安全419观察到,网络安全厂商在数据安全领域的布局节奏自2020年开始显著加快,既有由传统数据安全防护产品进一步扩大至数据全生命周期防护体系的建设,也有基于前期积累偏向于向某一垂直领域的行业侧渗透,同时还涌现出一批以技术创新见长的初创团队在市场中搅动格局,头部厂商亦通过战略投资创业公司的方式加速入场。
今天的主角——薮猫科技,便是这片奔涌浪潮中一枚吸睛的后起新秀。其引人注目的地方在于,核心团队可谓群星闪耀,几位创始人都是战绩赫赫、并且拥有创业经历的行业翘楚,通过打造国内此前鲜有提及的数据检测与响应(Data Detection and Response,DDR)系列产品强劲入局,并在成立不到一年就完成了累积过亿的融资。带着这份兴趣,近日,我们邀请到薮猫科技联合创始人兼CEO王宇展开对谈,一起看看他们在擘画一盘怎样的棋局。
数据安全没有一招鲜
数据安全赛道自然是又热又挤,谈及创业方向的选择与判断,王宇表示,保护数据虽说是一个老生常谈的成熟需求,但数字经济发展推动数据价值激增、数据量级暴涨、数据高频流转,每天都在蹦出更多难以捉摸的风险,风险带来许多未被满足的新生需求,数据安全的内涵已是今非昔比。
变化在哪?
数据驱动业务,流通共享是基础前提,这意味着,使用数据的人员多了,数据驻留与途经的终端多了,数据所处的网络环境不再单一封闭,海量数据的种类、格式、形态、敏感度纷繁芜杂,并且随着流转随时都在复制、扩散、变动。这种毛细血管级别的数据流转过程带来的风险,远不止习以为常的外部攻击和盗取,更多的隐性威胁从内部蔓延,员工的误操作、离职转岗后的越权滥用、内鬼的主动恶意窃密、合作伙伴的违规共享等,不仅难以发现,而且难以溯源。
这让我们想起一则真实案例,一旅客购买机票后收到与所购航班相关的诈骗短信,于是诉至法院,主张航空公司和在线售票平台泄露其隐私信息,法院判决要求两涉事企业赔礼道歉。航司申请再审,其认为“判决仅以我方持有涉案行程信息即当然推定我方为侵权人,显属主观臆断”,法院将其驳回。举证责任分配成为该案标志,旅客显然不具备对涉事企业内部数据是否外泄进行举证的能力,企业未证明涉案信息泄漏归因于他人抑或是旅客本人,法院在排除其他泄露隐私可能性的前提下,结合本案证据认定上述两公司存在过错。
客观来讲,能接触旅客信息的渠道都有泄密的可能性,除了航司和售票平台,还包括机场、中航信,甚至是酒店、租车平台、旅行社等,无法自证清白的企业最大的困扰在于,旅客信息到底是由谁、怎么泄露出去的。
这就是王宇所说的,数字时代数据安全需求的转变——不管是为了合规还是排查威胁,要厘清风险的源头,就必然需要明确,企业的数据资产,会通过哪些渠道,以怎样的方式流转。这个问题的背后,需要清楚地描绘出内网下辖的网络边界,盘点出账户、应用、终端等资产,并且完全了解游走之上的结构化与非结构化数据,以及它们每时每刻都在发生怎样的变化。
“然而企业网络管理员,几乎没人能全面回答上面这些问题。”王宇解释道,传统的数据库安全手段、数据防泄漏类产品以及网络安全解决方案,更像是一个保护罩,围在承载数据的容器(数据库、系统、终端等)的外围以及企业内外网的出口,对外发的数据进行监控或保护。但随着数据在不同的业务系统、服务器、终端之间流动,就会不断出现监测的盲区,同时数据在流转中逐渐变形,出口的识别与防护也已几乎失效。
当然,认识到技术实际发展与市场需求之间存在明显断层并非薮猫科技的独家眼光,随着数据泄露事件频发不断刷新认知,随着数安法、个保法等法律条款层层加码实施,随着数据全生命周期防护理念持续宣贯普及,业界与用户都比较认同应该跳出静态、单点的出发点,从动态、全局的视角去审视数据安全的问题。难的是,如何做到?
