前不久,北京边界无限科技有限公司(简称边界无限)创始人、CEO 陈佩文接受著名行业媒体安全419的专访。在采访中,陈佩文表示,攻防能力决定产品安全能力,边界无限从创业之初,将网络攻防作为突破口,并根据网络攻防实战和演习中客户的真实需求,选定应用安全和云原生安全的赛道,并着力突破RASP技术,这一技术有望弥补应用层市场的空白。其基于RASP推出的靖云甲ADR(应用安全检测与响应解决方案)更是直接面向关键信息安全基础设施的应用安全防护,为广大政企客户应用安全能力及应用安全体系建设报价护航。
陈佩文介绍说,边界无限刚刚宣布连续完成了天使+和PreA轮融资,其豪华投资人阵容中既有红华繁星网安天使基金,也有扎根安全产品的元起资本、晨晖创投和璟泰创投,两轮融资总额在数千万级别。除了资本的火热关注外,在前不久刚刚结束的由腾讯、奇安信和360组织的三大安全创新大赛中,边界无限均取得了令人瞩目的成绩,得到了安全业界和用户层面的一致认可。边界无限,实则风光亦无限。
在分享年少时对这本杂志的痴迷时,陈佩文谈到:“这本杂志在一些小书摊上你是买不到的,得去专门找那种‘隐蔽’的地方买,对于渴望学习黑客技术的人来说,这本杂志带给大家的不只是黑客技术,更多地还有黑客文化。但后来蛮令人遗憾的,杂志停刊了,只好转去看电子版和论坛。”
年少时期的陈佩文将大量的课余时间和精力都扑在了学习和实践安全技术上,得益于这份对技术的热爱,高中时期他在安全研究方面已经小有成绩,在许多计算机技术相关的比赛中都曾获奖,其中成绩最好的一次是在高中NOIP信息学奥赛中拿下了省级奖项。
就这样,陈佩文顺利地进入了腾讯七大安全实验室之一的玄武实验室,正式迈入了安全行业,也正式开启了他的“开挂”人生。
对外则是给每一位研究员留下充足的时间和空间去做安全研究工作,在安全研究员的角色下,陈佩文与玄武安全实验室的伙伴们一起在云安全架构、云安全防护方面做出了大量研究相关的成果,将云底层架构到云应用业务中可能存在的安全问题进行了系统性的梳理。同时,在当时不断爆发的第三方开源库漏洞事件的影响下,他还主导了对第三方开源库的安全研究工作,这也为后续陈佩文创办边界无限,专攻云原生安全和应用安全领域打下了扎实的技术基础。
可以说,陈佩文在腾讯玄武实验室的2年中收获颇丰。很快,他迎来了自己在安全行业中第一次身份的转变。
安全从来都是不容小觑的头等大事。在这家甲方企业担任安全负责人期间,他除了要负责整体集团的安全体系化建设外,同时还要做好业务反欺诈方面的安全工作。
他谈到,刚刚去做安全负责人时,这家公司的风控模型效果一般,反欺诈能力有待提高,对整个公司的业绩都有很大影响。面对这一历史问题,陈佩文对公司整体业务流程进行了详细的梳理后,选择另辟蹊径,逆向代入安全思维试图从弱口令的角度着手解决这一问题。
用通俗的话说,陈佩文先是利用哈希算法将历史数据库中所有的弱口令用户都扒了出来,标注为“安全意识一般、较差的用户”,同时再将那些“安全意识较强的用户”筛选出来,此时通过与实时注册用户数据进行比对,那些在短时间内连续出现2-3次的密码组合,就会被识别为高风险用户,甚至会这套风控模型直接标注为“黑产团伙”。
从逻辑上分析,黑产团伙内部往往也会采用一套标准的操作流程,黑产团伙或许能够采用一些如随机位置信息、随机新用户身份信息等手段来绕过风控机制的检测,但为了方便管理,密码是黑产团队常忽略的随机点。黑产团伙可能会设置一系列复杂的密码来重复的使用,通过对强密码的关联分析,就能够追踪到其背后黑产团伙的关联关系。
顺着这样的一条思路,陈佩文很快做出了一个全新的风控模型,将恶意欺诈直线降低了50%左右,最大程度地掐灭了潜在的欺诈风险,让业务部门拍手称赞。
