4月26日,默安科技刚刚度过了自己的七周岁生日。对于高速前进、满地生花的网络安全行业来讲,这是一个“中不溜儿”的阶段,不像初来乍到时可以毫无负担地生猛叱咤,也不像积淀深厚的老牌玩家已坐拥多方市场。它似乎很容易让人忽略,七年已经不是一段短暂的时光,而往后的每一步,都还有必须接受的挑战和内外部对于公司大步跨越的厚望。
在杭州见到老聂(默安科技创始人兼CEO聂万泉),早已转型成为公司总舵手的他依然保持着技术人员特有的低调和谦逊,他这样总结与展望,“我们是一个团队,在任何人的职业生涯中,七年都不是一件简单的事,过去是开拓和坚持;而现在,我们依然保有作为一家创业公司的心境,未来不是靠喊口号喊出来的,我们会继续去摸索出清晰的路径。”
(资料图片)
于是,让我们一起来看看,老聂带领的默安科技是怎么长成今天的模样的,以及他们将来还要去向何方?
起点:下一代基础设施需要“更多的安全”
在创立默安科技以前,老聂在阿里云负责平台安全工作,八年时间,他几乎全程参与了阿里云安全从无到有的全过程。2016年,他召唤了时任阿里资深安全专家的云舒(现默安科技CTO)和高级安全专家的老马(现默安科技COO)携手创业。
一开始,他们心仪的名字是“墨安”,攻守兼备的墨家思想非常符合三人对于安全的定义,但注册环节卡住了,回想起在甲方做安全时时刻强调的“Security by Default”,于是,“默安”诞生了。后来,他们还为这个名字赋予了多重的含义——“More Security”。
老聂解释,他们希望不断优化改进安全建设的体系和过程,用户无需更改应用程序代码和基础结构,让业务系统达到“默认安全”的状态;而“更多的安全”则代表了他们对于下一代安全防护体系的憧憬和编织。
对于企业机构而言,安全从来都不是主攻的角色,而是为业务服务的辅助站位,只有业务发展得足够好,安全的投入才可能更充裕,业务基于什么样的IT架构而生长,直接决定了安全体系应该如何建设并进化。
“下一代是一个永恒的概念”,老聂直言。
云计算、大数据、物联网等新兴技术的应用,驱动IT架构演变进入新的阶段,同时数字化转型浪潮的涌来标志着企业业务也在步入下一代。基础设施的转变是第一步,随之而来的是承载之上的应用和数据。服务器和数据库不再是它们唯一的居所,虚拟化、容器、微服务的普及让应用的迭代切换为敏捷模式,数据遍布云下与云上,量级、类型、格式、流转频次都在爆炸式增长。
建立在以硬件为基础的IT架构之上的安全围城,视角偏向于事后,在威胁蔓延发酵到最后一步才启动拦截,或依靠审计手段进行复盘,无法积极、主动、有效地保护更加开放的基础设施和更具价值的数据资产。这些外部环境引出了安全对抗的“下一代”,安全防护体系的步伐需要前置左移到事中、事前阶段,往应用层、业务层等方向不断进化。
第一阶梯:剑走偏锋的欺骗防御
在这样的安全价值观的指引下,老聂选择的突破口是欺骗防御——这是一个在当时看起来比较偏门的方向。
彼时,杀毒软件、WAF、IPS、IDS等主力安全产品在波谲云诡的攻击活动中已经尽显疲态,这种强对抗性质的品类就像拳击比赛,遇敌杀敌,见招拆招,前提是针对“已知的招数”。随着大型攻防演练活动的大规模铺开,实战对抗中的漏洞利用和进攻手段不断释放出未知招数,防守方的局面常常陷入被动。
