网络安全初创公司试图解决的问题往往有点超前于主流。他们可以比大多数老牌公司更快地填补空白或新兴需求。初创公司通常可以更快地创新,因为它们不受安装基础的限制。
当然,缺点是初创公司往往缺乏资源和成熟度。公司致力于初创公司的产品或平台是有风险的,并且需要不同类型的客户/供应商关系。然而,如果它能给公司带来竞争优势或减轻安全资源的压力,那么回报可能是巨大的。
下面的供应商代表了一些最有趣的初创公司(此处定义为过去两年内成立或从隐形模式中崛起的公司)。
Aembit 开发了一个基于云的身份平台,让 DevOps 和安全团队能够发现、管理、实施和审核联合工作负载之间的访问。该公司通过提供从工作负载到公司所依赖的服务(例如 API、数据库和云资源)的无缝、安全访问,帮助组织将零信任安全框架应用于工作负载访问,类似于现有的劳动力访问解决方案。Aembit 于 2023 年推出。
Akto 成立于 2021 年, 专注于 API 安全。该公司声称其平台在本地或云端运行,可以发现和测试内部、外部和第三方 API。然后它在运行时快速发现漏洞。支持AWS、Google Cloud、Kubernetes等关键API数据源。据 Akto 称,该平台可以在大约一分钟内完成部署。
Axiado 开发可信控制/计算单元 (TCU) 处理器,提供基于硬件和人工智能驱动的安全技术。该公司声称,其半导体以人工智能驱动的方法提供先发制人的威胁检测,以确保平台安全,抵御针对云数据中心、5G 网络和其他分类计算网络的勒索软件、供应链、侧通道和其他网络攻击。
Backslash Security 是面向企业 AppSec 团队的云原生应用程序安全解决方案,为云原生代码风险提供统一的安全性和业务上下文,以及自动威胁建模、代码风险优先级以及跨应用程序和团队的简化修复。该公司的平台针对云原生应用程序中称为“有毒代码流”的高风险代码组合。
Binarly 是一种先进的自动化固件供应链安全平台,它采用机器学习技术来识别固件和硬件组件中的已知和未知漏洞、错误配置和恶意代码。该平台使安全堆栈中最黑暗的部分变得可见、平易近人且易于防御。通过将主题专业知识与最新的人工智能相结合,它使防御者能够保护设备免受固件和硬件中未知和新兴威胁的影响,使安全运营中心和事件响应团队能够量化、维护和防御企业的基本要素基础设施。Binarly 成立于 2021 年。
BoostSecurity 提供了一个 DevSecOps 自动化平台,声称可以帮助检测和修复漏洞,同时允许 DevOps 按照自己的节奏工作。它还有助于跨代码、云和 CI/CD 流程创建和管理策略。单一控制平面可提供软件供应链风险的可见性。BoostSecurity 于 2022 年退出隐形模式。
BreachQuest 的 Priori 事件响应平台承诺快速收集和分析安全事件数据,以确定和遏制攻击并加速恢复。Priori 持续监控系统是否存在恶意活动。当发生泄露时,它会立即发送警报,其中包含有关哪些端点已受到损害的信息。该公司成立于 2021 年。截至 2022 年 11 月撰写本文时,BreachQuest 尚未发布 Priori。
威胁识别和缓解公司 Camelot Secure 提供网络安全“进攻性方法”,提供漏洞评估、风险评估、红队、网络威胁搜寻以及采用人工智能和机器学习的网络威胁情报分析。该公司聘请了来自军方、情报界和私营部门的专家。
网络安全公司 Circle Security 开发了一个“专门构建”的平台,用于防御凭证驱动的威胁和云攻击。据该公司称,Circle 由去中心化架构提供支持,可作为设备本机服务、移动应用程序、基于浏览器的解决方案以及以开发人员为中心的 API 提供。该公司在一份新闻稿中表示,Circle 的去中心化平台可确保安全访问云数据和应用程序,同时在登录期间和整个用户旅程中保护数据,无论数据传输到何处。
