《网络安全法》、《数据安全法》和《个人信息保护法》等法律及相关配套落地细则近两年密集出台,再结合国际形势的错综复杂,国内企业进入了新一轮网安和数安方面的投入高峰期,该领域企业将迎来又一波巨大的发展机遇。该领域一直是微智数科团队重点关注的方向,如何从大量的初创公司中发掘出综合具备好团队-好产品-好模式的组合,进而找到能够突破行业单品收入天花板,实现业务平台化、规模化的公司,一直是我们关注的重点。
微智数科于2021年完成了对北京华云安信息技术有限公司(以下简称“华云安”)的投资,彼时作为一家创立仅2年多的公司,无论是核心创始团队背景和组织架构、产品意识和平台化意识、专利数量以及营收规模,华云安的发展速度都让我们印象深刻,这一方面既得益于公司在网安这个高速增长的行业中,选择了攻击面管理这个痛点切入,另一方面,公司的核心团队作为行业老兵,在创业伊始就对公司的发展方向有了清晰的定位和规划。
在2022年这一充满挑战的年份,华云安无论是在客户拓展和营收规模的增长还是在内部管理和人才储备等方面,都让我们看到了这个团队具有强大的执行力和战斗力。
2022年10月10日,全球IT研究机构Gartner发布《Hype Cycle for Security in China, 2022》(“2022年中国网络安全技术成熟度曲线”报告),这也是Gartner首次发布中国网络安全技术成熟度曲线,涵盖了Gartner对中国网络安全技术的最新洞察。
对比2021年7月23日Gartner发布的《Hype Cycle for Security Operations, 2021》(“2021年安全运营技术成熟度曲线”报告),攻击面管理(Attack Surface Management,简称ASM)是唯一的一项在两份报告中均入选技术萌芽期(Innovation Trigger)的技术。攻击面管理这个概念由Gartner于2018年首次提出,并在2021年7月首次出现在Gartner“2021年安全运营技术成熟度曲线”中,包括CA-ASM(网络资产攻击面管理)、E-ASM(外部攻击面管理)。攻击面管理可以理解为是从攻击者的角度对企业数字资产的攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法。国内市场调研机构包括赛迪顾问、数世咨询、数说安全等,均将攻击面管理列为2022年网络安全创新赛道之一;国际巨头微软、Google、Palo Alto 等全面布局攻击面管理,Tenable、Qualys、Rapid 7等传统漏洞厂商也通过收购转型攻击面管理领域。
作为一家成立刚满3年的创业企业,华云安(VUL.AI)首次出现在了Gartner“2022中国网络安全技术成熟度曲线”报告中,被列为攻击面管理的代表厂商。记得第一次在华云安北京办公室见面的时候,75后的沈传宝穿着一件印有“华云安”Logo的黑色T恤,与笔者从全球网络安全的格局聊到中国网络安全的现状,从等级保护聊到攻防对抗,从漏洞管理聊到攻击面管理,从公司现有的“灵系列”产品矩阵聊到基于知识图谱的安全风险库搭建产品平台,从承担国家重点研发计划&参与起草行业标准聊到已经申报的百余项专利,从自己的个人背景聊到如何从零开始搭建华云安的核心团队,从业务布局聊到各个行业条线的打法和思路,从现有服务甲方的模式聊到未来的商业规划,从业务发展路径聊到对应的每一个节点的融资规划。“老兵重回新手村练级”,这是初次交流中,华云安创始人沈传宝留给笔者的深刻印象。更让笔者心动的是,这还不止是一个老兵,管理团队访谈中,分管技术中心&管理中心的副总经理侯总、分管监管行业及大客户业务的副总经理刘总、安全研究院负责人郝总、产品研发中心总监马总、战略发展总监吴总,均让笔者感受到,这是一群成建制的网安老兵。公司自2019年创业之初即建立了体系化的管理团队,核心创始团队12人,分管产品、技术、研发、研究院、实验室、安全服务、销售、市场等业务线。核心成员全部来自奇安信、深信服、360、绿盟、捷成等一线网络安全公司,任职总监级以上的均有网络安全行业十到二十年的工作经验,并且这个队伍还在不断发展壮大。2021年加入华云安的产品总监王超举过一个很形象的例子,“装钱的裤兜破了个洞,你自己还没发现的时候,小偷可能早就看到了。”一个攻击者,在攻击目标之前,需要花费大量的准备工作,要摸清目标的外部数字资产有哪些?有多少泄露的数据?云应用中有哪些错误配置?供应链有哪些?甚至包括组织内部的人员隐私和社交信息等,这些都是可以下手的入口,也就是我们所说的外部攻击面(EASM)。如果企业没有攻击面管理的意识和准备,可能攻击者对于上面这些信息的了解程度,要比被攻击者自己还要清楚。