网络安全行业中通常会将创业者和安全研究员们分为学院派和工业派,学院派通常是指那些从国内外顶尖高校的安全研究实验室走出来后,带着自己的研究成果投身安全行业大潮的学子们,而工业派则偏向那些从安全行业各个工作岗位上脱颖而出的攻防安全人才。
通常情况下,很多安全研究员在走出象牙塔后,会选择进入某个大厂继续历练积累工作经验,但安全419观察发现,在开发安全这个细分领域,有一大批研究员们选择了抱团创业。如成立于2014年,孵化自北京大学信息安全实验室的悬镜安全(XMIRROR)团队;成立于2015年,孵化自上海交通大学G.O.S.S.I.P软件安全研究组的蜚语安全团队,以及成立于2021年,核心团队全部来自于清华大学的水木羽林团队等,作为安全行业中的年青一代的佼佼者,他们的快速成长获得了行业的大量关注。
近日,安全419再次拜访了悬镜安全创始人子芽,邀请他以一名学院派出身的DevSecOps从业者代表身份,为我们,也为更多即将投入开发安全和DevSecOps领域的研究员们分享7年来悬镜安全创业的一些心得体会和深度观察。
相较长期摸爬滚打的工业派 学院派有前沿技术先发优势但也有不足
首先我们向子芽抛出了这样的问题:相较其他领域而言,开发安全领域是否更受到高校研究员们的欢迎?学院派出身的研究员们,相比较传统安全产业界出身的从业者有何优势?
子芽告诉我们,高校研究员们因为在学校中已经接触过很多前沿研究课题,确实会有一些技术方面的先发优势,但实际上,客户的真实需求与学术研究还是存在较大的差异,想要将学术的研究成果转化为商业化产品,仍然需要较长的时间来打磨。
以悬镜安全自身为例,悬镜安全的创始团队还在北大的时候,曾经为国家完成过一些涉及前沿运行时插桩技术相关的纵向研究课题,在技术方面做出了很多突破。但当悬镜安全从学校中走出来创业,想要把这些学术研究成果实际落地成为安全产品时,却发现远没有设想中那般轻松,最终,经过了近4年的长期技术沉淀,悬镜安全才实现了从学术研究成果向商业产品的顺利转换。
子芽表示,虽然悬镜安全的产品在低误报、精准检测、高覆盖等方面取得了很大的技术突破,但在和企业用户的沟通中发现,大家实际上更看重的是对实际应用场景和业务开发语言的兼容。尽管在实验室期间团队模拟了一些复杂的测试环境,但真实模拟出3万、10万乃至20万个节点的高并发环境是不现实的。
“大家在做学术研究的时候,往往更专注于技术的本身,不会关注它未来的商业化。因此,当决定开始创业的时候,就需要去转变思维,用心花时间去打磨技术及配套的商业模式,这也要求创业者迈过自我认知的门槛,完成从学生到创业者的身份转变,毕竟商业是逐利的。”
IAST、RASP技术的出现 推动DevSecOps敏捷安全市场的兴起
子芽谈到,从技术角度去看,传统白盒测试(SAST)技术实际很早就已经在业界有所应用,但开发安全领域却是在近几年才开始蓬勃发展,其背后的根源在于,以往白盒测试中的误报率往往高达40%,在误报过高的情况下,用户会要求安全厂商的安全服务团队现场排查、值守,给安全厂商带来过高的人员成本,因此白盒测试在此前并没有得到业界的广泛应用。
DevSecOps敏捷安全技术最早于2017年在国际上开始有力度地宣贯和推行,而在国内,2017年到2019年是DevSecOps概念的普及期,自2020年开始,大量的甲方企业开始建设DevSecOps,悬镜安全身处其中能够明显感受到市场需求的快速攀升。
悬镜安全首次在业内将旗下两大DevSecOps工具链技术“IAST”(交互式应用安全测试)和“RASP”(运行时应用自防护)定义为代码安全疫苗技术。代码安全指的是IAST检测技术,而疫苗则指的是RASP安全免疫防御技术,顾名思义,相当于把疫苗注入到应用内部,在应用内部清晰的看到解析后的流量,感知业务运行过程的上下文,具体定位其中的漏洞和威胁。
子芽认为,IAST和RASP两项技术的应用,能有效降低技术实施门槛,极大的提升企业管理者的用户体验。“这两项技术出现后,开发安全领域才真正有了自己的核心技术,也迎来了兴起和蓬勃发展。”