CommandK 成立于 2022 年, 为公司虚拟私有云内敏感数据的端到端生命周期提供管理解决方案。其平台旨在确保开发人员在管理敏感数据方面的零依赖,使安全团队能够获得高度的安全性,同时让开发人员专注于构建功能。CommandK 作为托管解决方案部署在公司的虚拟私有云中,确保敏感数据保留在公司的网络内。
总部位于加利福尼亚州的 Confidential 开发了一种解决方案,用于在非结构化文档中安全共享敏感信息。该公司声称,它“创建了一款产品,可以满足个人和企业的需求,寻求更好的方式来共享包含敏感客户或公司信息的文档。” 该平台的核心功能包括集成到常见桌面应用程序、完整文档或选择性加密,并具有强大的分析和报告仪表板。该平台的生产版本包括个人和团队文档追踪、文件夹加密、PDF 搜索和加密以及图像加密。
Conveyor 成立于 2021 年,提供了一种让填写客户安全调查问卷变得更容易的方法。这是一项在线服务,供应商可以在 Conveyor 的客户信任平台上上传相关安全文档和常见问题的答案。然后,客户可以通过公司的供应商信任平台访问该内容,该平台是有门控的,需要保密协议才能访问,或者客户可以比较多个供应商的安全状况。
AI 安全和信任软件公司 Cranium 提供 Cranium Enterprise 软件平台,旨在帮助组织映射、监控和管理 AI/ML 环境以抵御威胁,而不会中断团队训练、测试和部署 AI 模型的方式。6 月 15 日,该公司发布了 Cranium AI 卡,该卡允许组织收集并与客户和监管机构共享有关其 AI 模型的可信度和合规性的信息,并了解其供应商的 AI 系统的安全性。
Cyclops 总部位于特拉维夫,生产上下文网络安全搜索平台。Cyclops 由网络安全资深人士 Eran Zilberman(首席执行官)、Elay Gueta(首席技术官)和 Biran Franco(CPO)于 2020 年创立,提供由生成式 AI 驱动的搜索引擎,可以回答有关组织安全态势状态的关键和及时问题,并提供主动防御网络威胁并解决漏洞。
Descope 是一个用于无密码身份验证的身份验证和用户管理平台。它为开发人员提供了轻松向应用程序添加身份验证、用户管理和授权功能的工具。该平台通过识别有风险的用户信号以实施逐步身份验证,防止登录页面上的机器人攻击、帐户接管欺诈和会话盗窃。该公司成立于2022年。
Discern Security 将自己定义为“策略情报中心”,利用人工智能功能来监控和优化多种网络安全工具的安全控制。它旨在利用人工智能创建一个动态的、互连的安全配置和策略管理平台。该公司成立于2023年。
DoControl 平台提供自动化、自助服务工具,用于 SaaS 应用程序的数据访问监控、编排和修复。它能够识别敏感信息并防止其离开组织的云实例。DoControl 是一个无代理、事件驱动的平台。公司成立于2020年。
dope.security 自称为“世界上唯一的直飞安全 Web 网关 (SWG)”,它直接在端点上执行安全性,而不是通过中途停留的数据中心路由流量。该过程“将性能提高了 4 倍,确保解密的数据永远不会离开设备,并通过消除外部依赖性来提高可靠性。
Gem Security 成立于 2022 年 5 月,提供云检测和响应 (CDR) 平台,采用集中式云威胁响应方法。该平台采用具有实时操作可见性的“假设违规”方法。该解决方案为 SecOps 团队提供了解决云原生威胁的整体方法,通过单一平台提供云上下文,集成到现有的 SecOps 工作流程(SIEM/SOAR、IAM、CSPM、票务系统等)中。 2023 年 2 月。
Gutsy 将流程挖掘应用于网络安全,提供自动、数据驱动的洞察,了解组织的团队、工具和流程如何协同工作以及它们交付的结果。该公司表示,该平台为安全领导者提供了数据和理解,以提出棘手的问题并做出正确的决策。它提供三个模块,涵盖身份管理、事件响应和漏洞管理流程,并与从云提供商到人力资源系统、漏洞管理工具、票务系统、EDR 平台等多种工具集成。
