Log4j2等0Day漏洞的爆发让RASP技术成为 络安全行业的新晋热门,而随着 络攻防实战化、常态化的深入,RASP技术的市场关注度持续升温,同时基于RASP技术的ADR应运而生并迅速被市场侧关注甚至认可,这使很多深耕此领域的 络安全新锐受到了资本的青睐。
除了资本的火热关注外,在前不久刚刚结束的由腾讯、奇安信和360组织的三大安全创新大赛中,边界无限均取得了令人瞩目的成绩,得到了安全业界和用户层面的一致认可。边界无限,实则风光亦无限。
图/边界无限创始人兼CEO陈佩文
启蒙:从《黑客X档案》读者到安全从业者
在陈佩文自己看来,他认为自己属于安全业界中的草根创业者,从业经历被他云淡风轻地提及,似乎相比其他创业者自己的身上好像缺了一些“明星光环”,但实则在他的娓娓叙事中,我们还是听到了许多令其他年轻安全从业者们羡慕不来的标签。
和很多年轻人一样,陈佩文的技术梦想始于那本传奇的杂志《黑客X档案》。早在2006年读初中的时候,陈佩文不经意间买到一本《黑客X档案》,书中纪录的那些黑客趣事,还有那些入侵 吧计费系统的操作指南、在游戏中一键开挂的隐秘技术分享,点燃了他对安全技术的向往。
在分享年少时对这本杂志的痴迷时,陈佩文谈到:“这本杂志在一些小书摊上你是买不到的,得去专门找那种‘隐蔽’的地方买,对于渴望学习黑客技术的人来说,这本杂志带给大家的不只是黑客技术,更多地还有黑客文化。但后来蛮令人遗憾的,杂志停刊了,只好转去看电子版和论坛。”
年少时期的陈佩文将大量的课余时间和精力都扑在了学习和实践安全技术上,得益于这份对技术的热爱,高中时期他在安全研究方面已经小有成绩,在许多计算机技术相关的比赛中都曾获奖,其中成绩最好的一次是在高中NOIP信息学奥赛中拿下了省级奖项。
图/学生时代专心打比赛的陈佩文
大学时期,他更加忙碌于各大 络安全竞赛的赛场,同时也与让他与国内那一批顶尖的 络安全竞赛选手结下了深厚的友谊。
值得一提的是,陈佩文在一次打比赛的时候幸运的结识了带自己进入 络安全行业的领路人——TK教主。后面发生的一切就更加顺理成章,即将毕业,在陈佩文向TK提到正在找一份实习工作的时候,TK告诉他:“来吧”。
就这样,陈佩文顺利地进入了腾讯七大安全实验室之一的玄武实验室,正式迈入了安全行业,也正式开启了他的“开挂”人生。
转身:从研究员到甲方安全负责人再到创业
陈佩文回忆,在玄武实验室期间研究员们一般都会被赋予多重使命,一半对内,一半对外。
首先,对内是要深入到腾讯自身的业务中去,给包括腾讯云、微信、微信支付、游戏等多个业务单元,围绕安全、业务合规以及用户隐私保护等一系列方向做好技术支撑。在对内的这部分职责下,陈佩文收获了许多与业务部门协作的经验。
对外则是给每一位研究员留下充足的时间和空间去做安全研究工作,在安全研究员的角色下,陈佩文与玄武安全实验室的伙伴们一起在云安全架构、云安全防护方面做出了大量研究相关的成果,将云底层架构到云应用业务中可能存在的安全问题进行了系统性的梳理。同时,在当时不断爆发的第三方开源库漏洞事件的影响下,他还主导了对第三方开源库的安全研究工作,这也为后续陈佩文创办边界无限,专攻云原生安全和应用安全领域打下了扎实的技术基础。
可以说,陈佩文在腾讯玄武实验室的2年中收获颇丰。很快,他迎来了自己在安全行业中第一次身份的转变。
图/陈佩文在腾讯玄武实验室期间
