一个滂沱大雨天,普通白领小王在苦等久久不至的外卖,阔气土豪阿三在别墅开爬梯,在 App 上下了一个单,让众人 high 起来的各种小药丸半小时就到了……
现实可能比电视剧更魔幻。
一艘游艇从塔希提岛开来了澳洲的路上,警方检查时发现,天哪,居然藏了至少半吨的可卡因……于是,澳洲开始了雷霆扫毒行动,去年一份年度报告让澳洲人内心冰凉:澳洲的冰毒使用量高居世界第二。
一名澳洲记者想调查毒品流通情况,尝试着卧底买毒,万万没想到,他在某二手交易网站上轻轻松松地找到了一名毒贩,而后,毒贩要求记者通过一个叫做Wickr的私密聊天App联系他。这个App可以直接在官方应用商店下载,没有任何门槛。
在这个App 上和毒贩聊了不到40分钟,毒贩就带着毒品送货上门了,比有些外卖还快……
中国也出现过利用App代收毒资的案例。
神奇的黄赌毒、洗钱 App 穿着正经生意的马甲上线商店,甚至申请下了线上支付权限,他们如何逃过严格的支付申请流程筛查,隐匿在正常的App中?这是移动安全厂商爱加密最近半年扩充的业务版图的一块。
半年前,雷锋网(公众号:雷锋网)宅客频道对爱加密对外发布的发展路线始终“感觉模糊”,要说梆梆和爱加密这两个移动安全领域的主流厂商到底有什么区别?似乎没人能讲清这个问题。郭训平通过大半年的梳理,理清了爱加密四条清晰的业务线,并称“要向合作伙伴、政府监管线、安全圈专家、媒体等多维度”展示。
我们来看看爱加密的现在和未来到底如何押注。
1.雷锋网:业务有什么变化?
郭训平:爱加密的目标是围绕移动安全做专、做深,甚至成为网络空间安全移动安全领域第一梯队的公司。
围绕这个目标,我们梳理了四大产品线。
第一,在传统的移动网络空间安全上,以移动 App 安全为核心,在原有的产品上做透、做深。
第二,监管线(监管部门)平台,国家的需求还会落实到国家层面的监管和行业的监管,围绕这个需求,我们将提供 App 行业的风险监管平台,让国家监管部门从本区域、行业、整个移动互联网产业等角度,对移动App 的资产、风险、融资、漏洞、合规等层面均可把控。
第三,针对大 B 企业的安全统一管理平台。
第四,基于移动端态势感知的产品线,主要解决攻击安全问题,其次是业务安全问题。
以 App 为例,以前我们围绕App 解决的大部分是技术问题,现在扩充了一下,比如我们可以从事前、事中、事后阶段解决三个层面的问题。
层面一,解决由于技术漏洞带来的安全风险。
层面二,解决业务层面的风险,包括业务逻辑的风险,以前我们也有涉足这个领域,但没有大规模做,现在做了一些调整,就是除了解决技术漏洞带来的技术风险以外,还解决了业务层面的问题。
层面三,还解决了合规层面的问题。不同行业合规的要求是不一样的,有一些是通用的,比如跨行业的个人信息安全保护,各个行业都要符合这个要求。在特定的行业,比如证券里有一个特殊的传统是把 SDK放进去做网上开户用,但这个 SDK 放进去以后,跟别的 SDK 结合在一块,会带来一些风险,证券公司对这些风险是不可控的。支付行业也是如此,如何确保支付渠道没有被滥用。
2.雷锋网:如何监测你所说的支付渠道被 App 滥用的问题?
郭训平:数据流动是这样的,这个监控分两个层面。第一,站在行业者的层面,我们提供这样的平台。
例如,在第三方支付公司里,运营商经常会把移动支付能力作为通道开,让很多 App 结合进来,接入支付渠道,需要一个申请流程。我们监控了整个移动互联网七八百万个活跃的 App,到底都哪些 App 集成了这家公司的支付通道?哪些未经授权使用?哪些打了擦边球?
