【RSAC2019】创新沙盒，由开源商业模式说起

前言

前段时间微信群里有朋友说起，今年RSAC创新沙盒入围企业，感觉没有新鲜感和亮点，普通；然后另一个朋友感觉，谈到最近的分析师文章，总是觉得炒饭和耸人听闻的成分，也很平庸；所以每个人都在谈论，过去两年安全行业的创新是不够的。非常合理的观察，作者完全同意。但补充一点：不是因为其他人变短，而是因为我们的愿景：在过去的四年里，作者目睹了国内安全技术的快速发展，在某些领域，国内先进水平的制造商至少可以与创新沙盒入围者相比，甚至有明显的胜利。即使国内行业的大生态对创新不友好，巨头控制了巨大的预算，去年行业的增长也令人失望，但创新和发展并没有得到遏制，大公司和小公司都做出了令人眼花缭乱的贡献。

因此，创新沙盒的评论变得越来越难写。介绍入围者的文章太多了。读者不会感冒，也不会品尝。堆积华丽的文字和藻类会被嘲笑。作者迫切需要找到一些独特的角度来满足视野更高的读者的胃口。如果我们能放弃吹捧，通过花哨探索本质，努力不放过产品和业务的弱点，将有助于提高我们的独立思考能力。

今年，让我们以拥有或依赖开源项目的初创公司开始。

Duality Technologies

创新沙盒也有轨道说:密码学自然是一个，每年都有一个入围。在我看来，我们应该加一个Team8：以色列 *** 安全部队是安全创业孵化器Unit 8200，每年都占一席。16年是Illusive，17年是Claroty，18年是Hysolate，今年便是Duality，拭目以待Portshift明年会不会出现？

Duality企业全数据合作成为可能，企业可以进行高级分析AI应用于加密数据，无需披露原始数据即可获得对数据的洞察。毫不奇怪，技术方向是同态加密的应用，入围公司17年Enveil也是。Duality，对偶，公司名称真是妙手天成，恰到好处地融合了应用场景和数学意义。

正式广泛研究同态加密已有十年的历史现有的算法都是基于格密码的(Lattice)理论的。Duality创始团队有两位大学教授，长期研究密码学，创建开源项目PALISADE，高度模块化的通用格密码实现库包括同态加密算法DARPA等待 *** 机构的财政支持。这是一个高价值的基础设施开源项目。题外话，Lattice-based算法可以对抗量子计算机。事实上，理论上有许多加密算法是安全的，没有普通科普文章那么夸张；类似DH也可用格密码进行改造。

Duality该产品是多方共享的中间平台，官方设计了三种应用场景。

在不公开敏感数据的前提下，数据所有者可以使用第三方分析和AI，在此过程中，数据被端到端加密保护。也可以在不可信的云环境中操作。

分析模型所有者可以安全地向数据所有者提供高级计算和分析，以确保其宝贵AI在整个过程中，算法模型中得到充分保护。

多方安全合作处理敏感数据。同态加密在链接和计算过程中保护各方资产，确保数据隐私和整个过程的法律法规遵从性。

请注意，上述三种场景对算法有不同的要求。在隐私和数据保护监督收紧的环境下，安全多方计算也是一个热点。大多数读者可能认为保护数据隐私就足够了；实际情况是，分析函数的秘密也应该得到保护，这也是数学家努力的方向之一。

格密码系统因其运算而具有线性特性RSA经典的公钥密码系统具有更快的实现效率；种密码系统的安全性NP-Hard或NP-C问题是，它可以进行量子保护。此外，格运算具有同态性，这也使得格密码算法适用于各种同态加密应用场景。因此，有望发展成为下一代广泛应用的标准密码库。

密码学是信息安全的重要基石。但在历史上，除了RSA在成长为巨头之外，专注加密几十年的公司并不少见，但很难取得重大成就。Duality作者对安全行业极为罕见，对重要开源项目有发言权的初创企业抱有很高的期望。

开源项目的经济原理和商业模式

在过去的20年里，互联网创新与开源项目密切相关。免费开发代码，使用限制很少，听起来不像现实世界；因此，许多学者试图用经济原理来解释其背后的原因。当然，许多投资者冲进来试图分享，但理想是丰满的，现实是残酷的，有很多失败的案例。那么，初创公司和开源项目之间应该有什么样的关系呢？

