云科安信金飞：打破安全行业长期壁垒 让安全真正服务于业务场景

7月11日，数字风险管理厂商云科安信在北京举行以“数字世界 御风而行”为题的「信息图鉴」产品矩阵发布会，正式发布旗下朝天数字风险攻击图鉴系统、嘲风数字风险路径图鉴系统、睚眦数字风险全栈防御系统、开明数字风险角色图鉴系统在内的「信息图鉴」产品矩阵四大新品。从攻击源、风险路径等维度出发，闭环式地解决数字风险管理问题。
 
“网络安全是一个‍‍有着无限想象空间的‍‍行业。‍‍但我们一直没有放下优越感，没有真正去理解行业属性和需求，从而导致安全行业与其他行业之间出现了一种无形中的‍‍隔阂和壁垒。‍‍云科安信想身先士卒，成为第一家打破这个壁垒的安全公司，把我们的知识‍‍毫无保留的嫁接给所有需要安全支撑的行业，‍‍让他们的世界更精彩，‍‍同时也让安全行业找到更大的舞台‍。‍”
 
在发布会上，云科安信董事长兼CEO金飞表示，认知是安全的尺度，风险是数字世界的本源，云科安信将持续做技术和场景的深度融合，不断的提升产品能力，最终把产品‍‍以更简捷的方式交付给企业里边真正面临挑战的那些角色，让安全真正服务于业务‍‍场景。



重塑数字风险管理： 从人与资产叠加视角中看到更大变量
 
数字化转型是信息技术驱动下的一场业务、管理和商业模式的深度变革重构，技术是支点，业务是内核，安全则是所有0前面的1。换言之，数字化进程下，感知、度量、收敛数字风险，是企业组织必须妥善解决的问题。
 
在企业数字化转型进入深水区，被动安全体系捉襟见肘的今天，数字风险管理正在成为安全建设的重要部分。金飞谈到，随着对信息安全行业和对客户需求理解的不断加深，云科安信逐渐明确了全新的战略定位：做数字世界的风险管理者，做一家持续帮助用户感知、度量和处置风险的安全公司。
 
他表示，之所以提出这一全新定位，在于信息安全是一种能够很有力的感知企业风险的手段和方法，作为一名‍‍安全从业人员，当微风拂过水面产生第一‍‍起涟漪时，大家就可以从很多个维度感知到这一缕变化。‍‍这个时候安全人员们往往也只是在“孤芳自赏”。
 
但随着时间的推移，这一起涟漪可能会演变成相关联企业面临的财务风险、‍‍人力资源风险，甚至是一起法律诉讼案件。‍‍这件事情背后实际上意味着，在风险刚刚发生的那一瞬间，安全人员也只能“窥一斑”，而无法“知全豹”，没办法预测事件未来走向。但假如能够把安全行业看见的能力，毫无保留的嫁接给在企业里边真正承担风险的那些角色的话，那么一次灾难性的事故或许将会走向相反的方向。
 
结合这一全新定位，云科安信提出了一条风险的公式：风险感知=情报+攻击性技术、防御性技术+场景。其中情报是指最初感知风险变化的能力，攻击性技术、防御性技术是指对企业业务的全流程把控，而场景的主人即是最终承担企业最后运营风险的角色。‍‍这是云科安信提出的基于风险管理的整体公式，未来云科安信所有的解决方案‍‍也都会围绕这一公式来展开。



金飞表示，数字化正在成为整个社会运行的底座，中国的绝大多数企业都走向了数字化转型的道路上，企业每天的生产经营都能够从日志当中找到相对应的数据痕迹，企业的综合风险也愈发泛化。
 
在攻击者视角下，包括企业的上下游供应链生态企业的高频数据交换，参控股企业里的低频数据交换，这两个维度都是企业风险的外延，真正的攻击者也擅长于从这两个维度去梳理所有与企业相关的数字资产‍‍和使用数字资产的人。‍‍
 
