近期,一场持续数周的全国性网络安全对抗演练,让业界的甲乙双方,都切身体会到,中国网络安全产业的重要驱动力,从合规到实战化对抗能力的转变。安全攻防的不对称,已经不是停留在纸面上的话。从这场充满真实对抗性的演练,我们看到的现实是,即使是已经在网络安全能力上进行了大量投入、框架性建设的企业,在应对 “无所不用其极” 的 “假想敌(人)” 时,仍旧需要大量倚赖乙方人员的协助,以及众多意想不到手段(社工)和未知的渗透能力(零日漏洞)。
能够明显看到的是,持续对抗并着眼于未知威胁的安全能力,亟待补充。
瑞数信息最早在 2016 年首次推出其动态安全理念,核心即通过动态封装、令牌、验证、混淆等技术,实现精准的人机识别,以对抗 bot、恶意爬虫等自动化工具带来的威胁。2018年10月,通过一款企业级 WAF 产品 (River Safeplus),瑞数的另一重要能力 “AI智能威胁检测引擎” 也初见端倪。
此次,借发布 C 轮融资消息的机会,瑞数信息正式发布了其基于 “动态安全” 和 “AI威胁分析” 两个重要底层能力的完整 2.0 体系,涉及产品和方案,包括 WAF、移动 App、API,到物联网、业务威胁感知和数据透视。从这六个角度,详尽展示了瑞数信息在产品、方案和能力上的布局。
持续对抗能力的基石:动态安全+人工智能
随着自动化工具的不断演进,越来越逼真模拟真人、符合正常业务逻辑的恶意行为,深刻影响着拥有大量线上用户、频繁进行数据查询和在线交易的场景和行业。无论是网络攻击,黑灰产,还是商业对手间的恶意竞争,企业在享受数字技术带来的便捷的同时,也要有责任和能力捍卫自身和客户的利益。
但是,威胁态势比想象中的要更加严峻。瑞数在过去的两年时间里,利用其突出的人机识别能力,平均每天就能帮助用户识别并阻挡 40 亿次由自动化工具发起的攻击。政府机构、运营商、金融、电商、能源等行业,都有其重要客户。据瑞数信息 CEO 余亮介绍,2016 到 2018 年,每年都有超过 1 倍业绩增长,而且行业的覆盖面,也在不断扩大,比如教育、航空,都有新加入的客户。
2019 年,有很多瑞数的客户参与了近期针对关键行业重点单位的网络攻防演练。余亮坦言,从厂商的角度,能看到的一个普遍现象是,不依赖外部人员的持续对抗能力,还有利用 AI 的自动化防御能力,前者是缺乏的,后者是有效的。这是整个安全行业,在应对实战化威胁时,都亟待补充的两点;同时,这也是瑞数的方向和技术优势所在。而打造这种能力,需要深挖动态安全和人工智能,两者缺一不可。
落实到产品层面,可以按照 “应用访问” 对应的不同防护场景,来看此次瑞数的 2.0 产品体系。
1. Web 端和移动 App
Web 端的安全能力是瑞数的 “看家本领”。
Web 端还是以之前发布的针对中小企业的 WAF 产品 Safeplus,以及主打自动化工具识别的机器人防护墙 (Botgate) 为主。相较于去年发布的一体机 WAF,此次主要是可选产品形态的扩充,加入了虚拟化和云 WAF 的版本。除了 WAF 的基本能力外(覆盖 OWASP Top10),基于人机识别能力,Safeplus 可以防止被工具恶意扫描、漏洞利用以及由僵尸网络发起的应用层 DDoS 攻击。
在移动 App 端,瑞数的方案则是遵循云管端的思路。值得一提的是,该方案针对原生 App、H5、微信小程序、公众号等流量入口的攻击,是从移动终端、管道和后端服务器的一体化防护方案。
目前,随着业务的快速发展,大量 App 和 H5 混合使用的情况层出不穷。应用的快速迭代,让攻击者有了可乘之机。特别是电商行业的促销活动,大量的 H5 营销页面,使得传统检测设备指纹的手段近乎失效,而基于这种鉴证能力之后的安全措施也等同于被绕过。即使开发在 App 中加入了相应措施,也难以指望用户能够及时更新 App。
瑞数在终端侧的思路,是将来自 App 和 H5 页面的访问行为指纹关联,并加入对改机工具的检测能力。通过反向代理,确保终端环境的安全后,才能真正访问到后端服务器。数据的传输,则是通过加密、双向验证,以及出现异常后的 “动态挑战” 机制来做进一步的认证。后端服务器的安全,则主要是由动态安全能力来在整体 App 动态安全方案中作为补充。
2. API
企业大量的应用和能力,是通过 API 来开放给渠道和合作伙伴的。甚至,API 已经成为企业 IT 应用架构的重要一部分。但是,对 API 的管理和风险监控能力,目前仍普遍缺乏。
国内对 API 安全能力的需求,瑞数认为已经是非常明确。但是能提供产品或服务的厂商很少。即使是相对走在前面的外企,如 Akamai,API 安全也绝对是一个非常新的领域。
API 的安全需求,瑞数认为,可以用 “感知、发现、监控和保护” 这四点来概括。其中,感知是其它三个能力的基础。这意味着,API 安全方案,要能自动发现客户所有业务链条中的所有 API,包括内部应用间的调用,以及外部和渠道、合作伙伴的对接。同时,监控这些 API 流量中的异常,并能和业务系统做关联分析,定位问题。
