本报记者 冯樱子 北京报道
有人的地方就有江湖。
在互联网的江湖里,暗藏了各类技术高手。他们能变换出多种令人叹为观止的招数,打得企业、机构措手不及。
在信息化发展的早期,绝大多数企业选择先满足业务需求,再考虑安全问题,此时网络安全的投入更像奢侈品。而随着AI、大数据、云计算的应用,数字化进程加速,网络安全领域需求大量爆发。
嗅觉敏感的资本找到了这一最佳入场时间。近两年,网络安全赛道受到的关注度不断增加,融资案例密集出现。
8月初,主打内存安全的创业公司“安芯网盾”宣布完成超亿元人民币A轮融资。本轮融资由高瓴创投领投,云晖资本、招商局创投参投,老股东蓝驰创投跟投。
“整体而言,资本市场对网络安全赛道非常看好。”安芯网盾联合创始人兼CEO姜向前在接受《华夏时报》记者采访时表示,“前几年,投资人还仅仅是关注,近两年都是用真金白银来投票。”
内存安全的拓荒者
一天凌晨,安芯网盾工作人员接到客户“求救”电话。对方的核心服务器遭受攻击,导致业务中断,通过各种应急手段仍然无法恢复业务连续性。
接到通知后,安芯网盾派出技术人员到现场,分析发现客户遭遇了内存攻击,并快速给该企业部署安芯神甲智能内存保护系统,在十几分钟内迅速恢复业务。
姜向前表示,帮助客户挽回巨大损失,我们非常骄傲。做网络安全能让人感受到巨大的使命感。
如今的攻击者变得更聪明、更有耐心、更狡猾,他们悄无声息地渗透到主机内存,然后待在那里等待数天甚至数月,期间没有任何心跳信息可供传统安全产品检测,他们会在某一刻突然给攻击目标致命一击。
如同在冷兵器时代,长城是一套完整而严密的军事防御体系,可以阻挡外族的车马、刀剑。但如今,攻击方式发生了跃迁式升级。隐形战斗机直接飞过来,传统防御方案开始崩溃。
面对这些新威胁与新挑战,从业多年的姜向前思考,是不是能够打造新的产品来解决这些问题。
2019年安芯网盾成立,是一家主打内存安全的新兴网络安全公司,帮助企业构建基于硬件虚拟化技术的内存安全环境,防御并终止在业务关键应用程序中的无文件攻击、0day漏洞攻击等高级威胁,保障用户的核心业务不被阻断、核心数据不被窃取。
姜向前表示:“我们发现无论入侵攻击怎么变换手法,恶意代码最终都将出现在内存上,也终将需要依赖CPU去执行,我们做的事是守住内存和CPU去防御威胁,可以有效抑制防护体系熵增。总体而言,内存保护是一种一夫当关万夫莫开的防御手段。”
例如在未知漏洞的检测方面,安芯网盾通过内存虚拟化技术,监控内存恶意访问行为,实时感知内存数据流动和代码执行情况,基于内存异常行为检测0day漏洞。
近些年,安全领域有一热门词汇“无文件攻击”。“无文件”是在探讨绕过恶意文件检测技术的方法时诞生的术语。
十几年前的红色代码(Code Red)病毒和Slammer蠕虫最早应用了“无文件攻击”的概念,它们藏身于内存之中。如今,很多无文件攻击在整个攻击链中都是不存在文件落地的。
绝大多数反病毒产品,对于检测磁盘上的恶意文件效果不错。但想检测到只存在于内存中的恶意代码,它们往往是力不从心。
对于“无文件攻击”,姜向前介绍,内存保护可以深入PowerShell、WMI、VBA、VBS、JS等脚本解释器内部,有效避开混淆加密干扰,详细监控被执行脚本的行为,精准识别攻击并进行拦截。同时,还能对内存代码片段、隐藏模块代码的执行行为进行识别并告警。
根据Gartner 的最新预测,2021 年全球在用计算机设备总数将达到62亿台。它们都有内存。
到2023年,网络安全产业规模超过2500亿元。端点安全目前在安全行业占比超过20%。随着安全行业快速发展,它会水涨船高,占比也会增加。
而安芯网盾成立时,内存保护领域一片空白。作为开拓者,要把技术转化成产品,是一个很大的挑战。毕竟客户需要的不是技术,而是解决方案。
目前,安芯网盾产品已为海关、百度、金山、G42等众多国际知名企事业单位持续提供服务。
零秒检测零秒响应
无人驾驶汽车利用摄像头和雷达将数据实时发送到数据中心,以此指导汽车转弯或是停车。如果指令发出180秒之后汽车才能响应,势必会导致很多事故发生。
在网络安全领域就存在类似问题,很多安全产品只做检测,不做响应,响应交给客户的运营人员。而随着信息化发展,海量的日志,会给企业的安全团队带来巨大的挑战。
安全产品需要更进一步,检测响应一体化,以此降低大型企业的安全运营压力,让客户把精力聚焦在核心业务上。
“零秒检测零秒响应,一定要有这样的产品。”姜向前说。
他介绍,安芯网盾产品同时具备实时检测与响应的能力。不同于事后检测安全产品,内存保护系统对系统运行的程序进行实时监控,结合行为关联分析技术,一旦发现威胁可实时响应,实现运行时安全。这就可以大大降低客户运维的成本。