假如我们仔细观察RedHat这几乎是巨人的成功案例，你会发现它除了著名的开源许可证外，还有大量的商业许可证。这些商业许可证被维护了很多RedHat自主研发的核心代码是其巨大帝国的基础。因此，衡量初创企业的价值，无论是开源还是闭源，归根结底都将回到技术壁垒的基本问题。

有些投资者看项目，说的是看技术水平，事实上，在心里蔑视这个，看或收入数字。听起来没问题，收入是否衡量了市场对技术认可度的表现？销售开源发行版和良好销售能力的初创公司值得竞争吗？

这背后的逻辑是有争议的。首先，今天，服务壁垒不再仅仅依赖于人员团队，信息咨询服务巨头Accenture代码和系统的积累也很多，就像RedHat依靠自己的知识产权模块。安全行业MSSP也是如此:如果你想提供想提供它：SOC服务，他们没有一个先进的操作平台系统，没有任何竞争力。其次，开源项目的代码维护和审批没有发言权，不是产品公司，而是集成商；估值应根据集成商的商业模式进行衡量。原因很简单，技术障碍有溢价，包装发行版本无法获得溢价。第三，在全球范围内，开源项目运营公司增加了商业使用限制的许可条款，这绝对是对开源发行版销售业务模式的重击。大多数开源项目都是基本的和通用的，需要找到合适的应用场景来大规模商业化。

而Duality这是一家符合上述逻辑的开源项目初创公司。我也希望它能挖掘密码领域和行业应用的发展潜力，做大做强。让我们来看看其他开源项目的入围者。

Capsule8

Capsule8是业界专为Linux无论是容器、虚拟机还是裸体物理机，生产系统构建的实时零日漏洞检测平台。官方宣传口径。你相信吗？不管怎样，我直接忽略了它。中国有很多事情要做，更不用说全球了。John Viega简历光彩夺目，业内资深专家，团队中也有不少著名黑客。

相信大部分读者都很熟悉主机保护。这里我就不多介绍了。Capsule8独特的演讲。其产品平台强调的能力包括:可见性、检测性、调查性、分解性和集成性，并花费大量笔墨渲染自动化保护。

Capsule8的开源sensor用Go写成，基于Kprobes，使用gRPC。作者的反应似乎是Google派系的。果然，稍后就翻看到官方视频专门演示与Google云管理界面集成，技术路线决定其他云不那么容易集成。当然，使用Capsule8也可以支持自己的管理界面AWS和Azure。多云也有技术壁垒要克服。

选择技术路线很费脑力，一定要认真，否则会事半功倍。Capsule8战略瞄准容器，自然Go这是一个更好的选择，因为容器世界的底层是Go语言的天下。生产环境中性能十分重要，虽然Go性能比不上C，尤其是Regex处理速度差距大，Kprobes费用也不小；但考虑到兼容性稳定性和未来扩张性，这样的选择还是挺有道理的。

选择部署哪个开源agent两难。Capsule8的sensor是轻，只采集跟安全相关的数据，主要有FileEvent、KernelFunctionCallEvent、NetworkEvent、PerformanceEvent、ProcessEvent、SyscallEvent、UserFunctionCallEvent、ContainerEvent等等；部署一个agent只做0-day检测感觉性价比不高。osquery在内核调用检测方面是短板，目前只支持auditd，Kprobes和eBPF支持还在开发中，不知道什么时候等。甲方学生需要自己权衡。

收集主机数据后，还要看管理端是如何进行数据分析实现检测的。

说实话，成立两年多的公司，这个管理界面有点冷。大规模部署，看报警恐怕会疯掉。有查询界面也是问题的意义，新产品需要支持威胁狩猎Threat Hunting。笔者最关心的检测技术说明，已经很久没找到了。不提机器学习，不提行为分析，不提Yara，更不用说数据分析了，总是不会报警当你在舞台上面对评委时，你必须避免这种关键技术能力吗？只要在演示界面上看到一堆Interactive Shell Executed好像是基于一些预定义的规则，不知道怎么更新。

