初创公司是网络安全创新的风向标,随着安全威胁的复杂化和敏捷化,越来越多的企业安全主管开始关注网络安全初创公司,因为这些初创公司具备攻击者的敏捷性,往往能够更快速地填补安全技术堆栈和解决方案的空白,满足新兴需求。
当然,选择初创公司也存在风险,例如初创公司往往缺乏资源和成熟度,但是,如果初创公司能给企业带来竞争优势或减轻安全资源的压力,那么回报也可能是巨大的。
以下是2023年值得关注的海外网络安全初创公司(过去两年内成立或刚刚结束潜水模式的公司)。
一、Aembit
关键词:云身份平台
Aembit开发了一个基于云的身份平台,让DevOps和安全团队能够发现、管理、实施和审核联合工作负载之间的访问。该公司提供从工作负载到公司所依赖的服务(例如API、数据库和云资源)的无缝、安全访问,帮助企业将零信任安全框架应用于工作负载访问,类似于现有的员工访问解决方案。Aembit创立于2023年。
二、Akto
关键词:API安全
Akto成立于2021年,专注于API安全。Akto的平台在本地或云端运行,可以发现和测试内部、外部和第三方API,在运行时快速发现漏洞。支持AWS、Google Cloud、Kubernetes等关键API数据源。据Akto称,该平台可以在大约一分钟内完成部署。
三、Axiado
关键词:可信计算
Axiado开发可信控制/计算单元(TCU)处理器,提供基于硬件和人工智能驱动的安全技术。该公司声称,其安全硬件产品以人工智能驱动的方法提供先发制人的威胁检测,以确保平台安全,能够抵御针对云数据中心、5G网络和其他分类计算网络的勒索软件、供应链、侧通道和其他网络攻击。
四、Backslash Security
关键词:应用安全
Backslash Security是面向企业应用安全团队的云原生应用安全解决方案,为云原生代码风险提供统一的安全和业务上下文,以及自动化威胁建模、代码风险优先级以及跨应用程序和团队的简化修复。该公司的平台主要针对云原生应用程序中包含“有毒代码流”的高风险代码组合。
五、Binarly
关键词:硬件安全
Binarly的SaaS分析平能发现硬件和固件级别的安全缺陷。它通过该公司所谓的“二进制级别的深度代码检查技术”来实现这一点。该平台通过检查设备快照是否存在恶意代码模式、异常和漏洞以及错误配置来识别、评估潜在问题并确定其优先级。然后它会生成一份包含可行建议的报告。Binarly成立于2021年。
六、BoostSecurity
关键词:DevSecOps
BoostSecurity提供了一个DevSecOps自动化平台,声称可以帮助检测和修复漏洞,同时允许开发运营团队(DevOps)按照自己的节奏工作。它还有助于跨代码、云和CI/CD流程创建和管理策略,其单一控制平面可提供软件供应链风险的可见性。BoostSecurity于2022年结束潜水模式正式在业界亮相。
七、BreachQuest
关键词:事件响应
BreachQuest的Priori事件响应平台承诺快速收集和分析安全事件数据,以确定和遏制攻击并加速恢复。Priori能持续监控系统是否存在恶意活动。当发生数据泄露时,Priori会立即发送警报,其中包含有关哪些端点已遭到入侵的信息。BreachQuest成立于2021年。
八、Camelot Secure
关键词:威胁识别和缓解
威胁识别和缓解初创公司Camelot Secure提供网络安全“进攻性方法”,提供漏洞评估、风险评估、红队、网络威胁狩猎以及采用人工智能和机器学习的网络威胁情报分析。该公司聘请了来自军方、情报界和私营部门的专家。
九、Circle Security
关键词:云数据安全
网络安全公司Circle Security开发了一个“专门构建”的平台,用于防御凭证驱动的威胁和云攻击。据该公司称,Circle由去中心化架构提供支持,可作为设备本机服务、移动应用程序、基于浏览器的解决方案以及以开发人员为中心的API提供。该公司在新闻稿中表示,Circle的去中心化平台可确保安全访问云数据和应用程序,同时在登录期间和整个用户使用过程中保护数据,无论数据传输到何处。
十、CommandK
关键词:云数据安全
CommandK成立于2022年,为企业虚拟私有云的敏感数据提供端到端全生命周期管理解决方案。CommandK的平台旨在确保开发人员在管理敏感数据方面的零依赖,使安全团队能够获得高度的安全性,同时让开发人员专注于功能开发。CommandK作为托管解决方案部署在企业的虚拟私有云中,确保敏感数据保留在公司的网络内。
