在听完行业老炮们的分享后,最近两篇创业者访谈我们将目光关注到行业中那些青年创业者身上,去倾听他们从学生身份向安全从业者,再向安全创业者转变的心路历程,他们作为新一代安全从业者的技术理想以及对安全这个行业的洞察和思考。
本文的主角是安全圈新晋网红——北京边界无限科技有限公司的创始人兼CEO陈佩文。日前,边界无限刚刚宣布连续完成了天使+和PreA轮融资,其豪华投资人阵容中既有繁星创投下的红花繁星网安天使基金,也有扎根安全产品的元起资本、晨晖创投和璟泰创投,两轮融资总额在数千万级别。
除了资本的火热关注外,在前不久刚刚结束的由腾讯、奇安信和360组织的三大安全创新大赛中,边界无限均取得了令人瞩目的成绩,得到了安全业界和用户层面的一致认可。边界无限,实则风光亦无限。
图/边界无限创始人兼CEO陈佩文
启蒙:从《黑客X档案》读者到安全从业者
在陈佩文自己看来,他认为自己属于安全业界中的草根创业者,从业经历被他云淡风轻地提及,似乎相比其他创业者自己的身上好像缺了一些“明星光环”,但实则在他的娓娓叙事中,我们还是听到了许多令其他年轻安全从业者们羡慕不来的标签。
和很多年轻人一样,陈佩文的技术梦想始于那本传奇的杂志《黑客X档案》。早在2006年读初中的时候,陈佩文不经意间买到一本《黑客X档案》,书中纪录的那些黑客趣事,还有那些入侵网吧计费系统的操作指南、在游戏中一键开挂的隐秘技术分享,点燃了他对安全技术的向往。
在分享年少时对这本杂志的痴迷时,陈佩文谈到:“这本杂志在一些小书摊上你是买不到的,得去专门找那种‘隐蔽’的地方买,对于渴望学习黑客技术的人来说,这本杂志带给大家的不只是黑客技术,更多地还有黑客文化。但后来蛮令人遗憾的,杂志停刊了,只好转去看电子版和论坛。”
年少时期的陈佩文将大量的课余时间和精力都扑在了学习和实践安全技术上,得益于这份对技术的热爱,高中时期他在安全研究方面已经小有成绩,在许多计算机技术相关的比赛中都曾获奖,其中成绩最好的一次是在高中NOIP信息学奥赛中拿下了省级奖项。
图/学生时代专心打比赛的陈佩文
大学时期,他更加忙碌于各大网络安全竞赛的赛场,同时也与让他与国内那一批顶尖的网络安全竞赛选手结下了深厚的友谊。
值得一提的是,陈佩文在一次打比赛的时候幸运的结识了带自己进入网络安全行业的领路人——TK教主。后面发生的一切就更加顺理成章,即将毕业,在陈佩文向TK提到正在找一份实习工作的时候,TK告诉他:“来吧”。
就这样,陈佩文顺利地进入了腾讯七大安全实验室之一的玄武实验室,正式迈入了安全行业,也正式开启了他的“开挂”人生。
转身:从研究员到甲方安全负责人再到创业
陈佩文回忆,在玄武实验室期间研究员们一般都会被赋予多重使命,一半对内,一半对外。
首先,对内是要深入到腾讯自身的业务中去,给包括腾讯云、微信、微信支付、游戏等多个业务单元,围绕安全、业务合规以及用户隐私保护等一系列方向做好技术支撑。在对内的这部分职责下,陈佩文收获了许多与业务部门协作的经验。
对外则是给每一位研究员留下充足的时间和空间去做安全研究工作,在安全研究员的角色下,陈佩文与玄武安全实验室的伙伴们一起在云安全架构、云安全防护方面做出了大量研究相关的成果,将云底层架构到云应用业务中可能存在的安全问题进行了系统性的梳理。同时,在当时不断爆发的第三方开源库漏洞事件的影响下,他还主导了对第三方开源库的安全研究工作,这也为后续陈佩文创办边界无限,专攻云原生安全和应用安全领域打下了扎实的技术基础。
可以说,陈佩文在腾讯玄武实验室的2年中收获颇丰。很快,他迎来了自己在安全行业中第一次身份的转变。
