Hükümet kurallarına uyma, pandemi sonrası dağıtılmış iş gücünü güvence altına alma ve yapay zeka (AI) yeteneklerini geliştirme ihtiyacı, bu yıl siber güvenlik başlangıç sahnesini yönlendiriyor. gösterdi RSA Konferansı 2023 Innovation Sandbox yarışması için 10 finalist tarafından.
“[A]uygulama güvenliği (AppSec), dijital dönüşüm sürecinde nerede olduğumuzun bir göstergesi olan rekabette iyi bir şekilde temsil ediliyor.” yazdı Omdia kıdemli baş analisti Rik Turner. (Bağlantı kayıt gerektirir.)
Turner, AppSec ilgisindeki devam eden artışı, dünya çapında ofisleri ve okulları kapatan ve kuruluşları uzaktan erişime uyum sağlamaya zorlayan COVID-19 salgınının körüklediği uzaktan erişimin büyümesine bağladı.
“WFH eğilimi, en azından kısmen, pandemi endemik duruma gelse bile devam edeceğinden emin” dedi.
de 24 Nisan Pazartesi günü canlı yayınSan Francisco’daki RSA Konferansında, jüri üyeleri bu 10 finalistin alfabetik sırayla sıralanmış sunumlarını dinleyecek: AnChain.AI; Astrix Güvenliği; Dazz; Endor Laboratuvarları; gizli katman; pangea; Güven AI; Güvenli Üs; Değerlik Güvenliği; Ve zama.
AppSec için Büyük Yıl
Geliştirme ve uygulama sırasında uygulama düzeyindeki güvenlik açıklarını ortadan kaldıran AppSec’in önemi Log4j kriziyle vurgulandı.
“Giderek daha fazla bileşen haline gelen ve ödemeler ve haritalar gibi hizmetler için üçüncü taraf uygulamalarına ulaşmaya her zamankinden daha istekli olan modern uygulama mimarisiyle, tehdit aktörleri artık bir web sitesinin güvenliğini ihlal ederek diğer birçok sitedeki uygulamalara erişim elde edebilir.” Turner dedi.
Astrix, bazen SaaS’tan SaaS’a güvenlik olarak adlandırılan bir alan olan her türden uygulama arasındaki iletişimi güvence altına almayı amaçlar. Bir kuruluşun çekirdek sistemlerini bulut hizmetlerine bağlamayı daha güvenli hale getirmek için erişim yönetiminin makinelere ve diğer insan olmayan kimliklere genişletilmesini vurgular.
Dazz, güvenlik uyarılarını ortadan kaldırmak ve geliştiricilerin iş akışını kolaylaştırmak için otomasyonu kullanan “hızlandırılmış bulut düzeltmesi” sunar. Otomasyon, ilk olay yanıtı dalgasının hızını ve doğruluğunu artırma potansiyelinin yanı sıra, tükenmişliğin çok tartışılan bir unsuru olan uyarı yorgunluğunu azaltabilir.
Endor Labs, Log4j’nin büyük ölçüde izlenmeyen ve yaygın bir potansiyel güvenlik açığı kaynağı olduğunu ortaya çıkardığı açık kaynak bileşenlerini izlemeye ve yönetmeye odaklanır. ABD Başkanı Joe Biden, Mayıs 2021’de Colonial Pipeline hack’inin ardından SBOM’ların oluşturulmasını zorunlu kılan bir yürütme emri yayınladığında, yazılım malzeme listelerinin (SBOM’ler) önemi arttı.
“[E]O zamandan önce, geliştiricilerin kodlarına katıştırdıkları çok sayıdaki açık kaynaklı kitaplık, yazılım kompozisyon analizi (SCA) adı verilen tamamen yeni bir pazar segmentinin ortaya çıkmasına neden olan önemli bir endişe kaynağı haline gelmişti” diye belirtti Turner. dışarı.
Pangea, blok tabanlı bir API oluşturucu kullanarak ve hizmetleri kendisi barındırarak kuruluşların güvenli, uyumlu bulut güvenlik hizmetleri oluşturmasına yardımcı olur.
Turner, “Kuruluşlar, uygulamalarının üretime girdikten sonra kullanıyor olabileceği üçüncü taraf API’ler şöyle dursun, kendi geliştiricileri tarafından yazılan API’lerin güvenli olup olmadığını bilemezler,” diye yazdı.
Geliştiriciler, güvenli API’lerin bu kitaplığını kullanarak, uygulama oluştururken tipik olarak kullanılan açık kaynak kitaplıklarının karışıklıklarından kaçınırlar.
AI’nın Rolü
Yapay zeka revaçta, ancak ChatGPT’nin popüler bir kültür anı yaşaması ve kendi güvenlik endişelerini dile getirmesiyle şirketler, ürünlerini makul olan her yerde yapay zeka terimleriyle ifade ediyor. Ve bazı yapay zeka abartılı konuşmaları otomasyona sıçramış olsa da, yapay zeka siber güvenliğe pek çok fayda sağladı.
