近兩年來(lái),,隨著我國(guó)數(shù)字化進(jìn)程的不斷推進(jìn)和深入,,網(wǎng)絡(luò)安全產(chǎn)業(yè)迎來(lái)了飛速發(fā)展的新機(jī)遇。日益復(fù)雜的網(wǎng)絡(luò)威脅形勢(shì),,讓網(wǎng)絡(luò)安全產(chǎn)業(yè)的土壤更加肥沃,,讓那些懷揣著技術(shù)理想的安全研究者們逐漸登上時(shí)代的舞臺(tái),他們希望乘著行業(yè)發(fā)展的浪潮,,為之貢獻(xiàn)自己的力量,。
本期是安全419創(chuàng)業(yè)者說(shuō)欄目的第十篇,文章的主角是行業(yè)中又一位年輕的創(chuàng)業(yè)者——北京云起無(wú)垠科技有限公司創(chuàng)始人沈凱文,,我們邀請(qǐng)他圍繞當(dāng)前網(wǎng)絡(luò)安全行業(yè)的創(chuàng)業(yè)環(huán)境,、創(chuàng)辦云起無(wú)垠的心路歷程以及對(duì)這家公司未來(lái)的愿景和規(guī)劃等話題帶來(lái)一次深度分享。
雖然當(dāng)前市場(chǎng)環(huán)境較為嚴(yán)酷,,但沈凱文認(rèn)為,,在實(shí)網(wǎng)攻防演練行動(dòng)的推動(dòng)下,國(guó)內(nèi)“業(yè)務(wù)驅(qū)動(dòng)安全”市場(chǎng)將迎來(lái)爆發(fā)式增長(zhǎng),。這意味著技術(shù)創(chuàng)業(yè)者們迎來(lái)了屬于自己的時(shí)代,,創(chuàng)業(yè)這件事情恰逢其時(shí)。
沈凱文創(chuàng)辦的云起無(wú)垠專(zhuān)注于Fuzzing(模糊測(cè)試)技術(shù)領(lǐng)域,,致力于研發(fā)新一代智能模糊測(cè)試引擎為協(xié)議,、數(shù)據(jù)庫(kù)、API,、APP,、Web3.0 等應(yīng)用提供強(qiáng)大的軟件安全自動(dòng)化分析能力,從源頭助力企業(yè)自動(dòng)化檢測(cè)與修復(fù)業(yè)務(wù)系統(tǒng)安全問(wèn)題,,為互聯(lián)網(wǎng)每行代碼的安全運(yùn)行保駕護(hù)航,。
不久前,云起無(wú)垠剛剛宣布完成數(shù)千萬(wàn)元天使輪融資,,由綠洲資本獨(dú)家投資,。
一位技術(shù)研究員的自我迭代和打怪升級(jí)
雖然在創(chuàng)業(yè)者這個(gè)身份語(yǔ)境下沈凱文相對(duì)年輕,但在安全行業(yè)中,,他的經(jīng)歷卻比絕大多數(shù)人豐富,,堪稱(chēng)網(wǎng)安行業(yè)的“OG”。
出于對(duì)網(wǎng)絡(luò)安全技術(shù)的熱愛(ài),,沈凱文在初高中時(shí)期就已經(jīng)對(duì)“紅藍(lán)攻防對(duì)抗”得心應(yīng)手,,用他的話說(shuō),“紅藍(lán)攻防在那個(gè)時(shí)期很好做,,每個(gè)網(wǎng)站都存在很多的漏洞,。只要給我一個(gè)目標(biāo),基本上一個(gè)下午肯定能夠攻破,?!?/p>
癡迷于網(wǎng)絡(luò)安全攻防技術(shù)的沈凱文,先是考入湖南大學(xué),,就讀網(wǎng)絡(luò)安全專(zhuān)業(yè),。隨后又憑借著遠(yuǎn)超同輩的領(lǐng)悟天賦和技術(shù)功底,被保送到了清華大學(xué)攻讀碩士學(xué)位,,并經(jīng)引薦加入了國(guó)內(nèi)網(wǎng)絡(luò)安全競(jìng)賽和研究領(lǐng)域最頂級(jí)的藍(lán)蓮花戰(zhàn)隊(duì),,開(kāi)始跟隨一眾黑客大神們征戰(zhàn)世界最高水平的各大黑客競(jìng)賽,成為中國(guó)首屈一指的CTF佼佼者,。
在藍(lán)蓮花戰(zhàn)隊(duì)期間,,沈凱文與隊(duì)友們連續(xù)六次入圍全球網(wǎng)絡(luò)安全頂級(jí)賽事DEFCON總決賽,2019年代表中國(guó)大陸在臺(tái)灣HITCON黑客大賽上奪得冠軍,,同年在GeekPwn國(guó)際安全極客大賽中獲得全球第一名,。
在談到這一段高光時(shí)刻的時(shí)候,他回憶道,,“在藍(lán)蓮花打比賽的那段時(shí)間,,我們?nèi)サ搅耸澜缟献钋把氐牡胤剑吹搅俗铐敿獾木W(wǎng)絡(luò)安全研究是什么樣子,?!?/p>
連續(xù)打了三年比賽后,他也逐漸在安全研究中找到了一絲“手感”,但此時(shí)他也面臨畢業(yè)的抉擇——繼續(xù)留校做科研還是去找一份工作,?
