在去年11月,安全牛举办的CS系列解决方案大会上,安百科技作为参与厂商,分享了其基于RASP(应用运行时自保护)技术的Web应用安全方案。基于Web应用逻辑、行为和上下文实现代码级的安全检测。几乎没有误报的同时,还可以应对未知的漏洞利用方式。
RASP技术由Gartner在2014年提出,并列为应用安全领域的关键趋势,可以实现应用运行时“内建”的深度安全能力。相较于传统的WAF,RASP在误报率上有更好的表现。同时,由于其实时热补丁、敏感函数的违规调用检测等能力,在更广泛的应用安全领域,也有更深的潜力。
RASP是在事中阶段监测和防御能力的重要支撑技术,但定位在“应用安全”的安百科技不止于此。安百科技怎样理解和实践RASP技术理念?又如何构建针对应用的安全能力?安全牛在今年3月采访到了定位于“应用安全”的安百科技联合创始人兼CEO康伟。访谈内容整理如下。
个人简介
康伟,安百科技(北京)有限公司联合创始人兼CEO,投身网络安全领域已达10多年,原中国黑客联盟主要负责人,目前是辽宁、内蒙、山东等地信息安全专家组成员,带领安全团队圆满完成奥运会、世博会、上合峰会、建国60周年大庆等大型网络安全保障的工作;同时,携手安百科技其他创始人共同提出“应用安全+”防护新理念,成立“应用安全+”联盟。
一、定位“应用安全”
安全牛:之前(王)青龙作为安百科技的联合创始人参加过我们的一个解决方案分享大会。我知道,他之前也是乌云的联合创始人。安百和之前的乌云,有什么渊源和关联?
康伟:之前乌云除了漏洞通报平台和众测这两块核心业务外,也有自己的产品,分别是漏扫和防护云。防护云这个产品的积累,最后演变成了安百科技目前以RASP技术为核心的灵蜥。Gartner在2014年正式提出了这样一个技术领域,但青龙当时在2012年就开始做相关方面的研究和尝试,虽然当时还不这么叫。
安全牛:之后,以什么样的契机,成立了安百科技?
康伟:2000年左右,我在黑客联盟,当时信息安全还没有产业化,更多的还是技术爱好者之间的交流。2005到2006年,信息安全的市场初见端倪。我也进入了一家安全企业,不过那是还时单纯的靠技术服务来做项目,比如渗透、风险评估、安全运维等,没有考虑去打造一个安全产品。之后,慢慢感觉到了单纯技术服务的局限,所以到了2013年,开始规划成立一个有核心技术和产品研发能力的安全公司,这也就是之后的安百科技。
安全牛:安百科技定位在应用安全,这个“应用安全”该如何理解?是怎样选择的这个定位?
康伟:其实从成立安百之前,我们就有在规划往哪个方向走。这个方向不仅是由之前的技术积累决定,还要和客户、市场的需求,以及我们具体的研发能力结合。
我认为,可以把网络安全这个大维度分成三层,最下面是网络层,主要可以针对传输安全做加密等工作;往上是系统层,对应我们常见的主机和终端安全产品;再往上是应用层的安全。应用层的安全,可以再细分两部分,一部分是应用前端的安全,另一部分是应用后端数据的安全。虽然两部分往往被作为一个整体看待。
安百目前的重点,不是在于应用后端的数据安全,而是关注应用前端。因为前端是后端数据的重要呈现手段,也是所有服务的出口,因为它直接和用户交互。而且,相较于移动端,我们目前更关注的是Web应用的安全。
安全牛:的确,Web应用安全也是RASP技术的一个强项。这也是我们的一个技术积累。
康伟:对,但这不是我们选择定位在应用安全的唯一原因。
可以看到,网络层安全的需求是最开始就有体现的。防火墙、IDS/IPS等边界防护产品,就是这个层面安全能力的体现。国内很多发展到今天近乎全产品线的安全大厂就是靠这部分起家。但是,随着技术发展,可以看到,网络层的安全能力已经在客户侧普及。包括链路层,这已经是任何一家在安全上有投入的安全工作的必备环节。甚至,可以看到,未来,IT基础设施厂商,他们的路由、交换机都会囊括这部分安全能力。将现有成熟的安全技术嵌入他们自身优势的数通产品中。这将是个大趋势。而且不只是华为、新华三这样的大厂,其它数通厂商也会跟着这样做。对于他们,网络层的基础安全能力没有太多技术门槛。而且,只做这部分的安全厂商,也很难和他们抗衡,在市场竞争中占据优势。
