在2015年的乌云白帽子大会上,一位昵称为“疯狗”的白帽子在会上宣称:互联网金融就是黑客的提款机!在现场展示的钓鱼网站页面上方赫然写着:“我们不生产人民币,我们只是人民币的搬运工!” 据不完全统计,我国每天新增的钓鱼网站数量有50到150个,每天新增数千名受害人,而钓鱼网站仅是网络信息安全里最为初级的威胁形式之一。随着云计算与移动计算的大行其道,互联网向政府、企业及个人开始了全面且无孔不入的渗透,传统企业和社会性功能接口对互联网开放,曾经的机密区域信息、权限等对公众暴露无余,“互联网+”时代已经进入了网络信息安全无边界的地带,随之而来的就是信息安全主题相关创业正在形成一个巨大的台风口。
白帽子相对于黑帽子黑客而言,指的是主攻网络技术防御的黑客,他们识别计算机系统或网络系统中的安全漏洞后将其公布,以便系统可以在被其他人(例如黑帽子黑客)利用之前进行修补漏洞。乌云网创始人方小顿曾是百度的安全专家,负责针对黑客袭击百度网站的抵御工作,曾发现多个知名底层和脚本安全漏洞。为什么会创建乌云网?这直接源自方小顿在百度从事网络信息安全的苦恼,因为无法回答老板什么是安全、是否做了安全防御工作、都做了哪些安全防御工作等问题。如果一年到头来没有安全问题,老板就会质疑对网络信息安全的投资。乌云网就在这样的背景下创建,通过公开白帽子们发现的漏洞,然后督促企业的跟进。在加强企业信息安全意识的同时,也让企业安全防御形成良性循环。
进入7月,传出微软有意以3.2亿美元收购以色列云安全创业公司Adallom,足以说明如今的信息安全多么的炙手可热。这家创业于2012年初的创业公司专注于SaaS云安全,通过研究SaaS云用户的行为特征,Adallom可甄别出异常行为以及是否与恶意攻击有关。在以色列语里Adallom是“最后一道防线”的意思,从公司创立到现在Adallom一共获得了近5000万美元的融资,投资方包括Rembrandt Fund、红杉资本和Index Ventures等。到2014年6月的时候,Adallom已经积累了超过100万家企业用户,其解决方案能够保障数据在Salesforce、Box、Google Apps以及Office 365等SaaS应用、AWS和Azure等IaaS环境以及诸如SAP内部应用的定制化程序等环境中的安全。
中国首代黑客代表人物、UCloud创始人之一兼首席执行官季昕华也在乌云白帽子大会上透露,将联合中国Top100黑客,成立信息安全基金,投资信息安全创业者。如今的乌云网已经形成了白帽子、企业、用户等多方参与的安全生态,而基于乌云白帽子孵化出的创业公司TangScan (唐朝安全巡航)刚获得了红杉资本的投资。另外一家专注于移动应用安全的国内创业公司梆梆安全于2014年底获得了千万美元的第三轮融资,截止到2014年底已经为40万个移动应用提供了免费加固服务,4万名移动应用开发者正在采用其一站式安全保障方案,覆盖了超过5亿手机用户。
而凭投资小米而一战成名投资人晨兴创投的刘芹今年又出手了,这次是一个企业级安全浏览器项目。这是一家叫做云适配的创业公司,主打“跨屏云Xcloud” 基于HMTL5跨平台特性,可自动适配5000多种智能设备屏幕,新推出的Enterplorer企业浏览器能够在手机等移动设备上完成企业级安全防护,用户只要用手机打开这个企业级浏览器就能安全访问企业的内部应用和数据。云适配之前获得过科大讯飞300万的天使轮投资、天创资本和虎童基金等共投的千万级人民币A轮投资,今年再次获得晨兴创投与IDG资本的千万美金B轮融资。
除了创业者外,信息安全这个大风口也吸引了“红衣教主”周鸿袆的关注。在今年5月,360正式宣布成立企业安全集团,同时发布了首款基于大数据的未知威胁感知系统360天眼。该系统基于360自有的多维度海量互联网数据,进行自动化挖掘与云端关联分析,提前发现各种安全威胁。7月,360安全再度进军互联网金融,推出了安全支付解决方案。要知道,凡是能够让周教主上心的事情,必定都是大事!
针对现下网络信息安全新威胁层出不穷等情况,赛门铁克技术支持经理马蔚彦介绍说赛门铁克在全球最成功的业务其实是安全托管服务,也就是企业把安全管理托管给专业安全服务公司而不是自建安全团队。托管安全服务在国外相当的流行,最早起源于1997年,很多企业都选择把网络信息安全托管给专业安全厂商。赛门铁克在全球分布着九大数据中心,实时掌握所有发生的安全威胁,一旦发生安全事件就有专家7×24快速帮助企业评判、发现并及时解决问题。实际上在国外不仅大型企业倾向于采用安全托管服务,中小企业也很青睐这一模式。无论从性价比、人才培养和维护、安全大数据积累等方面来看,安全托管服务都比企业自建安全团队有着天然的优势。不过由于国内的企业对于托管服务模式本身还处于缓慢接受的状态,安全托管服务在中国有着巨大市场空间。
7月6日,中国首部网络安全法草案在人大网上进行公示。这部历时12年才接近完成的法律草案一方面说明网络安全立法之难,另一方面也说明在“互联网+”时代网络安全立法已经迫在眉睫。根据IBM的2015网络安全情报索引,内部威胁在众多攻击类型中高居榜首,2014年有55%的攻击事件为内部人员所为。显然,网络安全结合了技术与人员两方面漏洞,不仅给立法带来了难度,而且两方面叠加所带来的破坏效应有可能是灾难性的。
在2015乌云白帽子大会上,真格基金合伙人李剑威表示,安全在中国还是被大大低估了,安全产业大有可为。另一方面由于安全人才的匮乏,网络信息安全产业必将是一片巨大的蓝海。在这片蓝海上,一个巨大的台风口正在形成中!
