导语:威胁猎人的定位是以情报能力驱动业务安全,为互联网企业提供整体业务安全解决方案的公司。新一轮融资后,我们将发布公司未来战略规划,在行业内重新建立新的商业模式。

近期,威胁猎人获得真格基金资本 600 万元 PreA+轮融资。这是继 2018 年 5 月威胁猎人获得泰岳梧桐资本 2500 万元 Pre-A 轮融资后的又一笔融资。本轮融资后,2018 年公司的重点都会围绕产品落地进行。

威胁猎人是一家以情报能力为核心的业务安全解决方案服务商,从业务风险感知切入,建立数据模块,最后到解决方案,目前已为腾讯、百度、阿里、华为等三十多家国内一线互联网企业提供了优质的业务安全相关服务。

威胁猎人 CEO 毕裕表示:威胁猎人的定位是以情报能力驱动业务安全,为互联网企业提供整体业务安全解决方案的公司。新一轮融资后,我们将发布公司未来战略规划,在行业内重新建立新的商业模式。

1537157350675429.jpeg

威胁猎人 CEO 毕裕

肯尼迪总统在 1962 年「我们选择去月球」发表的演说中,有一句话,「We choose to go to the moon in this decade and do the other things,not because they are easy,but because they are hard.」

从威胁猎人创立到现在,很多人来问我,业务安全领域已经有很多公司在做,为什么还要涉入这领域?作为这个领域的创业者,你怎么看这个行业?在解答这个问题之前,我想先跟大家聊聊我所理解的业务安全。

01 当下业务安全领域的核心问题

业务安全已有十几年的发展历程,从早期的基础安全到应用安全,这两个阶段企业面临的安全问题主要是:我要保障我的基础设施和应用软件能够正常运行,不被黑客攻击,说白了就是哪里有漏洞补哪里。

但到了 2011 年后,移动互联网大爆发带来了场景爆炸,互联网对生活的渗透及影响进入到了前所未有的阶段。020 兴起,线上业务安全直接影响到线下用户线下生活,线上不再只是单纯的内容展示,而是承载了更多业务上的逻辑和流程。业务安全随之产生。

企业与黑产的攻防对抗也来到了一个新的阶段。当下业务安全领域归结起来大概有几个核心问题:

1537157384281521.jpeg

1 定制化及服务成本过重

当前业务安全行业的主流商业模式仍然是以售卖「风控系统+攻防模型」为主。风控系统本身承载的攻防逻辑需要运营人员非常了解业务逻辑和场景,但实际上最了解业务本身的人是企业自己。这就导致一方面乙方的服务成本过高,需要另设专门的团队针对客户的场景来制定规则和模型,但在客户的视角里却只是花钱买了套软件而已。且由于产品本身的价格限制和同质化问题,导致乙方为了争取到客户,只能在服务能力上去单一发力,降低了自身商业模式的扩展能力及收益。

另一方面,这种商业模式下的乙方服务模型无法做到聚焦。因为乙方要跟着客户的场景跑,导致边际成本提高,却无法解决最后一公里的服务落地问题。乙方的服务体系难以标准化,进而影响整个企业的产品运营效率,商业能力无法达到爆发点。

2 企业业务风险感知能力不足

大部分互联网企业缺乏有效手段了解黑产对其业务的威胁,很难感知和量化使得企业在业务场景安全上的投入也无从评估。

3 缺乏行业标准

业务安全行业在近十年的发展过程中呈现的是近似于草莽式的发展历程,市场上出现的各种解决方案五花八门,看似百花齐放非常活跃,实则却毫无章法可循。

而黑产近几年在整个攻击层面明显形成了一整套的方法论和工具集,并在有序地提升和优化中。但防守方整体呈现的能力却参差不齐,防护水平差异化非常明显,防守方法全靠自己摸索,并没有形成明确的防护体系和可执行的方法论。从我们与客户的长期沟通来看,相对于防守方的割裂状况,黑产的技术升级却能够以集体性升级的形式来完成。

4 过高的业务安全应用门槛

当前行业还存在的核心问题是供需关系严重断层。大公司对企业业务安全逐步重视后开始重力投入,而很多中小企业其实也面临着同样严峻的业务安全问题。这些企业一方面是缺乏对自身业务安全状况的持续量化能力;另一方面是 ROI 敏感,对于何时应该投入资源建立业务安全体系并不清晰。导致这一问题的关键点在于业务安全的基础设施费用过高,即「业务风险分析引擎」和「业务风控决策引擎」的购买费用过高,让很多中小企业在安全问题面前无从下手。

