠标劫持），即允许黑客通过无线键鼠入侵计算机的漏洞。Bastille测试发现无线鼠标的点击信号往往不会被加密且没有身份验证机制，这就使的攻击者可利用MouseJack漏洞，通过假冒的无线电脑鼠标设备入侵笔记本电脑。Bastille已将发现的包括罗技、微软、亚马逊等的针对13种鼠标和键盘的攻击并向各厂商报告了漏洞，其中有些厂商已经发布了补丁。

这种无线威胁的攻击形式，在工控领域中也有类似的形式，2013年《工业控制系统及其安全性研究报告》中第四章工业控制系统的攻击场景研究中，就曾经分析过攻击者利用现场无线网络干扰生产的攻击场景。

虽然因工业控制系统工作环境相对封闭、多采用专用通信协议且很难获得系统分析样本而很少遭到入侵攻击；但并不能说工业控制系统的用户就可以高枕无忧。本文前面章节的研究结果表明，目前工业控制系统普遍存在一些严重的安全问题。

而近期出现的乌克兰电力攻击事件，则是黑客利用社会工程学，诱惑被攻击者打开文件，运行木马，安装SSH后门，保证攻击者可以长时间控制被感染的主机。针对目标下发工业控制指令，必要时运行killdisk进行系统自毁，延长系统恢复时间。基于目前绿盟科技工控系统安全专家的分析情况来看，已经启动了一套应对方案，随时可以帮助客户应对该事件，避免造成更大的风险和损失。

补充资料：乌克兰电力攻击事件分析及防护方案

Illusive公司

关键词：攻击者视角 欺骗技术 APT攻击

Illusive公司是由来自以色列网络威胁情报公司Unit8200的网络攻击专家成立的一家初创公司。该公司主要关注如何应对目标式攻击。从攻击者的视角来看，Illusive认为高级攻击者依赖于一个简单的事实，那就是他们认为自己所见到的都是真实的，他们所搜集的数据也都是可靠的。如果攻击者无法搜集到可靠的数据，也就无法做出下一步行动的决策，自然就无法有效攻击了。因此Illusive就通过构造欺骗性的数据，使的攻击者入侵网络后因无法获取到可靠的数据而无法进行攻击。Illusive将Deception Everywhere技术（含欺骗潜在攻击者的信息）通过无代理方式部署到任意终端、服务器和网络组件中，这样就在整个网络创建一个欺骗层，从而粉碎目标式攻击和APT攻击。

攻击和防护并不是单纯技术的较量，而是人与人智慧的较量，“未知攻，焉知防？” 绿盟科技安全专家针对这一现象提出了攻防模型，并指出威胁情报是高级威胁对抗能力的基石，面对攻击，防守方如果展开调查取证溯源，利用并升级威胁情报和检测系统，增强的安全对抗能力，提高攻击方被挫败被破获的风险，进而迫使攻击方退出，从而完善安全防护生态体系，更为有效的对抗安全威胁。

补充资料：加强调查取证，夯实威胁情报基础

Menlo Security公司

关键词：恶意程序隔离平台 APT攻击 云安全

Menlo Security位于美国加州，其联合创始人兼CEO Amir Ben-Efraim可以说有资深的创业和安全领域经验，他曾任职Check Point，之后创办Altor Network（被Juniper收购），后加入Juniper云安全部门任VP。该公司2014年11月进行了1050万的A轮融资，2015年6月获得2500万美元的B轮融资。Menlo的主要产品是2015年6月推出的业内首款SaaS或本地部署虚拟机形式的隔离平台。

Menlo安全隔离平台无需安装任何终端软件，就可完全拦截来自web流量、文档和邮件链接的恶意程序，且可大规模部署。传统防御恶意程序的方式是将合法的内容与恶意程序区分开来，而且检测准确率往往依赖恶意流量识别能力。但由于黑客总是想尽各种绕过检测方法，所以传统方法无法保证百分百有效阻截恶意程序。Menlo安全隔离平台利用Adaptive Clientless Rendering™ (ACR)技术，会在云端而非终端隔离和执行所有的web内容，只有确定为不可执行且无恶意程序的用户会话才会导向浏览器，实现透明的100%安全的用户体验。除无需在终端安装任何软件或插件，该平台还兼容任何硬件（台式机、笔记本、平板、智能手机）、任何操作系统（windows、MacOS、iOS、安卓）和任何浏览器（IE、Chrome、Safari、FireFox）。