所以,网络层的安全不会是我们的选择。
系统层的安全,比如说杀毒,一度也成为了安全领域的重头戏。但是,在业务上云这一大环境下,终端的安全,我认为侧重点会向服务器转移。云基础设施、操作系统和中间件都由云服务商提供,客户需要关注的就只有资源,以及应用的部署。一方面,从云服务商这个角度,自有安全团队也可以做的很好,毕竟是“量身定制”,第三方的安全产品和服务,特别是云环境自身的安全性,不一定更“贴身”;另一方面,操作系统厂商也会加入更多的安能力,比如微软就自带防火墙,兼容性方面也会更好。所以,我们认为,系统层的安全,未来会是平台提供商、操作系统厂商主导的市场。
安全牛:这样的话就只剩下应用层了。
康伟:确实,但我们也可以看到,应用层有几个重要的特点。第一,应用程序大多是根据客户情况定制,应用系统开发厂商很多,而且还是分散在不同领域,难以形成巨头。第二,软件开发,特别是一些规模不大的应用开发商,一般对安全不够重视。安全和效率永远是相悖的。如果过多考虑安全,一定会造成效益降低。这也给我们留下了机会。第三,短时间内SaaS的方式很难代替应用自开发的软件,特别是一些信息安全要求严格标准高的行业,他们不会信任第三方来委托开发,特别是牵涉核心业务或敏感数据的应用,这是很难调和的矛盾。
所以,基于这些,我们认为,应用层的安全问题一定会很多,而且这一定会是一个百家争鸣的市场。如果你有适合的核心技术,你就有可能在应用安全的市场里站稳脚跟。
二、RASP理念的落地实践
安全牛:RASP技术应该可以看作安百的核心技术理念了。虽然没有火起来,但这个技术本身并不陌生,百度安全有个开源项目openrasp。安百对这个技术的理解和应用的现状是怎样的?
康伟:可以先介绍这样一个案例。安百科技是“山东省的云安全防御平台”的重要技术支撑单位,整个平台是基于我们”攻击自免疫体系“进行设计的,主要目的是针对山东省政务Web应用,在系统外围安全策略的基础上,实现实时、深度的安全监控和预警,以及安全加固等能力。基于RASP技术,我们通过“基于应用开发语言的嵌入式安全脚本”,实现了配置时对原有应用不产生任何影响。该脚本代码完全向用户开放。同时,在应用系统不用下线修改代码的前提下,我们很还可以为应有打上漏洞补丁,以确保这些在线系统,都可以处于一个较好的安全状态。
政府的电子政务网站重视安全性,也重视稳定和可靠性,不能说因为我要打补丁或者怎样,随意间断服务。所以,这种快速、多手段、不间断的对大量在线Web系统实施集中的云安全防御,同时还能为主管部门掌控整体安全态势提供丰富的数据支撑,这种安全保障能力,对政府部门来讲是非常重要的价值所在。
安全牛:之前对Web应用的防护,有很大程度是交给了WAF来做。
康伟:对,虽然技术在不断迭代,但其实WAF本质上还是边界防护的思路。边界防护是有层级的,而RASP的思想就是要安全能力在每个应用都足够深入。RASP技术体系对应安百的产品是灵蜥平台,我们要解决的应用系统内部的安全问题。我认为,这是RASP和传统边界防护思路最本质的区别。
安全牛:灵蜥能提供哪些能力?
康伟:事中的监测和防护,是安全工作的核心,也是灵蜥这个应用运行时自防护体系的核心能力。可以看到,大部分应用被入侵,都是因为应用系统在开发时产生的漏洞被恶意利用导致的。一方面,我们要及时发现应用系统在开发时产生的漏洞,另一方面,我们要让攻击者不那么容易利用这些,这是一个“治本”的思路。
所以,灵蜥目前有两个版本。一个是针对开发安全的类似过滤器的代码片段。开发人员在开发过程中,特别是代码编译执行阶段需要遵守的标准和规范,是一个安全策略的类库。另一个是通过代理的方式,加载在应用运行环境的中间件上,借此实现监测、告警甚至阻断。
安全牛:对业务体验要求高的企业,对代理的方式会不会有所排斥?
