2018年最佳安全工具：看18款尖端武器如何攻克当今的威胁困局

正如其他一切事物会遵循一定的趋势运行一样，威胁也在不断地发展演变。一旦某种新型威胁蔓延传播或有利可图时，许多同类型的威胁也将不可避免地随之而来。最好的防御工具需要具备反映这些趋势的功能，如此才能帮助用户获取最强大的防御威胁的能力。

按照这些方针，Gartner已于去年确定了网络安全技术中最重要的类别——云工作负载保护平台（CWPP）、远程浏览器技术（RemoteBrowser）、欺骗技术（Deception）、端点检测和响应（EDR）、网络流量分析（NTA）、管理检测和响应（MDR）、微分段（Microsegmentation）、软件定义边界（SDP）、云端访问安全代理技术（CASBs）、面向DevSecOps的OSS安全扫描和软件组成分析技术（OSS security scanning and software composition analysis forDevSecOps）以及容器安全（Containersecurity）。

在Gartner确定的这些热门类别中，深入探索最新的网络安全产品和服务，并审查每个群体中一些最具创新性和实用性的部分，发现尖端的网络安全软件如何应对最新的威胁，以帮助企业用记做出明智的技术采购决策。

下述评估的每个产品都已经在本地测试平台上进行了测试，或是根据产品或服务在供应商提供的生产环境中进行了测试。在适当的情况下，每个产品及服务都可以对抗当今最危险的威胁形式，因为我们已经利用手中掌握的恶意软件集进行了相关测试，并得出了上述结论。

当前最重要的网络安全技术类别中最具创新性、实用性和最佳安全工具，由CSOONLINE推荐。

1. Balbix （类别：漏洞管理）

从技术角度来说，Balbix应该属于一个漏洞管理器，但实际上它能实现的远非于此。Balbix能够分析网络中每种易受攻击的资产，网络中存在哪些数据，有多少用户与之交互，是否面向公众，以及其他对组织具有重要意义的因素。然后，它会将每个漏洞与活动威胁源进行比较，并预测在不久的将来发生漏洞的可能性，以及在攻击者成功滥用漏洞或损害企业前阻断攻击。

工具详情：

https://www.csoonline.com/article/3289270/network-security/review-predictively-locking-down-security-with-balbix.html?nsdr=true

2. BluVector（类别：网络安全 ）

通过结合与关联多个恶意软件检测与分析引擎，BluVector为客户提供了全面的网络安全解决方案。其关键技术包括：

1）机器学习引擎：

BluVector的机器学习引擎是一种监督式学习的引擎。该引擎拥有35个文件分类器，基于美国情报体系的威胁数据进行预先的训练，用来评估所有文件的是恶意的概率，从“正常”到“未知”到“恶意”。同时，该引擎还可以检测多种恶意软件，包括办公文档，可执行文件，文档中包含的宏，嵌入式JavaScript以及看似合法的系统更新等。

2）推测性代码执行引擎：

BluVector的推测性代码执行引擎是安全市场上第一款专为分析与检测无文件恶意软件而开发的系统。该引擎能够模拟代码在内存中执行时的行为方式，以及这些行为可能在多大程度上引发安全问题。

3）Targeted Logger：

Targeted Logger是一个网络取证工具，负责向安全团队提供可视化的经过预先分析的日志条目，旨在实现网络狩猎活动的自动化。

BluVector强大的机器学习和推测性代码执行技术使企业能够准确识别高级恶意软件攻击，将网络安全事件风险降至最低。

工具详情：

https://www.csoonline.com/article/3250681/machine-learning/review-bluvector-enables-machines-to-protect-themselves.html

3. Bricata（类别：入侵检测）

Bricata最核心的功能是提供先进的IPS（入侵防御系统）/ IDS（入侵检测系统）保护，且具有多种检测引擎和威胁源，以保护网络流量和核心资产。此外，它还进一步增加了基于事件或简单异常发起威胁捕获的能力。

