文|椰子
圖1:中睿天下 聯合創始人 魏海宇
近些年,信息安全行業越來越呈現出“江山代有才人出”的態勢,常有異軍突起,中睿天下便是其中的典型。
中睿天下成立於2013年,公司前身是信息安全圈的骨灰級玩家,核心團隊早在2003年起就長期從事網絡攻防技術的研究,後來才正式成立中睿天下,專注研發基於“攻擊者視角”構建的的安全防禦類產品。但直到2017年獲得2000萬元融資的消息傳出,才開始引起外界的關注——此前的四年時間裡,中睿天下不曾融資、也極少宣傳,幾乎將全部經歷投入到產品研發和業務當中。
今天,中睿天下已經擁有了一套完備的攻擊溯源產品,涵蓋Web安全、網絡安全、郵件安全等各個方面。
“之前我們很少進行宣傳,一是時機不夠成熟,二是產品還沒有完備。這次出席2018中國石油石化企業信息技術論壇,是中睿天下的一次成功嘗試。”魏海宇向我們解釋道,柔和平靜的語調讓人不由得生出一種踏實感來。
作為中睿天下的聯合創始人,魏海宇隨著公司一起成長,也為中睿天下帶來了一種獨特的氣質:心懷理想,卻不好高騖遠;順應現實,又不隨波逐流——正如他本人一路走來的軌跡。
圖2:中睿天下出席石油行業技術交流大會
一、當“傳統”遇到“未來”
從職業發展的角度來看,魏海宇的安全生涯起點不可為不高:初入職場的第一家公司,便是賽門鐵克,這已足夠讓很多人羨慕不已了——那麼,他又為什麼主動選擇離開呢?
“進賽門鐵克之前,我對安全技術已經有了一定的基礎,在圈子裡也待了一段時間。”魏海宇介紹,“到了賽門鐵克,我主要從事病毒木馬分析相關工作,這段時間裡,我成長得非常快。”
藉著全球性企業的優質平臺,魏海宇接觸到了當時全球各種最先進的病毒,也由此積累了豐富的經驗。但與此同時,他也注意到傳統安全存在著難以解決的問題:滯後性。
“殺軟總是要落後於病毒的,一定要有人中招,才能提取特徵、進行防禦。就像是一個人殺了人,警察才能根據他的肖像進行追捕——但是,為什麼一定要死人呢?有沒有一種方式,可以在他剛剛舉起刀的時候,就把他繩之以法呢?”
魏海宇有心找到這樣一種方法,但在賽門鐵克,這絕非易事——這樣大體量的公司如同前進中的列車,而魏海宇充其量不過是一枚螺絲釘,只能跟隨著這臺龐大機器的方向。
於是,魏海宇離開賽門鐵克,加入東方微點。“主要是因為東方微點全球第一個推出了主動防禦技術,基於危險行為進行攔截,可以解決傳統殺毒軟件滯後於病毒木馬的問題,這正是我所感興趣的。”魏海宇告訴我。
在東方微點,魏海宇進一步吸收著營養。參與當時未完成的殺毒研究工作,讓他見識了從計算機誕生起的dos病毒到win64病毒等各種病毒樣本,對於各類攻擊方式有了透徹的理解;而殺毒軟件開發相關的工作,為他的創業打下了基礎,也形成了自己的安全理念:
“對抗未知威脅,但不是用傳統的方法。”
魏海宇的理念和他經歷的實際案例有關。
2009年,某涉密單位隔離內網中的多臺計算機被病毒感染。該病毒採用多態技術感染了很多重要文件,當時市面上所有殺毒軟件都無法清除。熬了一個通宵後,魏海宇寫出了清除算法,恢復了這些文件,同時還原了攻擊者整個入侵過程中的細節。
2011年,某個重要敏感機關發現了可疑流量,但之後再也找不到任何痕跡。魏海宇最終揭曉了謎底,同時也還原了該次攻擊事件的來龍去脈——這是一次處心積慮的APT攻擊,木馬是Rootkit級別,隱藏極深。
顯而易見的是,兩個案例都說明,隨著技術的發展,攻擊的手段、方式、過程越發呈現出複雜化、多樣化的態勢。“已經有了APT的感覺。”魏海宇回憶道——這也正是魏海宇創業的目的所在。
然而魏海宇清晰地認識到,木馬病毒僅僅是APT攻擊鏈上的一個環節。一起完整的APT攻擊包括踩點、策劃、打點、滲透、權限駐守等環節,需要精通不同環節的人聚在一起,才能真正做到“攻擊溯源”。魏海宇謙虛地解釋,“我們的團隊裡高手如雲,核心成員都具備國際一流技術水平。只論技術,我算一般。”
圖3:基於攻擊溯源的一體化安全解決方案
二、當理想遇到現實
歷經傳統安全企業,魏海宇及團隊成員對於傳統安全體系的薄弱點有著充分的認識和體會:“現在的防禦體系其實非常差,雖然國內安全公司有著看似成熟的產品,實際上效果不好——寫一個木馬,繞過防禦的方法會有幾十種上百種。我們想改變這樣的現狀。”
但理想總是遠大,現實卻沒有那麼樂觀。
一開始,魏海宇把精力都投入到了APT攻擊方面,在他看來,這是確定無疑的趨勢;但真到了市場當中,面對客戶,魏海宇發現現實的需求並非如此:“客戶告訴我,別談APT了,你先解決我們的基礎安全問題吧——APT攻擊從沒發現過,倒是很多普通威脅,仍然解決不好。“