图/陈佩文在腾讯玄武实验室期间
2017年底,各行各业均加强了对安全的监管力度。很多企业开始设立安全负责人的岗位,增强风险管控能力。不久后,一位好友找到了陈佩文,盛情难却之下,他便答应了下来。他也完成了从安全研究员到甲方安全负责人的角色转变。
在谈到这部分工作经历的时候,陈佩文分享了自己最引以为傲的一个故事。
安全从来都是不容小觑的头等大事。在这家甲方企业担任安全负责人期间,他除了要负责整体集团的安全体系化建设外,同时还要做好业务反欺诈方面的安全工作。
他谈到,刚刚去做安全负责人时,这家公司的风控模型效果一般,反欺诈能力有待提高,对整个公司的业绩都有很大影响。面对这一历史问题,陈佩文对公司整体业务流程进行了详细的梳理后,选择另辟蹊径,逆向代入安全思维试图从弱口令的角度着手解决这一问题。
用通俗的话说,陈佩文先是利用哈希算法将历史数据库中所有的弱口令用户都扒了出来,标注为“安全意识一般、较差的用户”,同时再将那些“安全意识较强的用户”筛选出来,此时通过与实时注册用户数据进行比对,那些在短时间内连续出现2-3次的密码组合,就会被识别为高风险用户,甚至会这套风控模型直接标注为“黑产团伙”。
从逻辑上分析,黑产团伙内部往往也会采用一套标准的操作流程,黑产团伙或许能够采用一些如随机位置信息、随机新用户身份信息等手段来绕过风控机制的检测,但为了方便管理,密码是黑产团队常忽略的随机点。黑产团伙可能会设置一系列复杂的密码来重复的使用,通过对强密码的关联分析,就能够追踪到其背后黑产团伙的关联关系。
顺着这样的一条思路,陈佩文很快做出了一个全新的风控模型,将恶意欺诈直线降低了50%左右,最大程度地掐灭了潜在的欺诈风险,让业务部门拍手称赞。
随后的两年中,陈佩文结合在玄武实验室的工作经验,为新东家全面搭建了自身的安全防护体系。到2019年底,在公司的安全建设逐渐走上正轨后,陈佩文有些按捺不住了。作为一个闽南人,“单干”的决心似乎一直都存在,但某一瞬间,正式被点燃而一发不可收拾。
创业:迎接新一阶段的使命与挑战
“跟一些业内的朋友聊的时候,突然发现自己好像进入了一个按部就班的舒适圈,从我个人性格上来看,还是喜欢去做挑战性强的事情。所以创业是自然而然。爱打拼也是福建人骨子里的一种文化。”
陈佩文坦诚地告诉我们,在刚从上一家公司转身离开时,唯一确认的事情是要创业了,但在具体创业做什么的问题上,网络安全行业并非排在第一位。但经过一段时间的思考后,最终还是决定创办一家安全公司,投身自己最擅长的领域。他强调,做安全是他的初心和热爱,一如少年时。
他谈到,从2019年开始,所有安全从业者都开始看到安全行业正在迎来一些新变化。在网络攻击不断升级、网络安全提升为国家战略的背景下,中国政企用户的安全意识不断提升,对安全类产品的需求日渐上升,网络安全支出也在显著增加。频发的安全事件更是提高了对网络安全防护的要求,加速了行业新场景、新技术、新模式下的安全需求。
在这样的大环境下,安全行业开始从合规市场想实战攻防和结果导向转变。“过去的安全行业我们认为是一个销售型和关系型的合规市场,但在结果导向的市场下,技术人员迎来了自己的机会,大家能够凭借自身的技术和能力走到用户面前,让用户看到自己的独特价值,最终用户也愿意为此买单。”
在拜访用户的时候,陈佩文也得到了十分积极的反馈。一些互联网头部的企业同样都感受到了风向的变化。甚至还有用户明确表示:“攻防演练行动已经改变了甲方的决策逻辑,过去大家更多是过清单式采购,先对照合规要求过一遍,缺什么买什么。但现在大家才会真正考虑效果的维度,防不住怎么办?哪些东西才是真正有用的?”