工具详情：

https://www.csoonline.com/article/3263728/network-security/review-bricata-adds-threat-hunting-to-traditional-ips-ids.html?nsdr=true

4. Cloud Defender（类别：云安全）

作为很长一段时间以来一直在安全即服务领域占据领导者地位的厂商，Alert Logic如今将其单点解决方案打包成为一套整体，并将其命名为“Cloud Defender”。除了Alert Logic的日志管理、威胁检测以及分析与WAF之外，Cloud Defender当中还包含以此为基础的全新托管SEIM服务。这项服务旨在通过一套全功能托管服务为客户提供分析、分析结果以及安全情报。

与当初的CloudPassage产品相比，Cloud Defender同时也是一项托管服务。它会为企业客户专门指派一名安全专家来负责安全事务。这就不再局限于云安全概念了，而是真正的安全即服务（SaaS）。

鉴于Alert Logic公司与大多数领先云服务供应商保持着合作关系、因此Cloud Defender几乎能够被顺利部署到大家所使用的每一种云环境当中。无论是Amazon、谷歌、微软、Rackspace还是VMware，Alert Logic及其Cloud Defender都能切实为用户提供服务。

工具详情：

https://www.csoonline.com/article/3268544/cloud-security/review-protecting-clouds-with-cloud-defender-from-alert-logic.html?nsdr=true

5. Cofense Triage （类别：网络钓鱼防御）

Triage作为本地虚拟设备部署，可与几乎所有企业电子邮件程序连接，并有助于管理对疑似网络钓鱼的用户报告的响应。Triage目前仍在不断发展完善，不过即便是现在，它也是最先进的网络钓鱼防御工具之一。

工具详情：

https://www.csoonline.com/article/3269844/phishing/review-keeping-the-bad-phish-out-of-your-network-pond-with-cofense-triage.html

6. Contrast Security （类别：应用程序安全）

Contrast Security提供了一种新的软件应用安全方法。软件开发人员可以在其开发的软件中嵌入一个安全传感器，这个传感器不断地把数据传送到Contrast的平台，使得开发者能够在软件开发和测试过程中评估软件的缺陷，能够在已部署的软件遭受攻击时进行精确防护。

工具详情：

https://www.csoonline.com/article/3254985/application-security/how-contrast-security-protects-applications-from-the-inside-out.html?nsdr=true

7. Corelight（类别：网络安全）

网络安全初创企业Corelight的第一款产品名叫“Corelight Sensor”，针对大企业客户而开发，被称为飞行数据记录器，企业可以快速、方便地了解复杂的网络攻击。除了调查和预防勒索软件，这款产品还能解决其他安全问题，包括拒绝服务、未授权访问、恶意软件感染、配置错误、数据外泄、高级持续性威胁、网络钓鱼和其他以邮件为基础的袭击事件。

工具详情：

https://www.csoonline.com/article/3282805/network-security/review-corelight-is-a-worthy-network-packet-sniffer.html?nsdr=true

8. Digital Guardian（类别：终端安全）

Digital Guardian 是Verdasys 开发的一款以数据为中心的全面可靠的企业信息保护平台。其设计理念涵盖了针对内部泄密威胁和来自外部网络攻击威胁的安全技术, 同时从内部和外部2个方面保护企业的数据资产。Digital Guardian拥有自适应文件检测，自适应电子邮件加密，自适应文件加密，移动媒体加密，应用程序日志的记录和掩蔽等功能。

Digital Guardian同时也是一个对外开放的技术平台，可提供：对终端和服务器上对基于策略的数据生命周期进行监测、分类、合规和控制；虚拟设备和企业应用程序；移动设备；云环境；为此2011 Gartner魔力象限报告将其誉为“预防内容感知数据丢失技术的领头羊”。

工具详情：

https://www.csoonline.com/article/3243280/endpoint-protection/digital-guardian-offers-ready-to-deploy-endpoint-security.html

