En azından RSA Konferansı 2023 İnovasyon Korumalı Alanı yarışmasının 10 finalisti tarafından gösterildiği gibi, hükümet kurallarına uyma, pandemi sonrası dağıtılmış iş gücünü güvence altına alma ve yapay zeka yeteneklerini geliştirme ihtiyacı, bu yıl siber güvenlik başlangıç sahnesini yönlendiriyor.
“[A]Rik Turner Omdia için şöyle yazdı: Uygulama güvenliği (AppSec), dijital dönüşüm sürecinde nerede olduğumuzun bir göstergesi olan rekabette iyi bir şekilde temsil ediliyor.
Turner, AppSec ilgisindeki devam eden artışı, dünya çapında ofisleri ve okulları kapatan ve kuruluşları uzaktan erişime uyum sağlamaya zorlayan COVID-19 salgınının körüklediği uzaktan erişimin büyümesine bağladı. “WFH eğilimi, en azından kısmen, pandemi endemik duruma gelse bile devam edeceğinden emin” dedi.
24 Nisan Pazartesi günü San Francisco’daki RSA Konferansı’ndaki canlı etkinlikte jüri üyeleri, alfabetik sıraya göre sıralanan bu 10 finalistin sunumlarını dinleyecek: AnChain.AI; Astrix Güvenliği; Dazz; Endor Laboratuvarları; Gizli Katman; pangea; Güven AI; Güvenli Üs; Değerlik Güvenliği; ve Zama.
AppSec için Büyük Yıl
Geliştirme ve uygulama sırasında uygulama düzeyindeki güvenlik açıklarını ortadan kaldıran AppSec’in önemi Log4j kriziyle vurgulandı. Turner, “Modern uygulama mimarisinin giderek daha fazla bileşen haline gelmesi ve ödemeler ve haritalar gibi hizmetler için üçüncü taraf uygulamalarına ulaşmaya her zamankinden daha istekli olmasıyla, tehdit aktörleri artık bir web sitesindeki uygulamalara erişim elde etmek için bir web sitesini tehlikeye atabilir.”
Astrix, bazen SaaS’tan SaaS’a güvenlik olarak adlandırılan bir alan olan her türden uygulama arasındaki iletişimi güvence altına almayı amaçlar. Bir kuruluşun çekirdek sistemlerini bulut hizmetlerine bağlamayı daha güvenli hale getirmek için erişim yönetiminin makinelere ve diğer insan olmayan kimliklere genişletilmesini vurgular.
Dazz, güvenlik uyarılarını ortadan kaldırmak ve geliştiricilerin iş akışını kolaylaştırmak için otomasyonu kullanan “hızlandırılmış bulut düzeltmesi” sunar. Otomasyon, ilk olay yanıtı dalgasının hızını ve doğruluğunu artırma potansiyelinin yanı sıra, tükenmişliğin çok tartışılan bir unsuru olan uyarı yorgunluğunu azaltabilir.
Endor Labs, Log4j’nin büyük ölçüde izlenmeyen ve yaygın bir potansiyel güvenlik açığı kaynağı olduğunu ortaya çıkardığı açık kaynak bileşenlerini izlemeye ve yönetmeye odaklanır. ABD Başkanı olduğunda yazılım malzeme listeleri (SBOM’ler) önem kazandı. Joe Biden, Mayıs 2021’de Colonial Pipeline hack’inin ardından SBOM’ların oluşturulmasını zorunlu kılan bir Başkanlık Emri yayınladı. “[E]O zamandan önce, geliştiricilerin kodlarına katıştırdıkları çok sayıdaki açık kaynaklı kitaplık, yazılım kompozisyon analizi (SCA) adı verilen tamamen yeni bir pazar segmentinin ortaya çıkmasına neden olan önemli bir endişe kaynağı haline gelmişti” diye belirtti Turner. dışarı.
Pangea, blok tabanlı bir API oluşturucu kullanarak ve hizmetleri kendisi barındırarak kuruluşların güvenli, uyumlu bulut güvenlik hizmetleri oluşturmasına yardımcı olur. Turner, “Kuruluşlar, uygulamalarının üretime girdikten sonra kullanıyor olabileceği üçüncü taraf API’ler şöyle dursun, kendi geliştiricileri tarafından yazılan API’lerin güvenli olup olmadığını bilemezler,” dedi. Geliştiriciler, güvenli API’lerin bu kitaplığını kullanarak, uygulama oluştururken tipik olarak kullanılan açık kaynak kitaplıklarının karışıklıklarından kaçınırlar.
AI’nın Rolü
Yapay zeka revaçta, ancak ChatGPT’nin popüler bir kültür anı yaşaması ve kendi güvenlik endişelerini dile getirmesiyle şirketler, makul olan her yerde ürünlerini yapay zeka terimleriyle ifade ediyor. Ve bazı yapay zeka abartılı konuşmaları otomasyona sıçramış olsa da, yapay zeka siber güvenliğe pek çok fayda sağladı.