据他介绍,在2019、2020年,悬镜的用户更多聚焦在金融行业,但今年开始,悬镜观察到在电商、能源、交通、车联网,甚至畜牧业这样的泛互联网行业,都启动了DevSecOps建设。
以悬镜安全的具体客户举例来说,某养殖业的企业主在引入信息化监控系统后,采购了IAST工具,参考悬镜安全提供的周期化安全测试方案,该企业可以在监控系统上线前按照安全基线对全部漏洞进行筛查,提前把控安全风险。IAST平台的易用性降低了使用门槛,即使这家企业的技术人员不懂安全技术,也可以一键开始安全测试,这样的用户体验是此前无法做到的。
“我们目前能看到,悬镜长期以来对行业的宣贯起到了很好的效果。当各个行业中都涌现出用户需求时,意味着大家开始形成共识,即需要从源头做威胁治理,并在取得落地实践效果的同时进一步推进整体DevSecOps敏捷安全体系建设。”
DevSecOps市场的竞争 实质上是中外之间的技术路线之争
谈到当前开发安全市场竞争格局时,子芽认为,当前的DevSecOps及开发安全市场中主要是中外技术路线之间的竞争。
他介绍,当前在全球的DevSecOps敏捷安全赛道上,产业界主要的创新力量来自中国、美国和以色列三个国家。在国际上悬镜安全有很多创新的同行企业,比如美国的Synopsys、Contrast,以色列的Checkmarx,以及今年RSAC创新沙盒总冠军Apiiro等,他们都是敏捷安全领域的技术佼佼者,悬镜与他们有合作也有竞争。
悬镜安全前不久发布的一篇关于IAST 技术多场景多核驱动的文章中提到,应用缺陷深度检测分析能力是 IAST 技术的首要基础要求。为了满足用户对各类编程语言的检测需求,IAST交互式应用程序安全测试平台应全面支持Java、Node.js、PHP、C#、Python、Go等主流编程语言。
然而,目前国内市场上除Synopsys、Contrast和悬镜安全的IAST平台已覆盖全部主流语言外,多数IAST平台在语言支持方面仍然有所欠缺,检测深度和应用范围严重受限。
回到中外技术路线之争的话题上,在他看来,悬镜安全的插桩技术路线和Synopsys、Contrast都不相同,“悬镜采取的是一种‘先打牢地基后盖楼’的技术路线,在高检出率和极致兼容的要求下,以智能算法辅助人工专家筛查的方式,把每一类插桩的情境训练知识、语言知识及场景适配策略当做库来支持,小到每一条规则都是悬镜反复研究和设计过的。”
子芽表示,在产品打磨的前期,悬镜选择的这条路径会很难走,需要每个框架精准适配,大量牺牲研发的发布迭代速度,但所幸经历过近年来的沉淀,悬镜安全已经积累了足够庞大的语言知识库、应用上下文情境训练库和策略库。
而国外的Synopsys、Contrast等企业则选择了另外一条捷径:以便捷粗放的hook方式对开发语言框架进行自动适配。但在子芽看来,这条技术路线是在前期轻车简从丢下了很多负担,在语言快速支持方面表现出一定优势且有更快的研发迭代速度,但却存在非常大的技术缺陷,即自动hook的函数越多,对性能消耗就越大。作为运行时插桩技术,规模化部署应用,将对业务应用本身的性能有较大消耗。
这也就是子芽口中的“中外原创技术路线之争”,但长期来看,无疑悬镜安全的技术方案对用户更友好。
子芽坦言,曾经悬镜认为这是自己踩过的坑,选择了一条更困难并且布满荆棘的道路前行,但现在看来,它已经成为了悬镜安身立命的技术优势。正是拥有自己的原创技术路线和长期技术沉淀,给了悬镜安全强烈的自信。
子芽表示,无论是从国家还是从行业的角度,关键核心技术都不能受制于人,安全从来都是有国界的。中国在几千年的华夏文明里,沉淀出了自己的经济和工业发展体系,与世界经济体系既深度融合又自成体系。悬镜也一直努力以创新的技术驱动方案和产品更深地跟随国家整体战略,更好地走向世界。在今天的DevSecOps敏捷安全赛道上,能为国发声,输出我们国家自己的技术标准。