9. enSilo（类别：终端安全）

enSilo提供的实时目标式攻击防泄漏平台能够从连接建立开始，将合法连接从恶意连接中区分开来。它提供了针对高级目标式威胁的虚拟补丁，让员工可以在清除设备所受攻击的同时，继续正常工作。

工具详情：

https://www.csoonline.com/article/3254756/endpoint-protection/review-the-ensilo-platform-traps-threats-that-bypass-traditional-endpoint-defenses.html?nsdr=true

10. ForeScout（类别：网络资产管理）

ForeScout是极少数可以帮助跟踪和管理运营技术（OT）和物联网设备以及信息技术的程序之一。ForeScout 产品具有独特的功能，可即时监测连接至网络的设备，其中包括非传统型设备。它们对这些设备执行基于策略的控制，协调不同安全和信息技术管理工具之间的信息共享并实现工作流程自动化。

工具详情：

https://www.csoonline.com/article/3295999/internet-of-things/review-monitoring-it-ot-and-iot-devices-with-forescout.html?nsdr=true

11. InSpec 2.0（类别：合规性）

由西雅图软件自动化公司 Chef Software发布的 InSpec 2.0 工具，可以将法律法规整合进开发部署阶段，甚至实现自动化操作，进而大大节省人力。InSpec 2.0可以验证AWS和Azure策略（甚至能移除意外公开访问的S3存储桶中的敏感数据）。它提供了一个简单易懂的代码类方法来定义合规要求，然后定期检查公司的基础设施（包括云和本地）是否符合要求。与 InSpec 1.0相比，InSpec 2.0在Windows上的性能提升了90%（在 Linux/Unix上提升了30％）。

工具详情：

https://www.csoonline.com/article/3280987/compliance/review-how-inspec-20-delivers-comprehensive-compliance.html?nsdr=true

12. Intellicta Platform（类别：合规性）

由TechDemocracy公司开发的Intellicta平台就像一个SIEM控制台，但是针对的是合规性问题。它能够从一系列网络收集器中提取信息，并将这些数据关联到持续监控的合规性仪表盘中。

工具详情：

https://www.csoonline.com/article/3265743/compliance/review-intellicta-brings-issue-tracking-to-compliance-rules.html?nsdr=true

13. Insight Engines（类别：网络安全，威胁追捕）

我们不妨把Insight Engines工具看做是网络安全版的谷歌，可用自然语言搜索，检索结果精炼全面。虽然这种类比不是很恰当，但有助于帮助我们理解其工作机制。Insight Engines 程序的核心是联结复杂后端编程接口的自然语言处理器。其目的是让任何技术层次的网络安全团队成员都能用简单的语言查询，而程序再将之组合精炼成高级查询语句，利用所有可用数据资源池返回查询结果。

工具详情：

https://www.csoonline.com/article/3253244/network-security/ask-me-anything-insight-engines-lets-you-talk-your-network-into-revealing-threats.html?nsdr=true

14. Mantix4（类别：威胁追捕）

Mantix4平台——该名称源于昆虫世界食物链顶端的合掌螳螂：Mantis，就是为了人的问题而生的。该平台在为客户提供健壮的威胁追捕工具的同时，还运用专家团队替客户追捕威胁，将威胁追捕作为软件即服务推出。Mantix4最初是为加拿大政府的公共安全部门设计的，该部门类似于美国的国土安全部。在加拿大，Mantix4守护着涉及关键基础设施的10个产业的网络完全，将可能绕过传统防护的威胁拔除在外。

工具详情：

https://www.csoonline.com/article/3247777/network-security/review-mantix4-provides-threat-hunting-as-a-service.html?nsdr=true

15. RiskIQ Digital Footprint（类别：漏洞管理）

将RiskIQ Digital Footprint与其他安全工具区分开来的一件事，是其独特的设置和安装过程，没有其他工具能够实现这一点——Digital Footprint能够像潜在的攻击者一样，扫描来自防火墙外部的漏洞信息。

