瀚思周奕：朋友们心目中的 RSA 2018 "Cool Vendors"(下)

最近有点小忙，这篇（下）让大家等得有点长！ 咱们接着聊一聊其他的最酷供应商。 1. NeuVector（容器安全） 容器安全最近是...

最近有点小忙，这篇（下）让大家等得有点长！ 咱们接着聊一聊其他的最酷供应商。

1. NeuVector（容器安全）

容器安全最近是比较热门的安全类话题。老友“飞哥”在两年前也加入了如火如荼的容器安全浪潮，并创建了NeuVector。

今年RSA，“飞哥”又兴致勃勃地聊起了NeuVector的产品以及公司最新的发展。首先容器安全面临两类问题，一类是容器本身的安全问题，由于应用开发者会大量使用外部开源代码，这些代码加快容器应用的开发但也会导致容器脆弱性、健壮性等问题，有的甚至暗含木马等恶意程序；另一类是容器应用抵抗外部网络攻击的能力，这类问题并非容器应用独有的问题。

NeuVector能够解决这两类问题。安全软件本身也是容器，一个叫做Enforcer的容器运行在每一个客户端或者服务器上面，这个安全容器可以实时扫描容器内容，找到并且报告已知的安全漏洞脆弱性问题；另外，Enforce内置容器的网络安全策略，并实时抵御针对容器的网络攻击。

Enforcer提供了“脆弱性评估 + 多维度容器防火墙”的功能。另外由一个叫controller的容器用来管理这些enforcer容器的集群并提供产品的管理功能。由于产品部署在容器网络内部，所以能够监控所有容器网络内的异常行为热别是横向移动。

刚刚发布的2.0版在各个方面的能力都有了长足的提升。NeuVector刚和IBM签署了战略合作，同时签了几个大单，和大多经历了0到1的创业公司的CEO一样，他觉得产品已经日臻稳定和成熟。下面他会将更多的精力放在开拓市场和销售方面。

推荐理由：主动式、全方位容器安全解决方案。

2. NetSkope (CASB)

作为尚未被收购且仍在上升期的CASB公司，我对NetSkope的关注一直都在。巧的是当我在RSAC和国内某CASB初创公司CEO聊起他心中的Cool Vendor时，他选择了NetSkope。

应该说 CASB 这个市场这两年总体不温不火，并没有像很多分析师团队预测的会火喷。早期的Leader中，SkyHigh Network、CloudLock、Elastica已陆续被大厂收购，唯有 NetSkope还在坚持，并在执着中散发着芬芳。

NetSkope对SaaS应用的安全场景有着最全面的支持。从SaaS应用的可视性、可管理性、可评估性，如主动式发掘未被IT批准的 SaaS 应用；从已知应用的风险评估到威胁检测，如访问行为异常检测；从防病毒到数据主权数据保护，如DLP合规、数据加密技术等等。产品支持最广泛的部署方式： forward proxy、reverse proxy、agent model、API model以支持各种复杂的应用场景。

今年 RSA，Netskope 主推了他们的新产品 Netskope for Web，本质上这款产品整合他们目前在web proxy上的能力，把“CASB + Secure Web gateway”安全场景的支持整合到了一个平台上。我想对于无论是 CASB 厂商或者 SWG 厂商，产品功能的整合也是大势所趋。当我问国内那位 CEO 为什么选择 NetSkope 时，他稍停顿了一下说：“作为一个创业者我们需要看到成功的标杆，NetSkope 的成功激励我们持续前行！”

推荐理由：CASB market 成功的坚守者，“NetSkope for Web”将“SWG+CASB”二合一。

3. CyberARK（特权账户安全）

CyberARK 是 RSAC 和一位美国的医疗保险公司的 CIO 聊起时他介绍的。他们对 PAM 的关注来自合规需求（PCI-DSS，SOX），必须对特权账号的周期管理以及行为进行安全审计。

一个企业的特权账号适用范围比想象中大的多，域、主机、安全设备、应用、服务、云、DevO等等都会产生各类特权账号。而一个企业的特权账号的数量是员工数的2~3倍，特权账号一般缺乏统一有效的管理，常被外部攻击者或者内部违规人员利用。

照惯例还是来到了 CyberARK 的展台做了一番了解。CyberARK提供了丰富的产品线以及一整套解决方案。我最感兴趣的还是他们针对提权账户安全分析相关的产品和能力。

CyberARK Threat Analytics（以下简称CTA），CTA分析特权账号的创建、分享、提权、授权等策略相关的事件，同时分析特权账号的行为，以及重要资产，关键应用的登录、访问、操作，并全程记录所有访问以及操作行为以便事后分析。分析的数据源方面，主要还是跟 CyberARK 自己的产品集成为主。另外他们有一款流量探针产品分析针对 Kerberos 协议的攻击，分析结果也会发送到CTA平台进行关联分析。