康伟:我们有考虑这种情况,所以目前灵蜥的推广方式有三个维度。一是和云服务服务商绑定,云平台层面原生化,即用户在选择云服务的时候,灵蜥已经作为一个可选能力整个平台里。二是针对对安全有迫切需求,但又对代理的方式不会很敏感,比如刚才提及政府机构的案例,就可以推广安全加固或是代理的方式。三是涉及自开发应用系统的用户,如金融、传媒等,对核心系统安全性和业务体验要求高,就可以使用过滤器的方式,过滤器部分代码对客户是开源的,这可以更好的落地,成为满足自开发要求的安全能力承载工具。
以某银行举例,其实内部开发规范,特别是一些要关注的安全要点,纸面上是有的,但是要想有效落地确是很困难。这是他们一个重要的痛点。以安全策略库,也就是过滤器的形式,他们可以帮助客户把这些规范策略化,然后加载到开发环境中。整个策略化的过程,包括过滤器代码对于客户而言都是透明的,这样客户也不会有太多安全方面的顾虑。
安全牛:云平台原生和定制化的策略库,确实是两个很有意思的方向。
康伟:不局限在产品方案,其实安百想做更多的延展,特别是在RASP技术在国内应用的推广上。
这个月19日,OWASP中国就联合安百科技共同举办了OWASP中国山东区的RASP技术交流分享会。安全厂商如启明、天融信、360,还有阿里云、华为等技术专家都有参与对RASP技术和其应用方式的讨论。
刚才你也提到的了百度安全的openrasp项目。其实过一段时间,安百可能也会向社区开源部分技术成果。当然,我们和openrasp的关注点不太一样,openrasp更多的是针对开发人员,而安百则是关注如何把管理体系和开发人员的技术要求进行融合。基于此,我们一方面在和应用开发商合作,制定一些更具通用型的应用开发安全规范;同时,安百也有和应用安全性测试服务提供商合作,让用户可以在经过灵蜥的过滤器之后,通过安全性测试来验证安全效果。
三、漏扫不能只是安全工具 要解决客户实际问题
安全牛:灵蜥是关注事中的监测和防护平台,那事前和事后呢?
康伟:事前,我们关注的是应用系统自身的脆弱性,也就是漏洞的发现。
传统漏扫的关注点不在漏洞验证,而只是一个血常规检查,把检验项目的结果按照高、中和低危分好类,但哪些是真正能给公司系统和业务造成致命威胁的,会产生怎样的后果,这些客户都是不清楚的。但是,仅有这个血常规报告,是不可能把自己的病治好的。客户也会有反馈,不知道后续的工作该如何进行。哪个漏洞该补,哪个有持续性影响,哪个可以忽略。更可怕的,是扫描后发现成百上千个漏洞,客户根本无从下手。而如何改善这个现状,是我们的漏扫产品“重明”重要的关注点。
安全牛:不能仅把漏扫看成一个工具,而是一个要能解决客户实际安全问题的能力。
康伟:对,这就要求我们可以把客户内部信息系统真正的脆弱性、外部的威胁、以及资产的价值关联起来,最后通过漏扫这样一个平台,给客户一个可以照方抓药,马上解决问题的方案或能力。
随着客户安全意识的逐年提升,客户的需求也切实发生了转变。如果漏扫能力不能随着检测对象技术迭代而随之升级,不能真正帮助客户实现安全的结果,它的价值就会削弱很多。
传统漏扫往往只关注用户自身的指标,但风险是要综合考虑的。所以,重明一方面不断挖掘未知的漏洞,更新漏洞的验证方式,同时我们关注外部风险对客户的影响,将威胁情报、漏扫的结果以及客户的整体资产信息三方进行深度的关联分析,实现客户整体资产的风险评估。这个价值,我认为会比单纯提供客户其自身的脆弱性信息要高得多。
安全牛:结合漏扫、威胁情报和数字资产三者进行风险评估是安百在事前的能力的话,那事后是什么?
康伟:鲲鹏是我们的另一个平台,它可以应用于事后的日志审计工作,但是本质上来看,它更像一个针对应用层日志的大数据分析处理工具。这个平台最开始也是来自我们内部产品开发过程中,为了挖掘未知漏洞,对日志分析需求。它是重明和灵蜥重要的背后能力的承载。这个平台出来后,客户也有类似的需求,所以就不断产品化了。
安全牛:具体是如何来分析处理这些日志?是类似SIEM类的产品么?
