【高端访谈】国内安全有效性验证赛道的开创者和领军者知其安创始人聂君：如何筑基关基安全验证防线

高端访谈

作为国内“安全有效性验证”赛道的开创者和领军者，当初您在创立知其安的时候，是怎么考虑的？为什么会选择这个赛道？您看到了哪些市场机遇和痛点？

过去十几年我一直从事甲方安全工作，一直在思考如何衡量安全效果，确保已部署的安全设备和策略始终处于一个有效的状态，能够去真实有效地抵御各类网络攻击和威胁。

过去在银行证券的时候，我们会投入人力组建蓝军攻击队来检验现有的安全防御防护措施是不是到位，但这种方式会存在一些弊端和局限性：成本比较高、风险比较大，且频率不可能高频。同时 IT 技术环境和网络攻击威胁每天都在发生变化，这种高频度的更新和低频度的红蓝对抗，已经出现了不能匹配的问题，所以为了解决这些问题，我们认为有效性验证可能是一个通用性的需求，所以我们后来就做了第一个产品叫-离朱安全有效性验证平台。

另外，过去大家做安全更多是进行基础建设，试图通过单点防御来构建纵深防御体系。但基础建设完成后，就需要进入运营阶段。目前安全运营最大的问题是没有标准，大多靠堆人完成，成本高且质量不稳定。我们认为安全运营是未来 10 - 20 年网络安全甲乙双方的重要方向，商机在于用自动化工具替代 80%重复性的人力工作。所以，这是我们当时创业思考的两个点。

关于“安全验证”“有效性验证”这一概念和技术，可能有些朋友还不是太熟悉，请聂总简单科普一下相关知识。它与传统的渗透测试、攻防演练有什么区别和联系？ 

从理论角度讲，造成安全事件有三个因子：威胁层（攻击者）、脆弱层（安全漏洞）和防御层（防御措施）。这就是一个安全事件产生的根源，攻击者我们不太可控，我们能控的就是安全漏洞和防御措施，消除这两个中的任何一个都可以降低安全事件。

传统的代码审计、漏洞扫描、渗透测试、红蓝对抗等更多是针对消除漏洞，把所有的漏洞都找出来并补上，然后降低安全事件。而现实世界里面，其实我们很多的防御措施没有做到位。

而我们的有效性验证是模拟各种攻击、数据泄露和勒索病毒行为，然后检验这些防御措施是否能有效拦截和告警，找出防御中的失效点。它和渗透测试一个很显著的差异，渗透测试成功需要漏洞和防御失效两个因素同时具备，当渗透不成功时，无法区分是没有漏洞还是防御有效拦截。而有效性验证能明确看到哪些攻击方式被拦截，哪些未被拦截，为提升防御提供方向。

知其安在 2022年拿到红杉资本的天使轮投资。2023 年初又获得红点、晨晖等顶级投资机构近亿元投资，您认为知其安为何能够吸引到众多投资人的青睐？ 

我觉得主要有三个方面。一是甲方客户对安全运营有真实需求，二是投资人也很认可安全运营这个大赛道和方向，三是一定程度上我们从甲方企业出来创业可能也有一定的优势。

安全运营的核心是建立一个技术壁垒，它本质上是最佳实践的复制，需要懂攻击更要懂防御，能够体系化地进行防御。我们有一定的甲方安全最佳实践，建立了一定的技术壁垒。与传统乙方视角不同，我们从甲方视角出发，模拟数据泄露等行为是为了发现哪些安全措施未起作用，最终关注的是安全效果。

对于所有创业者来说，从 0 到 1 培育市场，树立品牌是极具挑战的。能否介绍一下知其安的核心产品线以及市场认可度情况？ 

我们的核心产品是离朱安全有效性验证平台，主要通过模拟攻击来检测防御措施是否有效。在市场推广过程中，我们不是去教育客户，而是从真实的需求出发，通过有效性验证平台测试实际的效果，是不是能够起到当初建设阶段购买时的设计理念和使用效果。

安全想要产生真正的效果，它整个链条是很长的，这个链条中或多或少存在一个或者多个失效点。例如，我们曾发现一家机构的防病毒策略被更改，以及一些域名加入白名单后未及时移除，这些配置错误可能带来较大风险。我们通过模拟攻击收集结果，进行自动化比对，找出防御中的失效点，并分析原因。