针对云端的恶意软件检测，绿盟云推出了针对移动业务的安全保护方案及云端移动应用安全服务。在国内XcodeGhost事件中，绿盟科技云安全平台发布了XcodeGhost自服务在线检测，用户可以将自己的APP（ipa文件）上传到该平台，即可以快速检测及确认程序是否使用了非官方版的Xcode，以及是否存在安全风险。

补充资料：
绿盟云：XcodeGhost分析及在线检测
乌镇峰会APP安全测试 绿盟科技安保经验分享

ProtectWise公司

关键词：检测可视性及响应 云安全 威胁情报

云安全公司ProtectWise2013年4月成立于美国丹佛，开发了一款安全Cloud Network DVR（检测可视化和响应，Detection Visibility and Response）平台。该平台利用所有网段部署的软件传感器来对所有网络流量进行数据包捕获，然后将数据传回云平台来进行实时威胁检测分析。从而可记录和保留所有网络流量，实现持续、自动化的威胁分析和回顾，创造长期的网络记忆。

该解决方案的两个核心组件是轻量级软件传感器和安全云平台。部署在企业网关、DMZ、企业云和网络核心区域部署不限数量的轻量级软件传感器，按协议和应用捕获netflow、元数据、全保真PCAP等，并将所有的网络流量压缩、优化和被动重放到ProtectWise安全云平台。ProtectWise安全云平台的智能引擎可提供单独设备无法提供的威胁检测能力，并会将流量数据与各种来源的威胁情报进行关联，并可支持实时和回顾性的分析。由于ProtectWise可在无限的时间内存储这些数据，所以当威胁情报环境出现变化时，它们还能够“回到过去”来分析历史数据找出以前未被发现的攻击活动，提供全保真的取证能力等。

针对网络入侵检测及防护可视化，乃至多设备关联行为分析方面，推出了基于大数据的安全分析系统，安全事件的复杂性决定了防守方在分析、研判安全事件的时候，需要具备多数据源、多系统自动对接，自动整合能力，并且具有提供支撑安全响应策略体系的能力以及态势感知和决策支撑能力。

补充资料：安全事件响应系统设计探讨

Prevoty公司

关键词：应用安全 RASP技术 应用自防护

应用安全初创公司Prevoty提供Runtime Application Self-Protection（RASP）安全监控。RASP是一种使应用程序在运行环境中具备自防护能力的新型技术，可监测应用运行环境中（如JVM）中的应用程序执行情况（应用逻辑、配置、数据和事件流等），在符合特定安全条件时进行控制，采取必要的防护措施（如终止用户会话、终止应用程序、告警）。Gartner曾指出截止2017年，25%的应用程序将会使用运行时间安全自防护特性。而值得一提的是2015年创新沙盒的冠军-Waratek也是利用RASP技术，提供针对JAVA应用程序的安全容器。Prevoty的应用安全引擎在运行时监控和保护应用，还有插件支持现有的.NET或Java应用，或通过Prevoty的软件开发工具来开发新的应用。Prevoty支持的应用类型包括Java、.NET、Ruby on Rails、Node.js Express，可以检测的攻击类型包括跨站脚本攻击、SQL注入攻击、SQL查询监测等。

应用安全检测技术不再满足于纯黑盒的探测方式，交互式检测技术（IAST）逐步被客户认可，通过远端与近端相结合的检测方式提供更加准确、全面、有针对性的AST检测技术，绿盟科技Web应用漏洞扫描系统（NSFOCUS WVSS）积极跟踪最新技术，在分布式扫描、代理扫描、日志安全集成等方面不断进行尝试和努力，以及通过模拟黑客利用技术的检测方式，在存储性XSS、CSRF等漏洞检测方面取得了更准确的检测能力。