“在风险管理领域，云科安信是第一个提出‍‍把数字资产和使用数字资产的人同时作为关注目标的安全企业。‍‍数字资产和使用数字资产的人，实际上就是权力和技术的一种叠加，‍‍在这个维度上，攻击者总能找到那些有漏洞的数字资产和使用这些‍‍有漏洞的数字资产的人，‍‍人是我们在整个解决方案里边最重要的一个焦点和变量。‍‍人如果跟漏洞相关联，就会构成一个具有无限想象空间的场景。‍‍数字资产本身的漏洞就是技术论，但是如果你能看到人的变量，‍‍这种杀伤力将会是非常震撼的。”
 
因此，云科安信未来将致力于把这种强大的感知风险的能力赋予给所有在企业里边真正承担最后风险的角色，将数字风险管理的权力交还给客户，重塑数字风险管理能力。
 
「信息图鉴」产品矩阵正是云科安信基于“防御叠加度量前移”新风险管理理念，依托NIST通用风险模型和风险的优先级技术，着力打造的数字风险管理产品体系，其核心是从风险维度出发，以攻击者视角重新度量风险的实战向数字风险防御体系。
 


打破行业长期壁垒：让安全真正服务于业务场景
 
金飞认为，过去网络安全行业中做的最多的一件事情是“用技术解释技术”，因为技术人之间有着相同的文化背景和知识结构，使其能够很容易达成共识。但在另一面，也正是这一原因造成了安全行业的封闭。
 
因此，云科安信未来将持续投入做安全技术和场景的深度融合，深度挖掘各行业用户的需求场景，真正做到让安全服务于场景，为各个行业做好支撑，让安全的价值在其他圈层得到放大。用金飞的话说，他希望“用其他行业的语言，把技术翻译给那些关键角色，以更简捷的方式将安全能力交付给企业里边真正面临挑战的那些角色。‍‍”
 
在发布会现场，金飞分享了一个云科安信将安全技术与法律与人力资源场景相结合的案例，引发了全场嘉宾和观众的思考：
 
传统职场中，一家企业主如果想‍‍雇佣一个核心的开发人员，通常只能通过背景调查、推荐信等方式，从侧面对这个人做出综合判断，‍‍事实上这些传统的验证手段十分单一，且不可相互验证，‍‍被绕过或者蒙混过关也是常有之事。但在云科安信的情报技术和风险管理技术的赋能下，这一职场背调的业务场景有了全新的变化。
 
金飞谈到，假设一家游戏软件公司想要雇佣一位‍‍核心的游戏软件开发负责人，在得到对方的充分授权后，云科安信便能够协助人力资源部门和法务部门，通过相关的技术手段，在‍‍关键岗位人员应聘期间，对其历史上暴露在互联网中的文件数据进行汇总梳理。
 
‍‍通过梳理后，假如发现该名人员在互联网上的所有留痕中，‍‍包含过往公司相关的文档和源码，‍‍便能够在某些程度上说明，这个人或许在职业道德上存在缺陷。通过这种方式，利用风险情报技术能够给企业用户提供一个非常完整的员工入职风险评估，去分析这个人是否值得雇佣，判断‍‍这个求职者未来是否可能会给企业带来数据泄露、商业泄密的风险。同理，在该名员工的在职与离职期间，均能够对企业的重要数据资产进行监测和追踪，以避免企业的代码和文档被滥用和传播。
 
金飞表示，在企业的实际业务场景中，无论是人力资源部门还是法务部门，此前都并不掌握对一名员工进行数字世界风险度评估的手段和方法。但是实际上在安全行业，黑客画像早已是一项成熟的技术手段。
 
他最后谈到，“网络安全是一个‍‍有着无限想象空间的‍‍行业。‍‍但我们一直没有放下技术从业者的优越感，没有真正放下身段去钻研行业属性和需求，从而导致安全行业与其他行业之间出现了一种无形中的‍‍隔阂和壁垒。‍‍未来云科安信会身先士卒，成为第一家打破这个壁垒的安全公司，把我们的知识‍‍毫无保留的嫁接给所有需要安全支撑的行业，‍‍让他们的世界更精彩，‍‍同时也让安全行业找到更大的舞台‍。‍”