希望云安全

在信息安全环境日趋恶化的今天，云计算的成败取决于云安全解决方案的健全发展。

一个无可逆转的趋势是，信息社会正在快速向云计算架构转移，云计算已经成了个人和企业提升信息竞争力不可或缺的服务，云计算颠覆传统信息技术消费模式的同时，也在改变甚至颠覆信息安全行业的旧理念和模式。

网络安全领域年度投资趋势分析

随着企业和政府面临越来越严重的网络攻击和黑客问题，网络安全领域受到投资者的关注。但是由于投资者担心网络安全领域过度投资，因此交易活动和投资额都呈现下降趋势。

据CB Insights研究发现：相较于2015年，今年的投资交易数量和金额都呈现减缓的趋势。该调查公司预计，今年将发生300多起交易活动，总投资规模达30亿美元左右，低于2015年创造的336起交易活动，投资价值37.5亿美元的投资记录。

2012年-2016年上半年投资数量及金额

数据显示，专注于企业数据和网络安全的公司依然深受投资者青睐。此外，提供威胁情报分析和智能手机安全的企业也成为投资热点。截至7月，2016年网络安全领域大宗投资交易包括Cylance(1亿美元D轮投资)，Mobi Magic(1亿美元B轮投资)，LogicMonitor(1.3亿美元发展型投资)。

然而，就在今年5月，Lux Research表示2016年网络安全领域的风险投资将达到4亿美元，高于2015年的2.28亿美元。

其实，这些数据并不矛盾。因为Lux Research专注“网络安全初创公司”，与CB Insights的关注面有所不同，此外，Lux Research也更多的关注普适计算（pervasive computing）和物联网等相关领域。

FreeBuf科普：普适计算

1999年，IBM提出普适计算(又叫普及计算)的概念。所谓普适计算（PervasiveComputing / Ubiquitous Computing）指的是，无所不在的、随时随地可以进行计算的一种方式；无论何时何地，只要需要，就可以通过某种设备访问到所需的信息。

虽然，投资的重点有所区别，但是对于网络安全的市场需求整体似乎呈现上升的趋势。

Gartner表示：2015年全球市场对信息安全的需求达到750亿美元，比上一年增长14%。该公司预测，未来诸如物联网安全等领域还会呈现进一步增长趋势。

SANS协会2月份的一份报告指出：安全支出所占年度IT总预算的比例高于最低范围（0%—3%），安全预算在2014-2016年间呈现不断增长的趋势。

SANS协会研究结果显示：2016年金融服务行业的安全预算占比IT总预算的10%-12%，高于去年的7%-9%；政府部门的安全预算占比IT总预算的7%-9%，高于去年的4%-6%。此外，除教育领域外，其他的领域的安全支出预计将保持平稳，教育领域预计今年将呈现下降趋势。

云安全领域投资趋势

IDC最新预测发现，2016年在公有云、私有云基础设施上的花费增长超过15%，总量将达到371亿美元。IDC同时还预测，截止到2020年，在云设备上的开销将与传统的IT行业相持平。

据市场研究机构“联合市场研究”公司的一份报告称，未来5年全球托管安全服务市场规模的复合年增长率将达15.8%，到2020年该市场规模预计将达到近300亿美元。

Morgan Stanley数据表明：云安全支出只占据总体网络安全支出的一小部分（40亿美元）。但是，该公司认为云安全在未来几年的发展速度将超过on-premises（内部）解决方案，从2015年占比安全支出12%增长至2019年占比安全支出20%。

2016年最具发展潜力的9家云安全初创企业

1. 自适应安全初创公司illumio

illumio创立于2013年，专注于面向动态数据中心和云计算平台安全的创业公司。投入两年时间构建独特的自适应安全架构，可自内而外的安全监控和防护每个工作单元或应用，而不是基于传统的边界防护如防火墙。它可以自适应任何平台（私有云、混合云或公有云），此外，它还可以为客户呈现X光式的数据中心/云服务内部运作视图，使DevOps、安全、运维人员都可以非常方便地了解安全情态并高效操作。

作为产品背后的理念，illumio提出了面向动态数据中心和云平台的5大安全准则：

1）不能依赖基础设施

2）如果不能理解应用情景就不能有效的安全防护

3）安全策略自适应的调整可用自然语言来编写

4）安全可见性必须覆盖到防火墙之后

5）安全执行可实现自动化。

2. 云安全监控公司Threat Stack

Freebuf科普：ChatOps

ChatOps诞生于GitHub的一种基于会话驱动的协作开发方法，将开发工具带入开发者聊天室，通过定制的插件和脚本，一个聊天机器人能够执行聊天中输入的各种命令，实现在聊天平台上的团队协作开发自动化，把团队沟通和执行统一整合到一个可视化更高的聊天环境中。