十一、Cranium
关键词:AI安全
初创公司Cranium的Cranium Enterprise软件平台能够帮助企业映射、监控和管理AI/ML环境以抵御威胁,且不会中断AI团队训练、测试和部署AI模型。6月15日,该公司发布了Cranium AI卡,该卡允许组织收集并与客户和监管机构共享有关其AI模型的可信度和合规性的信息,并有助于了解其供应商的AI系统的安全性。
十二、Descope
关键词:无密码身份认证
Descope是一个基于无密码身份验证的用户管理平台。它为开发人员提供了轻松向应用程序添加身份验证、用户管理和授权功能的工具。该平台通过识别有风险的用户信号以实施逐步身份验证,防止登录页面上的机器人攻击、帐户接管欺诈和会话盗窃。该公司成立于2022年。
十三、DoControl
关键词:云数据安全
DoControl平台提供自动化、自助服务工具,用于SaaS应用程序的数据访问监控、编排和修复。它能够识别敏感信息并防止其离开企业的云实例。DoControl是一个无代理、事件驱动的平台。公司成立于2020年。
十四、Hush
关键词:隐私保护
Hush为个人和家庭提供基于人工智能的数字隐私服务,同时也提供保护员工隐私的企业级产品。一旦企业部署了Hush服务,其员工就可以管理自己的Hush配置文件,从而能够监控和报告隐私问题并修复使个人隐私面临风险的问题。Hush还通过电话或在线方式提供“隐私倡导者”服务。该公司成立于2021年。
十五、Inside-Out Defense
关键词:PAM
Inside-Out Defense于2023年推出,声称是“网络安全行业第一个解决特权访问滥用问题的平台”。该公司的产品通过SaaS平台提供访问意图、实时检测和在线修复。该公司表示:“其平台能够确定已知和未知的滥用行为之间的差距,从而大规模地实时阻止特权滥用。”
十六、Interpres Security
关键词:防御面管理
Interpres Security于2022年12月结束“潜水模式”,公开发布了防御面管理平台,能够展示企业当前的安全工具集可以检测和防御哪些威胁。该平台还有助于识别网络防御中的差距和低效环节,使安全团队能够使用数据驱动的方法来改善安全态势。
十七、Kintent
关键词:安全合规
Kintent的Trust Cloud平台旨在帮助企业通过审核、管理风险并完成安全审查。它使用基于API的编程控制和风险验证,可以自动化工作流程和证据收集。Trust Cloud可以分析合规计划并将其映射到多个标准。它还具有基于人工智能的功能,可帮助填写安全调查问卷。Kintent科技成立于2020年。
十八、Kodem
关键词:DAST
Kodem号称是“全球第一个动态软件组合平台”。该公司的产品基于程序运行时来监测应用程序风险,根据运行时发生的情况创建应用程序上下文,而不仅仅是在静态代码中。该公司表示,“在研究了噪音、误报和低效修复问题后,我们发现消除误报并有效确定修复优先级的唯一方法是在运行时中观察应用程序。通过在运行时对应用程序其进行分析,可以准确地知道哪些组件正在使用,数据如何在它们之间移动,以及应用程序的哪些部分确实容易受到攻击。”
十九、Naxo Labs
关键词:内部威胁、数字取证、知识产权保护
Naxo Labs于2022年由一群著名安全专家和前FBI特工创立,提供法证和调查服务。该公司致力于处理涉及内部威胁或知识产权盗窃等网络犯罪的案件,并将事实打包以提交给执法部门或提起诉讼。Naxo还能够执行区块链和加密货币分析以及数据恢复。
二十、Nudge Security
关键词:SaaS安全
Nudge Security的解决方案为去中心化员工管理软件即服务(SaaS)的安全性。其平台无需更改网络、端点代理或浏览器扩展就能够发现员工创建的云SaaS资产。该公司声称它可以提供对整个SaaS攻击面的可见性,包括托管和非托管帐户、OAuth连接和资源。它还会在创建新SaaS帐户时发出通知。Nudge成立于2022年。
二十一、Oligo
关键词:开源安全
Oligo成立于2022年,提供开源安全平台,通过监控代码库级别的恶意活动来检测和防止Log4Shell等攻击。Oligo声称对开源代码库运行时的监控仅关注相关的漏洞。Oligo的平台可与大多数现代开发语言(例如Python、Go、Java和Node)以及所有云服务提供商(例如GCP、Azure和AWS)配合使用。
