摘要:AI引擎助力业务安全构建主动防御能力

千亿级业务安全市场,如何用AI防范羊毛党和内鬼?| 爱分析调研-ifenxi

调研 | 李喆 田群 撰写 | 田群

过去的四年间,芯盾时代保护了超过2万亿元的金融财产免受黑灰产攻击,累计为用户挽回40多亿元经济损失。在传统网络安全边界失效的情况下,芯盾时代构建了以人的身份管理为核心的业务安全新边界,并利用AI技术构建了业务安全主动防御能力。

业务安全的主要威胁来自于黑灰产领域,与国内传统网络安全市场600多亿元的市场规模相比,黑灰产的规模早已达千亿元人民币,仅从业人员就超过180万,业务安全市场规模是传统网络安全市场的10倍,达数千亿之高。

网络安全问题近年来全面转向以获取经济利益为核心,随着某多多羊毛事件、医疗系统7亿公民信息泄露等事件层出不穷,黑灰产的蔓延扩张,给企业业务发展带来了巨大威胁。同为安全问题,传统的网络安全方法在黑灰产面前通常难以招架,如何利用新手段构建新的业务安全屏障成为业务发展的刚需。

芯盾时代自2015年创立之初,就定位于业务安全领域,并建立起以人为核心的业务安全体系。过去的四年间,芯盾时代保护了超过2万亿元的金融财产免受黑灰产攻击,累计为用户挽回40多亿元经济损失。

爱分析近期调研了这家业务安全明星公司,本文从其业务格局出发,深入探讨了业务安全的发展特点与未来趋势。

千亿级业务安全市场,如何用AI防范羊毛党和内鬼?| 爱分析调研-ifenxi

构建业务安全边界,建设以人为核心的业务安全底层基础设施

传统的网络安全边界主要指企业内外网之间的物理隔离,形成了以防火墙、IDS、IPS、网关等设备为代表的隔离边界。随着移动互联网、云计算、微服务等业态的快速发展,企业内外网边界逐渐弱化、甚至消失,这导致了传统网络安全边界的不断失效。

那么新的安全边界是否存在呢?

谷歌在两年前就已经回答了这个问题,新的安全边界是存在的,只是粒度更加细化,形成以人为核心的安全边界,而新边界的主要内容就是对人的身份管理。

千亿级业务安全市场,如何用AI防范羊毛党和内鬼?| 爱分析调研-ifenxi

图:传统网络安全与以人为核心的业务安全

以银行业务为例,早期银行仅有少量的互联网业务,目前的业务种类已多达四五十种,渠道就有十几种。不同业务之间的需要借助不同的身份和口令进行访问,混乱的身份认证管理,常是造成损失的根源。据统计,81%相关安全事件都源于用户身份被盗或者弱口令导致的防护不足。

芯盾时代认为在新的安全边界中包括了人的身份管理、行为管理及相关的业务操作等内容。传统的网络安全通常聚焦在网络、数据、设备等单维度视角,这常常很难跟企业业务发生直接联系。但企业业务都离不开人进行登录和管理,以人作为业务安全的核心时,常可保障业务安全管理的完整性和有效性。

芯盾时代将自身的业务安全解决方案分为To C和To E两块。这是因为企业的业务流程贯穿企业的外部客户和内部员工,所以业务安全的场景同样分为对外业务(To C)和对内业务(To E)。

对外业务主要涉及了一系列的金融欺诈、盗转盗刷、薅羊毛等攻击,对手机银行、网上营销、ATM机取款等C端环境造成了巨大的财产损失;对内业务主要涉及统一认证登录、权限管理、离职信息删除、操作规范性审查等内容,从而避免企业信息从内部造成泄漏。

坚持To B业务,四位一体的产品体系

业务安全无论To C还是To E,本质还是To B业务,芯盾时代通过服务B端客户间接的服务C端客户或者企业内部员工E。但在业务安全发展初期,业务安全企业常面临C端和B端市场的选择难题。