2017年底,各行各业均加强了对安全的监管力度。很多企业开始设立安全负责人的岗位,增强风险管控能力。不久后,一位好友找到了陈佩文,盛情难却之下,他便答应了下来。他也完成了从安全研究员到甲方安全负责人的角色转变。
在谈到这部分工作经历的时候,陈佩文分享了自己最引以为傲的一个故事。
安全从来都是不容小觑的头等大事。在这家甲方企业担任安全负责人期间,他除了要负责整体集团的安全体系化建设外,同时还要做好业务反欺诈方面的安全工作。
他谈到,刚刚去做安全负责人时,这家公司的风控模型效果一般,反欺诈能力有待提高,对整个公司的业绩都有很大影响。面对这一历史问题,陈佩文对公司整体业务流程进行了详细的梳理后,选择另辟蹊径,逆向代入安全思维试图从弱口令的角度着手解决这一问题。
用通俗的话说,陈佩文先是利用哈希算法将历史数据库中所有的弱口令用户都扒了出来,标注为“安全意识一般、较差的用户”,同时再将那些“安全意识较强的用户”筛选出来,此时通过与实时注册用户数据进行比对,那些在短时间内连续出现2-3次的密码组合,就会被识别为高风险用户,甚至会这套风控模型直接标注为“黑产团伙”。
从逻辑上分析,黑产团伙内部往往也会采用一套标准的操作流程,黑产团伙或许能够采用一些如随机位置信息、随机新用户身份信息等手段来绕过风控机制的检测,但为了方便管理,密码是黑产团队常忽略的随机点。黑产团伙可能会设置一系列复杂的密码来重复的使用,通过对强密码的关联分析,就能够追踪到其背后黑产团伙的关联关系。
顺着这样的一条思路,陈佩文很快做出了一个全新的风控模型,将恶意欺诈直线降低了50%左右,最大程度地掐灭了潜在的欺诈风险,让业务部门拍手称赞。
随后的两年中,陈佩文结合在玄武实验室的工作经验,为新东家全面搭建了自身的安全防护体系。到2019年底,在公司的安全建设逐渐走上正轨后,陈佩文有些按捺不住了。作为一个闽南人,“单干”的决心似乎一直都存在,但某一瞬间,正式被点燃而一发不可收拾。
创业:迎接新一阶段的使命与挑战
“跟一些业内的朋友聊的时候,突然发现自己好像进入了一个按部就班的舒适圈,从我个人性格上来看,还是喜欢去做挑战性强的事情。所以创业是自然而然。爱打拼也是福建人骨子里的一种文化。”
陈佩文坦诚地告诉我们,在刚从上一家公司转身离开时,唯一确认的事情是要创业了,但在具体创业做什么的问题上, 络安全行业并非排在第一位。但经过一段时间的思考后,最终还是决定创办一家安全公司,投身自己最擅长的领域。他强调,做安全是他的初心和热爱,一如少年时。
他谈到,从2019年开始,所有安全从业者都开始看到安全行业正在迎来一些新变化。在 络攻击不断升级、 络安全提升为国家战略的背景下,中国政企用户的安全意识不断提升,对安全类产品的需求日渐上升, 络安全支出也在显著增加。频发的安全事件更是提高了对 络安全防护的要求,加速了行业新场景、新技术、新模式下的安全需求。
在这样的大环境下,安全行业开始从合规市场向实战攻防和结果导向转变。“过去的安全行业我们认为是一个销售型和关系型的合规市场,但在结果导向的市场下,技术人员迎来了自己的机会,大家能够凭借自身的技术和能力走到用户面前,让用户看到自己的独特价值,最终用户也愿意为此买单。”
在拜访用户的时候,陈佩文也得到了十分积极的反馈。一些互联 头部的企业同样都感受到了风向的变化。甚至还有用户明确表示:“攻防演练行动已经改变了甲方的决策逻辑,过去大家更多是过清单式采购,先对照合规要求过一遍,缺什么买什么。但现在大家才会真正考虑效果的维度,防不住怎么办?哪些东西才是真正有用的?”