我们可以拿到十分精准的数据,这对监管层而言,尤其涉及到执行层,十分重要,这也是传统风控厂商无法在短时间内积累的能力。
第二,针对对具体的客户,比如某个银行、或某个第三方支付公司,它对它自身的App 的使用情况、客户的使用情况、体验,甚至用户的环境,在安全层面做监控。针对特定的 App 和特定的客户要监测的App,我们会提供相应的方案。
3.雷锋网:之前你们的业务主要针对的是金融客户,现在是想拓展到政府和大B企业吗?
郭训平:对,业务层面我们行业的拓展比以前宽一些,比如像原来的金融、政府、企业、监管部门、第三方支付机构、央企、能源、运营商等这些,尤其像运营商,今年我们有一个团队也开始进入了,效果也好、力度也好,都还是比较强的。
我们的核心客户还是大 B 企业。
从整个公司层面看,我们对销售或业务布局的要求跟原来也不太一样了,我们原来看一个行业或一个区域,比如针对银行业的销售,销售人员只要做到银行客户的100% 覆盖就已经很厉害了,100% 覆盖意味着不会出现这个客户有需求,但我们不知道,或突然间发出来了,我们通过第三方才知道。原来是解决了这个全覆盖的问题,但现在我们做了一些调整,从公司层面到公司具体某个产品线,比如行业的销售、包括到区域的销售、甚至到具体的某一个销售人员,我们提出的要求是,他要帮助公司建立爱加密业务的生态。
围绕这个目标市场覆盖目标客户只是最基本的工作,除了目标客户以外有几个角色。
第一,与监管相关的监管部门,如网信办、公安部等,他们有权过问、检查、要求不同行业的人;行业的监管部门,如银保会、证监会、央行、工信部等,我们希望在整个业务生态里把公司总体实力、影响力体现出来。
第二,面向企业、政府等不同领域的媒体,以其为渠道展现我们的影响力。
第三,有影响力的安全专家。
4.雷锋网:但是不同行业有不同特点,你们如何让自己的产品和不同业务结合?
郭训平:这就是我们要拓展的一点,我认为这个如果能做好的话,是我们的核心竞争力之一。比如技术层的行业,通过平台分析一个银行 App 和能源 App,我觉得大家都做得差不多,因为只要它的开发框架、财务引源是一样的,其实它在技术层面的风险就是差不多的,当然有些东西是跟它的业务相关,比如支付业务可能面临的风险会不太一样,非支付业务,比如是媒体类的可能会不太一样,但涉及到业务逻辑层面的安全,不同的行业是不太一样的,这个能力建立起来以后,会是核心竞争力之一。
爱加密在目前这个阶段的行业竞争力到底是什么?其实跟创业阶段不太一样,比如创业阶段,我能把 App加固技术做好,做成可用、安全级别很高,还不牺牲用户的体验和兼容性,就是有竞争力。但现在不是,因为技术已经发展到一定程度了,你能做到别人也能做到。所以,这也是我们这种公司要解决的一个问题。
为了解决这个问题,目前我们在产品线上做了一些调整,围绕产品线分了很多事业部,原来的关注点可能就在产品和技术,但现在我们要关注业务了,还要关注个人信息安全的要求。其次,我们在前端会配置相关的对业务比较了解的人员。
5.雷锋网:除了原有的传统的 App 安全的线,在另外三条产品线的打造上,有什么难点?