舉棋不定的時(shí)候,,學(xué)校向沈凱文拋來(lái)了繼續(xù)保送本校攻讀博士學(xué)位的機(jī)會(huì),稍作糾結(jié)后,,他便做出了繼續(xù)留校做科研的選擇,。就在不久前,沈凱文剛剛完成了博士學(xué)位論文的答辯,,告別了自己的學(xué)生時(shí)代,。
他告訴我們,從成為博士生開(kāi)始,,便正式放棄了曾經(jīng)無(wú)比風(fēng)光的CTF選手的身份,,開(kāi)始沉下心來(lái)專(zhuān)攻協(xié)議安全的研究方向,聚焦在自動(dòng)化漏洞挖掘和協(xié)議模糊測(cè)試領(lǐng)域,,去持續(xù)探索新攻擊,、新技術(shù)與新方法。
碩士到博士的這幾年中,,在做科研之余,,沈凱文并沒(méi)有停止對(duì)前沿技術(shù)的洞察與追蹤。他曾深入到產(chǎn)業(yè)界,,以實(shí)習(xí)生的身份加入隊(duì)友們創(chuàng)辦的長(zhǎng)亭科技,,到一線觀察用戶(hù)的真實(shí)痛點(diǎn)和需求,拿來(lái)與自己的技術(shù)研究相互印證,。這一實(shí)習(xí)經(jīng)歷拓寬了他在網(wǎng)絡(luò)安全市場(chǎng)的視野,,同時(shí)也為他積攢了大量甲方客戶(hù)資源;
他也曾以合伙人的身份與隊(duì)友共同創(chuàng)辦了一家安全公司,,在那里他不僅是一名技術(shù)研究員,,更是一位企業(yè)管理者。在研究自動(dòng)化漏洞挖掘的同時(shí),,他錘煉了自己關(guān)于公司戰(zhàn)略,、制度體系、業(yè)務(wù)流程,、財(cái)務(wù)核算,、品牌管理等方面的管理能力。
從與隊(duì)友創(chuàng)立的安全公司退出后,,沈凱文又馬不停蹄地加入了中信資本,。在這里他以投資人的視角認(rèn)真觀察國(guó)內(nèi)外優(yōu)秀網(wǎng)絡(luò)安全公司的發(fā)展邏輯、產(chǎn)品形態(tài),,在這個(gè)過(guò)程中,,他更加堅(jiān)定了未來(lái)創(chuàng)業(yè)的方向——開(kāi)發(fā)安全,。
在與沈凱文的交談中,我們能感覺(jué)到他始終保持著強(qiáng)烈的學(xué)習(xí)欲望和熱情,,從技術(shù)到管理,,從商業(yè)模式到融資策略,他都能夠侃侃而談,、如數(shù)家珍,。過(guò)往的工作經(jīng)歷讓他如同打怪升級(jí)一般,,逐一點(diǎn)亮了在公司管理上面的所有“技能點(diǎn)”,。
「開(kāi)發(fā)安全」賽道挑戰(zhàn)與機(jī)遇并存
屬于技術(shù)創(chuàng)業(yè)者的時(shí)代已經(jīng)到來(lái)
在沈凱文看來(lái),當(dāng)前整個(gè)網(wǎng)絡(luò)安全行業(yè)的大趨勢(shì)正在變化,,實(shí)戰(zhàn)攻防演練和數(shù)字化轉(zhuǎn)型正在推動(dòng)整個(gè)網(wǎng)絡(luò)安全市場(chǎng)從合規(guī)驅(qū)動(dòng)向業(yè)務(wù)驅(qū)動(dòng)和結(jié)果導(dǎo)向轉(zhuǎn)變,,“合規(guī)驅(qū)動(dòng)的時(shí)代是關(guān)系型、資源型創(chuàng)業(yè)者的天下,,而需求驅(qū)動(dòng),、業(yè)務(wù)驅(qū)動(dòng)將會(huì)是屬于技術(shù)創(chuàng)業(yè)者的時(shí)代?!?/p>