二十二、Piiano
关键词:开发安全、隐私保护
Piiano提供两种产品:Piiano Scanner可以扫描源代码获取与个人身份信息(PII)有关信息,而Piiano Vault允许使用敏感数据的同时保护敏感数据。Scanner只需单击一下即可扫描任何Java或Python GitHub项目,可改善开发和隐私团队之间的协作。Vault基于API的基础架构可安全存储敏感数据,并符合GDPR和CCPA。Piiano成立于2021年。
二十三、Privya
关键词:隐私数据保护
Privya平台成立于2021年,在设计上提供了一种云原生的数据隐私方法。Privya可帮助用户在开发生命周期过程中更好地实现隐私和数据保护。Privya平台能够跨多个数据源发现和识别个人数据,并映射数据流和业务逻辑,还提供了自动化架构,以更好地满足合规性要求。
二十四、Sharepass
关键词:数据安全
Sharepass成立于2020年,提供了一种跨平台安全共享机密信息的方法。该公司声称,其基于网络的产品在共享数据时不会留下数字痕迹。Sharepass首先对共享的信息进行加密,并将链接发送给接收者。一旦收件人打开该链接,该链接就会变为非活动状态。发件人可以指定电子邮件地址、设置链接有效时间限制或要求PIN码。
二十五、SnapAttack
关键词:威胁检测
SnapAttack提供了一个紫队平台,声称可以覆盖整个威胁检测过程。该平台包括一个攻击信号库,用于对攻击威胁和模拟攻击进行分类。红队和蓝队可以创建自己的攻击会话。SnapAttack允许紫色团队识别MITRE ATT@CK矩阵的差距,并使用无代码检测构建器创建检测逻辑。该公司成立于2021年。
二十六、SquareX
关键词:安全浏览器
SquareX正在开发一款基于浏览器的网络安全产品,以确保消费者的在线安全。该公司的产品旨在使用浏览器扩展来解决网络钓鱼、身份盗窃、会话劫持和其他基于浏览器的攻击等威胁,该扩展可以在用户进行在线活动时监控和保护用户。该公司成立于2023年,原计划5月开始推出测试版。
二十七、Stack Identity
关键词:IAM、影子访问
身份和访问管理(IAM)治理公司Stack Identity的目标是解决影子访问的问题,即由无数访问云的人类和机器云身份创建的未经授权、不受监控和不可见的云数据访问模式。首席执行官兼创始人Venkat Raghavan表示:“我们的愿景和信念是,云安全的未来必须是身份优先、以访问为中心,并具有深入的数据、应用程序和软件背景。”Stack采用其攻击预测指数算法来降低云漏洞的风险并改进IAM审计、合规性和治理。
二十八、Valence Security
关键词:SaaS安全、第三方安全
Valence Security成立于2021年,提供一个平台来修复围绕第三方集成、身份、错误配置和数据共享的SaaS安全风险。该平台提供自己的跨SaaS数据和权限模型,以帮助维护访问控制。它还附带了一组自动化SaaS安全修复工作流程,以最大程度地减少设置这些工作流程所需的专业知识。
二十九、Vanta
关键词:供应商风险管理
信任管理平台开发商Vanta推出了供应商风险管理产品,提供第三方供应商安全审查和尽职调查。该产品旨在减少第三方供应商风险的审查、管理和报告的时间和成本。Vanta成立于2018年。
三十、Vaulttree
关键词:数据加密
Vaultree成立于2020年,开发了据称是第一个“功能齐全”的使用中数据加密软件开发套件(SDK)。该产品旨在消除明文形式的数据泄露或被盗的风险。据Vaultree称,可以大规模处理、搜索和计算数据,而无需交出加密密钥或在服务器端解密。
三十一、Veza
关键词:云数据安全
Veza提供了一个用于混合、多云环境中的数据授权平台。该公司声称,它能帮企业更好地理解、管理和控制谁可以访问和使用数据。它专注于简化数据访问治理、实施数据湖安全、管理云权限以及现代化特权访问。Veza成立于2020年。
三十二、Wing Security
关键词:SaaS安全、云数据安全
Wing的平台能够检测并自动修复SaaS应用程序威胁,可持续监控每个用户、应用程序和文件的使用情况。该平台可以关闭其认为有风险的应用程序到应用程序的连接,限制和管理通过SaaS应用程序与外部用户共享的数据,并管理有风险的用户行为漏洞。该平台还可以管理SaaS应用程序的令牌和权限。Wing成立于2020年。
来源:GoUpSec