儘管已經擁有對抗APT方面的能力,但市場的要求,讓中睿天下選擇了一條更為接地氣的道路:攻擊溯源。
“睿眼”便是中睿天下在攻擊溯源方面的成果。“眼睛是用來發現問題的,這就是我們以此命名的原因。說起來是一個產品,其實包含了方方面面的東西,形成了一個體系。”
魏海宇以Web為例,介紹了產品的優勢:“第一個優勢是解決了檢測率低、誤報多、效率低的問題。睿眼的威脅檢測率有了大幅提高,很難有攻擊方式能繞過。誤報多導致報警次數多達幾十次幾百次,客戶看不過來,也就完全失去了意義。而睿眼可以將原本需要幾天時間分析的日誌,在幾分鐘內解決。”
“第二是成功判斷攻擊效果。攻擊分有效和無效,無效攻擊其實我們沒有必要過分關注,特別是時間緊迫的時候,只看有效攻擊就可以了,這在當時是業內第一個具有該能力的產品。”
“第三,我們加入了攻擊過程還原,以錄像的形式展示出來攻擊者是如何一步一步進行入侵的,利用了什麼漏洞,什麼新的攻擊手法,客戶可以看得更清楚、更明白,這一點也非常受市場歡迎。”
“睿眼”的郵件產品也解決了困擾用戶已久的另一個痛點。傳統的郵件安全產品以反垃圾為主,難以有效檢測高級定向攻擊。但現實情況是,通過分析大量APT事件我們發現,絕大多數時候,攻擊都起源於一封釣魚郵件。睿眼郵件產品採用了很多“黑科技”,比如郵件意圖識別、URL沙箱等,即使免殺類的木馬病毒也難逃“火眼金睛”。
與之相關的案例不在少數,在中國大力推進“一帶一路”戰略的大背景下,睿眼郵件產品在多個重要部門檢測到了來自境外黑客的APT郵件攻擊事件。2017年4月份,某重要單位宣傳部門收到一封標題為“XX”國際合作高峰論壇的郵件,附件包含一個0day 的office文件,被睿眼郵件產品檢測出來。直到2017年11月微軟才更新補丁(CVE-2017-11882),這個0day漏洞才被正式被公開。
完備的產品體系背後,開發的過程並不簡單。“我們是技術導向,核心團隊的每個人技術都是一流的,一開始覺得技術轉變成產品,一定不會差。後來才發現,產品依然需要大量調試。”魏海宇說。
直到第二年,中睿天下才真正推出了第一款產品。“一開始當然不好推,但是我們靠效果說話。”魏海宇說,“到產品體系基本成型,我們花了四年的時間。”
圖4:中睿天下產品防護矩陣
三、當技術遇到市場
與一般的技術導向型公司不同,魏海宇清楚地意識到,在複雜多變的市場中,技術並不意味著一切。
“雖然技術很重要,但只靠技術,沒有前途。”
魏海宇依然記得東方微點曾走過的彎路:“在市場和技術兩個選項中,東方微點是選擇了技術的,主動防禦技術一出來,備受矚目,大公司爭相收購,但市場方面不夠重視,導致最後沒有達到理想中的結果。”等到互聯網公司橫空出世,靠著全新的商業模式橫掃市場時,魏海宇的判斷又一次得到了印證。
這是技術人員創業常常容易出現的問題:技術固然是功底、是基礎、是實力,但市場能夠注意到的,必然是更加吸引眼球的;再加上,安全技術本身門檻不低,如果不重視宣傳,必將導致和市場的脫軌;沒有了市場,也就沒有了服務的對象,那麼安全技術也就失去了意義。
在魏海宇的心中,中睿天下必須將技術和市場兩方面進行平衡——當然,在他的心中,技術和產品依然有著很重的分量,從中睿天下蟄伏四年研發產品便可以看出。但當公司前行到一定階段,必然要有著與此前不同的發展。
比如這次中睿天下參加2018中國石油石化企業信息技術論壇,魏海宇介紹,“今年中睿天下規劃了十幾場會議。除參與石油、金融這樣的行業會議外,還計劃參加429在內的安全行業大會”。
融資這件事,對中睿天下來說其實也是個新的嘗試:“我們一開始不瞭解融資的意義,也擔心有風險,資本過早介入影響技術發展線路——畢竟我們自己也能養活自己,2015年公司就開始盈利。後來想明白,這是有利於公司發展的。”
公司規模的擴大已經近在眼前,而魏海宇對此有足夠的信心和經驗——這源於早年間賽門鐵克的經歷:“作為國際化的大企業,賽門鐵克的管理是非常規範的,職能、流程絲毫不亂。公司早期,發展要講究效率,這套規範可能不適用;而當公司規模擴大時,賽門鐵克,正好值得我們學習。”
在魏海宇的身上,你不難看出作為安全技術人員的嚴謹、專注、執著,但更重要的是,他還有著另一種作為創業者的氣質:善於吸收、敢於變化。
理想主義者仰望星空、但經常失足跌倒;現實主義者埋頭看路,卻容易迷失方向;兩種看似相悖的行事方式,其實只有融合在一起,才能發揮最大效力,而魏海宇,便是最好的證明。
閱讀更多 安在信息安全新媒體 的文章