至于分析方法是以机器学习还是规则为主，他们说都有但没有特别强调机器学习。当问及跟当下 SIEM 或 UBA 厂商特权账号异常分析的差异化时，他们没有正面回应。他们的策略还是 complement，将告警事件以及上下文信息发送给 SIEM/UBA。展位有一个 POD 专门演示跟 Splunk 的集成。

推荐理由：完整的特权安全产品线，与SIEM/UBA无缝整合

4. BigID（数据保护）

Uber 的安全架构师也是原来的同事。见面一番叙旧后聊起了今年 RSA 的看点，他眼中今年的 Cool Vendor 是 BigID ,今年创新沙箱的头名，但大家普遍觉得BigID夺冠运气的成分大于实力。

Facebook、GDPR 最近这些热门话题把他们硬是拱倒了今年创新沙箱的头目。个人觉得BigID产品的本质还是把可视化做透，除了传统的以内容为主的数据分类技术，他们的产品又加入了从多个维度来分析数据的使用状况，从而帮助公司全方位评估数据资产、建立个人数据使用索引、维护数据处理记录、评估数据使用风险。

数据的风险评估可以从数据可识别性、存储位置、类型、使用状况、使用授权记录、使用目的等等方面入手，并将分析结果做了很好的可视化展示。应该说 BigID 还是对 GDPR 合规做了深度研究，其产品跟身份管理产品做了整合，能够帮助企业搞清楚数据的归属，也就是回答数据究竟是谁的这样的的问题，从而更加契合 GDPR 关于个人隐私、个人数据管理的需求。

BigID 不直接阻断敏感数据外流等 行为类的操作，但产品可以跟事件响应平台或者 DLP、DRM类的产品很好的集成来最终达到保护的效果。我问Uber的安全架构师是不是觉得 BigID 功能面是不是太单一了一点，可以做的更加大而全，他说能把专注把一件事情做好就已经很不错了。

推荐理由：理清数据所有者，全面数据安全可视化

5. RSAC 中的以色列军团

应该说以色列这两年在 RSAC 的表现俨然一个信息安全世界老二。无论是单个的参展厂商，还是由50个厂商组成的整个以色列代表团，表现皆可圈可点。BigID 拿下了创新沙箱的第一名。

我博文提到的好几个公司也都来自以色列，总体感觉他们思路清楚、目的明确，很好的把show 场、产品、技术跟商业目的有机结合。他们把 RSA 平台用的恰到好处，除了体现清新的技术创新范，也给与会者很强的专业务实感。

跟其中一个以色列厂商的人闲聊了一下，这里面除了各个参展厂商自身的能力、视野、社交圈以外，国家也在里面扮演着重要的角色。以色列的网络安全联盟在本次 RSAC 牵头办了好几次活动，比如和以色列安全创新者见面会、以色列安全方案展示会等等。这些活动都很好的把以色列安全团队的技术能力很好的展现给世界。只可惜自己后知后觉，没有亲身参与这些活动 。

推荐理由：技术创新,专业务实. 国家助力起实效

在结束本期博文之前，猛然想起 RSAC 开幕当天 RAS 的总裁Rohit Ghai 的主题演讲里的一句话：“Be better everyday rather than unbeatable someday.” 一位古文很好的前同事用荀子的“不积跬步无以至千里”来映射这句话。我则用这句话来勉励上榜的公司：RSAC中相请或者偶遇的朋友们，愿大家每日积小流，最终成江海！

本文作者周奕：瀚思科技产品副总裁

周奕曾在全球著名安全公司趋势科技(TrendMicro)工作近20年，是常驻亚洲的唯一全球产品总监，领导来自八个国家的全球团队，成功发布多款企业级邮件以及SaaS应用安全产品，旗下产品在业界内有广泛而深远的影响。80% Fortune 500公司使用其产品，客户遍布全球，年收入达1亿8000万美元。产品屡次被IDC, Forrester Research, SZ Magazine等权威机构评为 Leader中的Leader。周奕先生是业界新技术的倡导者和实践者，将DLP和Sandbox技术引入邮件安全领域的第一人，现已成为业界标准。

周奕2017年加盟瀚思科技后，着力推进产品战略的全球化升级，重点包括建立共享威胁情报平台，提升智能化安全分析能力，简化高级安全分析和威胁追捕实施要求，平台化产品核心能力，支持多国语言版本，为不同行业、不同国际地区，不同规模，不同层级的客户提供更大的价值。

最后，记得关注微信公众号：镁客网（im2maker），更多干货在等你！