5 过于单一的商业模式

现阶段整个业务安全市场在商业模式上并无太大差异,在这样传统的基础设施加服务的模式下,大家的营收差异和品牌差异更多的是建立在团队能力和融资能力上。而如果通过一味扩充新的同质化产品线来提高销售团队的接单能力,这无法从根本上提升整体业务安全行业的价值,让业务安全市场成为企业安全领域的真正价值市场。

互联网场景的爆发是不可逆的,这是整个互联网的发展趋势。业务安全的本质归结起来就是互联网场景安全。毋庸置疑,业务安全会成为业务安全市场新的增长点,但当下这个市场是场景化、碎片化的,对于整个行业来说,需要的是整体业务解决方案的能力。

02 目标明确的威胁猎人

互联网业务场景一直在变化,但大多数互联网企业对黑产的认知,并没有随着业务的发展在提升。而在与黑产的攻防对抗中,最重要的是要抓住主动权。秉承着这样的理念,我们创立了威胁猎人。

之所以叫「威胁猎人」,是因为我们把自己的角色定位为捕获威胁的猎人。我们希望在企业安全这条道路上为客户扫清威胁障碍,反哺推动行业安全生态共建。这也是我们坚持做下去的动力。

1537157485298093.png

1 从「业务风险感知能力」切入——TH-Karma

要想给企业解决业务安全,最核心的问题是要搞清楚「谁在什么时间、用什么方法,攻击了哪些业务,从而产生怎样的风险。」这背后是威胁猎人的一整套实时监控体系,需要对黑产非常了解,知道他们现阶段的技术手段、使用的工具、攻击流量、以及社交渠道等等。

因此,业务风险感知能力在业务安全领域是一种刚性需求。业务安全底层其实是基于成本的攻防,在攻击平面更多的情况下,企业也需要有相对应的手段来明确评估风险后合理投入资源并解决问题。无论是大客户,还是中小客户,业务安全的第一需求一定是感知能力上的需求。而对于中小客户来说,因为对 ROI 的敏感度更高,所以感知能力就成为了这部分客户在业务安全上的入口服务。

威胁猎人从成立到现在有一半的时间聚焦于为国内的一线互联网企业提供业务风险感知能力,我们认为整个业务安全行业的需求者一定是这些一线互联网公司。因为他们的需求足够深,攻防频率足够快,对业务感知的能力也是最敏感的。现在全国 TOP30 互联网企业中已有 23 家成为威胁猎人的客户,具备了一定的经验及能力。接下来,我们会把已经夯实到一定阶段的业务风险感知能力通过另外一种产品交付的方式覆盖到全国的中小企业中,让他们以最低的成本拥有业务风险的诊断能力。

2 风险数据标签能力——TH-Data

企业需要先在内部积累一些行为数据,来分析判定这些行为是不是威胁。这本质上就是一个「黑名单库」。威胁猎人最早从手机号积累、IP 到风险账号信息库,已形成很强的运营及收集能力。假设一个手机号在其他地方做过「坏事」,一进入企业,就会被识别隔离,为企业及时作出判断提供了有效依据。

风险数据标签能力是业务风控的核心能力。一方面防守方如果拥有丰富的风险数据标签,就更有能力及时并准确的判定恶意对象或行为,有效避免业务风险。另一方面,随着业务场景的爆炸式出现和业务的发展需要,防守方已存在风险标签不足的问题。

这一问题的背后对应的其实是整个互联网行业缺乏一个风险数据标签的共享机制,「数据孤岛」问题极其严重。对于整体防守方的风控能力提升而言,业务场景的风险数据标签共享是绝对必要的。就拿我们一直在做的「手机号信誉库」产品为例,对于客户而言对该产品的预期仍然有很长的路要走,常规覆盖率如果是 30% 左右,那么客户对我们的期望一定是 100%,这其间 70% 的差距如何填补,其实是整个行业都存在的问题。

3 开放的业务风控基础设施——TH-Nebula

业务安全在不同行业的展现形式有很多,如金融行业会偏借贷,在互联网行业可能是营销等场景。企业的业务逻辑千差万别,所涉及的系统、接口更是不计其数,现在市面上的一些玩家是算法、模型能力输出给甲方企业,其实根本监控不过来。假设一个团伙既攻击京东、也攻击淘宝,针对不同平台会有细微差别,但差别落到业务模型上就大不相同。可换个角度,黑产攻击的逻辑并不是很多,通过监控黑产的行为,分析其工具的底层,来生产对抗模块,成本就大大降低。也就是说,攻防才是业务安全市场的根本,威胁猎人选择的就是这条路径。