用户的反馈也再次印证了陈佩文心中对行业的预测和判断,边界无限这家公司也正式成立了。
图/边界无限团队部分成员合影
破局:面向用户刚需重新寻找创业方向
用陈佩文自己的话说,三年前的边界无限如同刚启航的一叶小舟,向着许多未知的激流和险滩在前进的道路上航行。
诚然,在一家创业公司成长的道路上,困境永远不会缺席。陈佩文回忆道,2019年底的时候拉来了几位曾经的同事和朋友,本着一腔热血说干就干的心态成立了边界无限。但未曾想,公司刚一成立就迎头赶上了2020年的疫情,在接近4个月的时间里公司没有接到任何业务,自己花钱埋头搞研究成为了大家唯一的乐趣。
不过,对陈佩文来说,疫情的阻碍只是一个小小的插曲。真正令他感到痛苦的还有另外一个难题,随着时间的推移,他发现公司的整体方向似乎过于理想了。
他谈到:“最早我们在构思整体方向的时候,是想要围绕云安全平台来做一系列安全产品,为用户提供云端的安全能力,也在围绕这个方向去研发产品。但后面在对一些目标用户的走访中才发现,这一个思路并不是那么正确,很多用户也认为未来云安全应该是由云厂商来提供的能力,一家初创企业很难在云安全中找到机会。”
陈佩文被用户说服了,那边界无限的未来方向在哪里呢?沉默了一段时间后,他决定带着团队一起扎到攻防演练活动中,通过一场场硬仗来让用户看到边界无限的技术能力,同时去到用户一线看一看,从解决一个刚需和痛点问题角度去寻找公司未来的方向。
三个月后,RASP技术、云原生安全和应用安全几个标签与边界无限牢牢绑定在了一起。
在用户的攻防实例中陈佩文看到,大量的漏洞未修复甚至无法修复、内存马攻击无法检测防御、第三方软件供应链调用关系复杂仍然是最普遍的问题。这些安全问题都发生于应用内部,但广大政企用户仍然在采用传统边界防御的手段,应用内生安全的基因并未被激发,因此边界无限很坚定地选择了应用安全与云原生安全的赛道。
他谈到,“我们的核心洞察是,应用是云原生的未来,那么应用安全的重要性自然不言而喻。当前IT基础架构在持续迭代,唯有应用从始至终贯穿整个架构变革,对应用的防护不但不会停滞,还会迅猛增长,因此应用或将成为未来用户唯一需要自行保护的内容。这也意味着,应用安全将成为云原生时代的重要需求。作为运行时安全技术的典型代表,RASP技术有着天然的优势,是云原生时代加强应用安全防护的创新解决方案,甚至可能带来颠覆性的影响。所以我们虽然也会觉得RASP实现的难度很高,但最后我们还是坚持认为,RASP是真正能够解决问题的路径。”
图/边界无限发布首款产品靖云甲
革新:以RASP技术为应用注入“免疫血清”
当前,多数应用都依赖于像入侵防护系统(IPS)和 Web 应用防火墙(WAF)等外部防护。WAF部署在Web应用前线,通过对HTTP/HTTPS的有目的性的策略来达到对Web应用的保护,在HTTP流量到达应用服务器之前对其进行分析,但是基于流量的检测分析手段容易被绕过。相比于传统基于边界的防护产品,RASP不需要依赖规则。
陈佩文介绍,RASP 以探针的形式,将保护引擎注入到应用服务中,就像“免疫血清”一样,随应用程序在本地、云、虚拟环境或容器中进行部署,全面掌握应用内部上下文之间的联系,这样可以构建应用安全程序的深度防御体系,尤其是在面临未知漏洞的前提下,也将是较优的选择,弥补了当前市场在产品应用层的空白。
针对性防护应用行为上的攻击,RASP可以做到以下几点:
一是资产梳理。帮助用户从安全角度构建细粒度的应用资产信息,让被保护的应用资产清晰可见。提供数十种应用中间件的自动识别,并主动发现、上报应用的第三方库信息,实现对应用安全性的内透。
二是内存马防御。通过建立内存马检测模型,以Java语言为例,利用 Agent 周期性地对 JVM 内存中的 API 进行风险筛查,并及时上报存在风险的信息,帮助用户解决掉埋藏内存中的“定时炸弹”。