随后的两年中,陈佩文结合在玄武实验室的工作经验,为新东家全面搭建了自身的安全防护体系。到2019年底,在公司的安全建设逐渐走上正轨后,陈佩文有些按捺不住了。作为一个闽南人,“单干”的决心似乎一直都存在,但某一瞬间,正式被点燃而一发不可收拾。
他谈到,从2019年开始,所有安全从业者都开始看到安全行业正在迎来一些新变化。在网络攻击不断升级、网络安全提升为国家战略的背景下,中国政企用户的安全意识不断提升,对安全类产品的需求日渐上升,网络安全支出也在显著增加。频发的安全事件更是提高了对网络安全防护的要求,加速了行业新场景、新技术、新模式下的安全需求。
在这样的大环境下,安全行业开始从合规市场向实战攻防和结果导向转变。“过去的安全行业我们认为是一个销售型和关系型的合规市场,但在结果导向的市场下,技术人员迎来了自己的机会,大家能够凭借自身的技术和能力走到用户面前,让用户看到自己的独特价值,最终用户也愿意为此买单。”
在拜访用户的时候,陈佩文也得到了十分积极的反馈。一些互联网头部的企业同样都感受到了风向的变化。甚至还有用户明确表示:“攻防演练行动已经改变了甲方的决策逻辑,过去大家更多是过清单式采购,先对照合规要求过一遍,缺什么买什么。但现在大家才会真正考虑效果的维度,防不住怎么办?哪些东西才是真正有用的?”
用户的反馈也再次印证了陈佩文心中对行业的预测和判断,边界无限这家公司也正式成立了。
不过,对陈佩文来说,疫情的阻碍只是一个小小的插曲。真正令他感到痛苦的还有另外一个难题,随着时间的推移,他发现公司的整体方向似乎过于理想了。
他谈到:“最早我们在构思整体方向的时候,是想要围绕云安全平台来做一系列安全产品,为用户提供云端的安全能力,也在围绕这个方向去研发产品。但后面在对一些目标用户的走访中才发现,这一个思路并不是那么正确,很多用户也认为未来云安全应该是由云厂商来提供的能力,一家初创企业很难在云安全中找到机会。”
陈佩文被用户说服了,那边界无限的未来方向在哪里呢?沉默了一段时间后,他决定带着团队一起扎到攻防演练活动中,通过一场场硬仗来让用户看到边界无限的技术能力,同时去到用户一线看一看,从解决一个刚需和痛点问题角度去寻找公司未来的方向。
三个月后,RASP技术、云原生安全和应用安全几个标签与边界无限牢牢绑定在了一起。
在用户的攻防实例中陈佩文看到,大量的漏洞未修复甚至无法修复、内存马攻击无法检测防御、第三方软件供应链调用关系复杂仍然是最普遍的问题。这些安全问题都发生于应用内部,但广大政企用户仍然在采用传统边界防御的手段,应用内生安全的基因并未被激发,因此边界无限很坚定地选择了应用安全与云原生安全的赛道。
他谈到,“我们的核心洞察是,应用是云原生的未来,那么应用安全的重要性自然不言而喻。当前IT基础架构在持续迭代,唯有应用从始至终贯穿整个架构变革,对应用的防护不但不会停滞,还会迅猛增长,因此应用或将成为未来用户唯一需要自行保护的内容。这也意味着,应用安全将成为云原生时代的重要需求。作为运行时安全技术的典型代表,RASP技术有着天然的优势,是云原生时代加强应用安全防护的创新解决方案,甚至可能带来颠覆性的影响。所以我们虽然也会觉得RASP实现的难度很高,但最后我们还是坚持认为,RASP是真正能够解决问题的路径。”
针对性防护应用行为上的攻击,RASP可以做到以下几点:
一是应用资产梳理。帮助用户从安全角度构建细粒度的应用资产信息,让被保护的应用资产清晰可见。提供数十种应用中间件的自动识别,并主动发现、上报应用的第三方库信息,实现对应用安全性的内透。
