云科安信陈思:数字时代 需要对全域风险做感知、度量和处置

首页 / 业界 / 人物 /  正文
作者:安全419
来源:安全419
发布于:2023-09-07
当数字化成为新的时代基调,数字世界与社会、经济全面连通,数字世界的边界已经逐渐消亡。安全厂商和用户们开始认识到,威胁只能防治却始终无法消灭,甚至用户必须与风险共存,通过一个更大的体系化框架,将关注的视角放大到风险本身,去考虑如何让风险整体可控。
 
2023CCS大会上,立足于风险管理领域的北京云科安信科技有限公司COO陈思做客大会独家战略合作媒体安全419采访间,就云科安信的战略选择、产品规划做出分享,并观察探讨安全趋势变革。
 
访谈主持:安全419创始人 张毅
访谈嘉宾:云科安信COO 陈思
 
以下为本次访谈实录:




安全419:
攻击面管理在近年来作为非常热门的赛道,同时也饱受资本青睐,但我们了解到,云科安信在今年作出了全新的改变,跳出攻击面管理领域,对外发布新产品矩阵,迎来新晋高管……请问为什么会做出这样的选择?
 
陈思:
是的,如您刚才所说,我们今年确实有高管加入,曾任奇安信解决方案中心高管的张晓兵已加盟云科安信,担任首席战略官一职,我们在今年一季度对外宣布战略升级,由“攻击面管理”升级为“风险管理”。
 
在数字化转型的大背景下去看待网络空间中的风险,其范围已经被明显扩大,所有的风险都将以数字化的方式来呈现。曾经聚焦于IT侧的风险,我们采用攻击面管理进行对抗,但我们认为,IT侧的风险不是企业的唯一风险,也不是一个组织或者一个企业的终极风险,于是我们从IT侧往上走了一级,看到了业务侧的风险,再往上走一级,我们认为风险的最终体现方式应该是组织侧的风险,即为“全域风险”的概念。因此,云科安信的解决方案意在覆盖全域风险,包括IT侧、业务侧及组织侧。在今年7月11日,我们举办了产品发布会,发布了「信息图鉴」产品矩阵,对全域数字风险做感知、度量和处置。
 
这是我们目前给企业自身的定位,我们是一家从实战攻防视角出发,以风险为核,做全域数字风险管理的安全厂商。攻击面管理之于全域数字风险管理,只是风险感知-度量-处置整套逻辑中的一个支点,我们在去年发布攻击面管理产品的时候,已经有了非常清晰的方向,我们希望做全域风险管理,于是后来的产品矩阵会朝着这个方向拓展。
 
安全419:
基于云科安信的战略升级和新品发布会,请跟大家介绍一下产品矩阵拓展的具体情况。
 
陈思:
云科安信设计产品有自己的一套方法论,基于我们实战攻防的定位,首先提出了Defensive Security,即“防御前置”,它不同于传统安全理念下谈到的Protect,这是两个概念;第二个维度叫做Offensive Security,意为反制,它不同于曾经业界所说的溯源;第三个维度着眼于Intelligence,其指的是概念和范围都更广的开源情报,而不是仅仅是威胁情报;最后我们认为应该去关注Scenario,即场景
 
这套公式正是我们产品的设计理念,在其指导下,我们自主研发了一系列产品,如朝天数字风险攻击图鉴系统,对应Offensive Security,从源头上锁定攻击目标;又如白泽数字风险资产图鉴系统,全面度量资产变化与风险;宪章攻击模拟与自动化验证引擎,对应Defensive Security,能够快速识别攻击并进行验证;对应Intelligence的开明数字风险角色图鉴系统,提供全面的威胁情报、开源情报信息支持,等等。
 
我们目前一共发布了六款产品,将其串联起来可以帮助用户回答——谁攻击了我,是怎么攻击的,这个攻击是否有效,有没有风险路径,如果遭受攻击的话应该怎样去处置,以及如何应对人员和组织上的风险。实际上,我们一共设计了九款产品,根据公司的战略部署,剩余的三款计划将在明年与大家见面。
 
安全419:
您怎么看待云科安信在产品规划以及商业模式上做出的改变,跟依然卷在攻击面管理赛道中的友商有何不同之处?
 
