2023年RSAC创新沙盒大赛将于4月24日(下周一)展开角逐,前两周数说安全也逐一为大家分别介绍了十强公司的业务亮点和核心优势,大家可以从历史文章中查看。十强选手中做供应链安全、开发安全相关的有5家;做云安全的2家(其中一家也做开发安全);隐私保护(数据安全)的2家;还有1家做web3 SOC的,1家做AI安全的。
为方便读者回溯十强公司业务,我们再次整理2023RSAC创新沙盒十强选手的业务介绍。绿盟科技每年都很关注RSAC的创新沙盒大赛,所以本篇十强的业务介绍我们选用绿盟科技的总结,供您参考。读者如额外关注某家公司,也可以跳转至对应数说安全发布的历史文章深入了解。
Astrix Security 致力于保护现代企业不断增长的第三方应用互连。面对针对企业关键系统的网络安全威胁,Astrix Security设计推出一种新颖的零信任解决方案。该安全平台对第三方应用程序连接的控制与安全管理的创新能力主要体现在以下四个方面:Astrix Security提出的是企业用于保护应用到应用连接的可信解决方案。其无代理、非侵入式解决方案跨 SaaS、PaaS 和 IaaS 环境监控核心系统,并及时检测和补救滥用非人类身份的攻击。
数说安全分析文章入口。
AnChain.AI:全方位守护区块链数字资产安全
成立时间&地点:2018年·美国
业务介绍:
AnChain.AI是一家以人工智能技术为核心的网络安全公司,深耕区块链安全领域,提供安全合规的区块链解决方案。核心产品/技术如下:
下一代加密货币取证平台(CISO):支持对虚拟货币钱包地址的交易追踪,可用于检测分析犯罪活动中涉及到的可疑地址,以支持对加密货币交易的调查取证。
区块链事件/行为分析API(BEI):基于机器学习和大数据分析技术,用于区块链事件和行为分析的BEI引擎(通过API接口调用),识别可能存在的威胁并给出风险评分。
智能合约风险评估引擎(SCREEN):针对链上合约代码进行统计分析,提供易于理解的可视化热度图,显示该合约代码的相对安全性(相比于链上部署的同类智能合约)并给出安全风险评分。
Web3安全运营中心(Web3SOC):专门针对Web3数字资产提供保护。5个核心功能分别是识别、保护、检测、响应、恢复。
数说安全分析文章入口。
Endor Labs 是一家专注于供应链安全的初创公司。从技术上来看,其主要应用了静态分析、动态分析、依赖分析、机器学习等技术来实现开源软件安全风险评估和漏洞管理的解决方案,帮助企业降低开源软件的安全风险并确保其供应链的安全性。技术优势如下:Endor Labs采用了更先进的算法和机器学习模型,可以更准确地识别潜在的漏洞和安全风险。Endor Labs可以轻松地适应大规模复杂软件供应链的检测需求,并提供了灵活的定制化配置选项。Endor Labs提供直观易用的用户界面,帮助用户更快速地发现和解决潜在的安全问题。同时,Endor Labs还提供了自动化的检测和报告功能,可以减少用户的手动工作量。Endor Labs不仅能够帮助用户快速发现潜在的安全问题,还能够提供可操作的建议和响应方案,以便用户能够更快速地修复漏洞并降低安全风险。5)数据源多样性Endor Labs可以整合多种数据源,包括公共漏洞数据库、开源软件组件信息、代码库信息、社交媒体信息等,从多个角度来分析潜在的安全风险。另外,基于ChatGPT的智能问答机器人,Endor Labs结合ChatGPT推出了DroidGPT功能。该功能支持针对开源软件安全问题进行交互式问答,获取即时的安全风险评估、漏洞分析和修复建议等信息。
DroidGPT使用展示
数说安全分析文章入口。
Dazz专注于云安全领域,其Dazz Remediation Cloud SaaS化平台主要为企业开发团队及安全团队提供漏洞修复和风险预估能力。技术优势如下:Dazz Remediation Cloud 可以通过其宣称的CDK快速集成到企业的 CI/CD 环境中,从而帮助开发者和安全团队更快地发现和修复漏洞。从多个来源获取系统信息,如操作系统版本、库版本、配置文件、Git提交记录、CI/CD Job详细信息等,从而帮助开发者和安全团队更好地了解系统状况,更准确地定位漏洞。采用了先进的降噪技术(专利),可以去除大量的误报和无关信息,从而帮助安全团队更准确地评估漏洞优先级。可将漏洞关联到具体开发者,并自行修复漏洞,从而减轻开发团队的负担,提高修复效率。数说安全分析文章入口。