二是应用内存马防御。通过建立内存马检测模型,以Java语言为例,利用安全插件周期性地对 JVM 内存中的 API 进行风险筛查,并及时上报存在风险的信息,帮助用户解决掉埋藏内存中的“定时炸弹”。
三是应用漏洞管理。帮助用户精准发现应用漏洞风险,帮助安全团队快速、有效地定位和解决安全风险。主动采集第三方依赖库库信息,并与云端漏洞库进行比对、分析,识别出应用存在的安全隐患,从而缩减应用攻击面,提升应用安全等级。
四是应用入侵防御。帮助用户防御无处不在的应用漏洞与网络威胁。结合应用漏洞攻击免疫算法、安全切面算法及纵深流量学习算法等关键技术,将安全防御能力嵌入到应用自身当中,为应用程序提供全生命周期的动态安全保护,显著地提升企业的安全运营工作效率。
但他同时也强调,边界无限最终的使命并不满足于使用RASP技术帮助用户实现防御0Day漏洞攻击这件事情上。RASP技术只是一个起点,最终边界无限的目标是构建云原生时代的安全基础设施体系,解决云上应用运行时安全的整体问题,让用户无论是面对0Day漏洞攻击、内存马注入攻击类的已知和未知安全威胁,还是API安全,数据安全问题都能够高枕无忧。
针对未来RASP发展趋势,陈佩文也谈到了自己的看法。他表示,从甲方的视角去看待安全建设过程的时候能够发现,从物理安全、机房安全、硬件安全到主机安全,安全建设较早的用户基本上已经做完了,但应用安全仍然是摆在甲方用户面前的一个“黑盒”。现实告诉我们,这个黑盒子必须在下一次0Day漏洞大规模爆发前被打破,否则势必会引起整个IT行业的又一次震荡。
所有安全技术的兴起其实背后都是有一些安全事件在推动,值得庆幸的是,Log4j已经为大家拉响了警报,让用户们看到了RASP的价值所在。
“在Log4j漏洞爆发后,头部的一些公司和行业已经表现出了他们敏锐的嗅觉和前瞻性,提前规划和布局RASP技术。我们能看到包括四大行都在开始落地RASP技术,头部的互联网企业像阿里、华为也都在自研RASP,这已经足以说明这项技术的实用性。如果下一次0Day漏洞爆发时,大家会突然发现,走在前面的人已经通过RASP的技术手段拦下攻击,腰部的公司就会快速跟进。所以我们相信,RASP市场的繁荣只是一个时间问题,应用安全是所有企业无法绕过的一个难点。”
除了对RASP技术的需求,安全业界也乐见对应用安全的防护加强检测与响应能力,ADR这一新的安全赛道也水到渠成。将安全插件加载到应用中,可以抓取到更精细的应用数据,不单单包括完整的通信数据,还包括应用程序具体内部执行的行为。既然拥有这一特性,陈佩文表示,随着云场景的细化要求,和客户方对此类技术接受度的提高,植入应用的安全插件也应该帮助甲方解决更多问题,这给靖云甲ADR带来了广阔的施展空间。
对比国际厂商,边界无限靖云甲ADR拥有精准细化的资产清点、紧跟形式的安全研究、海量可靠的漏洞运营、轻量无感的性能损耗等优点,尤其是在应用资产管理、供应链安全、API资产学习层面,其表现优异。靖云甲ADR跨IT架构统计应用资产,实现安全能力同步管控,为应用提供安全风险评估;动态采集应用运行过程中的组件加载情况,快速感知资产动态,全面有效获知供应链资产信息;自主学习流量+应用框架,具体来说,靖云甲ADR会通过插桩对应用内部框架定义的API方法以及应用流量进行API全量采集,同时利用AI 检测引擎请求流量进行持续分析,自动分析暴露陈旧、敏感数据等关键问题。
近日,市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局在京联合召开《信息安全技术 关键信息基础设施安全保护要求》(简称《关基保护要求》)国家标准发布会。据悉,《关基保护要求》是关键信息基础设施安全保护标准体系的构建基础,将于2023年5月1日正式实施。该标准针对关键信息基础设施安全保护工作,为运营者开展关键信息基础设施保护工作需求提供了详细指引和指导依据。