康伟:我们最擅长的还是应用层的日志分析,比如中间件的日志,这部分可以说一直在深耕细作。通过聚类算法、杀伤链模型,我们可以从应用层挖掘更多更深的安全事件。这是鲲鹏的优势。
为什么说鲲鹏可以用来做审计的事情?审计系统一般都是基于黑名单的,命中策略的就是可能的事件。但我们的思路则是利用鲲鹏的能力,先把正常请求的规律抽象出来,结合黑名单的内容过滤后,就剩下“不黑不白”处于灰色地带的数据。这时,会引入安百技术人员的人工分析。随着更多的数据被分到了白,剩下的“灰”也会越精准。最终剩下的数据,也是最有价值的,因为这会帮助我们去挖掘更多未知的攻手段。
安全牛:也就是说,我们是在不断完善找出“白”的能力?
康伟:对,安百目前最大的一个技术组,就在做鲲鹏的数据分析。对未知攻击手段的挖掘,是我们不断前行的一重要源动力。
概括来讲,鲲鹏现在做两个方向的研究。一是Web应用层的数据分析,重点在于未知攻击手段的分析和挖掘,要做得更深更专;二是找到和其它维度日志的关联。我们在和客户的交流中也慢慢体会到了这一点,单纯对Web日志的分析和审计是不完整的。这也印证了我之前讲的,客户已经不需要单纯的安全工具。Web日志发现了攻击后,如果要做更深入的追溯,就需要加入系统层的日志。但有些特征,已经被其他安全设备拦截。
所以,对各维度日志的汇聚和综合联动分析,是我们着重的一个发力方向。当然,我们也很明确这是个需要长期不断储备的过程。但联动分析后得到的结果,我们也明确,往往这是一个点看不到的。
安全牛:这种多维度的汇聚和联动,也正是威胁情报的重要价值所在。
康伟:是的。灵蜥能看到的攻击数据和重明主动发现的漏洞信息,都会慢慢接到鲲鹏上。鲲鹏未来会作为重明和灵蜥的一个“大后台”,作为一个重要的大数据关联分析引擎,创造更多价值。
四、成为应用安全领域独角兽
安全牛:刚才谈了很多产品,最后我们聊聊企业。安百科技目前公司规模如何?
康伟:安百是在2014年正式成立的,目前员工有107人。总部在北京,包括市场、销售以及负责核心技术研究的实验室等。安百的济南分公司主要是产品的研发。在辽宁、内蒙古、四川、福建等省份,也有办事处。
安全牛:成立了5年多了,营收和融资情况如何?
康伟:2018年的营收大概在2000万左右。融资的话,Pre-A和A轮我们都融完了,目前还没有谈及B轮,不过最晚也应该会在2020年初启动。我觉得这个不是很着急,虽然有钱肯定是好事儿,但是也有顺应企业的发展节奏和目标。如果钱到位后,但是企业的管理者我还没有想好怎样把资本的价值最大化,那么我认为不如在最恰当的时间做最恰当的事情。
安全牛:安百未来的规划是怎样的?
康伟:首先,可以明确的是,安百肯定不会成为全线安全厂商。我们给自己设定的目标是某个细分领域的独角兽,要在这个细分领域——目前来看也就是应用安全,做到最好。
另外就是资本市场,上市会是我们一个重点目标。但这个过程,就和融资一样,我们认为是都为了更好的助力企业不断发展。但现阶段,思考如何成为应用安全领域的独角兽,覆盖怎样的市场,才是我们要更多去关注和探讨的。
其它的,该来早晚会来。
安全牛:你觉得安百科技的“基因”是什么?
康伟:技术维度,我觉得可以用“精研”这两个字来描述。作为一个技术驱动的企业,没有扎实的技术底蕴肯定是不行的。虽然公司的本质是趋利,但作为技术型公司,就要先把技术底子打牢,业务一定是要基于安百的核心技术发展的。精神维度,我觉得是“坚韧”。突破困难,以及保持初心,是非常重要的。机会往往是在困难之后的转机,这个转机只有坚持下来的才能看到。
相关阅读
