RSAC 2022 – 创新沙盒观感 (1)

RSAC即将到来，重新拾笔，按惯例先写写对创新沙盒入围清单的观感。重复那些吹捧没意思，类似赞美文章也不缺，对本公众号读者群体，咱们就主要捡难以注意到的弱点来讲。

创新沙盒总是热度很高，毕竟借鉴已筛选出来的创业点子还是容易些，而预测未来的水晶球神秘莫测自己难以掌握。其实只要透过纷繁复杂表象去洞察安全本质，自然能拨开迷雾一瞥未来的样子。2018年，本公众号写道“xDR将是未来SOC运营平台的支柱模块”，无处不在的各种检测响应DR组合能兼顾广度与纵深并提高安全团队效率，在四年前已经明确是安全产品的发展方向；两年后的2020年，XDR概念才开始被分析师和厂商炒作。2020年，分析师将流量分析产品NTA重命名为NDR；而笔者2018年专门有篇文章论述NDR产品，彼时分析师还没意识到广泛DR的重要性，而NTA名词并不能描述新产品特性，更无法代表演进趋势。

只是盲信搞不好也会踩坑，创新沙盒入围者里后来无声无息关门的也比比皆是，比如下面这个颇具故事性的公司大概率也会逐渐沉寂。

创业做零信任有很大难度，原因挺复杂，一是没什么入门技术壁垒，拉三五杆枪就能鼓捣出凑合可用的产品来，竞争者众多；二是大厂本就把此领域当作兵家必争之地，销售投入高，红海不可避免；三是交付复杂，客户投诉焦头烂额，快速复制增长有困难；四是越到后期阻力越大，想做好很难，对工程管理水平要求极高，投资金额可不是小数目。于是，看到创新沙盒有家入围公司可以学习如何解决上述问题，自然兴奋期待，没成想出现戏剧般转折。

最初，BastionZero前身Commonwealth Crypto搞区块链，号称其技术允许交易参与者在加密货币交易所进行买卖时仍能控制对其财产的保管：即便交易所被入侵或有内鬼，都无法接管交易者的数字资产。懂些密码学的都很容易理解这方向，不仅毫无技术壁垒，还要推动强势的交易所接受，可想而知其注定失败的结局。2020年初融资后并没有客户（当然CEO说是由于疫情）。随后转型，做安全，零信任。

在其CEO介绍短片中，上来自然先揭露传统零信任的弱点。

崭新的零信任概念都被称为传统老旧的模式了。上图抨击单点验证授权有安全风险，然后引入了所谓Multi-root多信任根的架构。

BastionZero新增了一个授权验证点，使用了上文提及的创业团队本来设计给Crypto币交易外面包一层加密的那种方法，那就必然要有所谓MrZAP多根零信任协议：每条消息都包括前一条消息的哈希和发送方的签名，防止云服务更改消息或注入命令。BastionZero服务并不发放或验证接入企业客户使用自己服务的授权，只是给你员工网络发送消息包了一层壳。

私有通信协议，叠加额外加密算法，保证内容的机密性和完整性，也是行业通行标准做法，并不新鲜。没人认为仅相信TLS通道是足够的，防篡改也是必要的。

多出一个授权节点确实能缓解部分身份认证服务器被攻破的风险，但对威胁模型里风险最高的Alice被Bob仿冒的场景毫无用处。而“传统”零信任架构就没有手段缓解这两种风险吗？显然有。Passwordless无密码方案就能，其实也可以认为是多信任根，类似带证书网银U盾在国内已有十几年历史。本公众号在RSAC 2020文章中提到微软当时有多个Passwordless议题，笔者也曾预测微软将会致力推动业界淘汰账户密码；两年后，2022年5月13日，Apple、Google、和Microsoft联合宣布推广无密码技术。

多包一层、多绕一个弯的模式到底有效吗？这其实是安全领域里经久不衰的争论，也没有标准答案，必须结合具体场景具体分析。例如，使用广泛普及的IPsec协议接入SASE边缘节点就足够安全，非要独树一帜搞个私有协议噱头完全没必要。BastionZero模式需要客户自行开发适配其接口，大幅增加了接入集成难度，并引入了额外攻击面，更高的故障隐患概率，用较高成本去解决单一风险，分明是得不偿失。