在技術(shù)驅(qū)動(dòng)的大背景下,,甲方企業(yè)負(fù)責(zé)人開(kāi)始主動(dòng)尋找更好的技術(shù)解決方案。因此,,能明顯觀察到甲方企業(yè)主每年會(huì)專(zhuān)門(mén)預(yù)留部分預(yù)算,,以采購(gòu)新興的安全技術(shù),比如開(kāi)發(fā)安全,、威脅情報(bào)產(chǎn)品等,。另一方面,傳統(tǒng)安全設(shè)備(WAF,、IDS)對(duì)于大型甲方企業(yè)來(lái)說(shuō),,已經(jīng)逐漸采購(gòu)齊全,每年只需要付出少量成本進(jìn)行更新與維護(hù)即可,。在這個(gè)維度上,,它們釋放了更多預(yù)算空間。
今年,,在創(chuàng)業(yè)環(huán)境,、博士畢業(yè)、合伙人,、大方向,、技術(shù)基礎(chǔ)、商業(yè)模式,、天使投資人全都處于ready的狀態(tài)后,,云起無(wú)垠這家公司順理成章地成立了,。
沈凱文談到,“雖然我們?cè)诳蒲猩献龀隽艘恍┬〉耐黄?,但科研本身相?duì)曲高和寡,。追溯內(nèi)心,我還是一個(gè)實(shí)踐型理想主義者,,希望為網(wǎng)絡(luò)安全行業(yè)做出一點(diǎn)貢獻(xiàn),,真正能夠?yàn)樾袠I(yè)解決一些現(xiàn)實(shí)性、根源性的問(wèn)題,?!?/p>
談及為何選擇「開(kāi)發(fā)安全」這個(gè)細(xì)分賽道時(shí),沈凱文認(rèn)為,,作為一個(gè)科研型創(chuàng)業(yè)團(tuán)隊(duì),,它的使命就是去解決科研型技術(shù)難題,去思考如何在本質(zhì)上提升安全,,而不是關(guān)注工程問(wèn)題,。而開(kāi)發(fā)安全天然就是適合科研人員從事的領(lǐng)域,包括污點(diǎn)分析,、符號(hào)執(zhí)行,、模糊測(cè)試以及最終的自動(dòng)化漏洞挖掘在內(nèi),每一個(gè)都是適合科研人員長(zhǎng)期投入的技術(shù)挑戰(zhàn),。
拋開(kāi)科研使命不談,,沈凱文對(duì)于開(kāi)發(fā)安全還有著更深一層的理解。
他認(rèn)為,,過(guò)去網(wǎng)絡(luò)安全行業(yè)存在一個(gè)幾乎無(wú)解的核心矛盾:安全效果難以度量,。這就導(dǎo)致用戶(hù)很難衡量各款安全產(chǎn)品效果的優(yōu)劣,最終讓整個(gè)市場(chǎng)淪為關(guān)系型的商業(yè)模式,?!叭魏我患揖W(wǎng)絡(luò)安全廠商在銷(xiāo)售安全產(chǎn)品時(shí),都無(wú)法承諾一定能夠?yàn)橛脩?hù)帶來(lái)價(jià)值,。拿WAF舉例,,因?yàn)楣羰堑皖l的,誰(shuí)也不知道用戶(hù)是否會(huì)被攻擊,,保證一定能夠檢測(cè)到攻擊,。在用戶(hù)的視角中,如果攻擊失敗了,,產(chǎn)品效果如何證明,?如果攻擊成功了,產(chǎn)品效果更是無(wú)從談起,?!?/p>
而開(kāi)發(fā)安全則是一種度量標(biāo)準(zhǔn)十分清晰的商業(yè)模式,。開(kāi)發(fā)安全并不向用戶(hù)保證防御效果,而是直接向用戶(hù)交付漏洞,,漏洞數(shù)量的指標(biāo)讓每一位企業(yè)管理者都能夠更直觀地量化和判斷安全產(chǎn)品帶來(lái)的價(jià)值,,因此,安全左移實(shí)際上在某種意義上賦予了安全度量的標(biāo)準(zhǔn),,實(shí)現(xiàn)商業(yè)模式的轉(zhuǎn)變,。