“这是典型的事中防御,对告警的精准和响应的效率都有明确要求,伴随网络空间威胁态势的愈加严峻,实战对抗将成为各大政企单位今后的常态化安全形势。”老聂的洞察很精准,在公司成立半年之时,他们就发布了国内首个欺骗防御产品——幻阵·高级威胁狩猎与溯源系统,利用欺骗技术,布控引“罪犯”、预警抓“现行”、收网清“漏鱼”分三步走,让潜伏的攻击者暴露自己,并精确感知、溯源攻击行为,为防守方争夺主动权,在攻击发生前作出提前预警,在攻击发生时延缓攻击,在攻击发生后有效拖延攻击或作出干预。
作为欺骗防御理念在国内市场的重要布道者,默安科技在2016年到2018年间逐步收获了市场认可,并一度成为蜜罐的标杆与代名词。
“这是我们起步的第一阶段”,老聂回忆,“虽然没有去抢热门,但我们从客户实际需求出发,把我们对于攻防的理解通过技术创新施展出来,从零构建了欺骗防御的产品体系,切实解决了安全问题,在市场上也开辟出一条新的细分赛道,对于客户和行业都是有益的。”
后续,老聂将欺骗防御产品进行体系化拓展的步伐一直没有停止,2018年起,从单点产品扩展到包含多个重要组件的产品体系,将欺骗逻辑全方位覆盖至内外网,同时将获取的数据形成精准的威胁情报感知能力,从而打造较为系统的欺骗防御体系,并以此为核心建立起默安科技三大业务线之一的智慧运营安全(AISecOps),着眼于云化的数据中心场景,通过AI智能化地替代需要传统人力的安全运营和运维工作。
第二阶梯:快人一步的安全左移
也正是在2018年,老聂带领团队积极拓展了另一条业务线——左移开发安全(DevSecOps)。在他的观念里,沉溺在单一威胁检测类产品中绝不是一个安全创业公司理想的状态,而他的选择也为默安科技带来第二阶段的跃迁发展。
漏洞是整个安全博弈的核心之一,贯彻前文提及的积极面向下一代、主动拥抱左移的安全价值观,并结合老聂多年的甲方安全经验,他希望能帮助客户在应用上线前消灭包括高危漏洞和业务安全风险等在内的安全问题,在事前从源头上掐灭安全隐患,实现“上医治未病”。
虽然如今对开发安全以及软件供应链安全的高度重视已经发展为业界共识,但在五年前,国内能实践SDL安全开发流程规范的企业少之又少,业务竞争压力会导致研发应用的最高KPI是先上线先赚钱,安全的止损收益很难被直观量化。
老聂想到了“赋能”,即研发团队没有动力也没有精力来顾及安全,那应该有一套产品,把专业的安全能力赋予不懂安全的研发、测试人员,让大家能在不增加工作量、不改变工作方式的情况下,拥有判定安全的能力。
起初,大部分客户对于开发安全的认知长久地停留在“应用上线前使用测试工具进行扫描”,DAST动态应用安全测试是最广泛、最简单的方法。随着移动应用的增多、API接口调用的普遍,DAST的覆盖范围不足以应对检测需求的提升,老聂敏锐地构建SAST静态应用安全检测、IAST交互式应用安全检测切入市场,将安全能力左移至编码阶段,覆盖更丰富的测试对象,更精准、更快、更无感地发现漏洞。
随后,数字经济的号角贯彻各行各业,数字化转型造就企业发展出更多个性化的业务和新的应用,其用户安全意识的提升和监管政策的加码也倒逼企业无法忽视线上系统的潜在风险,大量的勒索攻击、供应链安全事件更是让人们认识到,一个带病运转的系统的事后修复成本是多么高昂。
老聂快人一步规划了较为完整的解决方案,这就是默安科技的雳鉴产品矩阵,构建拓展至今已包含STAC威胁建模分析系统、SAST静态应用安全检测系统、SCA软件成分分析系统、IAST交互式应用安全检测系统、DSMP研发安全管理平台等多款产品,贯穿应用上线前后,覆盖完整的业务生命周期。