市场实践表明,单纯的To C业务很难打开中国市场。尽管1Password、Keepass等2C类的密码管理工具曾风靡一时,但国内用户在使用习惯上很少采用第三方工具进行个人密码管理,导致了此类企业的付费用户不足,企业运营失败。业务安全在B端之所以能够成功也是因为具备三点优势,更加丰富的功能、无密码管理、付费能力强的客户。

芯盾时代在B端构建了四位一体的产品解决方案,通过多因素认证(MFA)、统一身份管理(IDaaS)、智能行为认证(IPA)和零信任安全(ZTS)四款产品,从身份验证、权限管理、行为监测和持续认证四个维度,实现了业务安全的闭环管理。

千亿级业务安全市场,如何用AI防范羊毛党和内鬼?| 爱分析调研-ifenxi

这四款产品各有特点。首先,多因素认证解决了“你是谁?”的问题,是一个高安全的身份认证产品,客观上减少了U盾的使用;统一身份管理则是解决“你能做什么?”的问题,是一款用于权限、审计的身份管理产品,客观上减少了密码的使用;智能行为认证重点解决“你在做什么?”,是一款监测用户行为的反欺诈类产品;零信任则保证了在全生命周期内,根据风险等级对用户进行持续认证。

可以看出,业务安全并不是单点防护,而是通过整体方案在不断的加固身份认证网络。只有从企业端入口,才能形成完整的业务防护能力。

芯盾时代为用户提供服务的过程,是与用户共同搭建智能、自适应的业务安全底层基础设施的过程,只要客户的业务不停在增长,底层业务安全基础设施就会持续地发挥作用,为业务提供持续、有效的安全防护,帮助用户创造价值。

AI引擎助力业务安全构建主动防御能力

除了解决方案不同之外,业务安全与网络安全在技术底层也有比较大的差异。一方面,传统网络安全领域的技术生态复杂,但是很多都局限于小的领域,并不直接涉及客户业务。

另一方面,传统网络安全的技术手段聚焦在攻防、漏洞挖掘等方面。

从芯盾时代的角度,其业务安全技术聚焦在三点:一是端点核心安全,在终端安全上积累了设备指纹、终端环境安全、终端威胁防御、态势感知等技术;二是智能安全大脑,大量使用了AI和大数据技术,基于用户的数据、行为进行风控建模;三是连续自适应认证,芯盾时代特有的安全认证技术。

其中最重要的改进来自于AI技术对传统安全引擎的补充。传统的安全引擎以规则引擎为主,规则引擎能够实时的反馈结果,处理绝大多数安全风险;但规则数量总是有限的,随着运行时间延长,攻击方会通过规则引擎的漏洞,使得规则引擎的准确率会大幅下降。

芯盾时代的AI引擎采用事前预防机制,模拟了安全对抗过程;能够利用机器学习技术实时挖掘潜在威胁,从而从被动防御转向了主动防御。业务安全中规则引擎和AI互相配合,规则引擎保证了实时性,AI引擎保证了动态性和准确性。

从使用效果看,芯盾时代的AI引擎上线初期,80%以上的业务安全风险还是通过规则引擎来发现,随着AI引擎的自我学习,AI引擎使用的占比会逐渐上升,一般在上线三个月以后,AI引擎的使用效果达到更加理想的效果。

业务安全中合规性需求向业务刚需转变

与传统网安中大量的合规性需求相比,业务安全的市场动力多来自于企业业务发展的刚性需求。

首先,传统网安的防护效果常是隐性的,除非大的安全事件发生。而业务安全本身就是企业业务的一部分,一旦出现问题,就会造成财产的直接损失或者业务宕机。所以业务安全产品的招标采购通常由业务负责人,甚至企业CEO直接负责,预算额度也比传统网安的预算额度丰厚的多。

业务安全产品的另一大优势是产品之间的黏性比较大,复购率较高。芯盾时代起初通过多因素认证这一杀手锏,在市场中快速实现了异轨超越。由于业务安全产品之间关联性较强,客户在进行系统升级时,仍然会选择芯盾时代的产品,直至形成企业内部完整的防控体系。

