RSAC 2022 - 创新沙盒观感 (2)

今年3月RSA Conference被buyout，以后便与RSA公司无关独立运营。RSAC的作用显而易见，如今资本介入辅助催生健康多样化的生态环境，使其不受RSA自身运营所限，结果更有利于行业的发展，进而提升整体数字安全水平，喜闻乐见。

生产力进步的重要标志是生产效率的提高。虚拟化和云成就高效IT，推动了企业数字化进程；而社会对生产力的渴望永无止境，因而容器和Terraform的出现和成功自然理所应当。安全亦不例外。近年来很多新名词和新公司都与提升效率有关，例如SOAR。2017年RSAC前，笔者写了篇《从创新沙盒看"效率"将成为评估安全产品的首要标准》，感兴趣的也可再去读读。今年创新沙盒里也有致力于提升安全运营效率的入围者，还是夺冠热门。

无代码安全自动化。自动化安全运营的重要性，很早之前就写过，2016年《下一座圣杯》，笔者一年都发不了几篇文章，读者翻翻也不费时间。在日益复杂的数字化环境中，随着基础设施和安全事件的数量持续增加，一线安全团队往往不堪重负，自动化是唯一解决路径。无代码或低代码是这几年的热门技术方向，并不代表使用者不需要懂代码或不学习写代码，而是利用图形界面拖拽模块组合并加以连接从而完成逻辑处理目标，大幅降低从业人员进入的门槛，降低人员水平参差不齐导致出现bug的概率，加速投产进度，只需要很少编程资源投入即可达成至少几十倍人天成本的效果。

上图是Torq的典型应用场景，基本上涵盖了安全运营的方方面面，当然还有更多潜力可以挖掘。此产品模式必须有丰富的开放生态环境才可能成功，非常适合美国目前百花齐放的云和SaaS以及成熟的MSSP市场。

貌似市面上没啥看好这家公司夺冠的声音，让人怀疑真正看过Torq产品的寥寥无几。在笔者看来，Torq产品做得不错，能达到惊人的80分水平，在初创公司里极为罕见，是个非常有经验有能力的产品团队。要知道即便是创新沙盒入围者里也经常看见达不到产品及格线的。今年比赛Torq有希望获得好成绩。

随手截几张界面图供参考。

一线自动化厂商的Playbook种类和数量大同小异；而Torq产品界面设计真是好用，这是它最大的竞争优势。当然，性能和可靠性等方面，笔者没有长时间使用过Torq产品，所以无从判断。

今年入围的以色列团队很多，Torq和上一篇提过的Talon，下面的Cycode和Neosec也是，而且连续创业团队比比皆是。

有些入围公司自己的介绍推广材料比较克制，却被外人莫名其妙神吹一气，套上很多热词不明觉厉。有些围观群众说Cycode有很高夺冠希望。笔者并不是软件供应链安全专家，只能根据商业常识来做些推论供读者参考。虽然软件供应链安全方向近几年也是热点，Cycode也融了很多钱，收入增长估计也还不错，但我对它不是很有信心。作为初创公司，Cycode的价值提供点太过分散，难免有些生拼硬凑的感觉，我认为在市场推广、销售、和交付上都会遇到很多问题。下图是其产品的使用场景。

读者看过上图啥感觉？用较短篇幅来梳理其产品功能比较困难，不知道应该怎么组织内容。每个工具单独拿出来都觉得挺好，但其实专业知识又都很深，合在一起销售人员卖起来估计很难讲清楚。SDL自动化程度越高，步骤环节就越加复杂，与业务结合越加紧密，多点嵌入的标准产品就越难整合交付，潜在客户对流程集成的畏难情绪是个难以跨越的障碍，若有若无的价值和大而浅的方案很难打动决策者。笔者看来，专注一个能持续深入的痛点，开源Freemium的商业模式可能更加适合软件供应链安全方向的创业。

最关键的是，说Cycode做软件供应链安全，实在勉强。厂商自己宣传软件供应链安全，吹捧的文章也都给它打上软件供应链安全标签，可左看右看，Cycode明明就是一个SDL安全厂商，跟供应链关系不大。要说做软件供应链安全，那OpenSSF自然是领航舵手，旗下sigstore出类拔萃，Google弄出来SLSA，随后因此诞生了热门创业公司Chainguard。还有很多，类似之前Snyk成功的SCA也算软件供应链安全。可Cycode做的是啥？CI/CD方面，代码库最小用户权限、强化身份认证、识别克隆行为异常；代码防篡改方面，检查提交代码的人和文件一致，报告流程规则出现改变，识别代码库行为异常；发现硬编码秘密；监视源代码泄露；流程配置检查。这些功能其实都是传统开发安全范畴，很好很重要，但只关系到软件开发商自身的代码安全，虽说代码可能被下游厂商或客户引用，但严格说起来跟供应链安全并不扣题。Cycode如此宣传多少有些蹭热点嫌疑。

