上个月,由三所《资讯网络安全》杂志主办、梆梆安全承办的资讯网络安全专题研讨会在京召开。围绕等级保护2.0标准、物联网安全、移动应用安全等话题,多位来自不同企业或研究机构的嘉宾进行了专题分享。
这篇文章不介绍具体议题内容,而是把目光聚焦到在今年3月,刚刚与中国移动投资公司(简称中移资本)签订战略合作协议的梆梆安全。作为一家以移动App加固起家,并已经在这个领域做深做透的安全公司,在达成和中移资本这一重要投资和战略合作后,如何规划后续的企业发展战略?
“移动App加固” 对于梆梆安全而言,已经是融入血液的重要能力和标签。梆梆安全成立8年来,已经服务了超过2000家企业级客户,特别是在金融、-等行业,有非常丰富的需求和实施经验积累。但是,这不应成为梆梆安全的天花板。
梆梆安全董事长兼CEO阚志刚在研讨会上表示,网络安全企业的价值在于为客户清除业务系统和资讯化过程中的威胁 “杂音”,要 “因时而进,因势而新”。对于这个 “势” 字,阚志刚认为,是物联网。
物联网 (IoT) 安全对于梆梆安全而言,是移动互联网这一重要背景的延伸。梆梆安全之前更多的关注点在于移动端的应用安全,特别是在程式码安全形度,有很深的积累,并强调有效融入关联性安全情报,以及内嵌自适应安全理念,不断完善其平台化服务能力。如今,梆梆安全更拓宽了这个概念,强调 “泛程式安全”。作为物理世界和网络世界的重要连线,物联网无疑是目前最为广泛、同时安全需求迫切的重要场景。
阚志刚介绍了他脑海中未来三年梆梆安全的5个重要技术路线:
1. 程式安全
不再局限移动App加固,转而以 “程式” 为核心保护物件,包括对更多重开发语言和环境的支援,已经诸如车联网、智慧家居等场景的扩充套件,都可以囊括在内。
2. 程式质量
以梆梆安全在程式码层面的积累为基础,扩充了对程式逻辑实现的质量评估,从而满足客户在应用快速迭代需求的今天对程式质量的把控。
3. 软件定义安全芯片
无论是智能手机还是PC,加入硬件层面的安全能力,比如根证书、金钥、以及生物识别资讯的储存等,是重要趋势。物联网装置也是如此。目前,梆梆安全的思路是通过软硬结合的方式,基于独立安全芯片上储存的身份可信根,在物联网终端上实现更安全的身份认证,并在物联网终端装置厂商可接受的成本和效能约束内推广。这也符合国际对资料安全和身份认证合规需求的重点。
4. 基于硬件的虚拟保护层
执行在物联网智慧终端上的本质仍是程式。只要是程式,就不会 “百毒不侵”。安全漏洞的存在是一定的,区别在于已知和未知,是否有利用价值和漏洞利用的可行性。但如果因为漏洞的存在,影响到硬件的正常执行和功能安全,甚至成为更上层系统的攻击跳板,则是不可接受的。特别是关键资讯基础设施的风险,需要多层保护。梆梆安全认为,这层保护可以通过在编译器和中介软件加入安全虚拟层的方式实现。
5. 基于 “数学安全” 的物联网操作系统
关于这点,阚志刚表示会是比较长远的计划。目前物联网操作系统碎片化严重,程式码体积小,结合高校、研究机构的前沿研究成果,中国企业有机会尝试从 “数学安全” 角度来做更安全的物联网终端操作系统。
可以说,程式安全和程式质量是基于梆梆安全目前的核心能力积累所做的延展,而后面三点则是梆梆安全在继2017年释出物联网安全后的具体战略构思。现在提出这些,安全牛认为和中移资本的进驻不无关系。据了解,梆梆安全会作为重要安全供应商,服务中国移动的物联网生态,特别是在资料隐私、工业互联网的装置程式保护等角度。
阚志刚在致辞时还表示,网络安全不应只是工具和产品,更应是持续的服务,才能真正为客户业务发展提供关键助力。提供 “泛安全服务” 便是梆梆安全之后另一个重要方向。
梆梆安全CSO付杰认为,程式安全,是整个资讯保安行业的重要目标。这包括程式码、执行过程和环境三方面。从客户角度,威胁如果只通过产品和技术是没法解决的,真正有效的是以结果导向的安全服务。同时,这也是梆梆安全在安全服务方面的目标:即基于梆梆安全现有的技术和产品积累,在保证自动化和标准化效率的前提下,为客户的(安全)结果负责。
据了解,梆梆安全现有安全服务团队规模近百人。未来,付杰透露计划成立相对独立的安全咨询公司,为客户提供包括但不限于敏捷开发体系建立、程式安全、资料安全治理等服务。