即使在业务安全领域,拥有整体解决方案的芯盾时代通常比单一业务安全公司更具备竞争力。比较典型的是反欺诈类和验证码类企业。这两类业务曾在互联网领域快速发展,但随着银行等金融企业在线业务的复杂化,单一的反欺诈和验证码业务并不能满足银行业务的需求。由于企业客户对同一类型产品更倾向于集中采购,单一业务企业与整体解决方案提供商进行PK时,常处于下风。

多场景落地,泛安全领域快速增长

业务安全不仅在金融领域快速落地,政府、教育、企业、B2B等领域的业务安全形势同样严峻。随着业务安全的多场景落地,芯盾时代已经有超过三分之一的业务来自非金融领域。

以政府部门为例,政府部门存储了大量的企业与个人数据,遭受入侵后的潜在危害更大,2016年,一次黑客攻击就导致某医疗系统7亿公民信息被泄露。另一方面,政府部门业务人员规模和系统数量都大于一般的企业,安全管理难度也较大。

政府部门对芯盾时代的统一身份管理和零信任产品需求较高。统一身份管理不仅帮助政府人员减少密码使用,而且能消除内部人员的违规操作、密码泄露和弱密码导致的信息泄露。而零信任产品则可通过风险智能识别引擎,能够及时识别跨场景、跨部门和跨地域的业务风险,适用于现代政府人员多部门和移动办公的需求。

芯盾时代的重要客户还分布在互联网教育和二手车交易领域。这两个领域企业利用芯盾时代来保护企业的核心信息资产,如学生和教师信息、二手车客户信息等。

由于这些信息具备很高的商业价值,企业内部员工具有强烈的动力通过倒卖信息进行获利。常规的企业安全系统很难发现内部员工的违规行为,芯盾时代的零信任产品系列借助Carta和UEBA技术,对用户的历史行为进行建模,自动分析内鬼的行为,发现违规行为,并记录相关证据,并及时进行处置。

产品、获客和场景理解占优,客群质量不断提升

产品/技术:产品体系较全,能够提供完整的解决方案,在AI和零信任领域技术领先。研发实力较强,公司内部三分之二为技术人员,目前已获得35项国内专利和1项国际专利。现有产品主要以私有云的方式部署在企业客户内部,芯盾时代有计划在将来发布相关的硬件产品。

客群/LTV:芯盾时代目前客群以高价值的金融机构为主。客单价较高,在百万元以上,部分客户累计已达千万元级别。除金融客户外,芯盾时代的客群已拓展到政府部门、运营商、和大型互联网机构。

获客:以直销获客为主。其业务安全产品因为与业务产品高度绑定,所以复购率较高,能够产生很好的业务黏性。芯盾时代的复购主要有两种,一种是购买的新的产品类型,如在买了多因素认证产品以后,继续购买统一身份认证产品;另一种是购买新的渠道,如第一年买了手机银行和网上银行两个渠道,第二年购买柜台和ATM渠道。目前来看,芯盾时代的渠道复购占比较大。

场景:对外业务以金融类的安全认证、反欺诈场景为主;对内业务在统一身份认证、无密码登录、违规操作消除、抓内鬼等场景中丰富应用,政府/企业端需求明显。

千亿级业务安全市场,如何用AI防范羊毛党和内鬼?| 爱分析调研-ifenxi

近期,爱分析专访了芯盾时代创始人&CTO孙悦,交流业务安全赛道趋势及芯盾时代的最新发展,以下整理精彩内容与读者分享。

建立整体解决方案,以服务大客户为主

爱分析:芯盾时代成立之初是怎样的快速切入市场的?