目前，我们的离朱安全有效性验证平台已经得到了金融、能源、运营商、先进制造及互联网等头部行业客户的广泛认可和好评。

近些年，勒索软件攻击开启了疯狂模式，不论是金融行业、先进制造业，还是其它行业都遭遇了勒索攻击事件。知其安在勒索防护验证方面是否有好的思路和解决方案？

勒索软件攻击近年来愈发猖獗，首先是因为加密货币的兴起实现了商业闭环，第二点是勒索攻击防起来存在一些难点：一是甲方防御面很大，任何一个点被攻破都可能导致攻击成功；二是防御措施容易产生失效点，勒索软件可长时间潜伏；三是勒索软件加密后处理困难，且被勒索的大多是分支机构，总部难以确定哪个分支机构是防御的薄弱短板。不难发现，甲方在勒索软件防御上存在一些制约因素。

我们的思路是先对客户的防勒索能力现状进行一个体检，模拟常见勒索组织的行为特征、样本和漏洞，看看在边界侧、邮件侧和主机落盘侧是不是能够有效的拦截和发现。针对在感染植入、横向传播和加密三个阶段的行为，看看现有的防御措施，哪些是能够有效的拦截告警，哪些不能的，这部分就是我们所谓的叫做短板或失效点。

针对短板和失效点再去针对性的投入，要加强哪些方面就更有的放矢，这是一种很好的检查评估方式，我们已经为 30 多家银行和很多能源企业等做过勒索验证和评估，并定期公布结果，帮助客户提升防勒索能力。

除了有效性验证平台，防勒索验证防护方案之外，知其安在有效性验证方面还有一些什么新的探索？ 

我们做了一个新品叫“曜鉴”，它是一个AI告警分析研判平台。以往甲方在安全运营中面临一个很大的困扰：就是大量告警，但处理告警的人员数量有限，导致团队处理能力成为瓶颈。但团队的能力边界，并不是企业的风险边界。

随着 AI 大模型的兴起，我们利用其强大的语音分析理解能力，辅助人工进行分析研判。我们推出的新品“曜鉴”，能够达到一个中级安全分析师的水平，可处理大量告警，取得了非常好的一些效果，甚至能替代 80%的一线人员工作，效率提升了 100 倍。

作为关基单位，如果想部署一套安全验证平台，有哪些关键因素需要考虑，比如说成本、人力或技术兼容性等等？ 

我觉得核心首先是关基单位需要考虑清楚风险偏好和容忍度，只有对自己整体的安全效果有高的要求，才可能会在有效验证上产生需求。第二，要做的准备是可能会验证出来有一些失效点，需要根据失效点去做一些针对性的优化和策略提升，就跟咱们体检一样。成本投入我们支持不同的模式，有的是买断式，有的是订阅式，比如说按年订阅付费，我们能够覆盖大中小型企业的不同需求。

目前，您认为关基单位在安全运营当中面临的最普遍挑战是什么？

我觉得关基单位面临的首要挑战就是缺人，特别是缺经验丰富的安全运营专家，既要对攻击有一定的了解，还要懂如何去做体系化的防御。过去这些年一直都是重建设轻运营，所以真正的安全运营专家其实比较缺。其次是监管合规压力，关基单位对于安全的要求等级是完全不一样的。 

新的网络攻击手法层出不穷，安全验证赛道的理念和技术路线将如何演进？ 

根据Gartner的定义，持续性威胁暴露管理(CTEM)将是未来的一个发展方向。暴露管理将成为未来主动安全运营的重点技术，它综合了攻击面管理(ASM)、入侵与攻击模拟(BAS)、网络安全验证，还有漏洞优先级管理等技术，核心是以最短的路径、最低的成本，找到整个组织里面的脆弱性和威胁，以确保安全体系始终处于可验证、可防御、可恢复的状态。 

关保联盟是一个汇聚关基单位、专业安全厂商和研究机构的安全生态平台。作为联盟的重要成员单位，您期待未来在哪些方面与关保联盟深化合作？ 

我们期待与关保联盟在多个方面深化合作。一是共同开展安全技术研究，分享最新的安全技术和研究成果，推动安全验证技术的创新和发展。二是加强实战化人才培养，通过联合举办培训、认证等活动，提高关基单位和安全厂商的安全实战水平。三是开展安全实践交流，分享安全运营的最佳实践和经验，共同提升我国的关基安全运营能力。