Hadrian 是一家由黑客主导的网络安全初创公司,总部位于伦敦和阿姆斯特丹,以 SaaS 模式提供基于事件的攻击性安全平台。该公司表示,其“自主技术可以识别真正的威胁,并优先考虑需要采取行动的地方,将紧急任务与现有的工作流程工具和流程连接起来,以便首先处理重要的事情。” Hadrian 使用云原生技术和 ML 模块,主动、持续地扫描和测试公司的 IT 基础设施,以提供快速、准确的整体见解。
Hush 为个人和家庭提供基于人工智能的数字隐私服务,但它也有企业级产品来保护员工隐私。一旦企业部署了 Hush 服务,他们的员工就可以管理自己的 Hush 配置文件。这使他们能够监控和报告隐私问题并修复使其隐私面临风险的问题。Hush 还通过电话或在线方式提供“隐私倡导者”服务。该公司成立于2021年。
Inside-Out Defense 于 2023 年推出, 声称是“网络安全行业第一个解决特权访问滥用问题的平台”。该公司的产品通过 SaaS 平台提供访问意图、实时检测和在线修复。该公司表示:“该平台能够确定已知和未知的滥用行为之间的差距,从而大规模地实时阻止特权滥用。”
Interpres Security 于 2022 年 12 月退出隐形模式, 提供了一个平台,使组织能够更好地管理其“防御面”。它将展示他们当前的安全工具集可以检测和防御哪些内容。该平台还有助于识别网络防御中的差距和低效,使安全团队能够使用数据驱动的方法来改善安全状况。
Kodem 声称是“世界上第一个动态软件组合平台”。该公司的产品使用应用程序运行时来关注应用程序风险,根据运行时发生的情况创建应用程序上下文,而不仅仅是在静态代码中。该公司表示,“在研究了噪音、误报和低效修复问题后,我们发现消除误报并有效确定修复优先级的唯一方法是在运行时观察应用程序。通过在应用程序运行时对其进行分析,可以准确地知道哪些组件正在使用,数据如何在它们之间移动,以及应用程序的哪些部分确实容易受到攻击。”
自动漏洞修复程序 Mobb 使用人工智能技术自动修复漏洞,显着减少安全积压,让开发人员能够专注于创新。Mobb 从各种扫描工具获取 SAST 结果并自动修复代码,同时让开发人员在此过程中了解情况,以灌输信任并确保准确性。Mobb 从多个 SAST 解决方案中获取结果。该公司表示,“其自动代码修复由人工智能提供支持,并根据安全最佳实践和提交修复的开发人员的输入提供信息。”
Naxo Labs 于 2022 年由一群著名专家和前 FBI 特工创立,提供法证和调查服务。该公司致力于处理涉及内部威胁或知识产权盗窃等网络犯罪的案件,并将事实打包以提交给执法部门或提起诉讼。Naxo 还能够执行区块链和加密货币分析以及数据恢复。
Nudge Security 提供了一种解决方案,旨在为分散的员工管理软件即服务 (SaaS) 的安全性。其平台允许发现创建的云 SaaS 资产,无需更改网络、端点代理或浏览器扩展。该公司声称它可以提供对整个 SaaS 攻击面的可见性,包括托管和非托管帐户、OAuth 连接和资源。它还会在创建新 SaaS 帐户时发出通知。Nudge 成立于 2022 年。
Oligo 成立于 2022 年, 提供开源安全平台,通过监控库级别的恶意活动来检测和防止 Log4Shell 等攻击。该公司声称其对开源库的运行时监控仅关注相关的漏洞。该平台可与大多数现代开发语言(例如 Python、Go、Java 和 Node)以及所有云服务提供商(例如 GCP、Azure 和 AWS)配合使用。
