网络安全领域最有潜力年轻公司都有谁？2023 RSAC 创新沙盒10强公布

2023年3月22日，RSA Conference今天宣布了第18届年度RSAC创新沙盒竞赛的10名决赛入围者。这批网络安全领域最有前途的年轻公司将于4月24日星期一在旧金山举行的2023年RSA会议上向评委小组和现场观众Demo他们的技术方案。

AnChain.AI

Web3是未来。作为一个如日中天的新兴火爆业务场景，Web3 Security的玩家也如雨后春笋，正遍地开花。AnChain.AI发布了业界首个Web3 SOC，正是其先锋代表之一。

AstrixAstrix

将自己定义为「守护App-to-App连接安全」厂商，着重强调non-human identities的管理能力。根据其官方介绍的信息，最为接近的赛道可能是机器身份管理MIM(Machine Identity Management)。在Gartner的描述中，App也属于是需要被管理的Machine类型之一。

Dazz

Dazz是一家专注于云开发阶段安全性的公司。Dazz的官方介绍中，强调自己的特点是通过整合多种开发安全工具，将代码、工件、部署和云环境与安全工具连接起来，以实现自动化的root cause分析和由开发人员主导的快速补救。他们可以快速发现盲点、确定问题的优先级并简化开发人员的修复工作流程，从而减少风险窗口，提升云安全问题补救速度。

与之最为相近的赛道概念可能是应用安全编排与相关性ASOC(Application Security Orchestration and Correlation)。当工具越来越多时，编排的价值就凸显出来。

Endor Labs

SCA近年来大火，Endor Labs之前就获得了硅谷CISO投资机构SVCI的背书加持，很可能是本届的夺冠大热门。

之前繁星创投在「繁星观察｜网安国际投融资动态·2022年11月」中曾经对这家公司有过点评：Endor Labs找了一个新的切入点—依赖关系。当然，SCA工具都会去分析依赖关系。这家的不同之处在于：1. 它提出了依赖关系全生命周期管理的概念，也就是说从依赖关系被开发人员引入的那一刻就开始被管理了；2. 它会分析可达性，基于可达性来确定某个组件中的漏洞是否需要被处理。公司宣称可以比一般的SCA工具降低80%的误报。基于这些独特性，公司认为可以大大降低开发团队和安全团队之间的互相扯皮，从而在不牺牲安全的情况下保证软件开发的速度。

HiddenLayer

随着ChatGPT的崛起，AI有多火爆，安全问题就有多严肃，AI TRiSM（人工智能信任、风险和安全管理，AI Trust Risk and Security Management）想要直面的正是这一挑战，也被纳入Gartner 2023 10大重要战略技术趋势之一。从这个角度来看，HiddenLayer也可能是本年度的夺冠热门之一。

之前繁星创投在「繁星观察｜网安国际投融资动态·2022年7月」中曾经对这家公司有过点评：网络安全领域最让人兴奋的地方，就是总是不断地会有新领域出现，这也是网络安全领域值得投资人长期关注的原因之一。Hiddenlayer的出现就是又一个证明。随着机器学习被广泛应用，针对机器学习的攻击也开始出现，Hiddenlayer认为机器学习算法及精心挑选的训练集是一个公司的独特竞争优势，但是一次成功的对抗性攻击将让你优势尽丧，甚至都完全没有注意到。Hiddenlayer提出了Machine Learning Detection and Response，MLDR来防护你的机器学习算法。

Pangea

Pangea定位为一个Security Platform as a Service安全平台即服务，目标是通过一个统一的框架、以API的模式、将客户需要使用的可信赖的安全功能整合到一起，使安全应用的交付成为开发周期的自然组成部分。

“Pangea的SPaaS框架适用于所有需要为其应用程序添加安全功能的开发人员。开发人员使用Pangea记录安全事件，管理出口限制，处理个人身份信息（PII）并阻止已知的威胁行为者（文件、域、IP、URL威胁情报）。”创始人Friedrichs说。“就像您访问AWS进行计算、存储、数据库和许多其他微服务一样，Pangea为您提供开箱即用的微服务，将安全性直接嵌入到您的应用程序中。这就是Pangea成立的原因-为开发人员统一安全，提供一个单一的位置，在那里API优先安全服务聚集在一起，使安全用户体验的交付变得可行和容易。”

这一思路或许和创始人的背景有关，Pangea由Oliver Friedrichs和Sourabh Satish联合创立，他们是Phantom SOAR平台的创造者，该平台于2018年被Splunk收购。

目前业界也有少部分公司提过类似的概念，但安全能力整合平台是否已经成为一个新兴赛道形态，依然有待观察。当前Pangea已实现的能力聚焦于GRC合规自动化、威胁情报和数据安全中的特权密钥等部分场景，身份及其他功能依然有待增强。

SafeBase

SafeBase也同为GRC赛道玩家，其聚焦的场景是使安全和销售团队能够主动共享和自动访问安全、合规和隐私信息，企业可以避免冗余的问卷调查，建立客户信任，并更快地完成交易。

SafeBase为中小型企业提供了一个功能齐全的安全和合规门户，通常只有在具有成熟信息安全举措的大公司中才能看到。SafeBase的“自助”访问允许组织快速收集有关供应商安全计划的信息。审计员可以通过在门户中创建帐户，签署自动发送给请求者的NDA，以及安全地下载SOC、ISO、PCI TRUSTe等报告或认证的水印PDF副本，来快速安全地收集信息。

在SafeBase的CEO Al Yang看来，他们与Security Scorecard这样的SRS安全评分厂商更多是一种合作关系。SRS评分是公司在判断供应商安全性时可以使用的一条信息，但Yang表示SafeBase可以提供这一评分背后的详细信息。

Relyance AI

Relyance AI的口号是“Privacy. It's in the Code.”，强调可以在一个直观的平台上无缝管理隐私、数据治理和合规性操作。数据隐私是近几年全球爆火的赛道，Relyance AI也被收录于IAPP「2022 PRIVACY TECH VENDOR REPORT」中。

Valence Security

SSPM，这可能是个短期在国内看不到玩家的赛道，但国外正逐渐进入主流。大多数安全漏洞是由于 SaaS 配置错误或用户错误，而不是代码漏洞，并且用户没有能力自行抵御这些风险。即使是 GitHub、HubSpot、LastPass、Mailchimp、Okta 等最近成为漏洞受害者的大型知名供应商，也容易受到错误配置和滥用的影响。

Valence SaaS应用程序安全平台在不影响业务灵活性的情况下降低了SaaS安全风险，支持协作、自动化工作流程和安全防护措施，以确保组织安全。

Zama

好久没有听到同态加密赛道的声音了。因此本次看到Zama入围10强，不由得让人怀疑这会不会是一匹黑马。Zama总部位于巴黎，为开发人员构建开源同态加密工具，他们的技术支持广泛的隐私保护用例，从机密智能合约到加密机器学习和隐私保护云应用程序。不得不说，主页风格就很法国。

在Zama看来，人们不应该关心隐私。不是因为这无关紧要，而是因为这不应该成为一个问题！从数据泄露和云应用程序监控，到一切公开的区块链智能合约，在网上私下做事情变得越来越复杂。解决这个问题的唯一方法是端到端加密所有内容，无论应用程序在哪里运行。唯一能做到这一点的方法是同态加密成为主流。

十强选手，各显神通，最终冠军会花落谁家，4月24日，我们一起期待！可以通过阅读原文一起竞猜冠军花落谁家吧！