陈思:
我们是一家创业公司,在目前国内的安全背景下,一家创业公司如果想要存活,我们认为有一个关键点,就是创新能力,不仅是产品创新、技术创新,还有商业模式的创新。
 
我们清晰地定位了要做全域风险管理,而攻击面管理只解决了风险感知-度量-处置闭环中度量这一个环节的问题,对于用户而言,仅仅发现风险只会增加焦虑,我们还必须帮助用户溯源并反制。我们在对外宣传的时候多次提到这样一个理念——认知是安全的尺度,当我们可以把认知提升一个维度,把对于安全尺度的认知进行扩大,那么至少,我们的认知范围或者我们的防御范围可以和对手去做一个重合。
 
从Gartner的技术曲线来看,单独的攻击面管理在国内市场也是一条独立的赛道,近年来,有这么多厂商涌入,并且大厂也在布局,相信是看到了市场的机会。从不同维度来看,首先,客户的需求是机会;其次,客户愿意花多少预算在攻击面管理上是机会;最后,也是最重要的,攻击面管理是在较前端回答了用户“有没有风险”“风险在哪里”“风险程度几何”等问题,俗话说“管杀也要管埋”,感知、度量风险之后的处置也是息息相关的。在我们的市场实践中,确实有很多客户在使用白泽攻击面管理产品发现、梳理完他们所有的攻击面,并且按照弱点优先级看到风险路径后,都会问,到底应该怎么办。
 
后续处置的环节,一定是以生态的方式来解决的。落地到生意的层面,我们有自己的专长,我们愿意将自身擅长的地方做精,同时我们和很多安全友商都保持着合作关系,取各家之长,大家联起手来共同做出优质的解决方案。安全行业向来内卷,如果大家抱团,形成整体的解决方案,一起在行业中去卷,力量还是蛮大的。
 
再说商业模式,攻击面管理的目标客户比较分散,很多人都会问我们的行业客户到底是谁?我们认为这取决于一个公司的定位,2018年公司成立的时候,我们并没有想着要先去拿下头部大客户,因为在当今的大环境下,安全不应该只是一小波用户或者专业领域的事情,安全其实已经和所有人都息息相关了。既然我们是做实战安全的,我们有能力,也希望能够触达更广泛的客户群,这是云科安信当时给自身的定位。
 
这就影响到了我们的商业模式,在探索如何更广泛触达客户的时候,我们将攻击面管理产品以SaaS服务的方式进行落地,通过标准化、轻量化的交付让使用变得简单,希望让一个完全不懂安全的小白,可以通过我们的赋能变成一个专业大咖。
 
在长期的实践过程中,我们也没有忘记初衷,要不停地创新。我们从IT侧的风险开始外延,探索更多的可能性,比如,我们尝试了跟法务律所展开合作,不再面对科技部门,而是转向风控部门、法务部门,甚至是审计部门,更加关注组织侧的风险。律所服务许多B端客户,为其提供包括诉讼和非诉讼的法律咨询服务,我们基于律师对于法律条例的解读,包括他们在法务界的一些专长,结合开源情报、攻击面管理等安全领域的核心技术形成了针对法律行业的解决方案,塑造了新的合作点。类似地,我们还跟游戏行业、互联网行业等探讨了新颖的合作模式。
 
我们一直在探索跳出IT圈子的可能性,实战安全讲究创新,而IT届的从业人员都非常聪明,在这个人才聚集的地方,我们完全可以在商务逻辑上发挥自身的禀赋,去碰撞出更多的爆发点。
 
安全419:
作为跳脱攻击面管理领域,进入更高维度的云科安信,公司的生存状况怎么样?
 
陈思:
云科安信从2018年成立,我们经常自我吐槽时运不济,因为公司刚刚运营一年就遇到了疫情。毫无疑问,疫情对于整个产业的发展造成了很多负面影响,但是我们在这几年的发展状况还是非常好的。我们在过去三年完成了Pre-A轮、A轮、A+轮和A++轮的融资,并且每年的营收增长率都保持在2到4倍。
 
很多人说,云科安信实现了逆势增长,但其实所有的创业者、所有的公司都知道,从来都没有逆势增长这么一回事,可能只是因为我们在当初创业的时候,看对了方向,我们预判的趋势如今变成了现实。当然也有一些小小的运气,碰到了很多支持我们的人。目前总结来看,我们依然还是一家创业公司,和其他很多大厂相比,在规模上、资源上都无法企及,但是我们对公司的未来还是充满信心的。