工具详情：

https://www.csoonline.com/article/3273708/network-security/review-gazing-through-a-hackers-lens-with-riskiq-digital-footprint.html?nsdr=true

16. Seceon开放管理平台（类别：网络安全）

该开放管理平台（以下简称OTM）本质上既是SIEM（安全信息和事件管理）工具又是一个前线安全设备。如果充分了解OTM所能实现的具体功能——尤其是了解OTM能够抓住他们总是忽略、错过的东西时——一些预算有限的公司可能会考虑取消其他的网络安全项目。

工具详情：

https://www.csoonline.com/article/3277964/security/review-seceon-soups-up-standard-siem.html?nsdr=true

17. Solebit（类别：端点安全/沙盒）

只需要在内部网络创建一个无代码逻辑区，Solebits就可以检查可执行代码的每个数据流，无论这个数据流是否加密或隐藏。通过防护未经授权代码（进入网络的恶意软件的普遍手段）的数据流，Solebit就能实现阻止零日攻击和APT的目的。此外，该公司旗下还拥有网络保护软件平台“SoleGATE”。

工具详情：

https://www.csoonline.com/article/3289706/security/review-zero-tolerance-malware-and-code-blocking-with-solebit.html

18. Vectra Cognito（类别：流量监控）

Vectra的Cognito平台使企业能够实时检测和应对网络攻击。Cognito使用人工智能（AI）通过始终学习的行为模型执行不间断的自动威胁搜索，以在隐患和未知攻击者造成伤害之前快速有效地发现隐患和未知攻击者。Cognito提供从云端和数据中心工作负载到用户和物联网设备的网络攻击者行为的全面可视性，确保攻击者无处藏身。

工具详情：

https://www.csoonline.com/article/3296008/network-security/review-using-ai-to-outsmart-threats-with-vectra-cognito.html?nsdr=true

2017最佳安全软件（22个）

1. Acalvio ShadowPlex（类别：诈骗技术）

2017年，安全公司Acalvio正式推出ShadowPlex欺骗技术平台。该平台实现了其承诺的新型安全防御技术——流欺骗。任何欺骗技术背后的基本思想，都是提供某种形式的虚假前端，诱使攻击者以为自己在对真实的用户的基础设施进行漏洞利用。

从部署角度看，Acalvio的ShadowPlex技术会在客户网络中安装一个小小的代理，构建一个安全隧道，并将IP地址投射到本地网络（如果不用ShadowPlex技术，诱饵就必须部署在本地网络了）。ShadowPlex的后端架构，是虚拟机和Docker容器的组合。虚拟机被用于模拟网络中的主机，容器则负责应用和服务。

ShadowPlex平台的核心元素，是对手行为分析(ABA)功能。ABA提供对手行为上下文，以回顾并确定攻击者侵入网络的路径。ABA帮助确定攻击发生的根源分析。此外，ShadowPlex中还有一个威胁分析引擎，会尝试理解给定攻击中发生的事情。最终目的，是要进一步以新增的能力和洞见，强化威胁分析。

工具详情：

https://www.csoonline.com/article/3214774/network-security/acalvio-weaves-a-web-of-deception-on-demand.html

2. Attivo（类别：诈骗技术）

Attivo解决了大多数欺骗技术的一个主要弱点，不得不依靠其他程序来应对一旦被欺骗网络泄露的攻击。Attivo平台提供快速响应功能以及与第三方程序进行交互以进行额外备份的能力，使用直观的拖放界面进行配置，该界面只需很少的培训。

工具详情：

https://www.csoonline.com/article/3225868/network-security/attivo-adds-response-capabilities-to-deception-deployments.html?nsdr=true