三是漏洞管理。帮助用户精准发现应用漏洞风险,帮助安全团队快速、有效地定位和解决安全风险。主动采集第三方依赖库库信息,并与云端漏洞库进行比对、分析,识别出应用存在的安全隐患,从而缩减应用攻击面,提升应用安全等级。
四是入侵防御。帮助用户防御无处不在的应用漏洞与网络威胁。结合应用漏洞攻击免疫算法、安全切面算法及纵深流量学习算法等关键技术,将安全防御能力嵌入到应用自身当中,为应用程序提供全生命周期的动态安全保护,显著地提升企业的安全运营工作效率。
时机:Log4j漏洞爆发推动RASP持续升温
2021年12月,Apache Log4j 开源组件在业内被曝出严重漏洞,被认为是“2021年最重要的安全威胁之一”;2022年4月,Spring 开源应用开发框架也被爆出了一个严重高危漏洞,其波及范围之广再次引发各界对开源组件0Day漏洞的担忧。多个0Day漏洞的相继爆发让RASP技术迅速成为了网络安全行业的热议技话题,RASP技术的市场关注度也得以持续升温。
谈及对Log4j漏洞事件对RASP市场的影响,陈佩文表示,“在刚决定做RASP的时候我们就认为,未来一定会出现一些通过WAF无法解决,但RASP能够有效解决的0Day漏洞。Log4j漏洞事件的爆发比我们的预期来的要更早了一些,但恰好我们的靖云甲产品已经在一部分用户的系统中上线并证明了它的实际价值,这也让业界将目光转移到了边界无限的身上。”
但他同时也强调,边界无限最终的使命并不满足于使用RASP技术帮助用户实现防御0Day漏洞攻击这件事情上。RASP技术只是一个起点,最终边界无限的目标是构建云原生时代的安全基础设施体系,解决云上应用运行时安全的整体问题,让用户无论是面对0Day漏洞攻击、内存马注入攻击类的已知和未知安全威胁,还是API安全还是数据安全问题都能够高枕无忧。
针对未来RASP发展趋势,陈佩文也谈到了自己的看法。他表示,从甲方的视角去看待安全建设过程的时候能够发现,从物理安全、机房安全、硬件安全到主机安全,安全建设较早的用户基本上已经做完了,但应用安全仍然是摆在甲方用户面前的一个“黑盒”。现实告诉我们,这个黑盒子必须在下一次0Day漏洞大规模爆发前被打破,否则势必会引起整个IT行业的又一次震荡。
所有安全技术的兴起其实背后都是有一些安全事件在推动,值得庆幸的是,Log4j已经为大家拉响了警报,让用户们看到了RASP的价值所在。
“在Log4j漏洞爆发后,头部的一些公司和行业已经表现出了他们敏锐的嗅觉和前瞻性,提前规划和布局RASP技术。我们能看到包括四大行都在开始落地RASP技术,头部的互联网企业像阿里、华为也都在自研RASP,这已经足以说明这项技术的实用性。如果下一次0Day漏洞爆发时,大家会突然发现,走在前面的人已经通过RASP的技术手段拦下攻击,腰部的公司就会快速跟进。所以我们相信,RASP市场的繁荣只是一个时间问题,应用安全是所有企业无法绕过的一个难点。”
前瞻:RASP逐渐成熟 ADR需求正在被激发
诚如上文,Log4j2等0Day漏洞的爆发让RASP技术成为网络安全行业的新晋网红,而随着网络攻防实战化、常态化的深入,RASP技术的市场关注度持续升温,同时基于RASP技术的ADR应运而生并迅速被市场侧关注甚至认可。
基于多年的攻防实战经验与对技术创新的执着,边界无限率先实现了基于RASP技术的靖云甲ADR(Application Detection & Response)产品的落地,并在功能和性能上领先于其他竞争对手,可以说是在这场竞赛中抢到了杆位。“杆位这个词是F1赛车领域的术语,是指在方程式赛车比赛前,排位赛成绩最好者(单圈最快)获得排在全部赛车最前面的位置,这就是杆位。”陈佩文表示,“不是最先发力的注定成为最终的胜利者,一款产品的成功,技术实力和时机都很重要。在RASP技术提出到成熟的周期中,边界无限虽是后发但却先至,在RASP技术成熟度上独树一帜。一系列0Day漏洞的爆发,网络攻防实战化、常态化的趋势,边界无限在攻防领域的深厚积淀以及广大政企客户的逐步认可,让边界无限推出靖云甲ADR拥有了天时、地利、人和的优势。”
