永安在线CTO 邓欣(左)接受安全419创始人 MT(右)专访
威胁猎人这四个字顾名思义,很容易被人看作是和威胁情报相关,但他们的业务并不止于此。“我们认为威胁情报是一个比较好的切入点,可以帮助用户去发现问题,但最终我们还要将通过情报所发现的问题解决掉。”邓欣谈道,“因此,我们目前立足于威胁情报的基础之上,主要以业务安全领域为主,为客户提供相应的安全解决方案。”
基于情报领域的积累和沉淀 打造更优的API防护体系
邓欣表示,当前API安全防护成为了永安在线的重点关注的领域和方向,并在企业的产品线开发中也向之倾斜。据他介绍,之所以会选择这一方向,是源于他们观察到API在过去几年中的飞速发展,一方面,API在数字经济时代中体现着网络基石般的作用;另一方面,随着API的广泛应用,在它身上所承载的产品代码逻辑、敏感数据等等,自然也成为了攻击者们所热衷的目标之一,但与此同时,针对API的防护方面却仍存短板,市面上的一些诸如WAF、API网关等等产品并不能非常好的去解决这个问题。
谈及威胁情报和API防护体系相关产品之间的关系时,邓欣告诉我们,以目前客户层面所反映的情况看,传统的API管理方式主要依靠API网关,但对组织来说,这种管理方式最大问题在于不具备较好的风险识别能力,尤其是基于传统的规则或经验下,只能做到识别已知风险,对未知风险的识别能力是没有的。与此同时,风险识别的准确性仍是当前多数已有产品所难以解决的问题。
据其介绍,永安在线此前在情报领域的数据和能力上的沉淀,对于解决上述问题有着极大的帮助。
首先,借助情报的力量,可以通过从黑灰产的攻击流量或工具中提取出哪些企业、业务以及API接口正在遭遇攻击,如此一来,风险识别问题就得到很好的解决。
其次,与此同时,在对流量进行提取分析的同时,还可以识别出它们有别于正常用户的一些特征,例如编码的请求参数出现前后不一致的情况等等,这些都可用以提高风险识别的准确性。
最后,基于情报去解释攻击的来源(如某个团伙或是某个自动化工具),进而可以帮助用户完成溯源的工作。
可以看出,永安在线选择API防护体系作为自己为客户提供相关安全解决方案的重要方向,并不是空中楼阁,而邓欣本人也是从事业务安全、威胁情报领域十余年的老兵,在能力和经验上极为丰富,正如他所说的那样:“正是我们在早期就开始专注于国内黑灰产的实战对抗,有了庞大的数据积累,得以支撑当前更多安全能力、产品、业务上的拓展及进一步发展。”
安全分为三层 业务安全频次最高
邓欣表示,安全主要分为三层,其中基础安全处在最底层,如渗透测试、应用审计等应用安全则处在中间层,业务安全处在上层,当然,他也表示这个分层并不意味着安全的级别。
他认为,基础安全是保证最底层的框架不出问题,但针对它的攻击相对较为低频,例如众所周知的伊朗震网事件,这种针对基础设施的攻击无论是对技术的要求上还是实施的各种成本上,都令其实施起来并不像针对业务端发起攻击那么简单轻松,与此同时,业务要不断地开展且不会轻易停滞,还会随时发生变化,因此针对业务的攻防相对而言要更为频繁,尤其是在利益驱动之下会更为突出。
说到国内,黑灰产经过多年的发展,无论是技术、资源甚至是成规模的团队,与之相关的网络犯罪产业链已然成型且成熟,因而相应的业务安全相关的攻击行为会更加常见。
永安在线所专注的,也正是解决用户交互层面的业务安全,其所期望覆盖的也是绝大多数组织所会面临的此类场景。
业务安全需要更懂场景
谈到国内业务安全领域的竞争环境,邓欣表示,抛开一些传统的安全厂商不谈,像腾讯、阿里这样的大型互联网企业和云厂商,观察一下就会发现他们自身不仅具备较强的业务安全能力,并且还具备向外输出这些能力的实力,因此从竞争上来说,中小厂商必然要依靠自己的“专注”,这也是网络安全行业中众多中小企业的生存之道。
“其实像我们这种曾经就职于大厂的人,在相关经验方面都是有着一定的积累的,同时我们也想在这个领域中做出一番事业。”邓欣谈道,“同时你也会发现解决安全问题的能力提供者,他们并不仅仅是以前的安全厂商,而是一个个从甲方或者大厂走出来的创业者所组成的团队或企业,他们身上所积累的经验会比不少同行更懂业务。”这也是为什么很多中小企业的安全能力其实并不一定输给大厂,除了市场竞争压力所迫之外,团队将此前在某些领域积累的丰富经验和能力转化为“专注”也是很重要的一点。
正如前文所述,作为一直专注于业务安全领域的企业,此前威胁猎人的名字在业内知名度很高,但在一些外界的人第一次了解他们的时候,往往会觉得是一家做威胁情报的公司,虽然这个说法并没有错,但并不完整。在改用永安在线这一更具扩展性的品牌名称后,此前的品牌积累看起来的确有一些损失,可是却摆脱了原有品牌名称的局限性,有利于其在业务安全领域的进一步拓展。同时,我们也应看到永安在线前期在情报方面的积累所沉淀下来的优势,所谓厚积薄发,为其在后续扩展至API防护领域打下良好基础,在解决客户深层次的API防护需求方面有着独到的优势。
采访的最后,在谈到关于自己长期处在大家的业务背后默默做安全而非在聚光灯下的攻防一线,是否会有一些落寞的心态这个话题时,邓欣用一句话总结道——“安全其实也有角色的分工,一些看不到的事情总要有人做,从我个人角度来说,是否在聚光灯下无所谓,关键是在于,做这件事情是我自己认为有价值的。”