Chainguard要是今年来参加比赛，笔者也不用絮絮叨叨，冠军肯定是它，没啥争议。

以色列血统，成功创业经历，高额融资，有前景的赛道。API安全方向没必要多解释，毕竟本公众号文章《下一座圣杯 - 2019》已经花了很多篇幅细述过原委。Neosec产品并没超出那篇文章的内容范畴，没有新功能方向，实际上有很多重要能力根本就欠缺。Neosec做的是SaaS，在现实场景中难免会导致很多限制，例如性能不足和数据量过大等问题。除产品外，Neosec也提供API威胁猎捕服务。因为笔者也在做此产品，所以Neosec具体细节此处便不做评论。感兴趣的读者可以线下交流。

云原生安全方向创业的最大挑战是什么？创业公司数量太多，同质化严重，不折不扣的红海。有些读者会问：我读了那么多行业文章，都在吹捧云原生安全的高大上，技术壁垒不是挺高吗？隔岸观火写文章，不仅不用自己上手做产品，连技术原型也不用思考，反正只要抄写热词就能有流量。这红海现象真是成也萧何败也萧何：开放的生态环境，很多安全原始数据都可以轻易通过API获取，于是一窝蜂的起点都很高，能力都差不多，但想出类拔萃就很困难。云原生安全有很多高大上的，也有很多打酱油的，不能无脑相信。Agentless有它的优势，不过弱点也很明显：你能做的，其他人也能做，其他人不能做的，你也没办法，想获取更多日志并且加以更复杂严格的控制，还得在agent身上打主意。当很多创业厂商都在炒作agentless时，你就要小心产品的雷同。来，笔者教你云原生安全agentless三板斧：1、资产发现（服务和数据）；2、配置合规检查；3、身份权限和行为。咱们这就试着套上Lightspin看看。

上图是Lightspin解决方案列表，可其产品功能组织方式与它所宣传的亮点并不一致。咱们主要观察产品界面。

首先是资产发现。只要有CSP提供API接入查询，各种服务一览无余。（同理那些做数据安全的也一样。）

然后再看资产里的风险，配置合规检查。

谁都能踩上一脚的硬编码秘密。

对发现的资产做漏扫。

第三，账户权限和行为。

最后，是Lightspin自创卖点，攻击路径图。这部分能力做得有新意，能吸引部分客户的目光。

读者不妨自行拿云原生安全agentless三板斧去套套其它厂商，不难发现结果都大同小异，顶多根据自己团队的特长再加一两把小斧头。Lightspin产品做得不错，否则也无法突破比赛初筛时那么多候选厂商的围堵。既然选择此赛道，真正能跟其它厂商区别开的卖点往往是有团队特点的小斧头，如何把小斧头发展成具有杀伤力的大斧头，长期竞争优势如何建立，是每个参与厂商都需要反复思考的。

都走同样的路自然无趣，而我们要分析的最后一个入围者就会大批量在节点上安装agent。

eBPF进入舞台中心已经是第五年，笔者自己公司也在做一些利用eBPF的工作，并寄予厚望。eBPF必将愈加重要，这是大趋势。不过，虽然我很欣赏Araali团队的决心和魄力，但是比赛评委们很可能看不上需要装agent的厂商。

要想理解Araali的产品能力，必须先明白eBPF的基本概念。eBPF是Linux的一项革命性技术，可以在操作系统内核中运行沙箱程序。它可以在无需修改内核代码或加载内核模块的条件下安全有效地扩展内核能力。如今，eBPF被广泛用于各种场景：在云原生环境中提供高性能网络和负载平衡，以较低开销提取细粒度可观测安全数据，为开发人员跟踪应用性能并排除故障提供见解，实施应用和容器运行时的预防性安全措施，等等。可能性是无穷无尽的，eBPF解锁的创新才刚刚开始。

云原生安全赛道太宽，不足以描述厂商的核心能力。Araali是真正的云原生安全，这要感谢eBPF在今天云基础设施中的普及度。在k8s环境下部署也相对简单，如果安全团队真敢向业务容器里大规模部署agent。当然，如果装了肯定用处很大，收益非常显著。读者看厂商材料或其它介绍文章有可能会一头雾水。在笔者看来，Araali的产品能力可以简化总结为：分布式节点NGFW，带有部分RASP功能。虽然没有近两年热炒的新词，但这个组合对于微服务环境非常有价值。

下图是Araali计划在节点上覆盖的风险类别。

这是笔者第一次在创新沙盒中看到eBPF的产品化，估计未来也会有更多开源项目。可惜Araali产品界面做得没有那么好看，不过场景还是蛮丰富的。

微服务里的NGFW+RASP，想象空间巨大，虽然零信任和API的细粒度控制用eBPF肯定做不到，但像微隔离之类的产品可能会被替代。

过于匆忙，很多关键点并没展开，有机会再写。