这家公司是永安在线,它曾经还有一个大家更耳熟能详的名字——威胁猎人。过去几年,他们的身影总是穿梭在风险情报、业务安全的版图上,以至于很多人以为他们是启动了一场战略转型,直接空降到API安全的阵地。
但永安在线的CEO毕裕(业内人亲切地称为“老毕”)告诉我们:“业务层面的安全,其底层逻辑就是API的安全;基于底层情报能力的积累,才能精准感知并阻断、溯源API面临的风险。”
这个阐释,或许跟如今热闹的市场中人们对于API安全的认知有些出入,老毕却强调,“API风险正在重塑很多客户的安全意识,未来半年,是大家对API安全的理解对齐的阶段。”
说起来,这位1987年出生的安全创业者,在三十而立的年纪辞去了头部大厂的稳定工作,自立门户,不出几年已被业内人唤作“老毕”。或许,一个人的历程并不完全等同于时间的长度,更在于经历的浓度,老毕不老,但老毕从业十多年的旅程和他对于行业的思考,依然值得跟大家好好唠一番。
永安在线CEO毕裕(老毕)
兴趣是最好的向导 能力和时机在创业中缺一不可
安全行业的创业者们的成长路径,大致可分为两种,一种是学院派,科班出身,一路打怪升级,这在年轻一代的新兴企业中占比已经越来越多。一种是野生派,或兴趣使然,或半路出家,机缘巧合地走上这条道路,更多见于安全尚不完全成体系的早年间。
而老毕,则是年轻一代中的野生派。
“我从来都不是一个传统意义上的‘好’学生”,老毕说,整个上学念书的阶段,即使在小地方的普通学校的普通班级里,他的成绩依然是倒数的。但他是一个“有重心”的孩子,很早就知道自己喜欢什么。大约从小学二、三年级起,就开始鼓捣编程一类的东西,到初中,已经能够靠着自学的手艺做网站赚钱了。
年轻人初尝财富总是自傲的,老毕一度觉得上大学可能也没什么意思,读书毕业出社会不还是为了赚钱嘛。转折点发生在高三,他无意中阅读了一本名为《清华制造》的书,讲述了几位清华学子组团进行自主创业最后成功创办软件公司的真实故事。
老毕的世界好像被打开了一扇窗,他发现,“嚯,原来人生还可以这样过。”
身处东北的老毕开始对大城市、对遥远而发达的南方产生向往,想走出去看看的信念驱使他发奋学习,最终考到湖南的大学,念着跟安全并不相关的专业,并且延续着自己敲代码、做网站的小生意。
直到大四的时候,他结识了一位从绿盟科技出来的大哥,他的书架为老毕打开了第二扇窗。
“我从他那里看了很多关于安全的书,漏洞挖掘、逆向分析等等,很多知识在我以前曾浅显地接触过。”兴趣火种被点燃,老毕一头扎进了安全的汪洋,一边汲取,一边在专业论坛上发表研究文章。金山软件的高管关注到他的输出,并向他抛来了橄榄枝,老毕就此真正踏入了安全行业,在一个更南方的城市——珠海,开始了自己的安全之旅。仅一年后,老毕跳槽进入腾讯,他形容深圳是一个充满活力的、更加开放的地方,满足他“想走出去看看”的想象。
这或许也是野生派的特质,他们天生不安分、不拘于现状。
彼时正值3Q大战结束,老毕在腾讯并没有从事病毒检测、木马防御这类偏传统的安全工作,而是QQ账号的安全。在整个API架构之下,营销体系的业务逻辑的承接点就是一个个账户,老毕所在的团队非常直白地叫做“打击恶意组”,对抗的就是各类营销业务活动中的欺诈行为。
四五年时间,移动互联网在迅猛壮大,依托于腾讯这个业务广泛、场景丰富的平台,老毕见识了黑灰产的种种手段和步步升级,也修炼了层层打怪心经。后续,他前往硅谷和台北,在猎豹移动短暂从事过海外移动互联网安全业务的开拓,然后回到深圳,自己创业了。合伙的兄弟,大部分来自腾讯,最初的天使投资,来自猎豹移动。
创业,当然不是一拍脑门决定的事,老毕说,种子一直在心里,时候到了,就发芽了。
他瞄准的正是自己最擅长的业务安全领域,但切入的姿势跟传统的风控体系并不一样。风控是基于规则引擎来判定一个行为是否合法,老毕给我们举了一个例子,如果有一个QQ账号,一登录立马就去查询了Q币余额,紧接着进行了一笔消费,这个操作乍一看就很有问题,太像恶意消费了。那是不是就应该写一个规则,触发如此业务请求行为就进行限制或阻拦?