孙悦:芯盾时代刚开始定位在身份管理方向,这在当时是个业务刚需场景。导致业务安全的原因非常多,很多时候并不是单纯的网络安全问题。芯盾时代认为业务安全中本质在于贯穿在整个业务流程过程中,以人为核心的安全。这包括了人的身份管理、行为分析及业务流程中相关操作等内容。

2015年,随着移动互联网和手机银行业务的快速发展,业务安全对于银行来说还是真空期。所以,芯盾时代以身份认证为切入点快速切入银行业务。

当时市场很多身份验证的企业是2C的公司。芯盾时代开始时以2B方向为目标,2C的产品在国内很难打开市场。芯盾时代通过服务B端客户再去服务C端客户,并不直接服务C端客户。

爱分析:芯盾时代的产品体系有什么特点?

孙悦:业务安全本身不是一个单点的防护,仅仅只做多因素认证是不够的。从开始到现在,芯盾时代的产品体系是全流程的。

业务安全只有经过一个整体的考虑才能解决业务过程中的所有问题。芯盾时代与其他厂家的不同之处,在于芯盾时代做的不是一个单点产品,而是一套业务安全的底层基础设施,根据银行的具体需求一步一步服务每个业务,取得整体较优的效果。

爱分析:芯盾时代的客户定位如何,如何看待公有云的身份管理产品?

孙悦:目前全国各种银行大概300家,芯盾时代的客户接近200家。出于合规和监管的要求,银行类客户是不会使用公有云产品的。虽然芯盾时代也有公有云客户,但是多属于中小型客户。

芯盾时代的定位还是以大客户为主,比较容易形成收入效应。这些大客户首先以银行、金融类客户为主,其次为政府和网络运营商客户,最后才是互联网客户。目前,芯盾时代30%~40%的收入来自于非金融类客户。

业务安全关键在于建立行业壁垒

爱分析:目前业务安全市场的规模有多大?

孙悦:这两年业务安全的市场规模在400~450亿左右,其中反欺诈的占比还是比较重的。

爱分析:业务安全与网络安全的区别与联系?

孙悦:业务安全与网络安全现有的发展方式还是不太一样。网络安全市场形成是因为随着网络设备市场的发展,必须要配置一定百分比的网络安全设备。网络建设规模越大,网络安全的市场规模也越大。在目前阶段,网络安全的建设已经放缓,网络设备的供求关系基本保持稳定。所以,客户每年在网络安全方面的预算也是稳定的,城商行大约在小几百万每年的预算水平。这个市场本质上是一个更新换代市场而不是一个新增市场。

业务安全是完全不一样的。首先,领导对业务安全的重视程度是不同的,业务安全一般CEO会亲自过问。第二,所有人都会关心业务,业务安全采购一定是业务部门发起,信息技术部门承建,而预算基本上是在业务部门。

业务安全本质上已经不是简单的网络安全层次的问题,而是属于业务的一个模块,是业务的组成部分之一。随着业务的快速增长,业务安全的配套设施也应该快速适应,否则就会引发业务安全隐患。

爱分析:如何看待业务安全中抓“内鬼”的市场潜力?

孙悦:芯盾时代的产品线里有UEBA产品,就是用户实体行为分析,这本质上跟交易行为分析的原理是一致的,只不过更换了一些数据。芯盾用UEBA来做员工行为分析,现在已经形成了很多互联网公司的案例,例如给这些企业抓内鬼。

芯盾时代认为这是一个很大的潜力市场,基本所有的销售类公司都会存在这个问题。这个业务开始是由企业主动找到芯盾时代寻求帮助。企业发现自身的核心信息遭到了泄露,被竞争对手获取后,以不正当竞争的手段获取了自身的客户资源。芯盾时代经过调查后发,多种原因造成了信息泄露,既有外部账号攻击,也有内部人员作案。这类问题造成的企业损失,一年大概能达到企业收入的10%。所以,企业有很大的动力购买这类产品。

业务安全是一个前瞻性的业务,芯盾时代认为这个市场的潜力很大,壁垒是企业必须要了解业务,行业属性非常重要。只有对业务理解,了解业务流程,才能做出准确的规则。