“開(kāi)發(fā)安全是一個(gè)更加高頻的領(lǐng)域,比如用戶(hù)采購(gòu)了ABCD四家開(kāi)發(fā)安全產(chǎn)品,,誰(shuí)能夠真正地挖出漏洞,,這個(gè)事情能夠很直接地驗(yàn)證和度量效果。也只有這件事情上,,技術(shù)創(chuàng)業(yè)者才能夠利用技術(shù)優(yōu)勢(shì)構(gòu)造自身的壁壘,。”
因此,,沈凱文認(rèn)為,面臨國(guó)內(nèi)從合規(guī)市場(chǎng)向業(yè)務(wù)驅(qū)動(dòng)市場(chǎng)的轉(zhuǎn)型,,在所有的新興市場(chǎng)中,,相比數(shù)據(jù)安全和零信任安全,開(kāi)發(fā)安全會(huì)成為增速最快的細(xì)分賽道,。
Fuzzing技術(shù)
注定是軟件安全測(cè)試技術(shù)的未來(lái)
沈凱文介紹,,F(xiàn)uzzing 是一種針對(duì)軟件安全的自動(dòng)化測(cè)試方法,它主要的理念是追尋測(cè)試樣例的變異,,并通過(guò)海量的測(cè)試數(shù)據(jù)來(lái)覆蓋更多的程序執(zhí)行流,,從而找到更多的安全問(wèn)題。Fuzzing 不僅可以發(fā)現(xiàn)邏輯類(lèi)漏洞,,還能檢測(cè)到內(nèi)存破壞的漏洞,,比如緩沖區(qū)溢出、內(nèi)存泄漏,、條件競(jìng)爭(zhēng)等,。其本質(zhì)原因在于,F(xiàn)uzzing 對(duì)軟件安全測(cè)試的整體粒度更細(xì),,測(cè)試點(diǎn)更多,,判斷位置也會(huì)更精準(zhǔn)。
“Fuzzing技術(shù)雖然九幾年就被提出了,,但當(dāng)時(shí)它還是利用較為落后的暴力枚舉法,,更多停留在實(shí)驗(yàn)室環(huán)境下。但近 30 年,,F(xiàn)uzzing 技術(shù)呈飛躍式發(fā)展,,它目前除了可以覆蓋 AST 技術(shù)以外,,還可以利用到一些其他的技術(shù),包括符號(hào)執(zhí)行,、語(yǔ)法樹(shù)變異,、代碼覆蓋引導(dǎo)技術(shù)、遺傳算法變異,、污點(diǎn)跟蹤等,。”因此他認(rèn)為,,雖然當(dāng)前安全行業(yè)還有很多從業(yè)者還沒(méi)有認(rèn)識(shí)到Fuzzing的價(jià)值,,但從科研的角度看,現(xiàn)代的Fuzzing技術(shù)已經(jīng)趨于成熟,,并且逐漸成為軟件測(cè)試方法的集成者和開(kāi)拓者,。
目前,F(xiàn)uzzing技術(shù)在國(guó)際上已被應(yīng)用在 Google,、Microsoft,、美國(guó)國(guó)防部(DoD)等頭部組織機(jī)構(gòu)。據(jù)公開(kāi)統(tǒng)計(jì),,近 5 年 Project Zero 項(xiàng)目中已有 37%以上的 CVE 漏洞是由Fuzzing技術(shù)挖掘出來(lái)的,。在國(guó)內(nèi),F(xiàn)uzzing技術(shù)也已被各大廠商廣泛應(yīng)用,,如華為,、阿里等一線廠商均開(kāi)始嘗試落地Fuzzing技術(shù)。
沈凱文表示,,未來(lái)Fuzzing技術(shù)在安全行業(yè)中的應(yīng)用和落地將會(huì)像AI技術(shù)一般,,可以從算法引擎上優(yōu)化傳統(tǒng)軟件安全測(cè)試方法(比如傳統(tǒng) AST 方案)。因此,,它會(huì)在很多方面比傳統(tǒng)的 AST 方法效果更好,,也是目前科研界和工業(yè)界認(rèn)定的下一代軟件測(cè)試方法的突破方向。