Pangea:代码内生安全
成立时间&地点:2021年·美国
业务介绍:
Pangea是一家创新型企业,专注于为开发人员提供安全、合规和可靠的云服务。该公司的核心产品包括Vault、Redact、Embargo和Secure Audit Log服务,旨在帮助开发人员管理和保护敏感信息,并确保其应用程序在安全和合规方面达到最高标准。
Pangea首次提出SPaaS(安全平台即服务)的概念并实现了产品化,目前已经实现了多种安全能力的API,使得安全能力可以直接在编码阶段集成。
Pangea现存和规划中的API能力
数说安全分析文章入口。
HiddenLayer:针对机器学习攻击的防护与响应平台HiddenLayer是一家机器学习算法和模型安全解决方案的提供商。基于轻量化的软件平台方案,HiddenLayer能够提供针对机器学习系统的威胁建模、风险评估培训、红队评估服务,其提供的平台称为MLSEC PLATFORM,主要包括三个核心子产品(工具):MLDR,机器学习威胁检测与响应。能够提供实时威胁检测,提供包含告警、隔离、画像和误导(misleading)等响应操作,支持你可配置的精调选项。Model Scanner,模型扫描器。能够提供脆弱性识别,失陷模型识别,以及恶意代码注入的检测。Security Audit Reporting,安全审计报告。全面的报告AI/ML资产风险状态,可定制的仪表盘和报告功能,以及脆弱性的分级功能等。
Safe Base是一家企业服务科技初创公司,核心产品是智能信任平台(Smart Trust Center)。SafeBase主要提供的是一个可以展示公司安全信息的门户,将安全审计的流程自动化,并做到了访问控制。通过Smart Trust Center,安全和销售团队能够共享安全、合规和隐私信息。借助 Safe Base,企业可以避免多余的问卷调查、更快地建立客户信任并完成交易。核心功能如下:
Relyance AI:利用语义分析和代码审计实现数据治理左移Relyance AI是一家隐私和数据治理运营解决方案提供商,其核心优势是大量采用人工智能和机器学习技术,快速实现时间、自动化、代码和合同集成以及智能洞察,可以在业务代码编写时分析出数据合规风险,实现客户数据治理左移;也是目前业内唯一一个提供代码级数据合规风险分析的数据安全厂商。功能和特色如下:
Zama:开源全同态加密方案支持自动化改造
成立时间&地点:2019年·法国
关键词:全同态加密 机器学习
业务介绍:
Zama是一家专注于全同态加密(FHE)领域的网络安全公司。以TFHE加密方案为底座,Zama构建了一个FHE解决方案,覆盖面深入浅出,既可以深入密码算法底层、精确控制FHE的参数细节,也可以在零密码基础的背景下自动化地实现程序电路FHE改造、便捷的进行FHE加密应用开发。Zama认为作为HTTP向HTTPS转型的下一步,新一代互联网应当构建在由端到端加密全程保护的HTTPZ上。而能实现端到端加密特性的FHE技术,被认为这一转型的关键所在,也是Zama致力于提供高效便捷的FHE产品的原动力所在。
核心产品:
1)TFHE-rs:完全使用Rust语言编写的TFHE全同态加密库
2)Concrete:可以对普通程序进行自动化FHE改造的编译器
3)Concrete-ML:基于Concrete编译器的隐私保护机器学习工具集
Valence Security :自动化SaaS安全态势管理平台Valence Security主要为用户提供即时、非侵入性的SaaS安全态势管理平台,帮助用户降低SaaS数据共享、供应链、身份和错误配置的风险。其主要功能是提供安全团队所需的可见性和业务上下文,通过对SaaS安全风险进行优先排序,在多个SaaS平台中实现自动化的修复工作流程。功能特点如下:1)SaaS发现和可视化:通过无代理的方式连接至用户的核心SaaS应用程序,能够持续发现集成的SaaS应用、第三方的威胁情报等,并将供应商风险(TPRM)流程情境化,最终以可视化的形式进行展示,降低了用户SaaS应用治理的门槛2)自动化+手动修复流程:通过统一的安全策略,扫描SaaS应用的安全风险并进行修复。修复方式支持自动化+人工干预的形式,既提供工作效率,也提升了用户的体验和综合治理效果。
数说安全分析文章入口。