随着API越来越多地承载企业的核心业务逻辑和敏感数据,也成为黑灰产团伙眼中的绝佳选择。现在API安全已经逐渐发展成为一个热门的细分领域,一家公司在5年前就决定在API的框架下提供一套标准化的安全解决方案。
这家公司就是永安在线,曾经有一个比较熟悉的名字——威胁猎人。在过去的几年里,他们的身影总是穿梭于风险情报和业务安全的领地,以至于很多人认为他们开始了战略转型,直接空降格到了API安全的位置。
但老毕告诉我们:“业务级安全的底层逻辑是API安全;基于底层情报能力的积累,我们可以对API面临的风险进行精准感知、阻断和追踪。”
这种解释可能与当今热闹的市场中人们对API安全的认知有些不同,但老毕强调,“API风险正在重塑很多客户的安全意识,未来半年将是大家对齐对API安全认识的阶段。”
说起来,这个1987年出生的安防企业家,30岁就辞去了大头厂的稳定工作,自己创业了。没过几年,他就被业界称为“老毕”。或许,一个人的旅程并不完全等于时间的长短,更多的是关于经历的浓缩。永远不嫌老,但是老毕从事十几年的历程和对行业的思考,还是值得和你好好聊聊的。
永安在线CEO毕宇
兴趣是最好的向导,能力和机会在创业中缺一不可。
安防行业创业者的成长路径大致可以分为两种。一种是学历、培训、升级的,新兴企业年轻一代占比越来越多。一种是野派,或者是因为兴趣,或者是半路出家,机缘巧合走上了这条路,在安全没有完全系统化的早些年比较常见。
而老毕是年轻一代的野派。
“我从来都不是传统意义上的‘好’学生,”老毕说。整个上学期间,即使是在小地方普通学校的普通班,他的成绩依然是最后一名。但他是一个有“重心”的孩子,很早就知道自己喜欢什么。从小学二三年级开始,我就开始摆弄编程之类的东西。到了初中,我已经可以靠自学技能做网站赚钱了。
年轻人第一次尝到财富的滋味时,总会为自己的财富感到骄傲。老毕曾经觉得上大学可能没什么意思。读书毕业走向社会还是为了赚钱。转折发生在高三,偶然看了一本叫《清华制造》的书,讲述了几个清华学生自己创业,最后成功创办软件公司的真实故事。
毕的旧世界似乎被打开了一扇窗,他发现,“哇,原来生活还可以这样。”
身在东北的老毕开始向往大城市和遥远发达的南方。他出去看看的信念驱使他努力学习。最后他考上了湖南的一所大学,学的是与安全无关的专业,继续着自己的敲代码做网站的小生意。
直到高三,他认识了一个绿盟科技出来的大哥。他的书架为老毕打开了第二扇窗。
“我从他那里看过很多关于安全的书,比如漏洞挖掘,逆向分析等。,还有很多我之前接触过的知识。”利益的火种被点燃,老毕一头扎进了安全的海洋。一边学习,一边在专业论坛发表研究文章。金山软件的高管关注了他的产出,向他伸出了橄榄枝。于是,老毕真正踏入了安防行业,在更南方的城市——珠海开始了自己的安防之旅。仅仅一年后,老毕就跳槽进了腾讯。他形容深圳是一个充满活力、更加开放的地方,满足了他“想出去看看”的想象。
或许这也是野派的特点吧。他们天生焦躁不安,不关心现状。
当时3Q大战末期,老毕在腾讯从事的不是病毒检测、木马防御等传统安全工作,而是QQ账号的安全。在整个API架构下,营销系统的业务逻辑是按账号计费的,老毕的团队很直白的叫“打击恶意团”,打击营销业务活动中的各种欺诈行为。
在过去的四年里,移动互联网一直在快速增长。依托腾讯这个业务广泛、场景丰富的平台,老毕见识了黑灰产的各种手段和步步升级,也培养了各种层层奇怪的心理。后来去了硅谷和台北,在猎豹移动短暂从事海外移动互联网安全业务的开发,后回到深圳自主创业。大部分合伙人来自腾讯,初期天使投资来自猎豹移动。
创业,当然不是拍脑门决定的事。老毕说,种子一直在我心里,到时候就会发芽。
他瞄准的是自己最擅长的业务安全领域,但切入的姿态与传统风控体系不同。风险控制是基于规则引擎来判断一个动作是否合法。老毕给我们举了个例子。如果有QQ账号,一登录就会查询q币余额,然后就会进行购买。这个操作一看就很有问题,太像恶意消费了。我们应该写一个规则来限制或阻止这样的业务请求吗?