3. SecureDB

SecureDB成立于2014年，总部设于美国弗吉尼亚州，为客户提供encryption-as-a-service（加密即服务）服务。它为开发人员提供一组API，允许开发人员为网站、移动设备以及物联网应用实施加密身份管理。SecureDB公司宣称，即使世上最好的公司依然会遭遇网络攻击，面临数据泄露，但是我们可以通过加密的方式最大限度的降低损失。

4. Cymmetria

Cymmetria是一家网络安全公司，以攻击者心理为切入点进行对攻击者进行钓鱼，达到帮助客户进行调查攻击的目的。它的MazeRunner系统可以部署在on-premises（内部）或是云上，使用虚拟机来诱骗和检测黑客。具体来说就是，其希望颠覆传统的安全策略，让黑客感到自身的脆弱而主动离开，至少也是警惕，因为其会给企业系统带来受到攻击的“主场优势”。这就意味着，它可以帮助企业翻转攻击者被被攻击者的地位，创建嵌入到网络的诱饵来吸引黑客，这使得企业可以更快、更容易地发现和减少安全漏洞。

5. harvest.ai

harvest.ai是在前国家安全局工作人员的带领下创立的，通过应用人工智能防止数据丢失，旨在效仿顶级安全研究人员的方法：搜寻用户、关键业务系统和应用程序中针对性的网络攻击引起的行为变化。该公司的MACIE分析平台通过部署在内部或云上来监视登录、远程网络访问以及文档访问过程中的异常行为模式。harvest.ai已运用基于人工智能的算法，了解整个企业组织重要文档的商业价值，并提供所谓的首开行业先河的功能：在数据被窃取之前，检测并阻止针对性攻击和内部威胁引起的数据泄密。

6. CloudMask

CloudMask成立于2013年，通过类似Gmail和Dropbox的云应用保护用户数据。当用户创建数据时，Cloud Mask会对数据进行加密处理，并将其发送至应用程序。应用供应商因此不能访问这些数据，授权的用户可以通过使用私钥解密数据，实现数据访问，最大限度的保护数据安全。

7. Evident.io

Evident.io是一家AWS持续云安全技术提供商，通过云原生的软件，持续监控企业机构工作负载的安全风险，然后为安全人员提供关于补救措施的指导。Evident.io公司的初始人兼CEO，Tim Prendergast认为未来技术领域的职能定位还将出现更多交叉趋势。Pendergrast解释道：

“他们将更类似于如今的DevOps以及全堆栈工程师角色，我们将亲眼见证IT领域各个技术孤岛之间逐步建立联系……并吸纳大量软件工程师作为成员。现有职能角色员工则有机会借此发展自身并迎接新型技术与实践，从而在云计算这一新时代下充分发挥快速迭代环境当中的各类优势及价值。以服务器为先、深厚的专业知识以及纯IT资质认证与培训的日子已经一去不复返了。

8. Bitglass

Bitglass 由 Nat Kausik 于 2013 年创立，2014 年 1 月开始崭露头角，如今已经是数据安全领域中的佼佼者。Bitglass 的客户来自各种垂直行业，包括医疗保健、金融服务、生产制造业等；Bitglass 主要负责在员工使用自带设备以及云应用时保护企业数据安全，Google Apps、微软 365 和 Box 等应用都在其保护范围内。

Bitglass 的解决方案是在员工应用与企业服务器间建立连接，根据公司相关策略对员工通信内容进行监控、加密或编译。员工的设备上不需要安装特定软件，也不需要改变公司网络或者 VPN 配置。此外，Bitglass 还可以根据公司相关限制政策及使用环境对数据实施保护，自动追踪、加密并编译企业文件，确保员工只能获取权限范围内的信息。

9. Fireglass

Fireglass，一家隐形运营的以色列安全初创企业，开发了一种企业网络安全软件，该软件可以通过使用威胁隔离技术，消除用户和应用程序的Web攻击面，为用户塑造更为安全的环境。

哪家后起之秀将成为下一个独角兽，一起拭目以待吧…

* 原文链接：informationweek、米雪儿编译，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）