关键信息基础设施定义为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”由于关基安全自身的特性:“业务不可中断”“发生安全事件的代价极大”“安全风险连锁连片”等,关基防护从“静态防御”转向“动态防御”,从“被动防御”转向“主动防御”,从“单点防御”转向“协同联防”。陈佩文表示,这与北京边界无限科技有限公司(简称边界无限)长期坚持的安全理念不谋而合,边界无限靖云甲ADR更是高度契合相关要求。边界无限是应用运行时安全、云原生安全“灵动智御”安全理念的创领者,致力于通过还原真实攻防来帮助政企客户构建更安全、更灵动的网络及更动态、更有价值的纵深防御体系。
《关基保护要求》提到的关键信息基础设施安全保护应在网络安全等级保护制度基础上,实行重点保护,应遵循以下基本原则。1.以关键业务为核心的整体防控。关键信息基础设施安全保护应以保护关键业务为目标,对业务所涉及的一个或多个网络和信息系统进行体系化安全设计,构建整体安全防控体系;2.以风险管理为导向的动态防护。根据关键信息基础设施所面临的安全威胁态势进行持续监测和安全控制措施的动态调整,形成动态的安全防护机制,及时有效地防范应对安全风险;3.以信息共享为基础的协同联防。积极构建相关方广泛参与的信息共享、协同联动的共同防护机制,提升关键信息基础设施应对大规模网络攻击能力。
陈佩文介绍说,以《关基保护要求》为指导,边界无限着力打造以关键业务为核心的整体应用防护,以风险管理为导向的动态应用防护,以信息共享为基础的应用端协同联防。边界无限靖云甲ADR主要面向关基所涉及的金融、能源电力、运营商、电子政务、公共服务(医疗、教育等)、交通、水利等多个领域,多方面助力构建关键信息基础设施动态应用防护机制,实时精准采集应用资产、组件库资产等信息,消除资产盲区,实现资产有效管理,让安全防护覆盖到资产的每一个角落;帮助用户精准发现应用漏洞风险,帮助安全团队快速、有效地定位和解决安全风险;主动采集第三方依赖库信息,并与云端漏洞库进行比对、分析,识别出应用存在的安全隐患,从而缩减应用攻击面,提升应用安全等级;通过对应用运行时环境的持续监控,有效防御恶意攻击,为应用提供全生命周期的动态安全保护。此外,边界无限靖云甲ADR还可以与传统应用防护技术WAF相互配合,形成协同联防,一起构建更加严谨、有效的纵深防护体系。
《关基保护要求》分别从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等多个环节和维度提出要求。在应用防护层面,边界无限靖云甲ADR高度契合上述要求。对此,陈佩文做了细致的阐述。
1.分析识别:围绕关键信息基础设施承载的关键业务,开展业务依赖性识别、关键资产识别、风险识别等活动。基于业务识别相关的资产,明确关基防护的范围和优先级,有利于风险评估工作的开展。
边界无限靖云甲ADR拥有精细化的资产清点,靖云甲ADR跨IT架构统计应用资产,实现安全能力同步管控,为应用提供安全风险评估;动态采集应用运行过程中的组件加载情况,快速感知资产动态,全面有效获知供应链资产信息;自主学习流量+应用框架,具体来说,靖云甲ADR会通过插桩对应用内部框架定义的API方法以及应用流量进行API全量采集,同时利用AI 检测引擎请求流量进行持续分析,自动分析暴露陈旧、敏感数据等关键问题,可消除资产盲区,实现资产有效管理,让安全防护覆盖到资产的每一个角落。
