访谈|专注安全检测智能化的四维创智

11月 20,2018by admin

近年来,在国家与社会信息化系统建设中,安全开始占据战略高地。各行业在颠覆性技术与模式下极速前行,信息安全行业在不断细分,但在整个安全体系中,安全检测仍然不乏出现运维成本高、技术门槛高、工作量庞大等问题。四维创智在多个领域中的安全检测不断积累研究如何在安全检测中降低难度,提高效率,实现安全检测工具智能模块化、多环节跨平台自动流程化、跨领域知识库自我学习系统化、神经网络模糊检测模型交互分析报表化,将成为安全体系升级的系统创新和优化的关键节点。四维创智正是这样一家专注于安全检测系统智能化的公司。安全牛此次采访了四维创智CEO司红星,从技术角度为我们解读如何实现安全检测的智能化。
 
个人简介:
 

 
司红星,拥有10余年网络攻防经验,现任四维创智(北京)科技发展有限公司CEO,长期从事网络安全攻防研究,擅长渗透测试、漏洞挖掘、情报分析、人工智能等技术。在国内率先开展基于人工智能的网络安全漏洞挖掘技术研究及应用,并带领团队自主研发自动化渗透测试平台,追求智能安全新理念。近年来,积极投身物联网安全研究,针对车联网、无线Wi-Fi、智能家居等领域进行积极实践,具备对物联网设备漏洞挖掘、健壮性测试、深度安全检测等多层次、多维度的安全综合检测技术能力。现负责国家信息技术安全研究中心、中国信息安全测评中心、中国软件测评中心等多项科研项目实施工作。
 
一、安全行业需要“求变”
 
安全牛:请您先介绍一下公司的大致情况?
 
司红星:公司成立于2013年,目前大概是100余人,大多为技术研发人员,有麒麟攻防实验室和黑桃A物联网安全实验室两大实验室,专注传统安全、物联网安全、移动安全领域的安全研究工作。概括点说,我们围绕着“智能安全”这个领域,取得了多项研究成果,多年来还为电力、能源、军工、金融、教育、政企等重点行业和重点单位提供网络安全保障。
 
安全牛:具体有哪些研究成果?
 
司红星:比如,2015年,我们加入国家信息技术安全研究中心网络空间安全联合实验室,做漏洞、检测及信息安全领域前沿技术的研究。再比如,我们与国测合作开展无线网络风险的研究、与公安三所合作编写移动应用安全检测产品测评标准、联合软件测评中心编写智能汽车车载系统的安全测评标准等。其他还有一些和大学的合作,包括解放军信息工程大学、电子科技大学和南京大学等,开展移动互联网、物联网方面的安全研究。
 
安全牛:最近几年安全行业非常火热,创业公司也开始多了起来,是否考虑到这个大背景,因此出来创业?
 
司红星:我们的核心团队在07年就在一起做安全,当时创办公司的初衷,就是想要为这个行业做一些真正有意义的事情,并将其付诸实践。我认为安全行业需要一种“求变”的精神。更快更高更强,是我们的愿景,更是我们安全人的价值体现,而只有与时俱进、不断创新,才能够成就这一愿景。
 
如今安全行业巨头林立,一些老牌安全企业,占有大部分通用安全产品市场如:边界防护、通信安全、终端安全、数据安全等方面。但近年来,在威胁情报、云安全、移动安全、态势感知等细分领域,也不断的冒出新兴力量,印证了安全行业发展趋势的变化。从整体上来讲,中外安全产品和安全能力还是有差距的。国内炒概念和同质化现象比较严重,在这种情况下,办公司也是想集中自己的一份力量为中国的网络安全环境做出一些改变。
 
二、安全检测的智能化
 
安全牛:据我的了解,感觉你们还是偏攻防研究多一些,你认为公司的优势在哪里?
 
司红星:攻防技术是我们的基础,以此为基础,公司一直专注智能安全这个领域,推动安全检测工具的智能自动化发展,解决物联网智能化带来的安全风险。比如,在众多传统安全工具泛在化的情况下,如何让工具真正进入到企业安全人员的每一个工作细节当中去,并在此基础上实现智能自动化,从而真正的解放人力。这才是智能安全检测的核心目标。
 
安全牛:能否解释一下什么是安全检测的智能化?
 
