墨云科技:让安全更智能
2021-10-25兵亚
兵亚
墨云科技的独特之处在于其是一家虚拟黑客公司。黑客不仅仅是人,还有人工智能。
扎根于智能网络安全攻防技术领域的北京墨云科技有限公司(以下简称墨云科技)自2017年5月创立以来,一直颇受资本青睐。
2021年9月,墨云科技再获老股东高瓴创投、蓝驰创投、将门创投等亿元B+轮融资加持。此次是该公司今年2月B轮亿元融资之后的又一轮融资。墨云科技从创业之初便捷报频传、突飞猛进,实现了令人瞠目的快速增长:创业半年即实现盈利;公司成立8个月,完成3轮融资。“初期阶段,基本上每两个月一轮融资。”创始人刘兵介绍。
本质上而言,墨云科技是一家利用人工智能技术模拟黑客入侵,验证用户安全控制有效性的网络安全公司,它所在的领域目前正处于蓬勃发展的阶段。
以攻击检测为切入点
随着云计算、大数据、移动互联对于IT基础设施的重构、物联网的快速发展以及各行各业网络安全法的落地,我国网络信息安全行业迎来了全新的发展阶段,增长迅速。
据预计,2018—2021年国内信息安全行业复合增速接近 25%,2021年行业整体规模,包括安全硬件、安全软件与安全服务在内,合计将超过620亿元。安全行业正在由软硬件产品销售模式向服务模式转型。2021年国内安全服务业务规模预计突破200亿元。
这样的发展趋势,让刘兵萌生出在安全服务行业创业的念头。
创业之前,刘兵已经在神州数码任职超过10年之久,做过安全业务部门总经理、产品线总经理,负责安全产品的销售业务。工作多年,刘兵发现,不管如何努力,在公司安全业务始终不能占据重要地位。同时,在如此体量的大公司,创新成了一件很难的事:“大公司不能在创新方面走得太快,因为牵一发而动全身,一个举动,需要对很多人负责。”刘兵解释。对他来说,这样的生活已经有些束手束脚了。
时机成熟之后,刘兵就出来自己创业了。市场调研、人员筹备,刘兵足足花了一年时间来筹备创业,他将其过程描述为“被格式化了”。
信息安全服务主要包括安全集成、风险评估、渗透测试、合规性咨询、安全巡检、应急保障等,其中渗透测试服务就是通过网络攻防对抗来评估信息系统的安全性。刘兵打算做一款黑客机器人,来解决高昂的渗透测试的人力成本问题。
于是,墨云科技选择以攻击检测作为切入点。刘兵有自己的理由:“首先,我们想到的是做一个小而美的公司,人多了,管理成本就上去了,各种磨合的问题也就出来了。我们有几十个人,足够了。其次,团队在安全服务上有专长。最后,国内网络安全行业发展已经有十多年时间,被动防御型的产品非常丰富,缺少的是攻击检测和分析,我们要做的就是一个攻击检测分析型的公司。”
凭借强大的研发能力,墨云科技的虚拟黑客机器人在2017年国际安全标准WIVET测试中,超过惠普收购的WebInspect,排名全球第一。
“我们专门研究网络攻击!”刘兵说。墨云科技的独特之处在于是一家虚拟黑客公司,黑客不仅仅是人,还有人工智能。“我们虚拟出多个身份,对服务对象的网络节点做脆弱性评估。之前有一個项目,用户要求我们用7天时间,攻击1亿个网络地址……”达到人力不可能达到的程度,就是虚拟黑客的威力。
形成壁垒
近年来威胁情报的发展为机器人的训练提供了“原料”,比如攻击所需要的漏洞、指纹设备等信息。墨云科技拥有海量威胁情报数据,这是训练黑客机器人发起攻击的重要原料之一。公司团队中有擅长挖掘漏洞的人来做相应的算法模型,他们之前在智能渗透、黑产溯源攻击和打击黑产的自动化挖洞方面很有研究。换句话说,墨云科技的团队懂得如何加工这些原料。
正如同优秀的编剧总能编出让人感同身受的剧本,刘兵要做的事情也是编一个以假乱真的“黑客入侵剧本”,模拟出如果真的有入侵事件发生时,客户的漏洞到底在哪里。