检测容易,响应难,实时响应更具挑战。
但在姜向前看来,产品技术驱动型公司要勇于做难而有价值的事。有些事做起来比较简单,但不能长期产生价值。比如,客户需要一辆八匹马拉的马车,如果安芯网盾直接满足客户需求,很容易,但这只是过渡性产品。我们要从表象看到实质,实际上客户需要的是更强的运力,我们应该给客户创造一辆火车。“我们不做过渡性产品,要做革命性产品,能够长期产生价值的产品。”
此外,安芯网盾基于系统底层技术,突破系统的一些限制,可细粒度监控程序的各种行为,结合高质量的行为知识库体系建设,具有高检出、低误报、零延时等特点。
具体而言,内存保护提供两大块能力:攻击检测和风险发现。其中,针对攻击事件主包含无文件攻击、0day漏洞以及内存webshell等,这些误报率极低,检测率达到90%以上,在业界是比较高的水平。
在风险发现方面,目前安芯网盾给出的数据是,10万台服务器每天的日志量在300—500条之间,大大降低甲方安全运维团队的工作压力。
资本用钱投票
近两年,整个网络安全赛道受到的关注度不断增加,获得投资的案例密集出现。
安芯网盾方面对《华夏时报》记者介绍,本轮融资资金将持续用于团队扩张、产品创新和研发、业务范围拓展等,进一步提升规模化产品服务交付能力,加速覆盖金融、互联网、电信运营商、能源、制造业等行业更多客户。
“做好公司,融资应该是水到渠成。”姜向前对本报记者说:“融资是双向选择的结构。我们选择了长线资金,而不是快进快出的热钱。高科技企业的发展周期比较长,好的产品是很难短期用钱砸出来的。至少5年起步甚至10年,企业才能成长为一个有价值的品牌,提供更好的产品和服务。”
姜向前表示,安芯网盾的投资机构对高科技企业发展历程和规律都有自己的预期,不会太焦虑,更能长期伴随公司发展。他们是懂硬科技,懂企业服务的投资人。
“网络安全领域有一些创业者的社群,隔三差五就会有各家公司融资的消息宣布。整体而言,资本市场对网络安全赛道非常看好。”姜向前说道:“前几年,投资人很看好这个赛道,但还仅仅是关注。近两年基本是用真金白银来投票。”
一级市场资本的嗅觉总是特别敏感。目前,网络安全领域大量需求已经爆发,但供给侧远远没有满足市场需求。姜向前介绍,总结而言,四大驱动力将网络安全行业推倒资本面前。
首先,业务复杂度的大爆炸带来新的安全挑战。传统解决方案不能满足客户需求。
与此同时,AI、大数据、云计算成为基础设施,加速数字化的进程,基于底层技术的安全产品将会有更大的市场。
“过去20年,网络安全的发展远远滞后于信息化的发展。业务先发展起来,才有安全伴随发展,二者是伴生关系。现在整个数字化的进程在加快,安全就需要提到前面,与信息化齐头并进。”姜向前说。
此外,国际形势变化,网络安全事关国家安全、国计民生和公共利益。
近日,我国首部专门针对关键信息基础设施安全保护工作的行政法规《关键信息基础设施安全保护条例》,除了公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,不排除会有一批拥有海量用户并支撑经济社会基础功能运转大型互联网平台被列入关键信息基础设施,保护关键信息基础设施安全就是保护国家安全。
目前,从投入度来看,我国网络安全投资占整个IT支出的比重为1.87%,远低于3.74%的全球平均水平。
另外,攻击者的技术和能力跃迁式升级。随着产业互联网、信息化、数字化的发展,网络攻击的危害是巨大的,攻击者获取的价值也是巨大的。
姜向前表示,内存保护是这波浪潮中解决新问题的新技术。它是有生命力的,它的巨大价值已经在服务客户中体现。
去年6月12日,提供网络安全服务的CrowdStrike在美国纳斯达克上市,上市首日暴涨逾80%,市值超过120亿美元。有数据显示,至 2021年 1月,该企业市值近 500亿美元。
“CrowdStrike在内存保护上也有非常多的研发投入。”姜向前说。
近两年,内存保护技术作为能解决高级威胁的防御手段开始被大家重视,主要是因为内存安全问题愈加严峻。
2020年5月,Google工程师统计了2015年以来,Chrome稳定分支中修复级别为“high”或“critical”的912个安全错误,结果发现约70%是内存安全漏洞。
微软安全工程师马特·米勒在2019年以色列安全大会上表示,微软旗下的产品在过去12年修复的所有漏洞中,有七成是内存安全问题。
国内市场研发内存安全产品的企业将会越来越多,竞争愈加激烈。
在姜向前看来,目前行业处于良性竞争状态。竞争会带来挑战,同时也能带来机遇。竞争帮助行业快速发展、建立标准,也能更好地做客户教育。
“即便不使用我们的产品,但我希望企业都能重视内存保护。”姜向前说道。
责任编辑:孟俊莲 主编:冉学东