瑞数产品市场经理吴剑刚介绍了这样一个案例,在一个拥有 60+ 系统,API 总数超过 1 万的客户现场部署后,经客户的业务部门核实,瑞数在 API 自动识别的精准度上超过 90%。同时,AI 的能力的引入,让日志、流量和调用行为特征的梳理、分析、基线的建立和动态监控,有了更多的助力。
3. IoT
分布广泛、数量众多,是 IoT 安全方案要正视的关键挑战。瑞数的 IoT 动态安全解决方案的重要优势,是不基于签名和规则的动态安全能力所实现的轻量级。整体方案包括可以从 OS 层嵌入 IoT 设备的探针,以及可实现监控 IoT 设备的企业内部网络和云应用服务器的 Web 网关。
IoT 动态按方案还要能够应对 IT/OT 混合环境的防护需求。在 OT 环境下,利用动态技术可以对 IoT 设备的运行环境和网络连接进行检测,在IT环境中,则主要是针对 Web 控制台、云端移动 app 应用服务器进行防护。
4. 业务安全与应用数据透视
如果说 Web 安全是瑞数信息能力的起步,那么以业务威胁感知 (Biz Insight) 为代表的业务安全能力,以及数据透视 (Data Insight) 的应用安全能力,则是瑞数下一步的重点发力方向。
业务威胁的感知与对抗,瑞数认为核心的挑战有四点:一是易被利用工具的欺诈绕过,二是客户端唯一确定难(刷机、设备指纹伪造),三是代码集成成本高(要获得多维度业务访问过程数据,或在应用中进行埋点),四是定制化程度高后续调优多(需要与业务系统深度集成)。
而如果利用瑞数自身对 bot 的识别能力,就可以很好地规避上述四点。既不需要和业务系统集成,对业务的影响无感,同时在访问之初就可以进行大量的恶意过滤。此外,Biz Insight 还是国内首家内置了 OWASP 21 种 Web 应用自动化威胁模型。结合 AI 引擎的指纹库,威胁情报的智能分析和自动化输出能力,以及最新加入的“可编程响应”能力,将风控前置。
https://www.owasp.org/index.php/OWASP_Automated_Threats_to_Web_Applications
数据透视则更多聚焦在应用视角,无论是业务部门的需求,还是安全部门的需求,亦或是应用运维的需求,都可以从应用数据的角度,比如应用日志、异常告警、用户操作等数据,结合AI的分析能力,提供更多的视野。
瑞数信息 CTO 马蔚彦在会后采访时表示,安全行业的态势感知平台的重要价值,在于数据标准化和分析能力;但是数据源方面有局限。从应用视角切入,和企业业务风控,在很多点上可以互相补充。此外,数据透视的能力不应该局限在业务和安全部门;应用的运维,对可用性和异常流量的监控,以及在访问审计等方面,都会是一个很好用的工具。
概括来讲,2.0 的产品架构,在动态安全和 AI 这两个引擎之上,瑞数已经可以提供以业务为核心,应用为根本,聚焦Web、移动App、API、IoT 等场景的防护架构,并从动态防御逐步走向动态对抗。未来,瑞数信息的方向,会在持续对抗和自动化防御能力的加强。
C轮融资1亿 未来在于让安全产品更好用
新加入的 “动态挑战” 机制,利用 AI 深耕的识别和响应编排能力,以及多个场景下的方案布局,是此次发布会在产品能力方面的重要亮点。企业方面,还有瑞数 C 轮融资的消息发布,以及总分销商的签约。
此次 C 轮融资,瑞数信息共获得君联资本 1 亿元的融资。君联资本表示,创投资金看中的是回报率。我们从 2017 年初就开始观察瑞数信息,不只是技术,还有发展空间、业绩走势、友商比较等,做了详尽的尽调。
我们看好瑞数在产品技术方面的创新,团队整体的运营和销售能力,以及潜在的市场空间。我们对瑞数信息的未来是非常有信心的,这也是促成我们这次投资的重要原因。
对于瑞数 C 轮后的规划,信息 CEO 余亮表示,随着动态安全 2.0 的发布,现阶段瑞数已经积累了足够的技术和产品,后续更多的现金会优先投入到市场工作,比如渠道的建立,直销团队的扩充,以及不同行业案例和方案的覆盖。
除了融资消息外,英迈中国作为瑞数信息的总分销商的签约仪式也在现场举行。英迈中国表示,会帮助瑞数信息输出产品和能力,扩大在市场的影响。但是余亮同时还表示,和英迈中国的合作不能简单理解成分销,也有方案集成的合作。因为瑞数整体解决方案的价值,是客户非常看重的一个点。
最后,对于安全产品的未来,特别是自动化、AI 技术在安全的应用,瑞数信息 CTO 马蔚彦表示,攻防态势的快速变化,让自动化能力,以及AI技术在安全的应用,势必成为未来的大方向。结合多种策略(比如不同层级的事件关联、信誉评分),AI 可以帮助实现对不断演进更具欺骗性行为更精准的发现能力,结合自动化,可以做到更丰富的响应编排和决策。
虽然安全漏洞,特别是0day,在动态的持续攻防中是攻方的重要优势,但是攻防对抗整体是成本和资源的对抗。我们不仅要提高攻击成本,也要降低自己的防护成本,才能形成持续的对抗能力。动态安全和AI技术,让我们能够帮助客户更多地发现威胁,并且让产品更好用,更易用,而不过度依赖产品运维的人员。这是未来,对客户而言安全厂商要实现的重要价值。
相关阅读