补充资料：vBulletin5远程代码执行漏洞分析

Phantom Cyber公司

关键词：安全自动化 安全编排 安全运营

Phantom Cyber位于美国加州，其创始人Oliver Friedrichs曾成功创办或联合创办过三家公司： Immunet (被Sourcefire收购), Security Focus (被Symantec收购)和 Secure Networks (被McAfee收购)。该公司2015年4月获得270万美元种子基金，2015年9月A轮融资650万美元。Phantom Cyber利用社区开发力量推出了一款专门的安全自动化和编排平台——Phantom平台，将用户现有的各种截然不同的自有或第三方安全产品（如防火墙、终端产品、信誉服务、沙箱、SIEM等）整合为一个统一的可扩展平台。

Phantom平台基于逻辑架构和Phantom App模型，将客户现有安全产品能力抽象化为在数字化“剧本”(实际上是平台可以解读的Python脚本)中可自动执行的行动，实现可重复可审计的安全运营响应。Phantom平台可动化任意安全数据，包括安全事件、安全指数、漏洞、邮件等；且支持100多种不同的行动，如地理定位IP、搜索文件、拦截URL、隔离设备等；同时Phantom内部基于JSON运行，灵活性很强。对于用户来说，Phantom通过执行数字化“剧本”，简化了企业安全运营，是企业原本需要花几分钟或几小时协调十几种单点产品才完成的工作，可以在几秒内完成。从某种意义上来说，Phantom可以算得上是各种企业安全产品的操作系统。

“数字剧本”用例举例：

早在2000年的时候，绿盟科技专家就分析过从系统自动加固（hardening）技术和在线技术两个方面来阐述因特网安全技术发展的这种趋势，未来的安全软件将走向在线销售、更新、甚至租赁，尤其是桌面级安全产品，因为面对的大部分用户属于对网络安全技术知之甚少的网络服务使用者，这样，只有简单易用的软硬件和服务才有可能真正地提高因特网的“整体安全”水平。

补充资料：再谈网络安全的自动化

SafeBreach公司

关键词：数据防泄露 黑客视角 攻击链模拟 数据泄露验证

以色列公司SafeBreach 2014年8月成立，提供“永远在线”的数据泄露验证平台，通过模拟黑客的整个数据泄露攻击链（从一个攻击者可能如何渗入到用户环境，之后的活动，到数据外泄），帮助用户在数据泄露真正发生前了解其影响。

其工作流程包括：
1）部署黑客攻击行为模拟器。该平台所配置的轻量级的网络和终端模拟器，从黑客角度出发，在不影响用户或用户基础设施的前提下，自动化模拟攻击对手在整个攻击链的数据泄露方式和场景。用户可在网络、云或终端的关键区域部署这种轻量级的模拟器。
2）编排和执行数据泄露场景。Safebreach的编排平台会管理和执行模拟器上关于数据泄露方法的黑客“剧本”。
3）快速采取整改措施。Safebreach平台会关联和分析所有的数据泄露方法，为用户提供有价值的数据和整改建议。
4）重新运行和持续验证。在整改或与更改控制流程整合后，重新运行数据泄露验证方式，防止新的用户、终端、配置、用户变更带来的风险变化。

与Vera公司的想法不谋而合，绿盟科技始终秉承着打造业界最值得信赖的安全产品的理念，发布了绿盟数据泄露防护系统（NSFOCUS DLP），进一步完善了绿盟科技的数据安全防护体系，为用户提供更加全面的整体安全解决方案，最终实现的效果将是智能发现、智能加密、智能管控、智能审计等功能于一身的一整套的数据泄露防护方案。

补充资料：数据防泄漏DLP技术深度剖析

Vera公司

关键词：敏感数据保护 随时随地的数据防护 最后一公里数据防护

数据安全初创公司Vera成立于2014年1月，在14年进行了两轮共计1400万美元融资，2016年2月完成1700万B轮融资。其创业团队主创人员来自印度，目前共有30-50人，有一部分在印度，一部分在美国加州。