“公司第二阶段的发展受益于数字化转型的东风”,老聂表现得非常谦虚,“现在敏捷开发模式已经占据C位,安全开发文化愈发普遍地根植在研发、测试团队心中,而且我们欣喜地看到,在许多企业,负责开发的高管会同时负责安全,发展与安全一手抓,我们和客户的价值观同频,安全的‘赋能’价值将大展拳脚。”
第三阶梯:云原生时代的积极主动防御
进入后疫情时期,云化、数字化等议题迈入深水区,老聂心中的第三阶段会是什么样呢?如果说,左移开发安全(DevSecOps)针对的是云下的研发过程,应用发布上云,人员、数据、业务面临的多重风险场景,蕴藏着非常令人憧憬的云上安全未来。
云计算被普遍应用于各行各业的数字化建设,网络安全领域自然也不例外,但老聂强调,默安科技规划中的云安全,并非简单地将传统安全产品通过SaaS化的方式进行交付,而是面向云基础设施的一整套新生安全保障体系。
在云计算时代,资源的自动化让基础设施和运维方式发生转变,而进入云原生时代,云进一步改变了业务的生产方式,Kubernetes、容器以及更底层的虚拟化云作为基础设施,实现了快速更迭、大规模操作和可复原的松散耦合系统。老聂介绍,这些基础设施是云原生的底座,在多云、混合云等多种基础设施异构的模式下,增加了更多暴露面,更容易遭受攻击,因此需要一个安全健壮、自动化、智能化的平台进行全方位防护。
这需要深刻理解云原生本质,匹配其生命周期特性,并非传统技术和产品在云上的简单复制,而这正是默安科技的基因与底座。核心创始团队多年的云计算与云安全从业背景让他们对此怀有全面洞察,创业以来的业务范畴一直面向云时代业务场景和风险,而这也正是他们接下来重点打磨的板块。连同既有的DevSecOps体系,能真正实现从应用上线前安全左移到上线后积极主动防御的全栈全生命周期安全可见与管控,帮助用户建设更安全、更稳定的云原生体系。
下一站:用坚持续写“更多的安全”
回顾这七年及畅想以后,老聂的安全理想在默安科技不断耕作的业务体系下逐渐串联成首尾相接的闭环,并持续向前迭代进化。每一时期的市场需求、监管动向等时机是创业者能把握的加速度,但“坚持”更是老聂心中走到今天的动力源泉。
在欺骗防御尚属前沿理念的彼时,没有市场,但他和团队都坚持在该领域投入;在开发安全没有被大规模普及宣贯的时候,他们预判了未来的增长空间,就心无旁骛地坚持下去;在从阿里云出走时,他们定义的下一代安全体系就瞄准了云这个面向未来的基础设施,并一步一步有规划地将其实现。
不仅是对外的企业服务市场需要时间的积累,面对内部,回望公司成长的每一步,老聂同样心怀敬意,感恩每一位“坚持”的队友,“我们有很多从第一年就跟随默安科技奋斗的同事,能坚持下来不容易。而更多后来的伙伴们,如果我们保持初心,坚持去做符合价值观的正确的事,下一个七年还在等着我们。”
对于下一个七年或以后,老聂没有去夸下海口,甚至没有去描绘做大规模、做到上市的诱人大饼,他依旧务实而清醒,“网络安全具有强烈的国家安全属性,我们绝大部分安全厂商在政策保护中享受了市场红利,这并不是产品及服务本身带来的核心竞争力,整个网络安全产业目前并没有建起特别高的门槛,新的挑战接踵而至,我们应该把自身放置到大环境中去思考怎么长远地发展下去。”
在下一代这个永恒的议题下,老聂希望继续深扎,在3-5个细分赛道中打磨出品质卓越的产品,具备和国际头部友商较量的实力,能够真正服务好客户的需求,解决实际的风险困境,让美好的数字生活更安全地到来。关于More Security的真谛,交由默安细说。