墨云科技的核心产品叫Vackbot,是一款“虚拟黑客机器人”,这是将机器学习与网络安全技术相结合的革命性创新产品。所谓的技术壁垒,就是如何“教”机器人成为一名厉害的黑客。
首先,教给Vackbot比较完善的知识点,这需要时间。以学英语为例,人类一般会从字母、单词、句子开始学起,训练一个黑客机器人也得按照一个一个脚本来教它,把组合规则告诉它,由此才能生成一个完整的攻击。墨云科技的团队就是把五花八门的攻击套路和手法用机器能懂的语言喂给机器人,这需要丰富的原料和一定的周期,前期的投入非常重要。
其次,因材施教。训练机器人学习并不容易,需要把它布在用户的某个节点,就像体检时所进行的某一项检查。理想状态下,墨云科技的团队会让机器人模拟64个真实黑客同时用不同的策略对某个目标进行攻击,但现实情况总不尽如人意,要从实践操作中一一解决问题。目前市面上很多智能安全产品都是在一些开源代码的基础上进行开发,但现实状况是,这些底层的代码可能并不能与具体的安全场景相匹配,唯一的解决办法就是自己重新来写底层代码。
最后,教会机器人融入多样化的工作环境。不同的客户有完全不同的业务,有很多系统甚至是定制开发的,这就像黑客要掌握多种攻击姿势,才能实现跟真实的安全渗透人员相同的效果。目前,墨云科技服务的行业横跨运营商、金融、政府等多个领域,这些早期的客户给了他们试炼的机会。
虽然Vackbot所采用的渗透策略可以自由灵活地进行配置,但必要时一些重要的决策还需交由人工进行研判,以进一步保障渗透过程的可控性。
除了技术,刘兵认为他在神州数码多年的管理经验,让他比很多技术出身的创业者更懂得行业客户的需求。“技术好是基础,但一个产品要卖出去,你不仅要跟技术部门沟通,还要跟立项部门、质量验收部门、采购部门等介绍清楚,中间只要有一个环节不了解,这个单子可能就不是你的了。”
解决行业痛点
经过几年发展,墨云科技有效解决了网络安全行业的两大痛点:一是很多用户已经投入大量资金购买各类安全设备及系统,但因缺乏科学有效的验证手段来判断安全控制的有效性、安全投入的合理性;二是网络安全攻防领域基本上是传统的信息安全服务商以“白帽子”黑客人工方式进行渗透测试的模式,交付方式、工作效率、标准化程度、行为及数据可控性都有非常多的不足。Vackbot推出之后,这两个痛点迎刃而解。
通俗而言,就是在用户授权情况下,墨云科技在真实环境中利用“黑客剧本”动态生成攻击路径链,主动并持续地进行模拟入侵,从而在真正黑客入侵之前发现漏洞及攻击手法,为用户展现全链条脆弱性所在。但是,Vackbot追求的不是漏洞扫描工具所关注的发现漏洞的数量,而是找到那些会被攻击者利用,并借此进一步入侵的关键漏洞。Vackbot 对这些漏洞进行识别与利用,并作为跳板,依靠 Vackbot 背后的墨云安全大脑攻击知识图谱,寻找并利用与实际场景匹配的攻击手段,向更深层次进一步渗透,从而形成攻击路径链,实现深度安全验证。
Vackbot使用起来也非常便捷,刘兵介绍,只需要5分钟就能完成前期部署。值得一提的是,与传统安全监测不同,Vackbot并不提供高危、中危、低危的等级分类。“做安全一定是要跟业务相关的,提供这样的分类其实没有多大意义,我们更重视和业务相关的漏洞。”墨云科技将流量趋势、攻击路径、攻击面、漏洞数等数据以可视化形式展现,让客户更直观地了解到问题所在。当然,虚拟机器人检测攻击过程,既不影响网络设备的正常运行状态,也不破坏检测目标的数据。
刘兵对墨云科技未来的发展充满信心。他说,最近的这次融资将用于加大在产品研发、市场布局、人才引进等方面的投入力度,保持产品竞争力及核心技术优势。目前,墨云科技已覆盖300多家行业用户,其中包括中国人民银行、光大银行、中国银联、中国移动、中国电信、中国联通、国家电网、南方电网等标杆客户。