2.安全防护:根据已识别的关键业务、资产、安全风险,在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施,确保关键信息基础设施的运行安全。
为了能有效检测关键信息基础设施的运营单位应对网络安全事件的状态,网络安全攻防演练已然成为常态化和实战化。边界无限安服团队核心成员均来自于各大厂商的安全实验室,专注于漏洞挖掘、渗透技术等攻防技术研究与突破,从底层原理深入到一线实战对抗实行动态监测与防护,梳理关基设施所存在的安全隐患,识别出安全风险并协助企业进行修复,防患于未然,保障运行时安全。同时,边界无限安服团队还为关基客户提供安全管理人员培训、安全建设管理、安全运维管理、安全意识培训等咨询服务业务。
3.检测评估:为检验安全防护措施的有效性,发现网络安全风险隐患,应制定相应的检测评估制度,确定检测评估的流程及内容等,开展安全检测与风险隐患评估,分析潜在安全风险可能引发的安全事件。
边界无限靖云甲ADR可以通过Agent模块在运行时环境下进行持续监控,有效感知敏感操作行为,结合基于海量攻击流量数据持续训练的RASP攻击检测模型,通过程序执行上下文语义分析、堆栈信息调用解读,敏感参数风险预警能力等关键技术,精准捕获请求中的恶意负载,加强应用检测与风险评估,从而实现应用的全方位防御。
4.监测预警:制定并实施网络安全监测预警和信息通报制度,针对发生的网络安全事件或发现的网络安全威胁,提前或及时发出安全警示。建立威胁情报和信息共享机制,落实相关措施,提高主动发现攻击能力。
边界无限靖云甲ADR通过对应用组件库进行全面扫描,结合漏洞统计中的海量漏洞信息,帮助安全团队发现应用中潜藏的安全风险,并通过靖云甲ADR的虚拟补丁技术,在系统外围对应用进行抵御防护,保障用户核心业务应用程序只按照预期的方式运行,不会因漏洞触发而遭受攻击。边界无限还建立健全了威胁情报和信息共享机制,帮助用户提高主动发现攻击能力,防护应用安全。
5.主动防御:以对攻击行为的监测发现为基础,主动采取收敛暴露面、诱捕、溯源、干扰和阻断等措施,开展攻防演习和威胁情报工作,提升对网络威胁与攻击行为的识别、分析和主动防御能力。
边界无限一直致力于推动主动防御、动态防御理念,并协同客户开展攻防演习和威胁情报工作,提升对应用攻击的识别、分析和主动防御能力。以政企用户常见的的内存攻击为例,边界无限靖云甲ADR采用“主被动结合”双重防御机制,对外基于RASP能力对内存马的注入行为进行有效防御,对内通过建立内存马检测模型,通过持续分析内存中存在的恶意代码,帮助用户解决掉埋藏内存中的“定时炸弹”。针对内存中潜藏的内存马,靖云甲ADR提供了一键清除功能,可以直接将内存马清除,实现对内存马威胁的快速处理。靖云甲ADR还可以通过主动拦截+被动扫描,有效阻断内存马的注入;对已经被注入的内存马提供源码和特征检测信息,无需重启应用即可一键清除。
6.事件处置:运营者对网络安全事件进行报告和处置,并采取适当的应对措施,恢复由于网络安全事件而受损的功能或服务。
基于多年网络攻防实战与演习经验,边界无限针对安全事件从事前准备、检测,到事中处理,再到事后追踪与加固,帮助客户有效减少安全事件所带来的经济损失以及恶劣的社会负面影响。边界无限安全重保经验丰富,安服团队快速响应,7*24小时随时待命,提升与其他安全防护、监测、预警等机制的协同配合能力,减少信息鸿沟。
“随着应用安全与云原生安全市场需求的释放,以及人才梯队的建立,边界无限将以RASP为起点,以ADR为里程碑,坚定地向CNAPP迈进。”陈佩文表示。