我为什么要做一款“黑客机器人”|访墨云科技刘兵
2018-08-09 11:03 星期四

“想趁还年轻做一款技术壁垒足够高,市场接受度也高的产品”,抱着这样的想法,刘兵开始创业,懂技术也懂市场的他,在一年多后对外宣布获得蓝驰创投的数千万A轮融资。


2017 年初,35 岁的刘兵决定结束14年的打工生涯,他在当年 5 月成立了一家名为“墨云科技”的安全公司,正式创业。

此前,刘兵曾在神州数码安全事业部历任研发总监、项目经理、产品经理、销售总监、总经理,如果单纯从收入和职位这个角度看,他其实已经能算这个群体里面很成功的一拨人。

不过用市场反应衡量一个“白帽黑客”,刘兵是不能满足的,工作十多年来,他依然保持了一个黑客对技术的狂热,哪里有新出现的黑客技术,它是如何攻击的,该怎么解决……这些念头一直在他心中闪现。但技术落地是需要一定的周期和相应的资金来投入,现有的以销售额来衡量 KPI 的工作,无法让他做这些想做的事情。

“想趁还年轻做一款技术壁垒足够高,市场接受度也高的产品”,抱着这样的想法,他开始创业,懂技术也懂市场的他,在一年多后对外宣布获得蓝驰创投的数千万A轮融资。

2018 年 8 月 9 日,身着Polo衫、短裤、双肩包的刘兵,在融资信息发布当天,对雷锋网编辑讲述了他正在做的事情---Vackbot“虚拟黑客机器人”,

Vackbot 所要解决的问题

“我觉得卖盒子这事儿没意思了,传统老三样(防火墙、IDS、IPS)其实还处于被动防御的阶段,而且很多时候过于依赖人工方式。”

做技术出身的刘兵对于前沿的东西很敏感,随着黑客攻击的不断升级,他认为安全市场正在从被动的防护转向主动的检测分析。

以金融行业为例,他们掏了大把的钱买了很多款知名安全厂商的产品做防护,但依然不断受到黑客的攻击,所以他们希望知道自己的问题到底出在哪里。

为了解决这个问题,企业掏钱去雇白帽子来进行安全渗透,但近年来安全人才能力和数量的增长远比不上黑产的发展速度。

墨云看上的正是这块细分市场,目前,信息安全服务主要包括安全集成、风险评估、渗透测试、合规性咨询、安全巡检、应急保障等,其中渗透测试服务就是通过网络攻防对抗来评估信息系统的安全性。“那能不能做一款黑客机器人,来解决高昂的渗透测试的人力成本问题。”

这并非异想天开,随着近年来威胁情报的发展,为机器人的训练提供了训练的“原料”,比如攻击所需要的漏洞、指纹设备等信息。刘兵告诉雷锋网,首先,他们手中拥有海量威胁情报数据,这是训练黑客机器人发起攻击的重要原料之一;第二,团队中有擅长挖掘漏洞的人来做相应的算法模型,他们之前在智能渗透、黑产溯源攻击和打击黑产的自动化挖洞方面很有研究,换句话说,他们懂得如何加工这些原料;第三是近年来市场的需求旺盛,加上投资方的支持,能给他时间和资本做一款技术壁垒足够高的产品。

刘兵坦言,虽然 Vackbot 在工作持续性、工作效率、标准化程度、行为及数据可控性、价格等等方面都有巨大优势,但现阶段来看,依然有很多地方无法代替人工,有很多渗透能力还在不断的训练中。

算法模型和漏洞库只是基础,除此之外机器人还需要海量、持续更新的漏洞库和场景脚本,以及应用安全团队的主动配合训练,才能持续进化。

他希望未来这款黑客机器人能让安全专家放手日常繁杂高强度的工作,将更多精力投入到网络安全架构以及新威胁新技术研究方面。

壁垒在哪里

正如同优秀的编剧总能编出让人感同身受的剧本,刘兵要做的事情也是编一个以假乱真的“黑客入侵剧本”,模拟出如果真的有入侵事件发生时,客户的漏洞到底在哪里。

所谓的技术壁垒,就是如何“教”机器人成为一名厉害的黑客。

第一,要教给他比较完善的知识点,这本身需要时间。以学英语为例,我们都是从字母、单词、句子开始学起,那训练一个黑客机器人也得一个一个脚本来教它,把组合规则告诉它,由此才能生成一个完整的攻击,他们要把这些五花八门的攻击套路和手法 ,用机器能懂的语言喂给它,这本身就需要丰富的原料和一定的周期,前期的投入非常重要。

第二,老师得因材施教。训练机器人学习并不容易,首先需要把机器人布在用户的某个节点,就像是体检时所进行的某一项检查,理想状态下,他们会让机器人模拟64个真实黑客来同时用不同的策略对某个目标进行攻击,但现实情况是,在测试中前三个黑客机器人都能很好的完成攻击任务,从第四个开始,就出现卡壳,呈“罢工”状态,经过仔细检查后,发现是mq通道消息序号不一致所导致的问题。

这是研发中遇到的很典型的“坑”,目前市面上很多智能安全产品,都是在一些开源代码的基础上来开发,但现实状况是,这些底层的代码可能并不能与具体的安全场景相匹配,唯一的解决办法就是自己重新来写底层代码。

第三,得教机器人融入多样化的工作环境。不同的客户有完全不同的业务,有很多系统甚至是定制开发的,这就像黑客得掌握多种攻击姿势,才能实现跟真实的安全渗透人员相同的效果。目前,他们服务的行业横跨运营商、金融、政府等多个领域,这些早期的客户给了他们试炼的机会。

目前,虽然 VACKBOT 所采用的渗透策略可以自由灵活地进行配置,但必要时一些重要的决策还需交由人工进行研判,以进一步保障了渗透过程的可控性。

除了技术,刘兵认为在神州数码10多年的管理经验,也让他比很多技术出身的创业者,更懂得行业客户的需求。“你的技术好是基础,但一个产品要卖出去,你不仅要跟技术部门聊,往往得跟立项部门、质量验收部门、采购部门等介绍清楚,这中间只要有一个环节不了解,这个单子可能就不是你的了。”

融资后的打算

这两年新成立的安全初创公司其实并不少,获得融资的也很多,刘兵告诉雷锋网,去年开始与蓝驰接触,很快就敲定了融资,与投资人只见过两次面。

目前公司有80%是安全技术人员,此次融资也会把钱主要投在研发方面,尤其是技术人才的引进。

文/雷锋网