此外，BastionZero既不做身份认证，也不做授权鉴权。这比市场上最初级的零信任产品还差了十万八千里。下面放了一张经典的微软零信任架构示意图对照，其中大多数关键模块BastionZero方案连碰都没碰。

BastionZero做的既不是零信任，也不提供任何标准产品。也许因为女性CEO，也许因为Crypto热门光环，但无论怎样的入选原因，这商业模式并无投资价值。

有些入围公司自己的介绍推广材料比较克制，却被外人莫名其妙神吹一气，套上很多热词不明觉厉。

例如，CADO官方介绍：Cado Response平台可自动执行数据捕获和处理，使安全团队不浪费时间、金钱、和精力地轻松理解威胁。取证级别的细节，无需取证级别的努力。

首先，取证这个词不是随便用的，CADO自己也不敢叫取证平台，而是叫调查和响应平台。取证太专业，CADO功能差很多，这公司明显也不是干取证的，笔者也不是专家所以这里不展开多讲。

其次，这产品也不是云原生的，人家自己也没宣传云原生，它只是可以部署在云上，连SaaS都不是，每个客户不同云平台都要重新安装实施。详见下图所示。

用CADO，先得搞明白要在哪个云里，然后自己搞个独立VPC，外面建S3桶连好，给恰当IAM权限，配置更新威胁情报，还要逐项选择提取数据的目标。啥叫多云？得开箱同时支持多个云平台接入，不是能在不同云平台部署就成的。啥叫云原生，得跟云平台耦合并能发挥出云的优势才成，例如自动化部署、按需弹性扩展、持续交付、降低运维成本等等。要是能部署在云上并通过云平台API抓些日志就叫云原生，那相当一部分安全产品都可以如此吹嘘了。

CADO宣传其产品主要能力是云调查、容器调查、和云威胁猎捕。其实它也提供从终端、服务器、和其它虚拟化平台读取数据的agent或脚本。说白了，这就是个之前做应急响应的团队，根据自己遇到的需求逐渐积累，针对云环境开发了能提高效率的半自动化工具，调查起来省事顺手。下图为可采集的数据源。

下表是采集数据后可用来搜索的索引项，搞产品和技术的读者一眼就能看出来CADO产品功能可以做到什么地步，基本上都是围绕着匹配搜索来组织的。

安全事件调查工具的需求一直都存在，发展三五年后进入取证领域也有机会，不过细分市场容量有些尴尬，不能算投资者喜欢的赛道。从创新角度来看，CADO倒是算走了条很少人走的路，但没有技术壁垒，产品能力一般，竞争者容易进入，整体来看吸引力欠佳。

2021年，分析师推出新名词CAASM网络资产攻击面管理。攻击面概念由来已久，感兴趣的读者不妨再读一遍本公众号2018年文章《沧海遗珠，攻击面 – RSAC2018之四》。攻击面种类繁复，有很多产品方向可以做，也涌现了一些创业公司，细分市场各有差别。在终端资产领域，Sevco和2019年冠军Axonius想解决的问题很类似，基本能力差不多，Sevco在界面表现细节吸引度上略胜一筹，适用支持系统范围小一些，部署可能会略简单。其实Axonius后来开辟了新产品线，笔者还挺喜欢的，此处略过不表。一般来说，雷同的创业公司前后入围，大概率说明评委很喜欢此赛道。

Sevco的仪表盘很直观地说明了主要功能：

上图界面右边的表格，每一行都是一个设备，每一列是此企业或组织中的设备库存数据的来源，Sevco从五个厂商来源收集资产信息：Crowdstrike、Lansweeper、Automox、ActiveDirectory和Malwarebytes Nebula。如果对应右边格子中有颜色，意味着此设备在该数据来源中被观测到，颜色越亮代表时间越近。所有这些数据源只能是SaaS模式，私有化部署没法连接。Sevco支持连接获取数据的系统数量比Axonius少很多。

