访谈|中睿天下:起于溯源 但不止于溯源
作者:星期二, 二月 21, 20170

在高级威胁形势日趋严重的今天,攻击溯源的重要也凸显出来。国内做APT防护的安全企业很多,最近一家以攻击溯源为核心技术的公司——中睿天下,宣布获得蓝湖资本Pre-A融资2000万元。安全牛借此采访了中睿天下CTO魏海宇,得以近距离了解这家初创企业的发展理念。

%e9%ad%8f%e6%b5%b7%e5%ae%87-600

魏海宇

个人简介

魏海宇,现北京中睿天下信息技术有限公司首席技术官,曾在赛门铁克和东方微点从事计算机反病毒工作,并参与了微点反病毒软件开发的全过程。除此以外,魏海宇还曾与中标麒麟合作开发国产操作系统的反病毒软件,并在2013年任北京华永兴安科学技术有限公司研发总监,负责安全产品的开发。

一、安全市场并未成熟 基础安全是关键

安全牛:中睿天下是一家专注攻击溯源的初创企业,如何看待这个细分领域的市场?

魏海宇:我们做溯源某种程度上来讲有点误打误撞。因为早年我们这些人从事的工作,就包含对境外黑客犯罪活动的追踪,经过这么多年从中梳理出自己成套的技术体系和方法论后,再做这方面产品的时候,就比较得心应手。

因此公司一开始的定位是做攻击溯源。但我认为,APT防护才是一个信息安全高级阶段的真正需求,但目前这个市场还有待整个信息化的成熟。

我们公司核心的人员做这行有十四五年了,从2000年的网吧时代一直到现在的信息爆炸时代。回过头来看,目前很多网络安全的知识,都是当年这批人摸索出来的,网络这个行业到目前为止并没有老师,它的知识,它的体系,包括法律法规,还都进化过程中,并没有到达一个非常成熟的阶段。

安全牛:也就是说,APT防御的市场目前还没有打开?

魏海宇:我们可以以美国的安全行业发展为例来看。美国把整个国家或者全行业的信息化作为基本国策,已经有20多年了。在它的信息化发展过程中,一直都在与传统的攻击方法,如病毒、恶意软件,进行对抗。直到最近几年,才诞生了火眼(FireEye)这一类专注APT防护的安全公司。

反观国内,大量的央企、部委目前还停留需要解决统一认证、统一接入等传统的信息化建设问题的阶段。用一些甲方的话来说,“我现在连乌云上曝光的那些普通的黑客攻击都防不住,你跟我谈APT防护?”

其实目前国内绝大多数真正的安全需求,有点类似于一个居民小区。首先要解决的是摄像头监控、防盗门防盗,并雇用小区保安等基本安全问题。而APT则更像是核武器,属于军方、国家安全层面上的需求,并不适用于全社会。

因此我们公司的定位,是希望在中国的信息化大浪潮中,帮助大型企业解决最为基础的信息安全问题,而并非专注于APT防御。虽然我们具备这种安全能力。所以我们现在的市场宣传,更多的是帮助企业进行网络攻击全生命周期的检测和拦截。

未来几年,公司的战略方向是帮助全中国的企业解决最基础的信息安全建设。五年之后,或者说等到整个中国的信息化程度较高的时候,APT才会成为普遍需求。到了那个时候,可以基于我们的技术和对各行业的深入了解,再去梳理出APT防御的流程规范,来服务更多的企业。

二、打造覆盖整个攻击流程的防御体系

安全牛:既然是解决基础信息安全问题,作为一家初创企业,你们的产品有何优势呢?

魏海宇:我们是做攻击溯源的,这种技术在整个电子取证领域是最难的一个环节。因此我们的产品围绕着这个核心展开,说它是IDS也行,说是态势感知也行,要威胁情报也有威胁情报。硬要有个定义的话,是从攻击开始到最后解决/修复问题这一全生命周期的安全监测类产品。

安全牛:能否具体解释一下?

魏海宇:客户采购任何一款工具的目的是解决问题,谁能够帮助客户更快更有效率的解决问题,那么谁的产品就会被采购。没有人会愿意看IDS的成千上万条报警日志,大家需要的是将这些数据进行关联化分析,得到一个比较清楚的输出结果。

我们在各个领域里都有非常擅长电子取证的专家,把每个人的能力、经验融合在一起成为检测模型,最后得出检测结果。这个结果不一定百分之百准确,但一定会比经验不足的人分析出来的结果更为客观和直观。

比如我们的睿眼产品系列,可以将一般需要一个月的流量分析工作压缩在10分钟之内。这是因为我们把攻击是否成功的判断给到了客户,而不是许多传统安全产品的做法,发出攻击告警但攻击是否能真得造成危害却不得而知。

以某一攻击事件为例,它的作案工具、作案动机,包括时间、地点、人物身份等信息的获取和判断本身就属于安全领域中的一个难点。因此我们在最开始的产品设计阶段,就围绕着电子取证的整套方法论来进行。对于用户来说,无需自己对各种数据进行关联,而是通过我们的系统对攻击事件的时间地点、作案工具、攻击者身份等进行快速研判,包括如何解决。这是贯穿电子取证过程全生命周期的,而且是在一套界面内便可了解整个事件的完整过程。

