RSAC2020开启，创新沙盒冠军带来的启示

以 “Human Element”为主题的RSAC 2020昨晚在旧金山正式开幕，昨天早上8点，最受关注的竞赛单元-创新沙盒冠军诞生，恭喜Securiti.ai！

Securiti.ai的夺冠相信大多数人并不意外，在数据为王的时代，越来越多的企业将数据作为核心资产，数据的安全防护不断升级，也趋向体系化建设，而个人信息数据的隐私保护在国内也还处于安全洼地。Securiti.ai借助AI技术在数据发现和数据处理上提供了创新性的思路和手段。通过AI技术驱动的个人数据发现、数据主体自动化、数据处理可见性和AI自动化处理帮助企业应对合规需求、隐私保护的解决方案。2018年冠军BigID同样也是数据治理的创新企业。Gartner认为70%的组织中个人数据是隐私风险最大的市场，可见数据隐私保护必将成为安全热点方向。

今年的安全热点中，云安全、数据安全、网络安全仍是最热话题，议题内容还提及了零信任网络、威胁情报、访问控制、安全意识教育等热点话题。冠军的诞生可能会吸引我们大部分的焦点，但能够挺进十强的公司，我认为都属于跑在趋势前沿的佼佼者，同样需要关注和思考。在此也谈谈创新沙盒十强的其他创新思路：

云安全持续热点，安全业务发展方向多样化

纵观2017年到2020年RSA大会安全技术热点，云安全的热度已逐渐凸显。云安全融合了并行处理、网络计算、未知威胁检测等技术，通过云端异常检测，推动网元设备和server端进行分析和处置，再将威胁情报共享给云内所有终端和网元设备。对于云安全在2020年的发展趋势，将围绕自动化部署、全栈业务监控、主动威胁预警、基于角色的API级管控等方向持续发展。AppOmini和Obsidian Security专注于SaaS安全服务，其业务方向也是各具特色。

AppOmni主要针对SaaS应用提供数据访问的可见性、安全性、合规性，平台组件包括安全自动化、合规管控以及IT管理，聚焦云的安全访问。

Obsidian核心能力在于云环境的可见性、基于安全策略的自动化检测和分析，以及安全威胁监控，更符合SaaS安全的基本需求。

INKY提供Cloud-base云邮件安全解决方案，也被看作云安全的典型业务之一。利用人工智能技术和机器学习对网络钓鱼邮件进行提前识别和阻断。随着越来越多的客户将邮件系统部署在云端，INKY也被Gartner所看好。

而入围的其他创新企业所带来的安全方向，如Securiti.ai基于AI技术快速检测企业的隐私状态和合规风险，同样与SaaS服务存在很高的兼容性，能够解决中小企业的隐私保护问题。

Web和应用安全蕴藏着大量创新机会

在企业信息化建设的过程中，大量应用架设在web平台上，web 业务的飞速发展也引起了黑客们的强烈关注，带来了web安全威胁的凸显。2020年RSA创新沙盒大赛十强TalaSecurity/Sqreen均在web安全领域提出了创新性的思维和产品。

Sqreen采用的微代理的方式模块化提供RASP和AppWAF防护能力，有效解决了客户环境中简易部署的实际需求，这是面向企业客户应用级防护的重要需求。Gartner预测到2022年，超过50%的针对点击劫持和移动应用的攻击可以通过In-App解决方案来阻止。

TalaSecurity采用AI辅助分析引擎对网页指标进行分析并评估网页架构体系，从而自动生成策略，是人工智能技术在web安全领域很好的应用，能够降低运维成本并提高检测效率。

企业员工的安全意识薄弱才是最大的风险

本次RSA信息安全大会提出以“人为因素”为主题，这一点对企业网络安全而言十分契合。在企业网络安全事件中，超过半数的根源在于员工的IT安全意识薄弱。实施以人为本的安全措施愈发重要。Elevate Security提供安全意识教育的产品，其识别企业安全弱点的技术理念和传播安全意识的管理模式，都是围绕人为因素的典型实践，容易引起安全业界的共鸣。保护企业抵御人为因素造成的网络威胁最好的手段就是将建设安全防护体系、安全管理制度与员工安全意识培养相结合，通过端到端的安全解决方案为企业最大限度地减少所面临的威胁风险。（本文作者：孙松儿 新华三集团安全产品线总裁、新华三信息安全技术有限公司总裁）