3. 梭子鱼WAF（类别：网络安全）

将梭子鱼WAF称作是防火墙实属过分谦虚。它更像是一个独立的安全防御堡垒的核心，能够检查出入站流量。该WAF的功能类似于反向代理，位于数据通路的前端，能够拦截所有流量，检查该流量是否受到攻击，防止恶意流量进入服务器。无论是出站或是入站流量，只有符合安全策略，才能正常通过。

工具详情：

https://www.csoonline.com/article/3237826/network-security/calling-barracudas-waf-a-firewall-is-seriously-selling-it-short.html?nsdr=true

4. Bay Dynamics Risk Fabric（类别：漏洞管理）

无法理解上下文是Bay Dynamics Risk Fabric工具旨在解决的漏洞管理空间中的一个主要问题。Bay Dynamics Risk Fabric在原始的扫描结果中添加了真实的上下文/环境信息，IT团队可以更好地了解其网络中隐藏的真实风险，以及假如没有快速地解决这些问题会带来的潜在危害。

工具详情：

https://www.csoonline.com/article/3236410/vulnerabilities/bay-dynamics-risk-fabric-puts-vulnerabilities-in-context.html?nsdr=true

5. BitDefender HVI（类别：远程浏览器）

BitDefender虚拟机管理程序内省（HVI）工具位于虚拟机管理程序下方，可以防止缓冲区溢出、heap spray（堆喷）、代码注入和API hooking等任何策略的执行，从而保护虚拟浏览器免受损害。

工具详情：

https://www.csoonline.com/article/3219657/phishing/how-bitdefender-hvi-protects-virtual-browsers.html?nsdr=true

6. CAWS持续安全验证平台（类别：漏洞管理）

NSS Labs 的CAWS持续安全验证平台，其实是专用于查找并修复网络威胁的测试实验室。使用该程序的客户有两种选择——公共版和付费版，两个版本在规划防御和管理漏洞上都有很大帮助。

对网络较小的中小企业而言，CAWS公共版可警示IT团队有可能攻破他们防御的真正威胁，是个极具价值的工具。但对财富500强企业、金融机构、政府组织和有大型或高价值网络的机构而言，可能就会想要更贵的私有服务，比如，提供对需保护真实网络的完美镜像。

CAWS可以对该镜像网络执行破坏性攻击而无需去掉任何破坏功能，因为它们只会摧毁测试网络。用代罪羔羊来承受攻击后果并揭示漏洞，对真实网络毫无风险。这对有高安全需求的网络而言，可谓是价值无限的工具。

工具详情：

https://www.csoonline.com/article/3237424/network-security/how-nss-labs-caws-finds-and-fixes-network-threats.html

7. Crossbow（类别：漏洞管理）

有时候，进攻就是最好的防御。这就是安全公司SCYTHE创建Crossbow漏洞评估平台背后的哲学。Crossbow是虚拟威胁沙箱，本地安装或采用SaaS部署都可以，管理员可采用Crossbow来加载真实历史攻击，比如WannaCry、Goldeneye或Haxdoor，也可以从无到有创建全新威胁。一旦被加载或创建，这些攻击便可攻向受保护的网络，检测是否存在漏洞。

Crossbow或许是CSO们审查过的最危险防御程序之一了。该平台所能加载或创建的所有攻击都是真的，运用的是曾经突破过很多公司企业网络安全防御的真实技战术。仅仅是攻击载荷被去掉了，且就这一部分，也是可选的。这就让Crossbow成为了评估、测试和管理漏洞的最现实工具之一。相较之下，Crossbow更像是军队实弹演习，而不仅仅是一场模拟，因为Crossbow带来的虚拟威胁，是真实的。

工具详情：

https://www.csoonline.com/article/3236465/vulnerabilities/crossbow-offers-live-fire-cybersecurity-vulnerability-testing.html?nsdr=true