Relyance AI, gizlilik düzenlemelerine uygunluğu sağlamak için diğer sistemlerin yanı sıra dahili ve üçüncü taraf API’ler aracılığıyla hareket eden kişisel verileri izlemenin bir yolu olarak makine öğrenimini vurgular. Turner, şirketi “dijital dönüşümün yarattığı iş ortamını ele almak için tasarlanmış teknolojiye sahip … AppSec dünyasında da bir ayağı olan bir veri güvenliği şirketi” olarak sınıflandırdı.
HiddenLayer, hafife alınan bir iş varlığını güvence altına almak istiyor: makine öğrenimi veri kümeleri. Şirketin makine öğrenimi tespiti ve yanıtı (MLDR) olarak adlandırdığı teknolojisi, “düşman makine öğrenimi saldırı teknikleriyle tutarlı anormal etkinlik” aramak için makine öğrenimi algoritmalarının girdilerini ve çıktılarını izliyor.
Risk yüksektir — makine öğrenimi eğitim verileri bozulursa, çıktıları hatalı olur ve sorunun ne olduğunu görmek için kara kutunun içine bakmak zordur.
“Sonuçta, bu tür analitik tatbikatlarda kullanılan verilerin ‘kuyusunu zehirleyebilen’ herhangi biri, ister iş kararları, ister tıbbi prosedürler ve hatta askeri stratejiler için olsun, sonuçlarını çarpıtarak kötü veya hatalı içgörülere yol açma potansiyeline sahiptir. ” Turner dedi.
Web3 Korumaları
AnChainAI, tam bir Web3 varlığını güvence altına alıyor: blok zinciri. Son zamanlarda yaşanan kripto para soygunları dalgası ve buna eşlik eden düzenleme çağrılarıyla, kripto cüzdanlarını sürdüren kuruluşların suç mağduru veya suç ortağı olmadıklarından emin olmaları gerekiyor. Şirket, şüpheli işlemleri belirlemek ve işaretlemek için bir tahmin motoru oluşturdu ve Cüzdanını Tanı, adli tıp ve sözleşme değerlendirme hizmetlerini finans kurumlarına, varlık sahiplerine ve hükümetlere satmayı amaçlıyor.
Zama ayrıca, veri güvenliğini koruyan tamamen homomorfik şifreleme (FHE) uygulamaları oluşturmak için bir dizi açık kaynak kriptografik araçla Web3 endişelerini giderir. Şirket, araçlarının verilerin şifresi çözülmeden işlenmesine izin verdiğini ve bunun da gerçek uçtan uca şifrelemeye izin verdiğini söylüyor. Zama, teknolojisini Web güvenliğinin bir sonraki aşaması olan “httpz”yi mümkün kılacak şekilde görüyor ve şirketin https tabanlı güvenliğin ötesine geçerek şifrelemeye geçtiğini söylüyor.
Ciddi iş
SafeBase, güvenlik incelemelerini daha hızlı hale getirmek için merkezi bir güvenlik ilkeleri deposu ve uyumluluk belgeleri oluşturur. Güncellenmiş sertifikaların dağıtılması ve gizlilik anlaşmalarının yönetilmesi dahil olmak üzere, üçüncü taraf risk yönetiminin uzmanlaşmış ancak gerekli bir bölümünü ele alır.
Turner, “tek bir hakikat kaynağının” değerine dikkat çekti, ancak “Asıl soru, bu müşterilerin Güven Merkezi’nden aldıkları verilerin meşru olduğunu daha sonra nasıl doğrulayabilecekleri olmalıdır” dedi.
Valence Security, SaaS güvenlik duruşu yönetimini (SSPM) kullanarak bulut iş akışlarının güvenliğini sağlar. Bir müşterinin üçüncü taraf SaaS uygulamaları ağını izlemek, yanlış yapılandırmaları tespit edip düzeltmek ve kimlik güvenliğini yönetmek için bir hizmet kombinasyonu kullanır. Turner, SSPM alanı ve bulut güvenliği pazarında pek çok fırsat olmasına rağmen, bunun Valence’in de oldukça fazla rekabetle karşı karşıya olduğu anlamına geldiğini belirtti.
Kazanan sunumların sonunda açıklanacaktır. Bu yılın jüri üyeleri, Energy Impact Partners’ın kıdemli işletme ortağı Niloofar Razi Howe; bağımsız araştırmacı ve Cryptography Research’ün kurucusu Paul Kocher; Cato Networks’ün kurucu ortağı ve CEO’su Shlomo Kramer; Ballistic Ventures’ın kurucu ortağı ve genel ortağı Barmak Meftah; ve Microsoft’ta iş geliştirme, strateji ve girişimlerden sorumlu Başkan Yardımcısı Christopher Young. Meftah dışında hepsi geçen seneden hakimler olarak geri dönüyor.