Phylum.io 是一家软件供应链安全公司,提供安全即代码平台,使安全和风险团队能够更深入地了解代码开发生命周期,并能够在不中断创新的情况下执行安全策略。该平台保护开源生态系统外围的开发人员和应用程序以及用于构建源代码的工具。该公司是 2022 年首届 Black Hat Innovation Spotlight 竞赛的获胜者,并声称自 6 月份以来是第一个检测并缓解民族国家不良行为者针对 npm 开发人员的三起单独攻击的公司。
Piiano 提供两种产品:Piiano Scanner 扫描源代码以获取个人身份信息 (PII) 的引用,而 Piiano Vault 在允许使用敏感数据的同时保护敏感数据。Scanner 只需单击一下即可扫描任何 Java 或 Python GitHub 项目,旨在改善开发和隐私团队之间的协作。Vault 基于 API 的基础架构可安全存储敏感数据,并符合 GDPR 和 CCPA。Piiano 成立于 2021 年。
PingSafe 是一个云原生应用程序平台 (CNAPP),它使用攻击者情报和进攻性安全引擎来帮助客户快速、大规模地解决关键且可利用的漏洞。该平台可帮助保护跨超级缩放器(例如 AWS、GCP、Azure)以及各种部署(例如 Kubernetes、VM 和无服务器)的云环境。该公司由 Anand Prakash 和 Nishant Mittal 于 2021 年创立,总部位于旧金山和班加罗尔。
Privya 平台 成立于 2021 年, 在设计上提供了一种云原生的数据隐私方法。该公司声称,它将允许组织在开发生命周期过程中更好地实现隐私和数据保护。Privya平台能够跨多个数据源发现和识别个人数据,并映射数据流和业务逻辑。它还提供了自动化架构,以更好地满足合规性要求。
Protect AI 是一家人工智能和机器学习安全公司,帮助组织保护机器学习系统和人工智能应用程序免受独特的安全漏洞、数据泄露和新出现的威胁的影响。该公司表示,其平台 AI Radar“通过为开发人员、机器学习工程师和应用安全专业人员提供查看、了解和管理机器学习环境的方式,帮助组织构建更安全的人工智能”。“AI Radar 使客户能够快速识别和修复风险,并为 ML 系统和 AI 应用程序保持强大的安全态势。”
Savvy 的劳动力安全自动化平台通过为 SecOps 提供可见性和安全自动化手册来解决人为错误,以便在不安全的操作发生之前协调 SaaS 事件响应。该公司声称其平台“提供实时警报和建议性指导,以改善用户决策。Savvy 专注于‘人类’攻击面并跨浏览器和工作应用程序保护员工,解决了所有企业面临的巨大问题,而且这个问题只会变得更糟”。
Sharepass 成立于 2020 年, 提供了一种跨平台安全共享机密信息的方法。该公司声称,其基于网络的产品在共享数据时不会留下数字痕迹。Sharepass 首先对共享的信息进行加密,并将链接发送给接收者。一旦收件人打开该链接,该链接就会变为非活动状态。发件人可以指定电子邮件地址、设置链接有效时间限制或要求 PIN 码。
Silk Security 提供可持续的网络风险解决平台,使安全和运营利益相关者能够协作协调发现风险和修复风险,增强企业安全和合规状况,并集中了解风险解决状态的可见性。该平台采用人工智能技术来整合多个检测工具的发现并结合上下文,根据严重性、资产概况和环境因素自动确定优先级,并预测性地分配修复所有权。
SnapAttack 提供了一个紫队平台,该公司声称该平台可以解决整个威胁检测过程。该平台包括一个攻击信号库,用于对攻击威胁和模拟进行分类。红队和蓝队可以创建自己的攻击会话。SnapAttack 允许紫色团队识别 MITRE ATT@CK 矩阵的差距,并使用无代码检测构建器创建检测逻辑。该公司成立于2021年。
Socket 平台旨在通过检测和阻止 CVE 漏洞扫描程序无法通过恶意软件、隐藏代码、拼写错误和其他媒介捕获的意外攻击来防止恶意开源依赖项渗透到应用程序中。该平台还直接在 GitHub 中查找可操作的安全信息。该公司成立于2021年,并于2022年启动。