8. Cyphon（类别：托管检测）

提供装甲车服务的Dunbar公司主要负责保护客户资金安全。除了构建安全的物理结构、部署带武装警卫的装甲车之外，还需要保护相关数字基础设施和网络资产。开发Cyphon的初衷就是出于这个目的，应用于公司内部，保护其业务资产。后来，Dunbar将这个产品以保护即服务的模式推向了客户。

工具详情：

https://www.csoonline.com/article/3219837/network-security/dunbars-cyphon-extends-physical-protection-as-a-service-into-cyber-security.html?nsdr=true

9. GreatHorn（类别：网络安全）

由于大多数电子邮件网关设备只扫描已知的恶意域名或恶意软件，因此很多“社工类”的钓鱼邮件还是可以轻而易举地绕过这些防御措施。GreatHorn的出现弥补了这块空白，该工具是一种内置于云端的软件即服务产品，旨在关闭安全缺口并锁定其余的邮件流。

工具详情：

https://www.csoonline.com/article/3240647/network-security/greathorn-detects-the-most-carefully-planned-email-attacks.html?nsdr=true

10. GuardiCore Centra（类别：网络安全）

微分段是组织可以用来保护关键资产、用户数据等免受外部攻击和内部人员威胁的高级安全防御技术之一。对网络中的每一个进程、应用程序、用户与服务，以及他们的权限、交互方式进行授权，同时拦截所有授权之外的行为。GuardiCore Centra解决方案简化了微分段从初始安装到持续性程序管理的大部分复杂性。

工具详情：

https://www.csoonline.com/article/3233946/network-security/guardicore-centra-provides-visibility-protection-through-advanced-micro-segmentation.html?nsdr=true

11. InfoZen（类别：DevOps）

InfoZen是利用InfoZen云与DevOps实践服务创建的一个完全端到端的DevOps扫描解决方案。就算是在我们小型的测试环境中，InfoZen工具包所表现出来的智能和自动化功能也是显而易见的。

工具详情：

https://www.csoonline.com/article/3218745/application-security/infozen-enables-pre-deployment-patching-for-devops-coding.html

12. Kenna Security（分类：漏洞管理）

Kenna Security的漏洞管理平台，旨在排序漏洞，滤出可能伤害受保护网络的最危险漏洞。简言之，该平台监视大多数主流威胁馈送源，将该数据与受保护网络中的资产进行比对。

Kenna平台以软件即服务(SaaS)形式部署，用户支付订阅年费，即可登录收集他们特定漏洞数据的安全网站。Kenna收集的数据，被用于改善整个平台的安全，所以越多公司采用，该平台对付的威胁就越多。目前，Kenna在全世界跟踪的漏洞数量超过20亿个，且这一数字还在不断增长。

工具详情：

https://www.csoonline.com/article/3235512/vulnerabilities/which-vulnerability-to-fix-first-kenna-security-has-the-answer.html?nsdr=true

13. Lacework（类别：云安全）

管理一个本地数据中心就已经是一项十分艰巨的任务了，而保护云安全就更加困难了。Lacework可以帮助我们处理所有疑难杂症，消除误报，并为负责保护云安全的IT团队实生成可操作的威胁情报。

工具详情：

https://www.csoonline.com/article/3208110/cloud-security/lacework-unmasks-hidden-attackers-amid-data-center-and-cloud-chaos.html

14. Minerva（类别：终端安全）

Minerva的反绕过平台主要针对的是新一代态势感知型恶意软件。传统的防病毒软件会拦截大多数最常见的威胁类型，而Minerva则会阻止任何试图绕过这些保护程序的安全威胁。

工具详情：

https://www.csoonline.com/article/3203245/endpoint-protection/review-minerva-protects-endpoints-with-trickery-and-deception.html?nsdr=true

