中移资本加持后的梆梆未来有哪些发力点?

作者:Martin, 星期三, 六月 12, 2019
来源:https://www.aqniu.com/news-views/49758.html

上个月,由公安部三所《信息网络安全》杂志主办、梆梆安全承办的信息网络安全专题研讨会在京召开。围绕等级保护2.0标准、物联网安全、移动应用安全等话题,多位来自不同企业或研究机构的嘉宾进行了专题分享。

这篇文章不介绍具体议题内容,而是把目光聚焦到在今年3月,刚刚与中国移动投资公司(简称中移资本)签订战略合作协议的梆梆安全。作为一家以移动App加固起家,并已经在这个领域做深做透的安全公司,在达成和中移资本这一重要投资和战略合作后,如何规划后续的企业发展战略?

“移动App加固” 对于梆梆安全而言,已经是融入血液的重要能力和标签。梆梆安全成立8年来,已经服务了超过2000家企业级客户,特别是在金融、政府等行业,有非常丰富的需求和实施经验积累。但是,这不应成为梆梆安全的天花板。

梆梆安全董事长兼CEO阚志刚在研讨会上表示,网络安全企业的价值在于为客户清除业务系统和信息化过程中的威胁 “杂音”,要 “因时而进,因势而新”。对于这个 “势” 字,阚志刚认为,是物联网。

物联网 (IoT) 安全对于梆梆安全而言,是移动互联网这一重要背景的延伸。梆梆安全之前更多的关注点在于移动端的应用安全,特别是在代码安全角度,有很深的积累,并强调有效融入关联性安全情报,以及内嵌自适应安全理念,不断完善其平台化服务能力。如今,梆梆安全更拓宽了这个概念,强调 “泛程序安全”。作为物理世界和网络世界的重要连接,物联网无疑是目前最为广泛、同时安全需求迫切的重要场景。

阚志刚介绍了他脑海中未来三年梆梆安全的5个重要技术路线:

1. 程序安全

不再局限移动App加固,转而以 “程序” 为核心保护对象,包括对更多重开发语言和环境的支持,已经诸如车联网、智能家居等场景的扩展,都可以囊括在内。

2. 程序质量

以梆梆安全在代码层面的积累为基础,扩充了对程序逻辑实现的质量评估,从而满足客户在应用快速迭代需求的今天对程序质量的把控。

3. 软件定义安全芯片

无论是智能手机还是PC,加入硬件层面的安全能力,比如根证书、密钥、以及生物识别信息的存储等,是重要趋势。物联网设备也是如此。目前,梆梆安全的思路是通过软硬结合的方式,基于独立安全芯片上存储的身份可信根,在物联网终端上实现更安全的身份认证,并在物联网终端设备厂商可接受的成本和性能约束内推广。这也符合国际对数据安全和身份认证合规需求的重点。

4. 基于硬件的虚拟保护层

运行在物联网智能终端上的本质仍是程序。只要是程序,就不会 “百毒不侵”。安全漏洞的存在是一定的,区别在于已知和未知,是否有利用价值和漏洞利用的可行性。但如果因为漏洞的存在,影响到硬件的正常运行和功能安全,甚至成为更上层系统的攻击跳板,则是不可接受的。特别是关键信息基础设施的风险,需要多层保护。梆梆安全认为,这层保护可以通过在编译器和中间件加入安全虚拟层的方式实现。

5. 基于 “数学安全” 的物联网操作系统

关于这点,阚志刚表示会是比较长远的计划。目前物联网操作系统碎片化严重,代码体积小,结合高校、研究机构的前沿研究成果,中国企业有机会尝试从 “数学安全” 角度来做更安全的物联网终端操作系统。

可以说,程序安全和程序质量是基于梆梆安全目前的核心能力积累所做的延展,而后面三点则是梆梆安全在继2017年发布物联网安全白皮书后的具体战略构思。现在提出这些,安全牛认为和中移资本的进驻不无关系。据了解,梆梆安全会作为重要安全供应商,服务中国移动的物联网生态,特别是在数据隐私、工业互联网的设备程序保护等角度。

移动互联网发展的速度放缓,这就需要梆梆安全将自身的安全能力下沉,所以我们不仅开始定位在程序安全,还开始关注程序质量,更将未来确定在和终端用户关联更紧密的物联网设备安全上。但这些,本质都是程序,这也是我们一直以来的积累所在。

阚志刚在致辞时还表示,网络安全不应只是工具和产品,更应是持续的服务,才能真正为客户业务发展提供关键助力。提供 “泛安全服务” 便是梆梆安全之后另一个重要方向。

梆梆安全CSO付杰认为,程序安全,是整个信息安全行业的重要目标。这包括代码、执行过程和环境三方面。从客户角度,威胁如果只通过产品和技术是没法解决的,真正有效的是以结果导向的安全服务。同时,这也是梆梆安全在安全服务方面的目标:即基于梆梆安全现有的技术和产品积累,在保证自动化和标准化效率的前提下,为客户的(安全)结果负责。

长期、系统性的安全建设,安全措施的实际收效和ROI,是客户目前在采购时的重要关注点。对程序安全的技术积累,和安全服务的实施积累,是梆梆安全的重要优势,也是我们做安全服务的壁垒。

据了解,梆梆安全现有安全服务团队规模近百人。未来,付杰透露计划成立相对独立的安全咨询公司,为客户提供包括但不限于敏捷开发体系建立、程序安全、数据安全治理等服务。

相关阅读

访谈|梆梆安全CEO阚志刚