但其实会有一些真实的用户,可能登录QQ只是为了送女朋友一颗黄钻。世界如此多元,很难用非黑即白的规则准确回答和解释各种用户行为。业务的不同必然导致风控引擎的有效性大打折扣。
另一方面,风控系统的运营成本非常高。因为每个企业的业务场景都有其特殊性,需要大量的人力和服务在产品之外不断调整和优化规则,以适应每个具体业务的发展。毕竟最了解客户业务的人永远是客户自己。
这是老毕从过去每天沉浸在商业场景中的经历中学到的经验。不仅仅是腾讯,哔哩哔哩和Musical.ly都做过安全咨询。毫无疑问,业务安全是一个普遍存在的问题,但是并没有特别有效的通用产品可以快速解决,也不是每个公司都有资源和能力自己去研究和构建一套安全体系。随着移动互联网应用的普及,线上业务场景更加普遍便捷,安全缺陷不容忽视。
巴毕嗅到了机会,只是凭着一技之长,他觉得“时机”已经到来。
三年情报能力的集中积累,为商业安全的解决开辟了新的思路。
那是2017年。打开商务防盗门的钥匙应该是什么?老毕给出的答案是“智力”。“从一开始,我们就否定了基于规则引擎的解决方案,与不断变化的业务场景决裂。从来没有一个精确的比例。商业风险智能最大的特点就是与场景无关。”
据其解释,无论账号、IP地址、手机号、设备、自动化工具等因素。,只要被贴上恶意的标签,就是黑灰产团伙掌握的可能攻击的资源。Bi一直想提供的就是这样一个标准化的信息库,具有良好的可解释性和很强的可用性。只要出现恶意资源,无论何种业务场景,都可以直接做出判断,通过实时更新的数据,全面覆盖已知和未知的风险威胁。
创业的前三年,老毕只做了一件事:“智能”。
“如果你想建立一套标准化的商业安全解决方案,底层的情报能力必须非常强大。对于情报维度的覆盖,风险识别的全面性和准确性,数据量级的积累等等,都需要技术和时间的沉淀。”这也是老毕认为的核心壁垒——每一步跋涉所积累的智力能力,是别人无法快速超越的。
2020年下半年,他们将进一步下沉情报能力,推出自己的业务风险感知系统,可以从API层面发现、识别和阻断业务活动中的风险威胁。就是这个情报系统建立的API安全基线。
安全投入需要建立在共识的基础上,API安全的价值会逐渐得到确认。
让我们特别好奇的是,API并不是什么新鲜事物。为什么好像一下子就成了业界普遍关注的重要安全问题,顺势走上了API安全轨道。
在数字商务活动中,各种服务通过API进行交互,API得到了广泛的应用,并正在成为整个IT架构中的重要基础设施。但老毕强调,面对API架构,需要一个新的安全产品的核心不是API架构变得更复杂,API使用更多,而是API架构下的风险类型是全新的风险挑战。
他举了近年来一个典型的API安全事件——国内某大型社交平台5.38亿用户数据泄露。平台一直提供查询通讯录中好友昵称的服务,也就是说用手机号注册账号后,授权平台读取通讯录,就可以知道平台上手机通讯录中联系人的基本信息。然后,地下黑产团伙通过收集大量手机号,攻击用户查询API,关联并捆绑销售,可以反向收集平台的用户信息。
显然,这种攻击不像传统的利用漏洞等攻击方式,攻击者的行为特征和路径会与正常的访问请求完全不同,因此攻击行为可以通过规则进行识别和判断。比如,在API框架下,攻击请求和正常用户请求本质上没有区别,这就是老毕所说的“全新的风险挑战”——正常流量中的恶意攻击流量很难通过规则运算和渗透测试发现,因此很难感知API风险,更难有针对性地进行拦截。传统的安全产品无法做到这一点。
永安在线提出的基于智能建立API安全基线的方法,可以说为行业提供了一种新的解决方案。首先,通过旁路流量分析,对API资产进行持续、动态的梳理,使API一上线或开始服务就能快速梳理出来。其次,借助智能,我们可以从黑灰产的攻击流量或工具中提取出哪些API和业务正在被攻击,这样就可以很好的解决风险识别的问题。同时,在提取和分析流量时,我们也可以识别出一些不同于正常用户的特征,比如编码请求参数的不一致性等。,可用于提高风险识别的准确性。最后,根据情报解释攻击的来源可以帮助用户追踪攻击的来源。
目前API安全赛道逐渐升温,竞争对手的快速进入让市场上的声音变得嘈杂。毕的心态很平和。他认为,一个企业的技术基因会决定其产品的走向和公司的战略方向。
