隱私保護成RSA創新沙盒最大焦點，十大新創多聚焦應用程式安全與SaaS安全

瞭解資安產業的新風向，從新創公司選擇切入的產品或技術面來觀察，是不錯的出發點之一，或許也能從中得到啟發。日前全球資安盛會RSA大會（RSAC）登場，而每年舉辦的創新沙盒（Innovation Sandbox）競賽活動，也是大會的重頭戲之一，不僅給予每年資安新創業者大顯身手的舞臺，同時也讓關心資安領域發展的人，不論是資安技術人員或是投資者，能夠觀察市場風向與挖掘新的潮流。

事實上，國內研究機構與資安新創公司，如資策會與奧義智慧也都關切此一發展，近年都持續親自前往RSA大會，就近觀察產業、商業的趨勢與交流，而創新沙盒也是他們關注的焦點之一。

從入圍十大資安新創，捕捉資安解決方案新風向

RSA大會這項資安創新計畫已邁入第15年，今年持續選出十大資安新創公司，而從這些業者發展的解決方案，將能反映今年資安技術創新的焦點。

整體而言，這次大部分是美國新創公司，也有來自法國，像是Sqreen，以及以色列的Vulcan Cyber，而Blubracket成立時間最短，是2019年才設立的公司。

以專攻的領域而言，有兩家新創公司是發展SaaS雲端安全的解決方案，例如，AppOmni與Obsidian Security；有兩家是發展DevSecOps安全開發相關，分別是BluBracket與ForAllSecure，前者聚焦程式碼安全，後者聚焦模糊測試。

至於其他入選的業者，包括：資安意識培訓的Elevate Security，郵件詐騙防護的INKY Technology，還有主打隱私合規解決方案的SECURITI.ai、應用程式安全管理的Sqreen、網站詐欺預防的Tala Security，以及弱點管理與自動化修補的Vulcan Cyber。

顯然，這些領域或技術發展就是當今市場關注的焦點。畢竟，資安領域相當廣，不論是這些新創針對的面向，與採用的技術，以及對應新資安議題所提出的解決方案，都將成為資安產業挖掘下一個機會的參考。

重點一：解決隱私權與法遵問題，預料是企業新興需求

該如何看待今年這些資安新創的發展趨勢，與往年有何不同之處？

首先，就是隱私保護，今年奪下這項競賽最佳創新獎的SECURITI.ai，可謂重要指標。在該公司推出的PrivacyOps的解決方案，利用AI與自動化，搭配自家的People Data Graph技術，可以快速檢視企業的隱私狀況與合規風險，幫助因應相關法遵面的需求。同時，產品本身還結合了自然語言（NLP）處理能力，讓使用者可直接在產品介面上，能以普通對話的方式，獲得各式資料與擁有者的資訊。

值得注意的是，兩年前2018年這項活動的冠軍BigID，也是致力於隱私保護方案，顯然這方面的安全技術發展，持續受到重視。

對於這樣的趨勢，臺灣資安業界也同樣關注。奧義智慧共同創辦人叢培侃表示，資料保護與法規遵循還是受評審青睞，雲端上個人資料的自動化盤點、追蹤與授權，就是重點。

事實上，近年隱私保護解決方案持續受重視。畢竟全球對隱私管理的要求愈來愈高，在歐盟，有GDPR，美國的加州消費者隱私法（California Consumer Privacy Act，CCPA）今年正式生效，企業若違反法規將會被罰。

面對全球隱私法規與個別資安要求，資策會資安所副所長吳建興也提出見解。他說，這方面的法規細節其實相當多，若只靠顧問或人工方式來處理，即時性與完整性都不夠，因此，如果利用AI將法規要求結合起來，能協助企業做好即時的隱私保護把關。

他認為，SECURITI.ai獲得首選的重大意義在於，他們已經跳出軟體生命週期的概念，將隱私、資料的生命週期結合，成為「Privacy Ops」，這是市場新機會。

再從產業發展角度來看，臺灣是否也有可以借鏡的部分？對此，吳建興表示，對於臺灣而言，整體市場需求尚未浮現，他坦言，國內隱私法規的落實，除了金融業較為徹底、醫療業開始重視，以及少數科技公司被業者要求，其他領域則還在觀望，因此，若新創產業要投入這個領域，需特別留意切入的時間點。

為了幫助企業檢視隱私狀況與合規風險，SECURITI.ai提出Privacy Ops的解決方案，可運用其People Data Graph技術，強調透過AI與自動化來做到隱私權資料的管理。在今年RSA大會的Innovation Sandbox競賽活動上，SECURITI.ai拿下年度最佳創新獎

重點二：SaaS雲端安全防護與資安即服務都成趨勢

SaaS雲端安全也是一大重點，RSA大會創新沙盒十強今年有兩家新創聚焦於此，這主要也是美國市場對公有雲應用接受度高，相關資安需求也較多，這幾年來，針對企業採用SaaS而提供的專屬防護方案，也正持續發展。

對此，叢培侃表示，對於SaaS服務的管理，已是現今企業的重要課題，當服務都搬到雲端上後，要如何協助企業雲端的IT管理就是重點，包括弱點、稽核與權限等，今年確實也見到一些新創公司朝此發展。

至於另一面向，是資安新創公司將服務或產品雲端化的趨勢。吳建興指出，今年的SaaS應用比過去更多見，Security as a Service已是美國當地重要的趨勢，許多新創團隊在此發展商業的解決方案。

他認為，公有雲的好處在於能夠快速整合相關資源，包括資安縱深防禦（Defense-in-Depth）、資安治理等環節，也能一起提出解決方案。

然而，對於臺灣環境而言，他認為，目前國內各行各業對於投入公有雲市場，還是保持著較為保守的態度，再加上大眾型公有雲市場已被Amazon、臉書、Google與微軟所把持，從產業發展來看，若是臺灣要創造出獨特優勢與市場機會，結合製造業等主流產業來發展應用也是一條路。他提到，像是這次國內艾訊科技也參展RSA大會，就是發展硬體產品結合雲服務的策略，試圖提升產品競爭力。

重點三：軟體安全漸受重視，精準高效的模糊測試發展受關切

在RSA大會創新沙盒十強中，還有那些新創公司的發展值得重視？我們認為，還有安全開發相關的DevSecOps、應用程式安全管理，以及漏洞修補自動化等不同面向。

對此，叢培侃特別強調，應用程式安全仍是很多企業面臨的問題，今年有半數廠商聚焦於此，發展相應的解決方案；吳建興則是對於檢測面向的新創ForAllSecure，非常關注。

關於ForAllSecure，它是來自美國卡內基美隆大學的團隊，過去曾拿下美國國防部國防高等研究計畫署（DARPA）舉辦的自動網路攻防競賽Cyber Grand Challenge冠軍。

基本上，他們所發展出的DevSecOps解決方案，強項是利用模糊測試（Fuzzing Test）的機制，找到軟體漏洞，提供安全開發。吳建興指出，這樣的檢測技術，等於是將紅隊演練做到自動化，雖然目前該應用主力還不是企業資安，但未來有機會在工業與國防領域成為黑馬。

同時他也說明，模糊測試是項高挑戰的技術，要做到好需要非常的精準，該公司的技術能有效整合專家知識，做到高效率的精準判斷，而不是用窮舉法來找漏洞，這部分將是臺灣值得學習之處，並期望能將這樣的技術引進臺灣，或是建立合作關係。

另外，吳建興也提到，對於員工行為風險，以及開放原始碼安全的檢查，這些資安產品所要解決的資安風險面，也將是國內可以注意的趨勢與機會。

資料來源：各公司，iThome整理，2020年3月