在这条路径里,威胁猎人会面向行业提供基于开放体系的风控基础设施,打破传统风控系统+定制化服务的商业模式,在降低业务安全应用门槛的同时,重新定义甲乙双方的合作模式。

第一个模块是业务风险评估模块。企业可用于早期的业务风险量化,做好问题诊断,而这也是绝大部分中小企业在业务安全上的最基本需求。威胁猎人会通过开放的方式降低该能力的落地成本。

第二个模块是业务风控决策引擎。该模块用于实施攻防对抗、落地对抗规则及模型。决策引擎本身的价值更多的是承载攻防逻辑,可基于场景标准化输出。而攻防逻辑从长远来看,我们认为最擅长的执行者是企业自己的业务人员,应该由他们来通过情报感知能力去驱动决策引擎进行迭代更新。

因此,在新的模式下,我们将会把整体业务风控系统的可控性交由企业自己,威胁猎人在其中扮演的更多的是辅助和帮手的角色。

4 业务场景安全评估服务 TH-Test

业务场景的安全测试区别于传统的渗透测试服务,更关注黑产的攻击成本和收益评估,从黑产攻击视角来评估企业的业务风控建设阶段,量化企业在业务场景安全所面临的威胁,重点不再是基于应用层漏洞的测试。

从我们长期对黑产的分析发现黑产的攻击方式选型虽然五花八门,但本质上是基于投入产出情况从攻击成本维度评估来选择攻击模式,而企业在业务场景安全的防护目的是无限提高黑产攻击成本,降低黑产获得收益,以避免自己的业务场景成为黑产变现的暴力场景。

5 专家情报服务——TH-Intelligence

情报从监测、评估、量化再到溯源,产品是不能够满足客户深度需求的,面向 B 端我们将提供更为深度的情报服务来解决情报落地难问题。我们的情报分析团队基于威胁猎人的情报平台来结合企业客户的需求展开工作,让服务更贴近客户的需求。

03 未来更大的想法

这是我们团队正在努力的方向。

我们尝试在业务安全市场找到一个平台化的产品,「基于一个稳定攻防平面构建的攻防平台产品」。以感知能力为切入点,打造一个行业入口级产品,并建立一个行业风险标签数据共享平台,最后提供给客户一整套可落地的业务安全解决方案。

1 我们期望降低整个业务安全应用门槛

国内现在对业务安全的需求非常大,而且增长的也很快。很多公司两三年就能成长为一个小「独角兽」,面临着严峻的黑产威胁。不像 BATJ 等巨头,没有这方面的对抗经验,因此很多黑产也特别愿意咬这样的「软柿子」,这已经不是几家公司从自己研发调转几个人,针对性的去处理一个问题,而是已形成一个行业性的需求。

我们通过开放版本的风控系统,让中小企业能够通过系统快速构建企业级的风控模块,降低整个业务安全的应用门槛。并在此基础上实现行业赋能,让中小企业也有能力及时了解自己公司的风控安全,做好风控决策。

2 我们期望打通行业数据孤岛问题

随着企业业务发展的需要,风险标签已存在不足的问题。以前大家主要关心防护量,比如拦截了多少爬虫、多少次撞库、多少次攻击等。但慢慢地大家发现,仅关注这个防护量意义不大,业务安全的本质是攻防效率。

但在与黑产抗衡的人数、手段和工具上明显不对称,黑产已经形成高效运作体系和高效承载攻击,而防守方之间信息却是隔绝的,各家都在摸索自己的打法,缺乏共享机制和模型,导致整个攻防效率很低。

我们将建立起行业风险标签数据共享平台,联动数据孤岛,提升整个行业的防守效率。

3 帮助企业解决「看病难」的问题

企业在做业务安全的时候,很多工作或效果难以量化,不能及时了解黑产的攻击手法,我们为企业提供针对业务场景的业务安全风险评估服务,区别于传统安全的漏洞检测,以攻击者视角关注攻防成本、攻防成本检测和逻辑及流程缺陷检测,帮助企业更客观地了解业务风险状况、黑产攻击手法、成本及收益。

威胁猎人将从单一的业务情报服务厂商,迈向以解决业务安全行业核心问题为出发点的业务安全解决方案厂商。

源链接

Hacking more

...