看了演示，对比了这张安全操作能力图，结论是产品团队未来还有很长的路要走。Capsule8开源项目价值不高。作者只能去。RSAC展位现场，看看新版产品做了多少。

Capsule8投资者是美国两个安全领域的投资者VC：ClearSky和Bessemer (BVP)。有趣的是，他们与创新沙盒有着深厚的联系，在他们的投资名单上可以看到许多熟悉的公司，比如这些年的Axonius、BigID、Claroty、CloudKnox、CyberGRX、Hysolate。

ShiftLeft

ShiftLeft是应用安全的持续改进平台。在自动化工作流中，下一代静态代码分析（快速准确地识别漏洞）与应用插桩检测（以保护生产环境应用）相结合。“了解运行状态的代码分析”和“保护理解代码的运行”该组合提供了准确、自动化和全面的应用安全解决方案。前者是组合方案SAST，还有些许SCA，后者是部署在生产的IAST、以及RASP混合体。官方宣传后者确实有一些新想法，可以加速DevOps速度。工作流如下图所示：

公司名称也不错。Shift Left Testing，左向测试是软件领域的一个历史悠久的概念。这个术语也让作者回忆起小时候在单片机上拨打二进制开关输入左向操作指令的操作。左向的含义类似于行业宣传的安全规划向应用系统架构设计阶段推进。将关键测试实践向前推进SDLC特别适用于敏捷开发、持续迭代、和DevOps场景。传统上，测试活动主要发生在研发的后期，通常需要更长的时间来发现问题，需要更多的时间来修复。左移是指将代码缺陷的识别和预防转移到早期阶段，否则如果后期测试出现问题，通常只能修复，而不是正确的修复。

应用安全是行业持久热点，新方向、新技术层出不穷。ShiftLeft吸引人的产品创新有两处，一是在静态代码分析时引入图算法，比之前传统代码检测算法能更好地发现某些类别的漏洞;二是在静态分析阶段引入所谓安全DNA概念用于指导生产环境IAST和RASP的执行。

首先，SAST基于代码属性图的学校研究创新CDG发现漏洞，论文如下。

这项研究成果诞生于开源项目Joern，可以扫描Java和C/C 代码，生成抽象语法树、控制流和数据流三种属性图。然后使用图算法定制查询，以找到潜在的漏洞。一次性发现值得吹嘘的记录Linux kernel里面有18个新漏洞。显然值的开源项目，吸引了很多关注。ShiftLeft成立后，Joern现在的产品名称的产品名称是Ocular。官方称目前OWASP基准测试结果较好。当然，没有银弹，图算法也不能吃掉所有类型的漏洞。下图显示了如何使用它CDG在代码中发现潜在数据泄漏的弱点是一个有趣的想法。

而所谓安全DNA，指容易出现弱点的代码位置，如引入第三方开源库、模块间传输参数、使用敏感数据等。MicroAgent，本质是在保证程序原有逻辑完整性的基础上，插入一些探针进行信息收集，并根据预定义策略做出简单响应。开发阶段静态分析产生的安全性DNA信息、插桩可以更有针对性，检测效率更高，减少误报。通常，在快速开发和迭代的过程中，必须选择没有足够的时间来修复所有潜在的问题；未修复的风险可以放在生产环境中继续监控。这种 *** 也加速了DevOps进程。

之后，将这些报警传回控制台，然后用于反馈开发代码阶段，从而覆盖大部分报警SDLC和DevOps流程。

延伸思考，Joern也可用于红队。上面提到的，CDG可以绘制数据流，那么自然而然地我们会想到，合法数据输入可作为暴露在外，如果能梳理此输入数据在程序中被处理的代码段有哪些，我们就可以有针对性地检查，那些代码段中是否存在没做好“消毒”例如，内存越界。Heartbleed漏洞属于这种类型。如果没有数据流图，只能靠运气准确定位和发现巨大代码中的潜在风险。

这个例子表明，只有掌握了新技术，我们才能在对抗中获得有利的位置。无论安全团队有多优秀，没有先进的武装工具，战斗力都会大大降低。

由于篇幅有限，作者没有深入解释。目前，产品完成度较高，在初创企业中表现突出。这也与两轮大额融资有关。毕竟，更多的钱更容易扩大团队来完成更多的工作。

读者更喜欢上面提到的三个有开源项目的入围者？

不知大家有没有注意到，ShiftLeft也符合作者前面提到的开源商业模式。Joern在此基础上，识别巨大的市场需求，补充和整合优秀人才，继续开发更先进的技术模块，组合成更复杂的产品，建立竞争壁垒。成熟完整的管理团队，从开源项目中发现潜在的新秀，邀请所有者，即大学研究人员，携手重建商业公司，这在今天很常见。Duality同样的轨迹。