用户的反馈也再次印证了陈佩文心中对行业的预测和判断,边界无限这家公司也正式成立了。
图/边界无限团队部分成员合影
破局:面向用户刚需重新寻找创业方向
用陈佩文自己的话说,三年前的边界无限如同刚启航的一叶小舟,向着许多未知的激流和险滩在前进的道路上航行。
诚然,在一家创业公司成长的道路上,困境永远不会缺席。陈佩文回忆道,2019年底的时候拉来了几位曾经的同事和朋友,本着一腔热血说干就干的心态成立了边界无限。但未曾想,公司刚一成立就迎头赶上了2020年的疫情,在接近4个月的时间里公司没有接到任何业务,自己花钱埋头搞研究成为了大家唯一的乐趣。
不过,对陈佩文来说,疫情的阻碍只是一个小小的插曲。真正令他感到痛苦的还有另外一个难题,随着时间的推移,他发现公司的整体方向似乎过于理想了。
他谈到:“最早我们在构思整体方向的时候,是想要围绕云安全平台来做一系列安全产品,为用户提供云端的安全能力,也在围绕这个方向去研发产品。但后面在对一些目标用户的走访中才发现,这一个思路并不是那么正确,很多用户也认为未来云安全应该是由云厂商来提供的能力,一家初创企业很难在云安全中找到机会。”
陈佩文被用户说服了,那未来方向在哪里呢?沉默了一段时间后,他决定带着团队一起扎到攻防演练活动中,通过一场场硬仗来让用户看到边界无限的技术能力,同时去到用户一线看一看,从解决一个刚需和痛点问题角度去寻找公司未来的方向。
三个月后,RASP技术、云原生安全和应用安全几个标签与边界无限牢牢绑定在了一起。
在用户的攻防实例中陈佩文看到,大量的漏洞未修复甚至无法修复、内存马攻击无法检测防御、第三方软件供应链调用关系复杂仍然是最普遍的问题。这些安全问题都发生于应用内部,但广大政企用户仍然在采用传统边界防御的手段,应用内生安全的基因并未被激发,因此边界无限很坚定地选择了应用安全与云原生安全的赛道。
他谈到,“我们的核心洞察是,应用是云原生的未来,那么应用安全的重要性自然不言而喻。当前IT基础架构在持续迭代,唯有应用从始至终贯穿整个架构变革,对应用的防护不但不会停滞,还会迅猛增长,因此应用或将成为未来用户唯一需要自行保护的内容。这也意味着,应用安全将成为云原生时代的重要需求。作为运行时安全技术的典型代表,RASP技术有着天然的优势,是云原生时代加强应用安全防护的创新解决方案,甚至可能带来颠覆性的影响。所以我们虽然也会觉得RASP实现的难度很高,但最后我们还是坚持认为,RASP是真正能够解决问题的路径。”
图/边界无限发布首款产品靖云甲
革新:以RASP技术为应用注入“免疫血清”
当前,多数应用都依赖于像入侵防护系统(IPS)和 Web 应用防火墙(WAF)等外部防护。WAF部署在Web应用前线,通过对HTTP/HTTPS的有目的性的策略来达到对Web应用的保护,在HTTP流量到达应用服务器之前对其进行分析,但是基于流量的检测分析手段容易被绕过。相比于传统基于边界的防护产品,RASP不需要依赖规则。
陈佩文介绍,RASP 以安全插件的形式,将保护引擎注入到应用服务中,就像“免疫血清”一样,随应用程序在本地、云、虚拟环境或容器中进行部署,全面掌握应用内部上下文之间的联系,这样可以构建应用安全程序的深度防御体系,尤其是在面临未知漏洞的前提下,也将是较优的选择,弥补了当前市场在产品应用层的空白。
针对性防护应用行为上的攻击,RASP可以做到以下几点:
一是应用资产梳理。帮助用户从安全角度构建细粒度的应用资产信息,让被保护的应用资产清晰可见。提供数十种应用中间件的自动识别,并主动发现、上 应用的第三方库信息,实现对应用安全性的内透。
二是应用内存马防御。通过建立内存马检测模型,以Java语言为例,利用安全插件周期性地对 JVM 内存中的 API 进行风险筛查,并及时上 存在风险的信息,帮助用户解决掉埋藏内存中的“定时炸弹”。
三是应用漏洞管理。帮助用户精准发现应用漏洞风险,帮助安全团队快速、有效地定位和解决安全风险。主动采集第三方依赖库库信息,并与云端漏洞库进行比对、分析,识别出应用存在的安全隐患,从而缩减应用攻击面,提升应用安全等级。
四是应用入侵防御。帮助用户防御无处不在的应用漏洞与 络威胁。结合应用漏洞攻击免疫算法、安全切面算法及纵深流量学习算法等关键技术,将安全防御能力嵌入到应用自身当中,为应用程序提供全生命周期的动态安全保护,显著地提升企业的安全运营工作效率。
时机:Log4j漏洞爆发推动RASP持续升温
2021年12月,Apache Log4j 开源组件在业内被曝出严重漏洞,被认为是“2021年最重要的安全威胁之一”;2022年4月,Spring 开源应用开发框架也被爆出了一个严重高危漏洞,其波及范围之广再次引发各界对开源组件0Day漏洞的担忧。多个0Day漏洞的相继爆发让RASP技术迅速成为了 络安全行业的热议技话题,RASP技术的市场关注度也得以持续升温。
谈及对Log4j漏洞事件对RASP市场的影响,陈佩文表示,“在刚决定做RASP的时候我们就认为,未来一定会出现一些通过WAF无法解决,但RASP能够有效解决的0Day漏洞。Log4j漏洞事件的爆发比我们的预期来的要更早了一些,但恰好我们的靖云甲产品已经在一部分用户的系统中上线并证明了它的实际价值,这也让业界将目光转移到了边界无限的身上。”
但他同时也强调,边界无限最终的使命并不满足于使用RASP技术帮助用户实现防御0Day漏洞攻击这件事情上。RASP技术只是一个起点,最终目标是构建云原生时代的安全基础设施体系,解决云上应用运行时安全的整体问题,让用户无论是面对0Day漏洞攻击、内存马注入攻击类的已知和未知安全威胁,还是API安全还是数据安全问题都能够高枕无忧。
针对未来RASP发展趋势,陈佩文也谈到了自己的看法。他表示,从甲方的视角去看待安全建设过程的时候能够发现,从物理安全、机房安全、硬件安全到主机安全,安全建设较早的用户基本上已经做完了,但应用安全仍然是摆在甲方用户面前的一个“黑盒”。现实告诉我们,这个黑盒子必须在下一次0Day漏洞大规模爆发前被打破,否则势必会引起整个IT行业的又一次震荡。
所有安全技术的兴起其实背后都是有一些安全事件在推动,值得庆幸的是,Log4j已经为大家拉响了警 ,让用户们看到了RASP的价值所在。
“在Log4j漏洞爆发后,头部的一些公司和行业已经表现出了他们敏锐的嗅觉和前瞻性,提前规划和布局RASP技术。我们能看到包括四大行都在开始落地RASP技术,头部的互联 企业像阿里、华为也都在自研RASP,这已经足以说明这项技术的实用性。如果下一次0Day漏洞爆发时,大家会突然发现,走在前面的人已经通过RASP的技术手段拦下攻击,腰部的公司就会快速跟进。所以我们相信,RASP市场的繁荣只是一个时间问题,应用安全是所有企业无法绕过的一个难点。”
# 络安全#
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!