界面左侧是张可交互的Venn图，概述不同数据来源标识出的资产数量，中间是所有来源都存在的重合的资产数量，四周突出显示不存在于其它来源的列表中的独自存在的资产数量。单击Venn图可自动过滤并列出特定数据来源独自存在的资产或所有重合的资产。每条资产信息就不细说了，也玩不出什么花样。

终端资产准确管理的难度，笔者深有体会。不懂技术的小白和很懂技术的专家，在搞崩溃自己终端软件这件事上，绝对是棋逢对手难分伯仲。Sevco宣传“无需费力的资产智能情报”真的那么好吗？它自己是无代理，它获取情报的数据来源难道不需要费力去安装代理吗？如果安全团队不煞费苦心排除万难至少把一个终端管理软件安装成功，能从Sevco知道这终端正处于裸奔状态吗？不同数据源的设备信息有冲突咋办，人工核对还是spreadsheets，远程还是现场？废弃、共用、离职、转岗的端点咋识别处理？真实世界场景远比列出的这几条更加复杂。

SaaS，无终端软件，通过标准API获取数据，轻交付，没有故障隐患，不担责任，不惹麻烦，这不是安全行业销售梦想的快消品吗？安全的世界里有如此美妙的商业模式，投资者当然趋之若鹜。笔者现在团队做的也有部分是终端软件，脏活苦活累活受埋怨的活儿也总得有人干。至于Sevco比赛成绩和未来发展，留给各位读者自行判断预测吧。

并不是很理解总想宣传自己第一个做出来卖的心态。Talon宣称创建了第一款专门设计的最高安全级别的企业浏览器，用于现代分布式工作环境，能有效降低复杂性和成本。基于Chromium。事实是，在中国都算不上第一个，更甭提全球了。早年间，用第三方SDK做的、给早期IE版本包壳的就有很多；稍后基于开源Firefox的；最近几年玩家基本都是以Chromium内核为主。读者应该还记得四五年前国内炒得沸沸扬扬的国产企业安全浏览器系列事件。甭管是不是第一个，做得比其它厂商好就是本事，就能在市场上成功。

这又是一个被错误套上标签的公司。RBI远程浏览器隔离和本地安装的安全浏览器之间的差别还是蛮大的。虽然都是想解决浏览器被作为攻击面的风险，但无论产品功能、技术方向、管理策略、运营制度等等各方面都有很大差别，完全不能混为一谈。

浏览器由于其使用频度过高导致其成为风险暴露最严重的攻击面之一。其实目前主流浏览器已经是端点上最安全的软件之一了，远比其它终端软件更安全。受功能性、兼容性、易用性的限制，浏览器也不太容易做得更安全。寄希望于一个初创公司有能力大幅提升现阶段浏览器安全是脱离现实的幻想。此外，99%发生的涉及浏览器的安全事件，并不是由于浏览器自身安全缺陷导致的，安全团队完全可以应用其它手段缓解这些风险。同时，兼容性又是很容易在公司内惹出麻烦的问题。因此，替换浏览器将是个艰难的决策。

有些Talon宣传的能力笔者还是很感兴趣的，例如DLP。终端本地浏览器可以做很多RBI无法完成的功能。可惜，很少见的情形，Talon并没有公开任何界面截图，也没有任何功能演示。官方网站上列出的应用场景，也都很常见，竞争力要看具体做到什么细节程度。企业浏览器本应有很多安全策略管理，笔者计划去展台现场看看有哪些可学习参考借鉴之处。

过去五年数据安全一直是创新沙盒评委的偏好，而今年Dasera是我看过这些年来入围者中质量最好的，也有潜力在本届比赛中获得好成绩。2020年笔者就在RSAC会场看到过Dasera的自我介绍，见证一个初创公司的产品变迁历程也蛮有意思。