Vera提供首款“零接触、零阻力数据保护和加密产品”，让企业可保护、追踪和审计设备、应用及平台中的数据，包括通过邮箱、便携式设备和云服务（如Box、Dropbox、Office 365等）发送的数据。用户轻轻一点，就可以通过ASE-256加密算法对office文档、ppt、视频、图片等进行加密，并配置精细的访问策略（如“仅可查阅一次”、“在设定时间自动撤回文档”、“下线访问”、“离线访问”等），这些访问策略会随着文件一起发送给接收对象。用户还可以随时从任何设备或云存储设施撤销对文档或敏感数据访问的权限，即使在数据传输到企业网络之外，实现了“在最后一公里”（数据被下载或发送给其他设备之后）对数据的防护。如果数据被泄露或丢失的话，未授权的用户无法读取受Vera保护的文件。Vera还支持自定义动态水印，可跟踪谁在分享用户的信息；并会提供详细的文档级活动数据的使用报告，并通过平台进行集中管理和分析。

绿盟数据泄露防护系统（NSFOCUS DLP）及数据防泄漏解决方案，形成了对结构化数据和非结构化数据的全面保护。基于数据存在的三种形态（存储、使用、传输），对数据生命周期中的各种泄密途径进行全方位的监查和防护，保证了敏感数据泄露行为事前能被发现。

绿盟科技：数据防泄漏DLP技术深度剖析

Skyport Systems公司

关键词：软件定义安全 交钥匙平台

Skyport Systems公司开发了“超级安全”的基础设施，提供强化的内部部署服务器设备，并完全通过云计算来管理。SkySecure是“交钥匙平台”，它可运行和管理企业最重要的应用工作负载，该公司称，它完全整合了硬件、软件和服务组件来简化装配、部署以及管理安全服务器需要的运营工作。

这家公司介绍算是最少的，而且也较为抽象，但结合绿盟科技软件定义安全专家的论述可以让大家更易于理解这个方面运作模式。基于软件定义架构的安全防护体系也可将安全的控制平面和数据平面分离，绿盟科技安全专家认为可分为三个部分：用户环境中实现安全功能的设备资源池，软件定义的安全控制平台和安全应用，以及安全厂商云端的应用商店APPStore。

补充资料：2015软件定义安全SDS白皮书

Versa Networks公司

关键词：软件定义网络 软件定义安全 网络功能虚拟化（VNF）

软件定义网络初创公司Versa Networks公司的创始人Kumar和Apurva Mehta都曾任职Juniper，其产品主要是让服务提供商和大型企业可基于广泛的网络功能虚拟化（VNF）技术来构建下一代WAN和分支网络。

网络功能虚拟化（VNF）分离数据和控制平面，将3到7层的网络和安全服务虚拟化到软件中，并与底层硬件解耦，这样通过部署标准化网络硬件平台，许多移动网络设备中的软件可以按需安装、修改、卸载。Versa FlexVNF提供可在商业x86硬件上运行的VNF虚拟化网络功能，包括：DHCP、路由、QoS、CG-NAT、状态防火墙、应用可见性、下一代防火墙、反病毒、URL过滤、入侵检测/防护、软件定义的WAN、VPN、负载均衡。利用Versa FlexVNF软件可创建一系列分支架构，包括“瘦”分之架构（大多虚拟功能都位于如网点(POP)或数据中心），到“胖” 分支（所有虚拟网络和安全功能都在现场运行）。不管网络功能的位置在哪里，所有网络和安全组件都通过Versa Director管理平台进行配置和管理。利用基于软件定义的解决方案，企业不必采购五昂贵的专有网络硬件，这提高了服务灵活性，并显着降低总拥有成本。

与Skyport Systems公司的技术模式相类似，这家公司的描述显得更具体一些，相关的软件定义安全的模型，也可以从绿盟科技下一代软件定义安全SDS白皮书中找到。

补充资料：2015软件定义安全SDS白皮书

谁是最后的赢家?

看了上面对于入围的10家公司的描述，大家猜猜究竟谁能最后摘得此桂冠，美国时间2月29日下午4点半，绿盟君将为大家揭晓答案！

如果您需要了解更多内容，可以
加入QQ群：486207500
直接询问：010-68438880-8669