[[402005]]

Apiiro宣傳可以發(fā)現(xiàn)和阻止類似SolarWinds的供應(yīng)鏈攻擊，非常契合當(dāng)前的網(wǎng)絡(luò)威脅主題。

當(dāng)?shù)貢r(shí)間5月19日下午，Apiiro公司從RSAC 2021創(chuàng)新沙盒比賽脫穎而出，最終斬獲創(chuàng)新沙盒冠軍，榮膺“RSAC 2020最具創(chuàng)新初創(chuàng)企業(yè)”。

Apiiro是一家安全開發(fā)生命周期（SDLC）管理廠商，成立于2019年，總部位于以色列特拉維夫。Apiiro的創(chuàng)始人Idan Plotnik和Yonatan Eldar均是以色列國(guó)防部的退伍軍人，此前均曾在微軟負(fù)責(zé)大型軟件的風(fēng)險(xiǎn)管理，SDLC也是微軟提出的安全開發(fā)框架。

[[402006]]

Apiiro宣傳號(hào)稱可以發(fā)現(xiàn)和阻止類似SolarWinds的供應(yīng)鏈攻擊，非常契合當(dāng)前的網(wǎng)絡(luò)威脅主題。SolarWinds事件后，軟件供應(yīng)鏈安全受到了空前關(guān)注，各國(guó)陸續(xù)出臺(tái)相關(guān)法律法規(guī)保障和審查軟件供應(yīng)鏈安全，該領(lǐng)域有望成為未來幾年網(wǎng)絡(luò)安全的黃金賽道。

RSAC 2021 創(chuàng)新沙盒 TOP 10

最后分享一下本屆 RSA目前觀察到的幾大趨勢(shì)： 

疫情將深刻改變網(wǎng)絡(luò)安全 

疫情期間，大量員工無法正常到 企業(yè)上班，只能在家通過遠(yuǎn)程連接企業(yè)環(huán)境辦公；此外，許多企業(yè)的IT系統(tǒng)上云，或者采用了企業(yè)級(jí)SaaS服務(wù)舉辦在線會(huì)議、進(jìn)行在線協(xié)作等，因而，針對(duì)這種情況RSA的CEO Rohit 在Keynote中提到work-from-anywhere-always將成為主流。后疫情時(shí)代，企業(yè)將越來越多地采用SDWAN和混合云架構(gòu)，以及使用云原生的基礎(chǔ)設(shè)施賦能相關(guān)業(yè)務(wù)。 

在這種 趨勢(shì)下，安全創(chuàng)新企業(yè)應(yīng)轉(zhuǎn)向零信任解決驅(qū)動(dòng)的 身份管理和訪問行為管理，以及采用云原生的安全架構(gòu)或技術(shù)對(duì)企業(yè)客戶進(jìn)行防護(hù)或賦能。 

零信任成為爆點(diǎn)，身份管理是基石

Axis Security公司的核心在于使用代理云的技術(shù)實(shí)現(xiàn)了零信任的應(yīng)用訪問，雖然創(chuàng)新度不高，但卻契合了 2021年零信任的熱潮。拋開零信任，身份管理也成為了本次創(chuàng)新沙盒涉及最多的領(lǐng)域，包括零信任、反欺詐和混合云都涉及到身份管理，可見其是所有安全能力的基石，其重要程度可能會(huì)越來越重要。 

云原生潤(rùn)物細(xì)無聲

云原生已經(jīng)成為云安全發(fā)展的必然趨勢(shì)，無論是利用云原生賦能安全，還是解決云原生自身安全都被各界熱切關(guān)注。例如Abnormal Security、Axis Security等公司在構(gòu)建自己的安全能力時(shí)都內(nèi)置了云原生的技術(shù)，使得在秒級(jí)、分鐘級(jí)就能彈性部署安全機(jī)制。而Wiz公司則是號(hào)稱全棧多云，覆蓋了虛擬化和云原生安全的各個(gè)層面?？梢灶A(yù)見未來國(guó)外安全企業(yè)的方案會(huì)越來越多地采用云原生架構(gòu)，提供新的部署模式；或借助 公有云無服務(wù)的技術(shù)，提供新的交付模式。 

數(shù)據(jù)安全勢(shì)頭不減，賽道深化和融合并存 

數(shù)據(jù)安全在近幾年的創(chuàng)新沙盒中始終占1-2家的比例，往年數(shù)據(jù)安全主要是對(duì)標(biāo)法律法規(guī)，解決亟需的合規(guī)性要求，如隱私申明、數(shù)據(jù)遺忘發(fā)現(xiàn)、個(gè)人數(shù)據(jù)關(guān)聯(lián)等。今年數(shù)據(jù)安全則出現(xiàn)了3家，分散在云上數(shù)據(jù)安全、數(shù)據(jù)共享、數(shù)據(jù) 訪問控制方向，可見在GDPR、CCPA等合規(guī)性壓力下，數(shù)據(jù)安全依然是網(wǎng)絡(luò)安全的大熱門，但創(chuàng)新企業(yè)需要做深做強(qiáng)，或者開辟新的細(xì)分賽道，才能得到認(rèn)可。 

安全左移，安全團(tuán)隊(duì)和流程融合

業(yè)界提出“安全左移”口號(hào)已經(jīng)有兩年多的時(shí)間，近年受供應(yīng)鏈和上云趨勢(shì)的影響，DevOps受到重視。Solarwind事件的重大影響范圍也直接引發(fā)了大家對(duì)供應(yīng)鏈安全的關(guān)注，云原生的快速發(fā)展也加快了企業(yè)對(duì)DevSecOps的需求，如何保證開發(fā)安全則是首先要解決的問題。兩家代表性公司中，Apiiro公司關(guān)注開發(fā)側(cè)的各類風(fēng)險(xiǎn)，倡導(dǎo)與開發(fā)流程打通；WABBI公司使用自動(dòng)化、智能化、平臺(tái)化技術(shù)，使得安全、開發(fā)和運(yùn)營(yíng)流程融合，通過技術(shù)流程的合一，使得安全團(tuán)隊(duì)、開發(fā)團(tuán)隊(duì)和運(yùn)營(yíng)團(tuán)隊(duì)的合作緊密，則是企業(yè)安全運(yùn)營(yíng)的重要目標(biāo)。

網(wǎng)絡(luò)安全趨向全棧與智能

當(dāng)前智能化的安全檢測(cè)和處置已經(jīng)成為了行業(yè)的主流，但從傳統(tǒng)的、單一的維度，很難發(fā)現(xiàn)攻擊者降維或多維度攻擊，例如業(yè)務(wù)層面的異常是無法從網(wǎng)絡(luò)或終端側(cè)發(fā)現(xiàn)的。

2021年，無論是Axis公司的零信任、Apiiro公司的DevSecOps，還是Deduce公司的反欺詐，都需要基于上下文、人員屬性對(duì)當(dāng)前的態(tài)勢(shì)進(jìn)行持續(xù) 安全評(píng)估，從而補(bǔ)全對(duì)應(yīng)方案所需的安全可視度（visibility）。在所需的額外信息基礎(chǔ)上，使用人工智能技術(shù)進(jìn)行動(dòng)態(tài)、全棧的安全評(píng)估，因而AI成為了自適應(yīng)安全的內(nèi)在引擎。 

*內(nèi)容來源：

1）Apiiro斬獲RSAC2021創(chuàng)新沙盒冠軍，供應(yīng)鏈安全受熱捧——安全內(nèi)參

2）RSA 2021創(chuàng)新沙盒｜Apiiro公司緣何一舉奪魁？——綠盟科技