郭训平:不存在一些难的地方,而与产品定位有关,比如安全统一管理平台,本身这个产品解决的还是安全管理问题,但解决安全管理的问题早就有像 SOC 这种类型的产品,但其效果不太好。
一个重要的原因是,企业里有五花八门的安全产品,不同的安全产品来自于不同的厂商,数据是不通的。所以,在这个层面,我们这个平台从技术上看还是有比较大的优势的,因为它解决的是管理的问题,落实到执行层面或技术层面主要实现的是产品的统一管理和数据的统一管理。
数据的统一管理又会分成数据的统一采集、分析、分析结果的二次应用,我觉得把它放在一起意义并不大,比较大的意义是,这些数据在一起之后,你要有能力再进行分析,分析完以后能产生二次价值,包括态势感知也是一样,现在有很多企业,包括做数据服务的大数据企业,核心价值在于数据分析之后的二次应用。
我们的统一安全管理平台的核心定位在这里。在统一管理产品层面,它从技术上可以自动进行深入集成。传统的技术依赖于 API 的开放,厂商把API开放到什么程度就能集成到什么程度,如果 API 开放得很少,能集成的能力就有限了,但我们不依赖于API的开放即可做深入集成。
在数据服务层面,尤其在数据采集这一块,不同厂商的设备在运行、配置过程中的任何数据也不需要依赖于 API 集成,我们可以实现自动采集。
因为我们的平台从技术角度讲、逻辑层面讲,是 IP 层面的操作系统,所以,你的运行、配置对我们来说是透明的。
6.雷锋网:目前四条产品线对你们业务的贡献度分别是多少?
郭训平:我们今年上半年完成了大概年度总销售额的 40 %左右,这个 40% 里另外三类基本上已经快占到将近30% 了。从总体来看,App 安全业务在全年的业务中占比 70%,其他三类占比 30%。因为态势感知产品线跟特定的行业相关,产品数据比较大,今年我们重点推的产品还是监管线和针对大 B 企业的安全管理平台。
今年我们的目标还是让后三条产品线的销售额稳住“全年30%”的占比,我希望明年主推的两条产品线能占据一半的销售额。
目前竞争比较激烈的还是在 App 安全方面,友商在有些行业做得好,有些行业我们做得比较深,从目前来看,各有优势和劣势。在新的行业里面,比如在三大产品线里,可能是公司的布局不完全一样,比如像目前我们主打的监管性产品线和安全管理产品线,我们还是比较有优势的,基本上我们没有遇到太多的竞争对手。
7.雷锋网:在新兴领域,有无比较重要的合作和拓展?
郭训平:技术层面,比如在工业互联网安全上,爱加密和三一重工有很深度的合作。之前我们合作了一段时间,又成立了合资公司,专注做工业互联网安全技术和产品的研发。目前,我们已经覆盖面向工业互联网安全的销售体系。
现在市场上发布的一些物联网安全、车联网安全的方案,更多出于卡位和宣传的目的,没有落地的东西,实际方案还是绕回到了 App 安全、检测、加固、监测等一套东西。我们跟三一的合作是新的东西,有完整的工业互联网安全解决方案。
我们切入新的领域,还是有一定优势的,因为我们的核心技术团队构成是多元化的。
第一,我们有做芯片安全的人,我们不做芯片安全的产品,但我们有这样的能力。
第二,有做操作系统出身的人。
第三,有做操作系统内核安全的人。第四,有做协议安全的人。第五,有做应用安全的人。
但是,我们目前面临一个问题或挑战是,虽然有这样的能力,但是并没有办法或者不敢把这个能力放大,形成产品去投入,然后去提供解决方案,这对我们来说,风险很高。所以,我希望找人一起做。好处在于:第一,对方会开放底层数据,而且我们不需要任何成本拿到这个数据。第二,这会形成很强的互补。
当然,我们和三一合作,对外提供的是一个相对比较通用的方案。现在比较难形成的通用解决方案,比如这个方案在这个车企能用,在另外一个车企也能用,因为标准还不一致,这也是为什么我们目前不太敢全方位投入的原因,现在基本都是项目驱动制,或多或少有一定的定制。
未来我们肯定还是要在移动安全上做深、做透。另外,我们要有一定相对长远的布局。
万物互联也好,工业互联网也罢,趋势是不可逆的,只不过大家对时间节奏和时间窗口的判断不一样而已。
我的判断是:不是我不看好互联网安全,我也很看好,但是我现在没有办法在未来几年投入重金,但我们可以依据自己的能力做布局,你怎么也得占一个位子,占位的力度我觉得也不用太大,360 在车联网上占位力度很大,我的占位力度就没有办法像它那么大,我只能在有优势的地方占位。
本文转自:雷锋网,如需转载请至雷锋网申请授权