他把安全分为底层的基础安全、中层的应用安全和顶层的业务安全,但它们并不代表安全的级别。当我们从API的角度观察时,一些企业由于自身原有能力的积累,比如擅长攻防,自然会更加关注API漏洞和架构缺陷。他们未来的产品会往这个方向延伸,解决基础安全层面的问题。同理,也会有企业关注API安全网关,API资产流等等。
永安在线自成立以来,一直专注于业务安全。拆解所谓的业务,就是API在底层逻辑的安全性。构建一个强大的情报系统,解决API的风险识别、封堵和溯源,是理所当然的事情。业务安全侧重于用户交互过程中遇到的风险威胁,风险威胁频繁且多变。是黑灰企业目前紧盯的环节,也是大多数企业都会面临的场景。这也是永安在线认为长期巨大的市场空所在。
所以,虽然现在定位于API安全的企业越来越多,但是产品逻辑和发展方向其实并不一致,赛道的未来一定是百花齐放的。
在老毕看来,他们的API安全解决方案目前处于产品价值验证阶段。“对安全的投资是基于共识的,”老毕说。“随着API的广泛应用和API风险事件的频繁爆发,用户会逐渐认识到所谓的API安全是什么,在具体的实践中能够了解到我们的安全思路和产品能力,以及与传统安全逻辑的区别。在这个大浪潮的过程中,API安全的定义会写对,行业共识的建立应该会在半年内看到。”
做一个合格的企业家,要学会发现人才,成就他人。
交谈中,我们能明显感觉到老毕始终坚定,方向明确,心无旁骛。但老毕也告诉我们,创业没有完美的模板,任何从0到1的事情都不可能一帆风顺。
五年来,如何从一个技术经理成长为一个合格的创业者,是他印象最深的事情。
当初从大厂员工到企业家,老毕觉得自己的身份变了,继续踏踏实实干下去就好了。但当他肩负起一个公司的未来和发展时,仍然需要依靠一群优秀的人才来共同完成这项事业,技术经理不善于用人的缺点开始暴露出来。
毕总是这样描述当时的状态:“把下属当工具,机械地安排他们完成一行行代码和模块,项目成了流水线,忽视了每个人作为有血有肉的个体的思考和主动性,我极其容易纠结于具体的细节。”
在这种忙碌而劳累的消耗中,老毕回头发现,一个合格的老板不应该剥夺员工努力尝试、发挥价值的机会,而应该学会放下,站得更远,把握公司的目标和方向,在各个专业方向找到比自己更优秀的人才,认可他,帮助他,成就他。
“对于我们这种目标驱动的公司来说,人数多并不代表效率高,价值大。我们需要专注于目标本身,充分发挥人才的潜力和价值,依托现有资源解决问题,而不是固屋砌砖,把所有人定位成同一个螺丝钉。最后分工不清,协同效率低,也不会带来好的效果。”毕说:“今天,这仍然是一个需要不断培养的过程。”
长期看好的市场潜力将从API安全管理推进到API综合管理。
志同道合人才的参与是企业成功的有利因素之一。在资本市场高度关注网络安全行业的今天,资本的力量也在大规模加速或改变企业发展的进程。公开资料显示,永安在线于2021年11月底完成最新一轮5500万元融资,目前处于A+轮。这个节奏和金额,在资本涌入安防行业的时期,并不是特别抢眼。
毕在这个问题上表现出了他一贯的坚定。他说,首先,仅从资本的角度来看,对于技术创新型企业来说,资本的入场可以极大地帮助企业加快前期投入,减少商业上的顾虑,对打磨产品很有帮助。
另一方面,资本与企业是否投缘,是老毕选择用人单位的重要考量因素。“我们愿意花很长的时间去沉淀自己的智能能力,然后下沉到API层面,这样才能说我们有实力帮助客户真正解决业务安全的问题。将军,不要追兔子。作为长期,我们合作的资本机构有着相同的价值观,短期内可能看不到明确的财务回报。但是,如果我们认识到这件事的价值和巨大的未来市场空,我们会按照既定的节奏走好过程中的每一步。”
说到产品规划,老毕的方向很明确,API安全管理只是开始。接下来,他将在API资产排序、API敏感数据管理、API缺陷识别、API风险识别等方面建立优势,夯实企业基础,向更加全面、综合的方向拓展。
“从长远来看,我们将逐步从API安全管理的基础扩展到API生命周期的集成管理。在混合云架构成为企业普遍架构模式的未来,API生命周期集成管理的市场蛋糕必然是第三方供应商的优势高地。基于我们之前的积累,我们有能力覆盖API从设计、开发、测试、部署、运营到线下的全流程,为客户提供包括安全在内的一整套产品和服务。”老毕说。
#网络安全#