另外一点,我们还考虑到之前对日志的分析结果,能否对新来的用户起到培训的作用。所以我们的产品还强调对思路、知识的积累与调用。用户使用一段时间之后,会发现对攻击事件的分析维度变多了,因为这里用到的方法论是由中国顶尖的电子取证专家的经验构成的。我们不只帮助客户解决直接的安全问题,同时也希望通过将我们对攻击的思路和知识,用产品的形态融入,潜移默化地帮助客户提升安全认知,提升安全防护技术水平。

那些信息化程序比较高的企业,他的知识或认识已经进阶到一定阶段,因此需求也更深。原来更多的安全需求是能否拦住攻击,经过这么多年,发现不可能做到百分百拦截。于是就有了“漏洞在哪里?谁在攻击我?攻击核心目标是什么?”等新的问题,最终进化到对整个环境进行关联化分析的安全需求。

三、成为独角兽至少需要四年

安全牛:这种针对整个攻击流程的防御体系产品,是否需要很长时间的打磨?如何渡过成长期呢?

魏海宇:我认为一个安全创业公司,想达到一定规模进入稳定发展阶段或说成长为独角兽,至少需要四年。第一年做产品研发,第二年市场推广,第三年被用户企业接受,第四年才可能形成大规模销售。这也就意味着,在这几年中它的资金链不能断。

不仅如此,还要把握节奏,不能太超前。比如之前我很看好的洋葱。也不能跟着别人走。一个初创企业没有创新只靠跟随的话,是没有大前途的。商业里有句话,叫做半步超前理论。

安全牛:那在资金方面会不会有很大压力?

魏海宇:公司刚成立的时候并没有融资,都是创始人自己出钱。而且在公司成长的过程中,我们非常注重财务健康,在每一个环节都有成本控制。

2016年我们四十几个人做到了3000多万的营收,这次的Pre-A融了2000万元,我们在众多投资方中选择了蓝湖资本,是因为双方对安全行业的理解和公司未来发展战略高度契合。其实从现金流来说,我们并不急需资本的注入,本次的融资对公司的意义,主要在于股权的量化和资本方的背书。任何一个机构随着规模的扩大,各个方面都需要规范,不管是财务、法务,还是业务运营、人员行政。借着此次融资,我们也将这些事情统一制度化规范起来。

公司2014年成立,到了2015年开始盈利,目前客户群体覆盖了金融、电力、石油、教育、运营商、国家部委、互联网等诸多行业,客户数量已超过100多家。产品从最早较为单一的溯源做到现在的5类产品线。刚才说过,一般产品研发出来到形成稳定销售需要两年左右,所以我们预计2018年应该能够初具规模。

四、服务于中国500强企业

安全牛:你们今后几年的企业发展理念是怎样的呢?

魏海宇:一个安全公司从小做到大基本要经历四个阶段。我们刚成立的时候做服务,可称之为劳动密集型阶段。到了第二个阶段,就是我们现在的状态,把安全能力产品化。第三个阶段,我把它叫做解决方案阶段,就是通过不同产品的排列组合,来解决不同场景的需求。这个阶段可看成是规模化发展的转型阶段,非常关键。最后一个阶段,应该是成为平台。

我认为至少在目前,安全行业还没有出现这种平台性的企业。一个行业成熟的标志就是出现垄断性的大公司,如搜索中的谷歌、电商里的阿里巴巴等。只有当某行业中出现一个占市场份额一半以上的“巨无霸”,这个行业才算开始真正意义上的进入到成熟期。

安全牛:你如何看待传统的网络安全大厂商?

魏海宇:我把国内的安全公司分为三大势力,一是传统安全上市企业。这类公司的规模体量、产品形态和市场覆盖范围,在国内都是最强的。第二股势力由原来很多从事信息化的公司构成,如华为、新华三以及一些央企的三产公司。第三类就是初创、新兴公司。

传统势力的公司,可能会在新产品研发上投入较小,并更关注在渠道市场进行收购,然后逐渐由一个技术型公司转变成平台型的公司。因为仅通过产品研发要做到几个亿利润的话,是要投入大量的人财物和时间资源的。但如果通过收购一个公司再放到股市上,翻倍是件很容易的事。

而第二类公司它的精力还是更多的在整个IT业务上,安全所占比例的仍然太小。因此,给予了我们这些以技术为核心的初创公司,一定的生存和发展空间。

安全牛:这个空间有多大呢,你们的服务对象又定位于哪些客户?

魏海宇:中国企业家协会2015年发布的报告显示,仅中国企业500强的营收就占到全中国GDP的93%。从某种角度上来讲,管理好这500家公司的发展,就意味着管理好中国的整体经济。从安全的角度来看,因为这些公司代表中国最先进的信息化水平,所以这也是安全公司最重要的服务对象。

当然,还有一些传统的制造业。虽然他们目前的信息化程度较低,但全社会的信息化、数字化是大趋势,这些企业迟早会考虑如何来保障业务系统的安全。那么在这个真正意义上的春天到来之前,我们的客户群体就应该是中国信息化程度最高的这些企业,以及国家的部委办局。

安全牛评

诚如所言,针对APT攻击的防护在信息化尚未成熟的时期,市场需求主要还在于国家安全层面。而更为广泛、基础的安全防护工作,无论对于安全公司自身还是各行各业有安全需求的企业,都更应予以关注和重视。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章