但事实上,确实会有一些真实用户,他当时登录QQ可能只是为了给女朋友充一个黄钻。世界如此多元,非黑即白的规则是很难精准地回答和解释五花八门的用户行为的,业务的差异性必然导致风控引擎的有效性大大降低。
另一方面,风控系统的运营成本很高。因为每个企业的业务场景都有其特殊性,产品之外必然需要大量的人力和服务去不断调整优化规则,以适配每一个具体业务的开展,毕竟,最了解客户业务的人永远是客户自己。
这是过去每天都深陷业务场景的经历教给老毕的经验。不仅是腾讯,他也曾经给B站和Musical.ly(2017年被字节跳动收购)做过安全咨询,毫无疑问,业务安全是大家普遍面临的问题,但是并没有特别有效的通用产品可以快速解决,也并非每个公司都有资源和能力自研自建一套安全体系。而随着移动互联网应用继续普及,线上业务场景更加常见便捷,安全缺陷是不可能被忽视的。
老毕嗅到了机会,刚好还揣着一身技能,他觉得,那个「时候」到了。
三年潜心积累情报能力 为业务安全的解法打开新的思路
那是2017年,拧开业务安全大门的钥匙应该是什么,老毕给出的答案是「情报」。“我们一开始就否定了基于规则引擎的解决方式,跟千变万化的业务场景去掰扯,永远没有精确的尺度。而业务风险情报最大的特点,就是跟场景不相关。”
据其解释,无论是账号、IP地址、手机号、设备、自动化工具等等维度的因子,只要被打上了恶意的标签,它就是黑灰产团伙持有的、可能会进行攻击的资源。老毕想提供的,便是这样的一个标准化的情报库,它具有较好的可解释性和很强的易用性,只要恶意资源出现了,无论在什么样的业务场景下,都可以直接进行判定,并通过实时更新的数据,去全面覆盖已知和未知的风险威胁。
创业的头三年,老毕只做了「情报」这一件事。
“想要构建一套标准化的业务安全解决方案,底层情报能力一定得是非常强悍的,对于情报维度的覆盖、风险识别的全面和精准度、数据量级的积累等等,都需要技术和时间的沉淀。”这也是老毕认为的核心壁垒所在——每一步的跋涉和积累而来的情报能力,是别人盗不走也不能快速去超越的。
在2020年下半年,他们将情报能力进一步下沉,推出了自己的业务风险感知系统,能够从API层面去发现识别并阻断业务活动中的风险威胁,正是依靠这套情报体系建立起的API安全基线。
安全投入需要基于共识 API安全的价值将逐渐得到印证
让我们特别好奇的是,API并非新生事物,为什么好似突然之间,就成了业界普遍关注的重要安全问题,并顺势带火API安全赛道。
在数字化的业务活动中,种种服务都是通过API进行交互,API被广泛使用,正在成为整个IT架构中的重要基础设施。但是,老毕强调,面对API架构,之所以需要一种新的安全产品,核心并不在于API架构变得更加复杂,API被更多地使用,而是API架构下面的风险类型是全新的风险挑战。
他为我们列举了近年来一个较为典型的API安全事件——国内某大型社交平台5.38亿用户数据泄露。该平台一直提供查询通讯录好友昵称的服务,也就是说,用手机号注册账户后,授权平台读取通讯录,可以知道手机通讯录中联系人在该平台的基本信息。那么,地下黑产团伙便可以通过收集大量手机号,攻击用户查询API来反向收集平台的用户信息,关联捆绑后进行售卖。
显而易见,这种攻击不像漏洞利用等传统的攻击手段,攻击者的行为特征、路径会与正常的访问请求完全不同,因此可以通过规则去识别判定出攻击行为。如上述事件,在API架构之下,攻击请求和正常的用户请求,本质上没有任何差别,这就是老毕所言之「全新的风险挑战」——正常流量中的恶意攻击流量难以通过规则运营及渗透测试去发现,因此API风险的感知难度很高,进而更难以有针对性地阻断,传统安全产品对此力不从心。
永安在线所提出的基于情报建立API安全基线的方式,可以说是为业界提供了一种新的解题思路。首先,通过旁路流量分析,以持续动态的方式梳理API资产,做到只要API一上线或开始服务就能够被快速梳理出来。其次,借助情报的力量,可以从黑灰产的攻击流量或工具中提取出哪些API及业务正在遭遇攻击,如此一来,风险识别问题就得到很好的解决。与此同时,在对流量进行提取分析时,还可以识别出它们有别于正常用户的一些特征,例如编码的请求参数出现前后不一致的情况等等,这些都可用以提高风险识别的准确性。最后,基于情报去解释攻击的来源(如某个团伙或是某个自动化工具),进而可以帮助用户完成攻击溯源的工作。
当前,API安全赛道逐渐升温,竞合者们的快速入场让市场上的声音变得纷繁嘈杂。老毕的心态却非常平和,他认为,一个企业的技术基因将决定其产品的走向和公司的战略方向。
