在前进的时代中,得以窥见历史的车轮下那些有规律可循的事物。
业务安全已有十几年的发展历程,作为一个侵淫在这个行业内的创业者来说,对此更是深有感触。从近两年的行业发展趋势来看,我认为,这个市场是有非常大的空间的,业务安全会成为企业安全市场的一个爆发点。从业务安全的发展过程来看,我把整个企业安全分为了三大块:基础安全——应用安全——业务安全。
人类从远古时代就在解决生活及生产中的安全问题。放到互联网时代,也会产生相应的安全问题。企业早期面临的安全其实是来自硬件基础、设备安全等的基础安全。
打个比方,当企业在使用互联网的时候,如果发生故障,设备坏了,电源烧了都有可能导致系统瘫痪,这些都算作是基础安全的范畴。所以在这一阶段,企业最大的安全需求是要保障企业内部的基础设备安全、有序地运行。
早期,黑产会在企业服务器上大做文章,而从2010年以后开始,整个互联网成熟起来并向各行各业渗透,黑产就将注意力从服务器转移到了对web应用的攻击上。最典型的就是入侵企业官网,也就是页面篡改,在首页挂马。所以其实应用安全的本质就是操作系统及其上应用的安全问题。
应用安全在国内火的时间比较长,大家对漏洞的概念接触的较早。导致绝大部分企业会认为企业安全就是应用安全,也会把业务安全的很多问题用应用安全的逻辑来去扣。
应用安全在市场上更多强调的是边界安全问题,企业要保障不能有恶意代码攻击到他们的服务器。体现到产品上,就是各类的“防火墙”,你有漏洞,就用防火墙来防。这类产品的同质化问题比较明显,导致整个应用安全市场比较像是一个纯粹的关系型驱动的资源市场。
2010年以后,整个互联网进入到了全新的阶段。首先是移动互联网大爆炸,渗透到了生活的方方面面。020兴起,用户能在线上进行交易行为,官网已经不再只是单纯的内容展示,而是承载了更多业务上的逻辑和流程。
这时候,业务安全随之产生。
相比应用安全,业务安全直接影响着企业的整个业务逻辑,业务安全问题就变成了一个可感知的问题,从这一个意义上来说,整个业务安全市场也是适合新型安全公司创业的市场,技术将会变成你的核心竞争力之一。
近几年虽然国内做业务安全的公司开始多了起来,但当下整个市场的状态还是场景化、碎片化的,每家公司都有自己的打法,可产品上的差异化却并不明显。很多安全公司的商业模式都以“风控系统+攻防模型”为主。有业务安全需求的互联网企业缺乏风控模块,在对业务安全缺乏了解的情况下,会选择购买一套风控系统来解决的问题。
但每家公司的业务形态和业务问题差异性极大,即使同是电商,在业务形态上也会产生差异,风控系统并没有达到客户的预期。并不是说你只需要买个“防火墙”就什么都不用管了,大量的问题会随之而来。客户没有办法基于业务做出有效的规则来,导致安全公司需要派人到现场为客户做攻防逻辑,定制化服务成本变得特别高,却无法解决最后一公里的服务落地问题。
随着业务线的放量,黑灰产的威胁形式远比几年前严峻,攻防对抗也来到了一个新的阶段。以前大家关心防护量,比如拦截了多少爬虫、多少次撞库、多少次攻击等等。但慢慢地大家发现,仅关注这个防护量意义不大,业务安全的本质是攻防效率,所以甲方对业务安全的需求就进入到了下一个阶段,也就是感知能力,也可以说是攻防能力。
我总结了一下,业务安全的本质归结起来就是互联网场景安全。互联网对生活的渗透及影响已经进入到了前所未有的阶段,整体黑产的流量获取方式和变现模型随之发生巨大的变化。而业务安全的网络账号和IP等资源成为了新的流量,爆发的场景又为黑产提供了更多的变现路径。在当下这个阶段,感知能力在业务安全上变成了一个核心点。业务安全的趋势是顺应互联网发展阶段的必然结果。