司红星:如今,网络信息系统的复杂性和不确定性,导致网络安全漏洞的隐蔽性极强,通过挖掘漏洞预防网络风险的难度也越来越大。现在的网络信息系统漏洞扫描技术,主是采用模糊测试方法对目标系统进行全量漏洞探测,顶多再加上POC(漏洞验证)做一些指纹和漏洞的关联,但这些都算不上智能。
 
这里的“智能”具体来讲就是对发现的特定问题持续研究与利用,进行关联分析,以及后续的决策,比如组合利用多个漏洞进一步挖掘更深层的漏洞。再讲具体一点,当发现一个网站存在sql注入时,扫描器报完警就OK了。但能不能通过这个注入点找到管理员密码?能不能读写文件?如果在之前的工作里发现了目标的管理后台,那是不是就可以把取出来的密码拿来登录后台? 我们团队研发的“智能安全检测系统”就可以做到这些事情。
 
安全牛:具体怎么做到的呢?
 
司红星:首先要构建决策树。我们把“遇到某个问题应当采用或调用某个工具来验证和利用”诸如此类问题的处理经验,以数字化的形式进行转换,以此来赋予它决策和判断的能力,最终形成一个大的决策树。我们团队搞了一套决策经验转化语言,方便有经验的工程师往里面输入各种攻击检测经验,随着时间积累,相信这套系统可以代替人类绝大部分的渗透工作。
 
还有一个很重要的是联动决策。其意义在于可以组合多个漏洞进行利用,即当两个或多个漏洞同时存在时,我们可以把多个漏洞的结果进行组合进行深一步的利用。这个相较于其他检测工具是有核心区别的,这其实也是资深渗透测试工程师和刚入门新手的差距体现。
 
最后,“处理逻辑数字化”是我们的核心思路。“智能安全检测系统”一是可以对每一个目标自动绘制攻击路径,把攻击流程可视化,用户可以直观看到我们的产品是怎么进行渗透的,如此一来新手可以学习提升,大神可以监督训练;二是可以作为一个不眠不休的工程师对企业进行7*24的漏洞检测,降低人工成本。
 
三、企业未来发展规划
 
安全牛:未来公司有什么样的规划,比如在人员、收入、产品、融资方面?
 
司红星:在融资方面,我司自去年获得华耀资本千万级天使轮融资之后,综合公司目前整体状况、新产品研发计划、资金储备、发展计划等情况,计划在2018年底启动Pre-A轮融资。下一步将继续补充产品研发团队,加快智能安全产品的研制进度,保证对迅速扩张的市场有足够且良好的技术支撑,同时健全售前、售后完善的销售体系和流程,建成由政府事业部、能源事业部、金融事业部、军工、公检法事业部组成的纵向拓展、横向联动的销售体系。
 
在产品和服务方面,短期内,用智能化安全检测平台颠覆传统漏扫,降低企业威胁发现周期,大幅提升安全从业人员工作效率。长期规划,我们会把“智能安全检测”、“流量威胁分析”、“端点决策防护”三部分打通,形成1+1+1>3的立体检测防御体系,三部分不再因为厂商间的隔阂而分离,而是相辅相成,自动化、智能化为企业提供一体化安全检测、监测、防御服务。另外,我们在物联网安全方向上积极实践,在无线Wi-Fi安全、车联网安全、智能家居安全市场需求激增的关键节点,在国内已率先推出W Hunter无线环境监管系统,后期可能会加大在实验室方面的投入,围绕“智能安全”的概念,研发出针对汽车系统、智能家居等多类型安全测评工具。不管是在传统安全方向还是物联网安全方向上,我们还是在和行业客户的需求探索中去做检测类产品的研发,而不是盲目介入市场。像W Hunter无线环境监管系统还有我们大热的天象自动化渗透测试系统都是这样,功能直击需求,能做的摆出来,纯粹又直接。
四维创智在近两年,营业额增长在50%以上。预计年底,可实现营收将达到5000万元人民币。我认为,从用户角度出发,注重对产品价值的输出,是一个企业得以生存的灵魂。未来,我们也坚信这一点。原创: 王小瑞 安全牛