四个老炮儿对勒索软件开火,半年拿下近千万订单

文/拓扑社 海洋

    在蒋波把Check Point全球首个中文本地技术服务团队带成一个能征善战的“兄弟连”后,他就提交了辞呈,挥一挥衣袖,不带走一片云彩。一手调教出的下属们,他一个都没有带走。唯一有一个和他一起离开的,是他的搭档,Check Point的中国区销售VP--刘峻
    蒋波在安全行业里已经扎根了10多年,从产品经理到技术负责人,从烽火、ECI到锐捷网络再到Check Point,他带出的不少徒弟已成为目前IT创业圈中的知名创始人&联合创始人,而他自己在看了这么多年安全行业以后,终于有点坐不住了。

安全行业发生了什么?

    说起来,还是云计算和比特币“惹的祸”。
    在云计算时代之前,企业的安全防护逻辑很清晰:先确定网络边界,用一个“盒子”在数据出入的地方拦起一道闸门——这就是网关和防火墙。为了防住僵尸、木马和蠕虫,计算机中往往还需要安装杀毒软件。在安全网关和终端安全软件这两个领域,过去20年产生了一批全球/中国最大的安全厂商,国外如Check Point、Symantec,国内如天融信、奇虎360。
    过去黑客缺乏有效的变现渠道,生存逻辑较简单:先出名,写个木马或者病毒把一大票电脑搞瘫了,然后坐等安全公司或者政府把自己招入麾下。但是随着云计算的发展和比特币的出现,黑客变现变得很容易且不可追溯,作案动机和手段都产生了变化,企业安全形势危急。
    首先,比特币的出现让黑客能够完全逃脱对个人银行账户信息的追踪,因此逐利取代出名成为黑客行为的第一驱动力。其次,云计算和BYOD的发展,让依赖特征库比对技术的传统防护措施如网关、防火墙和杀毒软件,对未知威胁无能为力;当数据的流通更加自由的时候,传统的网关防火墙想要拦住绕道而行的威胁就会更困难。目前市面上的杀毒软件所依赖的“云查杀”往往是根据特征库来实时识别威胁,但实际情况是,为了顺利拿到钱,黑客往往会针对一家特定企业,“量身定做”勒索软件或恶意程序。如果说杀毒软件是根据通缉令抓捕流窜作案的惯犯,那量身定做的勒索软件就是一生只干一票的杀手。这导致很多大中型企业在采购安全设施的时候,明明已经按照合规性的要求部署了防火墙和杀毒软件,还是防不住勒索软件、免杀木马一类的威胁。“近些年来,中大型企业遭受到的这种类型的攻击呈爆发式的增长,FBI在勒索软件面前也只能乖乖交钱,企业就更难幸免。”蒋波介绍道。
    蒋波认为,当威胁以新的形式产生时,安全防护的思路也要随之更新。基础安全防护架构和产品的变革是安全行业当下最大的赛道,全球市场已迎来“终端安全复兴”大潮,而国外的Tanium、Crowdstrike、Cybereason、illumio等是这一拨复兴大潮的代表:从威胁攻击的源头即失陷主机的发现和防护入手,采用新型的终端安全检测与响应(EDR)技术,对调用操作系统内核的异常行为进行识别防护。这种防护思路对团队技术能力要求很高,既需要在安全方面浸润很多年的专业安全人才,又需要对操作系统内核非常熟悉的技术专家,国内很难凑齐一套完整的研发团队

应用层、操作系统与探针

    当蒋波从Check Point出来的时候,刘春华也已从Websense离开。。
    “少年班”出身的刘春华可以说是国内安全圈内的远古大神级别。从1996年中国组建Internet开始,他就涉猎网络安全,并成功为大学科研网研发了一套Internet准入控制系统;之后创办了中国大学最大的社交平台“心语聊天”;出于对尖端技术的酷爱,他将此平台卖给搜狐,加入赛门铁克从事网络安全研究,编写了赛门铁克终端安全软件SEP的核心代码。在美国赛门铁克工作了多年后,春华回到中国,成为Websense邮件安全产品线的研发总监,雷神收购Websense后邀请他回美国继续负责产品线,中国研发团队解散。代表了全球安全软件研发顶尖水准的春华,萌发了想要自己创业的念头,毫不犹豫地拒绝了雷神的邀请。
    机缘巧合,刘春华和他在Websense的老朋友黄越遇到了蒋波和刘峻。四人发现,他们的履历非常适合在终端安全方向创业:从产品研发的角度讲,刘春华和黄越都是十多年的老安全人,熟知网络安全和操作系统的每一个环节,尤其在终端安全领域,有全球顶尖水平的研发能力;从市场运营销售的角度讲,蒋波在网络安全和数据通信领域已有十余年,对产品运营和团队管理运作了然于胸,刘峻这位70后已经在多家知名公司如华为、诺西、Check Point担任过销售,从专员一路走到销售VP,对大客户销售的经验可谓非常丰富。于是,当顶尖的安全软件研发组合遇到一流的网络安全运营销售队伍,两个团队一拍即合,他们踏上了代表中国顶尖技术和运营能力的新兴网络安全创业之路。
    那么,杰思安全要怎么防住那些勒索软件、免杀木马、病毒等威胁呢?蒋波说,应用程序在运行时,都会向操作系统内核发起请求,从而调用操作系统的组件。包括杰思安全在内的新型网络安全厂商采用的技术是,在应用层和主机操作系统内核的调用入口处部署探针,实时检测内核调用行为,任何异常的调用行为都逃不过探针的眼睛。监控多台主机就更加简单:一个机房里往往所有的服务器主机都在执行同一个任务,这个时候如果有哪台主机的操作系统内核调用情况不同,很明显有被攻击的嫌疑,这样就可以瞬间定位出被攻击的服务器是哪一台,从而进行修复。
    杰思安全所提供的探针安装包只有5兆,相比动辄几百兆的杀毒软件可以说小得可怜,而且没有异常行为出现的时候,探针不会进行计算,当异常行为出现探针进行计算的时候占用CPU也不到1%。但这么小的一个探针,已经足以监测操作系统内核及组件的调用情况。当组件被异常调用的时候,系统会立刻收到警示并做出反应,从而做到“发现即防御”。
    说起来,还是云计算和比特币“惹的祸”。