他将安全划分为底层的基础安全、中间层的应用安全以及上层的业务安全,但彼此之间并不意味着安全级别的高低。当我们站在API的视角去观察,一些企业出于自身原始能力的积累,比如擅长攻防,自然会更侧重关注API的漏洞、架构缺陷等,其未来的产品将在此方向上延伸,解决的是基础安全层面的问题。同理,还会有关注API安全网关、API资产流动等等方向的企业。
而永安在线自成立以来就聚焦于业务安全,将所谓业务拆解,在底层逻辑上就是API的安全,其通过构建强大的情报体系来解决API的风险识别、阻断及溯源,正是水到渠成的。业务安全关注的是用户交互过程中遇到的风险威胁,它频繁且多变,是目前黑灰产紧盯着的环节,也是绝大多数企业都会面临的场景,这也是永安在线所认为的长期巨大市场空间的所在。
因此,虽然定位于API安全的企业越来越多,但大家的产品逻辑、发展方向其实并不一致,赛道未来也一定是百花齐放的。
在老毕看来,他们的API安全解决方案目前正处于产品价值证明的阶段。“安全的投入是基于共识的”,老毕讲道,“随着API的大量应用,API风险事件的频繁爆发,用户会逐渐意识到所谓的API安全究竟是什么,也能够在具体实践中理解我们的安全思路和产品能力,以及与传统安全逻辑的区别。在这种大浪淘沙的过程中,API安全的定义将被正确书写,半年之内应该可以看到行业共识的建立。”
成为合格的企业家 要学会发现人才、成就他人
在交谈中,我们能明确地感受到老毕始终揣着一股子坚定,定位清晰,心无旁骛。但老毕同时也告诉我们,创业并没有可复制的完美模板,任何从0到1的事,都不可能是一帆风顺的。
这五年以来,最让其感慨良多的还要数如何从一个技术管理者成长为一个合格的企业家。
一开始,从大厂员工过渡到创业者,老毕觉得,只是身份变了,继续脚踏实地地干活就好。但是,当他肩负起一个公司的前途与发展,还需要依靠一帮优秀的人才来共同完成这份事业,技术管理者不擅长用人的短板就开始暴露。
老毕是这样形容当时的状态的,“看待下属好似一个个工具,机械地安排他们去完成一行行代码、一个个模块,项目变成了流水线,忽略了大家作为有血有肉的个体的思维与能动性,而我也因此极度容易陷入具体的细节中去纠结。”
在这种忙累的消耗中,老毕抽身回头,才发现,合格的老板不应该去剥夺员工努力尝试、发挥价值的机会,而是要学会放手,站在更远的一点的地方,把握好公司前进的目标与方向,找寻到在各个专业方向上比自己优秀的人才,认可他,并且去帮助他、成就他。
“对于我们这种目标驱动型的公司来说,人多并不代表效率高、价值大,我们需要着眼于目标本身,充分发挥人才的潜力和价值,依靠现有的资源去解决问题,而不是修房子垒砖头,把大家都定位成千篇一律的螺丝,最终分工不清晰、协同效率低下,也带不来良好的结果。”老毕说道,“时至今日,这仍是一个需要持续修炼的过程。”
长期看好市场潜力 将从API安全管理进阶到API综合管理
志同道合的人才的加入是企业成功的有利因素之一,在资本市场高度关注网络安全行业的今天,资本的力量,也在大规模地加速或改变企业发展的进程。公开资料显示,永安在线于2021年11月底完成了最新一轮5500万元融资,目前处于A+轮。这个节奏与金额,在资本大举进入安全行业的周期里,并不算特别抢眼。
老毕在此问题上展示出惯有的坚定,他表示,首先仅从资金的角度来看,对于技术创新型企业而言,资本的入场可以极大地帮助企业在前期的投入上加快节奏,减少商业上的顾虑,对于打磨产品是非常有帮助的。
另一方面,资本与企业是否意气相投,是老毕选择资方的一个重要考量因素,“我们愿意花很长的时间去沉淀自己的情报能力,再把它下沉到API层面,才能说我们有实力去帮助客户真正解决业务安全的问题。将军赶路,不追小兔,作为一个长期主义者,我们合作的资本机构也有着同样的价值观,可能在短期内看不到明确的财务回报,但我们认可这个事情的价值和未来巨大的市场空间,就会按照既定的节奏走好过程中的每一步。”
具体落实到产品的规划上,老毕的方向很清晰,API安全管理只是开局,接下来将在API资产梳理、API敏感数据管理、API缺陷识别以及API风险识别等几方面建立起能力上的优势,巩固企业的立身之本,并向着更全面、综合的方向去拓展。
“长期来看,我们将从API安全管理的基础上逐步拓展到API全生命周期的综合管理,在混合云架构成为企业普遍的架构模式的未来,API全生命周期综合管理这块市场大蛋糕必然是第三方供应商的优势高地,基于我们前期的积累,我们有能力去覆盖API从设计、开发、测试、部署、运营直到下线的全部过程,给客户提供包含安全在内的一整套产品和服务。”老毕说道。