Relyance AI, gizlilik düzenlemelerine uygunluğu sağlamak için diğer sistemlerin yanı sıra dahili ve üçüncü taraf API’ler aracılığıyla hareket eden kişisel verileri izlemenin bir yolu olarak makine öğrenimini vurgular. Turner, şirketi “dijital dönüşümün yarattığı iş ortamını ele almak için tasarlanmış teknolojiye sahip … AppSec dünyasında da bir ayağı olan bir veri güvenliği şirketi” olarak sınıflandırdı.
Gizli Katman, hafife alınan bir iş varlığını güvence altına almak istiyor: makine öğrenimi veri kümeleri. Şirketin makine öğrenimi tespiti ve yanıtı (MLDR) olarak adlandırdığı teknolojisi, “düşman makine öğrenimi saldırı teknikleriyle tutarlı anormal etkinlik” aramak için makine öğrenimi algoritmalarının girdilerini ve çıktılarını izliyor. Bahisler yüksektir — ML eğitim verileri bozuksa, çıktıları hatalı olur ve sorunun ne olduğunu görmek için kara kutunun içine bakmak zordur. Turner, “Sonuçta, bu tür analitik alıştırmalarda kullanılan verilerin ‘kuyusunu zehirleyebilen’ herhangi biri, ister iş kararları, ister tıbbi prosedürler, ister tıbbi prosedürler olsun, ister kötü veya hatalı içgörülerle sonuçlanarak sonuçlarını çarpıtma potansiyeline sahiptir. askeri strateji.”
Web3 Korumaları
AnChainAI, tam bir Web3 varlığını güvence altına alıyor: blok zinciri. Son zamanlarda yaşanan kripto para soygunları dalgası ve buna eşlik eden düzenleme çağrılarıyla, kripto cüzdanlarını sürdüren kuruluşların suç mağduru veya suç ortağı olmadıklarından emin olmaları gerekiyor. Şirket, şüpheli işlemleri belirlemek ve işaretlemek için bir tahmin motoru oluşturdu ve Cüzdanını Tanı, adli tıp ve sözleşme değerlendirme hizmetlerini finans kurumlarına, varlık sahiplerine ve hükümetlere satmayı amaçlıyor.
Zama ayrıca, veri güvenliğini koruyan tamamen homomorfik şifreleme (FHE) uygulamaları oluşturmak için bir dizi açık kaynak kriptografik araçla Web3 endişelerini giderir. Şirket, araçlarının verilerin şifresi çözülmeden işlenmesine izin verdiğini ve bunun da gerçek uçtan uca şifrelemeye izin verdiğini söylüyor. Zama, teknolojisini Web güvenliğinin bir sonraki aşaması olan ve şirketin https tabanlı güvenliğin ötesinde şifrelemeye geçtiğini söylediği “httpz”yi mümkün kıldığını düşünüyor.
Ciddi iş
SafeBase, güvenlik incelemelerini daha hızlı hale getirmek için merkezi bir güvenlik ilkeleri deposu ve uyumluluk belgeleri oluşturur. Güncellenmiş sertifikaların dağıtılması ve gizlilik anlaşmalarının yönetilmesi dahil olmak üzere, üçüncü taraf risk yönetiminin uzmanlaşmış ancak gerekli bir bölümünü ele alır. Turner, “tek bir hakikat kaynağının” değerine dikkat çekti, ancak “Asıl soru, bu müşterilerin Güven Merkezi’nden aldıkları verilerin meşru olduğunu daha sonra nasıl doğrulayabilecekleri olmalıdır” dedi.
Valence Security, SaaS güvenlik duruşu yönetimini (SSPM) kullanarak bulut iş akışlarının güvenliğini sağlar. Bir müşterinin üçüncü taraf SaaS uygulamaları ağını izlemek, yanlış yapılandırmaları tespit edip düzeltmek ve kimlik güvenliğini yönetmek için bir hizmet kombinasyonu kullanır. Turner, SSPM alanı ve bulut güvenliği pazarında pek çok fırsat olmasına rağmen, bunun Valence’in de oldukça fazla rekabetle karşı karşıya olduğu anlamına geldiğini belirtti.
Kazanan 24 Nisan’da yapılacak sunumların sonunda açıklanacaktır. Bu yılın jüri üyeleri, Energy Impact Partners’ın kıdemli işletme ortağı Niloofar Razi Howe; bağımsız araştırmacı ve Cryptography Research’ün kurucusu Paul Kocher; Cato Networks’ün kurucu ortağı ve CEO’su Shlomo Kramer; Ballistic Ventures’ın kurucu ortağı ve genel ortağı Barmak Meftah; ve Microsoft’ta iş geliştirme, strateji ve girişimlerden sorumlu Başkan Yardımcısı Christopher Young. Meftah hariç hepsi geçen seneden dönüyor.