让数据流转透明化 让数据泄露渠道量化
薮猫科技认为,仅在应用程序「外泄数据」的潜在出口进行拦截和防护是不够的,我们更应该在敏感数据生命周期的初始阶段就开始对它们进行监测,持续追踪数据的访问和异常操作才能更好地做到数据的全过程安全。而这也正好完美解答了最初用户关心的那个问题——企业的数据资产,会通过哪些渠道,以怎样的方式流转。基于此,王宇认为,企业需要一份数据资产地图和一份资产流向图。
绘制数据资产地图,即是回答企业有哪些数据、它们长什么样、分布在哪、哪些属于敏感数据、它们如何分门别类等识别与定义资产的过程。一方面,数据安全相关的政策文件、行业标准已经约定了一套较为通用的规则,另一方面,还需要根据每个企业特定的业务范畴来进一步调整细化出企业专属的数据分类分级标准。在操作上,针对数据内容的精准识别是关键,薮猫科技的做法,是通过文件格式、文件编码、文件指纹等多个维度解析内容,并基于智能化语义语法做判断,通过主动+启发式扫描,持续地发现并梳理敏感数据资产。
众所周知,数据流转的通路多点网状分布,数据泄露的方式更是千奇百怪,这里涉及到传输渠道的检测、用户行为的发现等技术点,值得关注的是,薮猫科技凭借团队在终端安全、威胁建模、大数据分析等技术领域的沉淀与积累,首次提出“全生命周期数据监测技术”并在产品中完成落地。在“用户 - 终端 - 数据”关系的相互作用与融合下,对数据的生成、更改、流转等生命周期节点进行追踪采集,帮助企业更好地测绘出数据资产流向图,让企业化混沌为清晰、化被动为主动,更好地掌握核心数据的风险动态。
当然,发现风险不等于解决了风险。在此基础上,薮猫科技通过置信度算法可以对存在风险的行为进行实时决策,对可疑用户、可疑设备进行持续地监控,动态调整防护策略,提升防护强度,并且通过便捷关联风险告警数据进行聚合分析,一键导出数据分析报告,释放运营压力,提升安全防护效率。
这套打法的核心,在于“看见”和“回响”的呼应,看见资产,看见流向,看见行为,综合分析风险,同时对风险做出响应。对数据的保护,不再如立于门岗的保安,刷卡就放行,而是成为从数据诞生走向灭亡的贴身护卫,沧海桑田都全程跟随。
王宇认为,这套逻辑同威胁检测与响应(Threat Detection and Response)体系如出一辙,既然端点侧有EDR,流量侧有NDR,那么将对象换为数据,就是数据风险检测与响应DDR(Data Detection and Response)。
这便是薮猫科技的拳头产品——青骓,取名自唐太宗的坐骑,在战场上飞奔陷阵,寓意“顶级宝马”。何谓顶级?王宇直言,挑最难啃的骨头。如前所述,不同于许多产品从流量侧或网关侧来过滤、拦截数据安全风险,青骓直捣深入终端。这事儿的难度在于,识别、检测、拦截数据及其风险的引擎嵌入的是系统内核,在牵一发动全身的底层搞事情,如果靶标不够精准,那就妥妥成了祸害,如果姿势不够丝滑,那必然影响正常的业务进程。
对三大系统Windows、macOS、Linux以及信创操作平台的研发能力,以及端上程序的兼容适配性、稳定性、效率等都是无法绕开的门槛,而这正是薮猫科技核心团队的老本行。据了解,王宇在360任职时期主导了360云查杀穿透驱动、Anti-Rootkit驱动、360系统急救箱等核心模块的相关工作,创业之前还负责过滴滴鹰眼终端安全项目macOS、Windows等平台内核监控驱动的设计与研发。攻克了最核心的底层技术,才能搭建产品的顶层设计,青骓才算有了驰骋的底气。
打造三位一体的下一代安全解决方案
不过,薮猫科技的野心并不止步于终端,其构想的数据全局视角,是通过创新的DR系列产品覆盖「终端 x 流量」全链路体系,再搭配安全服务与安全咨询,三位一体,形成立体纵深的下一代数据安全解决方案。
产品方面,青骓之后,他们马不停蹄地打造了另一匹坐骑——飒露紫(ADR),根据API调用进行安全检测与响应,基于高性能流量采集引擎及多维检测策略,对业务应用流量,进行动态画像和全场景式流量清洗,从而发现API 攻击事件、业务风险及行为异常等安全问题。在终端和网关之外,王宇表示内部也已在服务器侧有所布局,将持续完善DR产品体系。
服务方面,薮猫科技自成立之初就建立了一支攻防尖刀团队,汇聚了一批国内顶尖的安全攻防专家,提供渗透测试、代码审计、应急响应、安全审计等安全服务,已经在国家级、省级大型攻防演练中拔得头筹。技术服务之外,薮猫科技也推出了咨询服务,从治理、评估、管控层面提供顶层规划和体系设计。
可以说,薮猫科技构想的框架,在一众同龄的安全新秀里,绝对是够“大”的。行业内卷之下,在大家更想通过轻量化、标准化的产品打市场的现在,他们似乎走回了过往那种“笨重”的路子。王宇表示,“大家说应该从业务的视角去关心数据,这是完全正确的,但是攻防永远是安全的本质,我们不能顾此失彼。一桩数据安全事件,我不仅要关心它反映出的组织管理问题、风险偏好问题,我也要关心它到底是无意泄露了还是恶意被盗了,有没有系统漏洞,有没有恶意代码?”
在用户侧,这种分裂的体验并不少见,面对同样的安全事件,不同的厂商可能是完全不同的处理方式,一些团队只从攻防层面找弱点做修补,一些团队只从数据层面抓风险做治理,用户对于自己到底出了什么问题,一知半解,很难放心。王宇认为,未来是需要统一战线的,不能固步自封于我能为用户提供什么,而要看用户到底需要什么。
谈及此,我们明白了薮猫科技“两条腿走路”的规划,产品上从业务视角、数据视角最直接地规避数据泄露风险,同时从攻防视角去透析数据安全问题背后本质的风险隐患。产品的自动、智能可以更高效协同专家开展专业精尖的服务,专家知识经验也可以有效沉淀到产品中进行打磨,形成良性健康的迭代。说到底,数字化转型正涉入深水,数据风险不停变换,数据安全市场尚处于初生阶段,任谁都难以说清它应有的模样,在摸着石头过河的时代,雨后春笋的景象总是令人欣喜,我们期待看到薮猫科技在他们的宏大构想下,继续驰骋。
京公网安备 11010802033237号