除了对RASP技术的需求,安全业界也乐见对应用安全的防护加强检测与响应能力,ADR这一新的安全赛道也水到渠成。将安全插件加载到应用中,可以抓取到更精细的应用数据,不单单包括完整的通信数据,还包括应用程序具体内部执行的行为。既然拥有这一特性,陈佩文表示,随着云场景的细化要求,和客户方对此类技术接受度的提高,植入应用的安全插件也应该帮助甲方解决更多问题,这给靖云甲ADR带来了广阔的施展空间。
对比国际厂商,边界无限靖云甲ADR拥有精准细化的资产清点、紧跟形式的安全研究、海量可靠的漏洞运营、轻量无感的性能损耗等优点,尤其是在应用资产管理、供应链安全、API资产学习层面,其表现优异。靖云甲ADR跨IT架构统计应用资产,实现安全能力同步管控,为应用提供安全风险评估;动态采集应用运行过程中的组件加载情况,快速感知资产动态,全面有效获知供应链资产信息;自主学习流量+应用框架,具体来说,靖云甲ADR会通过插桩对应用内部框架定义的API方法以及应用流量进行API全量采集,同时利用AI 检测引擎请求流量进行持续分析,自动分析暴露陈旧、敏感数据等关键问题。
以广大政企客户十分关注的API资产管理为例,边界无限靖云甲ADR的优势凸显。
API作为业务资产具体的承载,通常将成为安全团队重点关注的关键资产。靖云甲ADR通过插桩对应用流量进行全量采集,利用AI 检测引擎对请求流量进行持续分析,从而实现对API资产的自动发现,实现API资产的可观测性。同时,靖云甲ADR AI检测引擎会对API的参数及请求头等关键内容进行风险评估,为API安全优化提供辅助性的策略。此外,靖云甲ADR通过建立自主学习模型,实现API的自动发现,漏洞挖掘;自动生成API访问策略,通过调用追踪的方式建立可视化的API风险见解,为API提供实时防御。
内存马是无文件攻击的一种技术手段,攻击者通过应用漏洞结合语言特性在Web系统注册包含后门功能的API,并且此类API在植入之后并不会在磁盘上写入文件,代码数据只寄存在内存中,给传统的安全设备检测带来巨大难度。这令广大政企用户在网络攻防演练及实际网络攻击中倍感头疼。攻击者利用无文件的特性可以很好的隐藏后门,利用包含后门代码的Web API来长期控制业务系统以及作为进入企业内部的网络跳板。
边界无限靖云甲ADR采用“主被动结合”双重防御机制,对外基于RASP能力对内存马的注入行为进行有效防御,对内通过建立内存马检测模型,通过持续分析内存中存在的恶意代码,帮助用户解决掉埋藏内存中的“定时炸弹”。针对内存中潜藏的内存马,靖云甲ADR提供了一键清除功能,可以直接将内存马清除,实现对内存马威胁的快速处理。靖云甲ADR还可以通过主动拦截+被动扫描,有效阻断内存马的注入;对已经被注入的内存马提供源码和特征检测信息,无需重启应用即可一键清除。这些都在业界处于领先水平。
软件供应链管理是广大政企客户关心又一重要课题,尤其是之前DevSecOps的火爆,业界投来了更多关注的目光。然而,在DevOps领域,一旦进入运行时安全防护,传统技术几乎无能为力,这就迫切需要基于RASP的ADR方案。靖云甲ADR基于动态捕获技术,自动收集并展示应用运行过程中所加载的组件库,并提供组件库路径等细粒度信息。在供应链出现严重的漏洞时,靖云甲ADR可在庞大的资产中快速定位到组件使用情况,从而加强对供应链管理能力,并赋予软件供应链以运行时安全能力。
“随着应用安全与云原生安全市场需求的释放,以及人才梯队的建立,边界无限将以RASP为起点,以ADR为里程碑,坚定地向CNAPP迈进。”陈佩文表示。