SquareX 正在开发一款基于浏览器的网络安全产品,以确保消费者的在线安全。该公司的产品旨在使用浏览器扩展来解决网络钓鱼、身份盗窃、会话劫持和其他基于浏览器的攻击等威胁,该浏览器扩展可以在用户进行在线活动时监控和保护用户。该公司成立于 2023 年,计划从 5 月开始推出测试版。
身份和访问管理 (IAM) 治理公司 Stack Identity 的目标是影子访问问题,即由无数访问云的人类和机器云身份创建的未经授权、不受监控和不可见的云数据访问模式。首席执行官兼创始人 Venkat Raghavan 表示:“我们的愿景和信念是,云安全的未来必须是身份优先、以访问为中心,并具有深入的数据、应用程序和软件背景。” Stack 采用其违规预测指数算法来降低云漏洞的风险并改进 IAM 审计、合规性和治理。
Sweet Security 的云运行时安全套件提供跨攻击所有阶段的运行时防御,包括检测和响应、发现和预防。据该公司称,“Sweet 利用基于 eBPF 的传感器来获得云原生集群可见性,并将关键应用程序数据和业务逻辑流式传输到其服务器。使用创新框架来分析工作负载行为异常,并将其与传统 TTP 结合起来,其分析对云攻击和自定义客户端环境有深入的了解。” 该公司由以色列国防军 (IDF) 前 CISO Dror Kashti 和 8200 部队网络部门前负责人 Eyal Fisher 于 2021 年创立。
TrustCloud 平台旨在帮助公司通过审计、管理风险并完成安全审查。它使用基于 API 的编程控制和风险验证,可以自动化工作流程和证据收集。TrustCloud 可以分析合规性计划并将其映射到多个标准。它还具有基于人工智能的功能,可以帮助填写安全调查问卷。TrustCloud 成立于 2020 年,原名 Kintent。
商业支付安全公司 Trustmi 提供端到端解决方案,旨在帮助企业消除网络攻击、内部串通和人为错误造成的损失,从而保护其利润。Trustmi 于 2021 年在以色列成立,声称通过“通过提供无缝集成到现有组织工作流程的灵活解决方案,采用整体方法来克服支付流程的分散性”,帮助减少 B2B 支付欺诈。该平台利用独特的信任网络,将来自数千家供应商和企业的众包数据结合起来,帮助发现漏洞并检测可疑信号,从而最大限度地保护企业支付。
Valence Security 成立于 2021 年,提供一个平台来修复围绕第三方集成、身份、错误配置和数据共享的 SaaS 安全风险。该平台提供自己的跨 SaaS 数据和权限模型,以帮助维护访问控制。它还附带了一组自动化 SaaS 安全修复工作流程,以最大程度地减少设置这些工作流程所需的专业知识。
信任管理平台开发商 Vanta 推出了供应商风险管理产品,提供第三方供应商安全审查和尽职调查。该产品旨在减少审查、管理和报告第三方供应商风险的时间和成本。该公司于 2018 年成立。
Vaultree 成立于 2020 年,开发了据称是第一个“功能齐全”的使用中数据加密软件开发套件 (SDK)。该产品旨在消除明文形式的数据泄露或被盗的风险。据 Vaultree 称,可以大规模处理、搜索和计算数据,而无需交出加密密钥或在服务器端解密。
Veza 提供了一个用于混合、多云环境中的数据授权平台。该公司声称,它使组织能够更好地理解、管理和控制谁可以并且应该对数据采取行动。它专注于简化数据访问治理、实施数据湖安全、管理云权利以及现代化特权访问。Veza 成立于 2020 年。
Wing 的平台旨在检测并自动修复 SaaS 应用程序威胁。它持续监控每个用户、应用程序和文件的使用情况。该平台可以关闭其认为有风险的应用程序到应用程序的连接,限制和管理通过 SaaS 应用程序与外部用户共享的数据,并管理有关有风险的用户行为的漏洞。它还可以管理SaaS应用程序的令牌和权限。成立于2020年。