看上去技术很美,应用情况如何?

    蒋波说,杰思安全产品的第一个商用版6月份发布,三四个月的销售周期内,目前已有数十个付费客户,累计营收已近千万。
    很多用户一直在寻找合适的云平台安全防护或未知威胁防护产品,市面上真正能让客户“走心”的产品并不多。杰思安全的产品技术实现原理和效果上有看得见的说服力,很多客户直接要求杰思把产品放在自己的环境中“跑一跑”,甚至客户会直接将造成损失的勒索软件用U盘带来,拷进杰思安全防护的测试主机中。” 我们在已经部署的40多个实际客户环境,抓到了大量全球独一份的勒索软件、免杀木马样本。
    那么,这些客户有没有出现一些比较明显的行业特征?蒋波透露,目前需求比较迫切的有政府、运营商、大企业和大型互联网公司等。而具体的应用场景主要可分成以下几种:
    第一种是云平台安全。近十年的化云为雨,虚拟化云平台环境给了业务系统动态灵活的使用便利,绝大部分政府、运营商、大企业都已经部署了云平台,但业务上到虚拟机环境后带来了一系列困扰用户的问题:物理机、VMware、OpenStack……等各种环境共存,而且这些环境的安全管理基本各成一家,在进行统一安全管理上极为复杂,需要配备多名专业人士;同时,由于架构的限制,在虚拟化软件底层通过API把多安全特征库比对的能力植入,会带来性能的大幅下降,一开启多安全功能,整体CPU占用就直奔80-90%,根本不可能再跑业务。尤其是对性能极为敏感的Linux,常常迫不得已“裸奔”运行。蒋波说,杰思安全的产品兼容Windows和Linux的所有版本,而且对CPU的占用不会超过1%,几乎是“隐形”运行,无论是人员投入还是性能消耗,使用杰思的成本要比使用各自环境生态下的服务商低很多,而且效果也可以经受充分检验。
    第二种可以称为”亡羊补牢“,蒋波称之为”触发性需求“。这类需求的产生往往是因为公司已经因为未知威胁防护做的不好而产生了一定的损失。有一家大型互联网公司的HR电脑被黑,薪酬文件被窃取,黑客要求支付比特币,否则就公开公司的薪酬水平。类似这样的需求蒋波还遇到很多,这类客户往往会要求现场测试, “抓鬼”效果一出订单即成。很多用户在应急性的用完后,后续的关联项目中会力推这种方案,因一个点的问题解决触发的更大规模部署。目前已经结项的某个用户第一期合同有10万元,第二期部署将在明年开始,立项金额达到600万元。
    第三种是Web网站防护。在政府,一些反华组织惯于篡改政府的网站,通过图片替换或者flash动画篡改挂上反华标语。这种情况下常用的关键词过滤防护手段完全没有效果,响应起来往往很困难,杰思安全就在应用层做了一些开发,首先通过“人眼识别”技术每2分钟对网站进行拍照对比,当发现有不同时即刻进行“熔断”,让网站下线,保证恶劣行为“不扩散”、不产生大影响,同时迅速通知第三方防护人员;其次是”可回溯“,为第三方防护人员预留5分钟时间的访问流量缓存,进行数据的采集,从而了解责任人是谁、黑客是怎么进来的,这样政府在处理的时候就可以知道应该”把补丁打在哪里“。蒋波提到,这一个典型的根据客户需求进行应用开发的方向。对于擅长操作系统安全防护的杰思安全,算是一次较为成功的“跨界”尝试。
    第四种是和运营商的合作。某省电信运营商的DDOS云集成了杰思安全,打成服务包提供给中小企业。
    据了解,杰思安全和国家互联网应急中心、漏洞盒子、健康之路等机构已经达成了战略合作协议,国家互联网应急中心目前的多台PC都已经安装了杰思安全的产品,并一起申请了关口与终端技术联动的创新课题。
    在2015年11月,杰思安全完成了由AA投资领投,三行资本跟投,总计900万的天使轮融资。目前杰思安全的A轮融资即将结束。预计2017年杰思安全的营收将是数千万级别。蒋波说,云安全、工控安全、未知威胁防护的市场将达到增长曲线的临界点,基于新一代网络安全技术创业的公司即将迎来属于自己的机会。

Copyright © 2015-2016 北京杰思安全科技有限公司   备案号:京ICP备15050687