Dasera起源是在校期间做的科研项目，帮助大企业监控分析海量数据是怎么被使用的。联合创始人CTO博士就读于伯克利，这背景也受投资者喜欢，听起来就肯定有技术壁垒。Dasera最开始的思路是先扫描到数据仓库哪里有敏感数据，然后获取Query查询的日志，筛选出存取敏感数据位置的Query，再进行建模分析，发现风险异常。

我们来看一个Dasera宣传的风险场景检测用例。

你们感觉误报率可以运营吗？究竟哪些Queries查询可以用数学模型判定是有风险的，读者也不妨在自有环境中实验看看。针对Queries分析也是一个传统思路，例如存在多年的数据库审计产品，但近来的数据安全创业公司反而用得少了，这倒突出了Dasera的与众不同。但是Queries只是数据使用过程中的一部分，其它使用方式还是得靠其它方案。

Dasera宣传数据全生命周期治理，很好的市场台词，谁听了都会竖起大拇指。不过现实很骨感，市面上到目前为止还没出现过一个产品能覆盖数据全生命周期，估计未来出现的概率也不高。Dasera能解决的数据安全风险主要是在数据存储/仓库到应用层之间，而对应用层和端点毫无作用。无论谁敢说靠一两个产品就能解决数据安全问题的都是在耍流氓。安全产品想跟上飞快演进的基础设施变化就已经很困难了，过于宏伟的目标往往意味着不能脚踏实地。高大上的名词总是层出不穷，用来向高层汇报挺好，规划自己工作任务还需看清本质，别把KPI定到无法完成。

若说这几年创新沙盒入围者里发展得最好的，非BigID莫属，其估值已在去年突破10亿美元。当然，今年SaaS行业估值回调一事就不在本文多说了。而Securiti.ai的获奖也是类似套路，大热方向VC自然追捧。2021年10月看到一篇分析师报告说其有差不多100个企业客户，只能笑笑随即转身继续埋头搬砖。对比中国市场安全上市公司的市值，简直是匪夷所思。

究其原因只有一个，欧美的云和SaaS如火如荼发展太过迅猛。有人说隐私监管是数据安全发展的根本原因；其实隐私监管也是云和SaaS普及的必然结果。BigID和Securiti.ai都只做一件事情，帮助客户在各种云基础设施和服务中找到敏感数据存储位置，然后辅助用户去比对合规要求。他们的产品并不复杂，简而言之就是合规工具，易交付；但无法达成安全团队防止数据泄露的更高要求。那为什么人家能发展得好呢？去看看对面各种行业应用SaaS多么红火，各种云服务多么百花齐放，生态多么开放，投资多么充足，付费意愿多么理所应当，劳力多么紧缺。所以这商业模式逻辑在国内没有土壤，也甭想抄。当然，Dasera看到合规市场容易赚钱，也赶快拓展产品线去分一杯羹，所以从最开始的Query风险分析变成重点数据安全治理，而且是全生命周期。

那为什么笔者认为Dasera是近年来数据安全入围者中的佼佼者呢？因为它在努力解决一部分云服务数据泄露问题，补齐之前这些公司产品能力的短板。大家不要盲目迷信创新沙盒入围者，他们都很优秀，但创业公司都有很多相同困难，这是客观规律，典型的例如，产品总需要很长时间来开发完善，毕竟代码是一行行写出来的，功能是一版版迭代完善的，可靠性是一次次试错改正的。公司刚成立就有产品的，不调查清楚美国VC也不太敢投，PANW上市前还被JNPR告了呢。

笔者喜欢Dasera的风险场景设计，上图是其数据泄露检测用例，容易理解并且简单实用易上手。对那些一人安全团队的SaaS公司来讲很适用。不过，真的也都是很初级的功能。这里举一个官方演示的高级用例。

说实话，类似这些的简单安全策略，只能给小客户用用；远远比不上我们DLP和APIDR产品的复杂度。要知道，引起重大损失的数据泄露事件，发生在特权账户上的概率，要高出几个数量级。如果你的产品覆盖不到特权账户异常行为的那些场景，不搞些机器学习算法，基本上去大客户那里连敲门都难。