打造開(kāi)箱即用的“代碼安全基礎(chǔ)設(shè)施”
讓Fuzzing技術(shù)真正為企業(yè)賦能
“大家都覺(jué)得AI技術(shù)很厲害,,但事實(shí)上較少有人主動(dòng)關(guān)注AI的框架,,使用AI技術(shù)的人可以不懂遺傳、蟻群和反向傳播等算法,,但他們依然可以通過(guò)接口調(diào)用的方式把AI技術(shù)順暢地使用起來(lái),,享受AI技術(shù)為生產(chǎn)和生活帶來(lái)的便捷。不遠(yuǎn)的將來(lái),,F(xiàn)uzzing也會(huì)到達(dá)這個(gè)階段,,它會(huì)成為一個(gè)成熟的技術(shù),如同API接口一樣能夠直接調(diào)用,,真正造福于開(kāi)發(fā)人員,?!?/p>
沈凱文談到,互聯(lián)網(wǎng)科技發(fā)展和技術(shù)更迭都始于研發(fā),。無(wú)論是傳統(tǒng)的數(shù)據(jù)庫(kù),、操作系統(tǒng),還是新興的車(chē)聯(lián)網(wǎng),、腦機(jī)接口,、元宇宙,最終都需要由代碼開(kāi)發(fā)來(lái)詮釋與實(shí)現(xiàn),。而云起無(wú)垠提供的智能模糊測(cè)試技術(shù)將作為代碼開(kāi)發(fā)的基礎(chǔ)設(shè)施,,為一切開(kāi)發(fā)場(chǎng)景安全賦能。
他表示,,F(xiàn)uzzing的算法引擎對(duì)安全人員的技術(shù)能力要求較高,,比如操作系統(tǒng)底層原理、編譯原理,、動(dòng)靜態(tài)分析,、符號(hào)執(zhí)行、智能算法等,,普通的安全工程師很難在一兩年之內(nèi)掌握,。相較于與WAF類(lèi)產(chǎn)品,甲方安全人員需要與Fuzzing類(lèi)產(chǎn)品高頻交互,,過(guò)高的使用門(mén)檻往往會(huì)讓用戶(hù)望而生畏。因此如何提高產(chǎn)品的易用性,,提高用戶(hù)的友好程度非常關(guān)鍵,。
當(dāng)前,云起無(wú)垠正在基于智能Fuzzing技術(shù)逐步建立產(chǎn)品矩陣,,為用戶(hù)提供包括黑盒,、灰盒和白盒在內(nèi)的模糊測(cè)試類(lèi)產(chǎn)品,全面覆蓋“開(kāi)發(fā),、測(cè)試,、部署、運(yùn)維”在內(nèi)的各個(gè)階段,。在產(chǎn)品層面,,云起無(wú)垠主攻“開(kāi)箱即用”的設(shè)計(jì)思路,目前正在通過(guò)將技術(shù)細(xì)節(jié)封裝在核,?算法引擎中的方式,,讓甲方用戶(hù)能夠在不深度了解Fuzzing技術(shù)的前提下,更便捷地使用安全測(cè)試產(chǎn)品,,以此來(lái)增強(qiáng)用戶(hù)的使用友好度,。
沈凱文最后談到:“在未來(lái)的一段時(shí)間里,,云起無(wú)垠也將持續(xù)對(duì)產(chǎn)品進(jìn)行打磨,不斷提升產(chǎn)品的用戶(hù)友好程度,。云起無(wú)垠的價(jià)值和使命就在于,,把Fuzzing技術(shù)做到平民化落地,讓它變成一項(xiàng)開(kāi)發(fā)人員能夠真正用起來(lái)的技術(shù),,成為‘代碼安全基礎(chǔ)設(shè)施’,,以助力整個(gè)信息安全產(chǎn)業(yè)的發(fā)展”。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<