如果读者对自己的研究成果充满信心，欢迎与作者交谈。我们积累了大量的成功经验，利用先进的技术打造世界领先的产品，为各行业的领先用户服务。

DisruptOps

DisruptOps为多云基础设施提供持续自动监控的优秀安全实践，提高云业务运营的安全性，降低成本。读者可能已经在朋友圈看过这家公司的介绍文章，都是虚张声势的术语:多云、自动化、敏捷、安排、DevSecOps、还发明了持续评估、优秀实践、云原生等Guardrail新用法护栏一词。

作者去年强调了多云管理市场的商机和重要性。DisruptOps你在逗我吗？翻遍它的网站，所有的能力都是针对的AWS是的，多云怎么样？一开始，作者不相信自己，认为重要的内容被遗漏了，所以他特别使用了搜索引擎：

未见任何Azure确实只有跟踪AWS。目测DisruptOps主要使用平台AWS原生安全产品API来构造，如Config、CloudWatch等;Serverless架构，广泛使用Lambda脚本。如果打算设计界面和产品功能，原封不动AWS移植到Azure，难度大，工作量大。就像上面的评论一样。Capsule8多云也有技术壁垒要克服。

DisruptOps创始团队包括安全咨询公司Securosis核心团队一直生产高质量的研究和文章。作者在进入安全行业之初就阅读了它们。可以想象，他们知道如何使用专有术语来欺骗客户。我们不容易看到外国初创公司，吹嘘它们是为了生存。DisruptOps成立于2014年，时间不短。当然也是因为DisruptOps客户群看不到这篇文章，所以作者会直接写。

说实话，作者浏览了公司网站后的反应：这不是一家产品公司，而是列出了内部安全操作规范。优秀的实践是美丽的，但这种定位的商业模式是否能继续增长是一个大问号。读者一定见过主要工厂建立自己的开源GitHub内容扫描工具，但行业见过厂家推出类似的标准化产品吗？为了保持市场竞争优势，我们必须有足够的能力制造安全产品。我们能通过一些分散的配置来验证脚本 *** 来建立障碍吗？需求不一定等于业务。

什么产品能力可以是护城河？举个简单的例子。文件格式分析引擎用于拆卸和导出各种格式文档中的文本图片。到目前为止，世界上只有两家成熟的商业供应商，一家是MicroFocus的KeyView(以前归属Autonomy和HP)，另一个是思睿嘉得。KeyView不支持导出DWG等CAD图纸中的文本，后者的引擎可以；KeyView不支持百度网盘大文件分卷上传还原，后者可以；等等。世界上大部分地区DLP制造商是外包引擎，受供应商更新延迟缓慢的限制；思瑞佳必须掌握所有自主开发的代码，成本低，性能实现更好，接口控制更灵活，对最终用户需求响应快。只有多种类似的技术能力，朋友难以复制，堆叠组合，才能有效巩固产品优势。

定期更改访问密钥AK是众所周知的安全实践。AK有效时间，即使泄露，也可以缓解业务的不利影响。DevSecOps如何定期生成新的实施难点AK并准确分发，使用对应旧的AK自动更新所有应用程序，确保交接顺畅，无故障。DisruptOps产品确实能发现老旧的AK，然而，只有四种选择可以提供行动：删除、冻结、悬挂和其他手动操作和忽略。如何嵌入到这里？DevOps另一方面，在这个过程中，用还是不用？Access key age属性，可以直接去Console查，或者写Lambda脚本集成到自己DevSecOps很难说大甲方很难花钱购买这一短板的明显功能。很难说小企业是否有人跟随优秀的实践，并面临云服务提供商在不久的将来提供类似功能的竞争，例如AWS Inspector或GuardDuty加入这种报警很容易。

总的来说，产品成熟度很低，太简单，只提供初级安全基线测试，没有灵活的配置和扩展功能。概念好，着陆差距太远，技术门槛低，甲方可能会得出结论，采购不如自主研究好。从另一个角度来看，DisruptOps它提供了一组基本的安全模型，云安全团队可以作为起步参考。