15. Promisec（类别：终端安全）

Promisec的解决方案是一个运行一系列模块的终端管理器（PEM）服务器。这就意味着可以在端点上直接安装传感器软件。它使用基于Windows的Sentry监视你想要监控的每个网络分段。该工具可以在任何Windows、Linux以及Mac OS端点上运行。其最多包含五个不同的模块：合规性、管理、自动化、电源管理器以及目录清单（inventory）。其不仅能够提供威胁检测与响应服务，还能帮助客户处理日常安全问题，确保端点设备合规性，必要时提供自动化服务，同时对端点设备进行实时监控。

工具详情：

https://www.csoonline.com/article/3215124/endpoint-protection/how-promisec-keeps-endpoints-in-compliance.html

16. RedSeal（类别：网络安全）

RedSeal最初的产品定位是防火墙操作管理软件，后来慢慢转型为数字防御平台，致力于发现网络中的漏洞，包括防火墙中的漏洞和潜在的攻击方式。RedSeal的产品集成了多家知名公司（如Qualys、nCircle和McAfee）的漏洞扫描器，以提供漏洞和风险度量体系。另外，它也能够评估网络健康状况并给出整体漏洞评分，帮助IT人员分析和解决安全问题。

工具详情：

https://www.csoonline.com/article/3202064/security/redseal-offers-powerful-passive-network-protection.html

17. SecBI（类别：流量分析）

SecBI的新软件旨在消除网络安全流量分析技中的两个难题：可操作威胁情报数据的批量处理，以及对网络诱捕硬件（network trapping hardware）的依赖。

工具详情：

https://www.csoonline.com/article/3227908/network-security/sqrrl-ferrets-out-network-traffic-anomalies-to-find-hidden-threats.html?nsdr=true

18. Sqrrl（类别：流量监控）

Sqrrl Data将网络流量监控彻底转变为一个真正的威胁搜索平台，该平台能够轻松地揭露许多其他安全工具无法识别且极具杀伤力的高级威胁。

工具详情：

https://www.csoonline.com/article/3227908/network-security/sqrrl-ferrets-out-network-traffic-anomalies-to-find-hidden-threats.html?nsdr=true

19. ThreatConnect（类别：托管检测）

ThreatConnect是市场上使用最广泛的威胁情报平台（TIP）。该平台可以在云端或内部部署，通过有效聚合、分析和行动以应对复杂网络攻击。ThreatConnect为威胁情报、事件响应和安全操作分析提供了高级分析功能，可为业务运营的相关网络威胁提供更好的了解。

工具详情：

https://www.csoonline.com/article/3222681/network-security/threatconnect-makes-order-out-of-threat-feed-chaos.html

20. vArmour（类别：云安全）

vArmour这套工具首先需要在用户网络内部重建一个软件边界，然后不断优化安全规则与策略，深入研究并应用微分段技术实现安全防护。

工具详情：

https://www.csoonline.com/article/3229935/cloud-security/how-varmour-restores-the-security-perimeter.html?nsdr=true

21. Waratek（类别：容器安全）

与其它容器安全厂商相比，Waratek从另一个完全不同的角度进入了该领域：依靠即时编译，专注于发现大多数企业和运行java的应用程序中最大的安全风险。编译工程师进入信息安全领域为Waratek软件注入了与众不同的血液，实施了被很多公司所忽略的风格和方法。

工具详情：

https://www.csoonline.com/article/3211492/application-security/container-security-how-waratek-blocks-java-exploits.html

22. XebiaLabs DevOps平台（类别：DevOps）

DevOps是当前安全领域的热门话题，这一现象的形成并非毫无理由：软件安全漏洞通常只有在攻击者利用了之后才会被发现，这可能会导致数据和收入出现巨大的损失。XebiaLabs的DevOps平台完美地解决了这一客户难题。XebiaLabs DevOps平台，用于大规模地对持续交付流程进行智能化、自动化和控制。该平台为DevOps发布自动化提供了支持，是对现有工具的补充，并实现整个软件交付流程的完全可见性。

工具详情：

https://www.csoonline.com/article/3234565/devops/how-xebialabs-brings-order-and-efficiency-to-devops-projects.html?nsdr=true