Gartner发布2025年数据安全领域的先锋厂商:GenAI和量子计算时代的数据安全创造性技术、产品和服务
随着人工智能和量子计算的持续应用,创新且富有创意的控制措施将帮助企业继续安全地利用其数据。我们介绍了四家先锋供应商,它们将帮助安全和风险管理领导者释放并维持其企业数据的价值。
主要发现
-
新的数据安全产品利用人工智能架构固有的集成点来保护向量存储或使用点、人工智能管道和工作流中的数据,而不仅仅是静止或传输时的数据。
-
差分隐私现已扩展到 GenAI 管道的部署层,在数据消费点提供保护。此前,Gartner 已注意到其在模型训练中的应用日益广泛。
-
量子计算将在一定程度上摆脱纯数字二进制架构。由于单纯的数字防御已不再足够,物理的非数字组件可以在实现数据保密方面发挥重要作用。
-
硬件生成的熵已经可以通过能够将真正的随机性直接注入后量子和经典密钥生成过程的商业现成产品来实现,从而缩小了许多纯软件后量子密码学 (PQC) 试点的差距。
-
基于物理的加密不是纯粹基于数学的,它通过将加密直接嵌入防篡改硬件来将信任边界转移到硬件中,确保静态数据保持机密,即使主机作系统或虚拟机管理程序受到损害或量子计算机可用。
建议
-
通过映射处理嵌入、模型输入、输出或反馈的每个阶段,在 AI 工作流程的合理瓶颈处实施专门和有针对性的控制。
-
通过评估采用差分隐私的产品,而不是依赖安全性不足的传统数据屏蔽和编辑,在最关键的数据管道、分析仪表板、BI 应用程序和包含敏感个人信息的数据产品中实施差分隐私。
-
将嵌入物理原理的设备视为一流的控制,并在纯数字控制达到极限时进行扩展。
-
通过在现有硬件安全模型 (HSM) 或密钥管理服务 (KMS) 旁边试用硬件熵模块,确保随机性的质量和数量符合您的环境和未来 PQC 加密算法的需求,并比较随机性质量指标(例如,NIST SP 800-90B 健康测试)和价格。
战略规划假设
到 2030 年,20% 的数据保密和加密控制将整合源自自然现象的熵或量子属性。
分析
本研究并非涵盖任何特定技术领域的详尽供应商清单,而旨在突出值得关注、新颖且富有创新性的供应商、产品和服务。
需要知道什么
GenAI、人工智能和高级分析技术不仅增加了企业数据的价值,也扩大了其攻击面。如果企业计划利用 GenAI 来充分利用其所有数据,则需要大规模采集敏感信息。因此,新的数据安全产品利用这些 AI 架构和管道固有的集成点,不仅保护静态数据或传输中的数据,还保护 AI 管道和工作流中战略性“瓶颈”的数据。例如,IronCore Labs 保护向量存储,而 PVML 则在使用点对数据进行去标识化处理。
与此同时,迫在眉睫的量子计算对数据加密的威胁,迫使人们重新思考如何在当今核心加密方案可能很快被攻破的世界中实现数据安全和保密。量子研究代表着对纯数字二进制架构的(部分)转变。由于纯数字防御已不再足够,基于硬件的组件必须发挥作用,而最具前瞻性的防御措施如今将加密灵活性与防篡改物理组件相结合。Real Random 为 PQC 和传统加密提供物理熵,而 CyberRidge 则利用基于物理的静态数据加密。
1、CyberRidge
以色列特拉维夫 ( www.cyber-ridge.com )
为什么很酷:
CyberRidge 使用光子加密技术保护传输中的数据,将敏感信息转换为看似光学噪声的信号,而不依赖于传统的加密方法。它利用对信号的光学处理,使信号与噪声无法区分,除非在光电转换之前对其进行全部光学解密和重建。这意味着通过光纤网络发送的敏感数据是不可见的(无法检测)和无法破译的,即使对于未来的量子计算机也是如此。通过将数据隐藏在通道中,攻击者无法区分光学噪声和光子加密通信。因此,CyberRidge 承诺消除对传输中数据的“先收集后解密”攻击。CyberRidge 使任何拦截和处理被拦截数据的尝试(例如,对所用加密方法的攻击)本质上都是徒劳的,从而支持需要管理长期敏感数据的组织。
挑战:
虽然光子层加密是一种即插即用的解决方案,可以与传统和标准光纤网络互操作和共存,但能否立即实施取决于具体的运营商和光纤网络合作伙伴。否则,需要专门的硬件和专业知识,这使得与传统数据中心、园区和广域网相比,集成到现有网络基础设施更加复杂,成本也更高。确保所有光纤组件的兼容性,并在最高带宽下保持光噪声转换的完整性,是一项艰巨的任务。
此外,目前该技术的适用范围主要局限于大型政府和军事机构、部分能源和关键基础设施运营商,以及拥有长期敏感数据的企业,而非大规模企业部署。行业惯性、监管考量以及试图通过运营商合作进行扩展的额外复杂性,进一步阻碍了 CyberRidge 等尖端网络安全解决方案的广泛采用。
适合什么用户:
随着国家行为体和新量子时代的到来愈发明显,与首席信息安全官 (CISO) 合作,致力于打造面向未来的网络架构保密性的 IT 和网络安全领导者应该评估 CyberRidge 。对数据保护要求最高的组织,包括政府机构、国防承包商、云服务提供商 (CSP)、金融机构和医疗保健提供商,将从 CyberRidge 提供的先进保障措施中受益最多。
2、IronCore Labs
美国科罗拉多州博尔德 ( ironcorelabs.com )
为什么很酷:
IronCore Labs在向量嵌入存储到底层向量数据库或用于模型训练之前,为其提供应用级加密。IronCore Labs 使用近似距离保持对称加密算法( Approximate Distance-Comparison-Preserving Symmetric Encryption algorithm)来加密静态向量嵌入,而不会牺牲核心向量搜索或模型训练功能。IronCore Labs称,由于其解决方案是在数据库层之上实现的,因此它应该适用于任何向量存储,无论是 Pinecone、Milvus、Weaviate 还是自定义内部索引。在必须使用敏感原始数据通过检索增强生成 (RAG) 来增强 GenAI 的环境中,这种方法弥补了主流向量存储中尚处于萌芽阶段的原生安全控制的不足。
挑战:
安全团队必须根据自身策略和监管要求审查底层加密方案,尤其是在每个加密原语都受到严格监管的行业中。此外,运行外部 RAG 安全或治理工具的组织需要确认端到端兼容性:应用程序级加密完全位于数据管道中,并非所有基于 LLM 的应用程序、第三方推理或监控产品都能透明地处理加密嵌入或相关元数据。最后,加密密钥管理仍然是您的责任,要求安全团队验证他们采用的超大规模提供商或第三方 KMS(AWS KMS、Azure Key Vault、Google Cloud KMS 等)是否满足您对持久性、可用性和弹性 SLA 的要求。
适合什么用户:
任何使用敏感原始数据在向量数据库上构建 LLM 驱动的搜索、推荐或问答应用程序的组织都应该评估 IronCore Labs。例如金融、医疗保健、政府或其他需要端到端数据保护的受监管垂直行业。负责保护 AI 管道的安全团队会欣赏能够在任何向量存储之上分层强加密的能力,而无需分叉或重写其现有基础架构。寻求一致、与数据库无关的嵌入安全态势的 DevOps 或平台团队会发现 IronCore 是其 AI 工具链中一个引人注目且低摩擦的补充。
3、PVML
以色列特拉维夫(pvml.com )
为什么很酷:
PVML 提供差分隐私 (DP),用于匿名化商业智能、人工智能和分析项目中使用的数据,无需搭建单独的合成数据生成器或构建定制的数据脱敏流程。PVML 的优势在于将 DP 控件直接嵌入到数据输出层(使用点),无需耗费时间和资源进行前期数据分类。无论数据是被输入到人工智能模型或商业智能 (BI) 仪表板,还是通过 API 公开,PVML 都能动态应用可调整的“隐私预算”和匿名化技术。由于所有处理均在客户自己的环境中进行,因此团队可以完全控制原始数据,同时让 PVML 引擎在使用点自动执行访问治理和隐私保障。
挑战:
与任何数据混淆技术一样,隐私强度和数据实用性之间存在固有的权衡。过于严格的设置可能会降低分析数据的实用性,而较低的预算以及自制或开源软件 (OSS) 实现可能无法满足所有监管制度或内部政策。最终客户(或系统集成商)需要根据用例校准 PVML 的隐私参数,并且可能需要获得解读噪声注入结果的专业知识。性能开销是另一个考虑因素,因为实时匿名化会增加数据管道的延迟。高吞吐量场景应提前进行基准测试,例如通过测量已实现的吞吐量、延迟以及支持的并发用户或查询数量。最后,虽然 PVML 避免了源端修改,但组织仍必须验证下游工具和用户是否理解数据增强 (DP) 的输出。
适合什么用户:
金融、医疗、电信和公共部门等受监管行业的企业,如果希望将敏感数据用于人工智能、分析或第三方 API,且不泄露个人身份信息 (PII) 或商业机密,就应该留意。数据科学和商业智能 (BI) 团队正在为缓慢的手动屏蔽程序或合成数据项目而苦苦挣扎,他们可能会青睐 PVML 按需、无代码的隐私执行功能。需要可证明的隐私保障(例如为了满足 GDPR、CCPA 和 HIPAA 的要求)的安全和合规负责人,可以利用 PVML 的差异隐私审计跟踪,取代资源密集型的数据分类程序和工具。而那些旨在通过 API 将数据货币化,但仍控制底层原始数据集的技术平台,可以将 PVML 集成为一个交钥匙隐私层。
4、Real Random
美国佛罗里达州圣彼得堡 ( Realrandom.co )
为什么很酷:
Real Random 利用物理现象作为熵源,而非依赖传统的基于软件的伪随机数生成器 (PRNG),为组织提供高质量的熵解决方案。Real Random 从本质上不可预测的过程(例如热噪声、电子噪声或大气噪声)中获取真正的随机性。Real Random 连接物理领域和数字领域,以满足密码学和物理质量控制 (PQC) 对高质量熵日益增长的需求。这种方法在虚拟化和云环境中尤为重要,因为在这些环境中,传统的熵源可能会耗尽或受限,导致系统容易受到利用弱随机性或可预测随机性的攻击。Real Random 表示,其用户可以根据加密和身份验证的需要实现防篡改、可验证的熵。Real Random 可以作为本地硬件部署,也可以通过云 API 访问。
挑战:
熵的物理来源容易受到磨损,随着时间的推移,会导致漂移、性能下降、一般故障或硬件错误。提供随机性的物理系统需要频繁的“健康检查”和统计测试,以确保持续的质量。此外,从伪随机数生成器 (PRNG) 迁移到 Real Random 提供的硬件熵模块可能非常复杂或成本高昂。Real Random 有几种替代方案,尽管大多数方案的价格要高得多。两种常见的物理或硬件随机数生成器是基于量子光学效应(例如激光)的生成器,以及利用核衰变辐射的生成器。
适合什么用户:
运营彩票或抽奖活动的金融科技和游戏公司既需要“真”随机性,也需要 Real Random 提供的可验证审计线索。大规模仿真、人工智能研究和科学建模团队可以将其蒙特卡罗流程迁移到硬件随机引擎,而无需重新设计本地 RNG 农场。任何受合规性要求(FIPS、PCI、GDPR)约束,且要求提供可审计、可证明公平输出的组织都应评估 Real Random,以最大程度地降低其熵供应链风险,准备或实施 PQC 的组织也应如此。
往年的数据安全先锋厂商现状
Titaniam
Titaniam在 2022 年 4 月被评为Gartner数据安全先锋供应商,并于 2023 年 10 月更名为 Portal26,以反映其将重点转向人工智能可见性、治理和安全性。
SpringLabs
SpringLabs 于 2024 年 10 月被评为 Gartner 数据安全先锋厂商,其零信任标记化技术也获得认可。虽然 SpringLabs 的名称仍然保留,但他们也改变了业务重点,现在为金融服务领域提供 AI 交互。例如,他们目前正在开发由 AI 驱动的“通用副驾驶”产品,例如 ComplianceAssist、AgentAssist 和 CustomerAssist,以增强合规性、运营和客户体验。