传统的等保类的安全合规防御是站在被攻击者自己的视角做的系统加固,在这种思维下,即便用户符合了某个标准也不意味着安全做到了真正有效。攻防本身是一个动态的对抗,攻击者是一个智慧体,并不是一个机器或一串代码,只有知己知彼,了解攻击者的攻击习惯和思路,站在他们的视角来审视自身的弱点,才能真正实现和验证安全的有效性。资产攻击面管理(CAASM)其实是更广义上的,可以理解为是用户完整的网络空间的攻击面管理,主要包含了内和外双向视角,并且可以产生一个对比的价值。需要对用户自身的例如WAF、CDN、内部的一些安全防御策略等进行梳理,是一个较为偏全局视角的分析。产品:以攻击者视角,构建实战化网络安全对抗防御体系与大部分网络安全厂商不同的是,在每年举行的“大规模攻防演练活动”中,华云安曾多次担任国家级攻防演练的红队,也是电力、金融等行业红队,这便是我们经常提到的网络安全产品需要带有“攻击者视角”,华云安也将这一理念融入到了他们的产品体系中。灵洞·网络资产攻击面管理平台(Ai.Vul),是华云安于2020年6月发布的“灵系列”第一款产品,也是国内首家基于漏洞优先级(VPT)技术的资产安全性管理产品,定位在内部攻击面管理(CAASM),面向数字资产,基于漏洞优先级技术进行企业完整的攻击面检测与响应,并设计了监管、行业和企业三级架构,更符合国内的驱动路线。
灵刃·智能渗透与攻击模拟系统(Ai.Bot),是华云安于2021年3月发布的“灵系列”第二款产品,定位在自动化安全有效性验证(BAS),将人工智能与攻击模拟结合,自动化识别内外部网络攻击面,评估安全防御机制有效性。该产品曾中标国家某部网络空间安全专项和国家网络空间安全重点研发计划,探索人工智能在网络攻防中的应用。灵知·互联网安全威胁预警中心(Ai.Radar),是华云安于2022年5月在其承办的SecOps 2022 网络安全运营技术峰会上发布的,定位在外部攻击面管理(EASM),以攻击者视角,识别暴露在外部的数字资产攻击面,先于攻击者进行预警,通过扩展的威胁情报技术,缩短威胁的检测和响应时间。自此,华云安三位一体的“CAASM-EASM-BAS”攻击面管理产品解决方案正式成型。三款产品都是基于攻击者视角从不同维度共同打造数字化时代数字安全风险管控的完整解决方案。三者基于云原生架构,以微服务的方式提供不断迭代的安全能力。平台化架构让三个产品既可以独立提供各自的安全能力,也可以原子化安全能力编排构成全面且完整的攻击面整体解决方案。此后,定位在轻量级漏洞检测(VA)引擎的灵鉴·弱点检测和分析评估引擎(Ai.Scan)和定位在轻量级扩展监测响应(XDR)的灵源·未知威胁检测与分析引擎(Ai.Hunter)也陆续发布,进一步完善了华云安的产品矩阵。有了好的团队、有了先进的理念、有了完善的产品,寻找优质的甲方客户便成为重中之重。那对于攻击面管理来说,哪类甲方是最应该优先去服务的客户呢?第一:业务上涉及到攻防相关的,或者对于安全有高要求、高诉求的企业或者组织;第二:数字化发展程度比较高,业务场景比较丰富的企业或者组织;2021年9月1日起施行的《关键信息基础设施安全保护条例》(以下简称“关基保护条例”)给我们指明了方向,“关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”毫无疑问,关基保护条例中列明的这些关键基础设施领域内的甲方客户,是典型符合上述三种特征的。这几大行业不仅符合上面三种特征,而且一旦涉及攻击事件,很有可能影响民生,换个角度来看,作为一家中国的网络安全厂商,保护好我国的关键基础设施,何尝不是各家厂商的企业使命所在。我们在2022年尾回顾全年,从年初俄乌冲突中的网络攻防战,到年中外部对我国西北工业大学的网络攻击,到年末我国对《网络安全法》实施5周年以来的首次修订,诸多网络安全代表性事件多次验证了那句“没有网络安全,就没有国家安全。”而“网络安全的本质在对抗,对抗的本质在攻防两端能力较量”。站在攻击者视角,构建实战化网络安全对抗防御体系,无疑是网络安全的一大趋势。让我们感到欣慰的是,这一趋势不仅是Gartner这类的知名研究机构和海外的网络安全大厂看到了,我们国内以华云安为代表的创业公司们也看到了,并将之付诸实践,由一群优秀的网安团队将这一理念形成了完整的攻击面管理产品体系,来服务我国以关键基础设施领域为代表的广大企业客户。或许不远的将来,我们不仅能在中国网络安全技术成熟度曲线的代表厂商中看到华云安的身影,也能在魔力象限的右上角看到属于中国网安厂商的点点星辰。本文转载自微智数科,经协商华云安官方公众号已获得转载资格,特此声明。
还没有评论,来说两句吧...