云起无垠沈凯文:构建新一代开发安全基础设施 让Fuzzing技术为企业赋能

首页 / 业界 / 人物 /  正文
作者:藏青
来源:安全419
发布于:2022-10-08
近两年来,随着我国数字化进程的不断推进和深入,网络安全产业迎来了飞速发展的新机遇。日益复杂的网络威胁形势,让网络安全产业的土壤更加肥沃,让那些怀揣着技术理想的安全研究者们逐渐登上时代的舞台,他们希望乘着行业发展的浪潮,为之贡献自己的力量。
 
本期是安全419创业者说栏目的第十篇,文章的主角是行业中又一位年轻的创业者——北京云起无垠科技有限公司创始人沈凯文,我们邀请他围绕当前网络安全行业的创业环境、创办云起无垠的心路历程以及对这家公司未来的愿景和规划等话题带来一次深度分享。
 
虽然当前市场环境较为严酷,但沈凯文认为,在实网攻防演练行动的推动下,国内“业务驱动安全”市场将迎来爆发式增长。这意味着技术创业者们迎来了属于自己的时代,创业这件事情恰逢其时。
 
沈凯文创办的云起无垠专注于Fuzzing(模糊测试)技术领域,致力于研发新一代智能模糊测试引擎为协议、数据库、API、APP、Web3.0 等应用提供强大的软件安全自动化分析能力,从源头助力企业自动化检测与修复业务系统安全问题,为互联网每行代码的安全运行保驾护航。
 
不久前,云起无垠刚刚宣布完成数千万元天使轮融资,由绿洲资本独家投资。

图:云起无垠创始人沈凯文

一位技术研究员的自我迭代和打怪升级
 
虽然在创业者这个身份语境下沈凯文相对年轻,但在安全行业中,他的经历却比绝大多数人丰富,堪称网安行业的“OG”。
 
出于对网络安全技术的热爱,沈凯文在初高中时期就已经对“红蓝攻防对抗”得心应手,用他的话说,“红蓝攻防在那个时期很好做,每个网站都存在很多的漏洞。只要给我一个目标,基本上一个下午肯定能够攻破。”
 
痴迷于网络安全攻防技术的沈凯文,先是考入湖南大学,就读网络安全专业。随后又凭借着远超同辈的领悟天赋和技术功底,被保送到了清华大学攻读硕士学位,并经引荐加入了国内网络安全竞赛和研究领域最顶级的蓝莲花战队,开始跟随一众黑客大神们征战世界最高水平的各大黑客竞赛,成为中国首屈一指的CTF佼佼者。
 
在蓝莲花战队期间,沈凯文与队友们连续六次入围全球网络安全顶级赛事DEFCON总决赛,2019年代表中国大陆在台湾HITCON黑客大赛上夺得冠军,同年在GeekPwn国际安全极客大赛中获得全球第一名。
 
 
 

图:沈凯文与队友们一同征战全球各大网络安全赛场

在谈到这一段高光时刻的时候,他回忆道,“在蓝莲花打比赛的那段时间,我们去到了世界上最前沿的地方,看到了最顶尖的网络安全研究是什么样子。”
 
连续打了三年比赛后,他也逐渐在安全研究中找到了一丝“手感”,但此时他也面临毕业的抉择——继续留校做科研还是去找一份工作?
 
举棋不定的时候,学校向沈凯文抛来了继续保送本校攻读博士学位的机会,稍作纠结后,他便做出了继续留校做科研的选择。就在不久前,沈凯文刚刚完成了博士学位论文的答辩,告别了自己的学生时代。
 
他告诉我们,从成为博士生开始,便正式放弃了曾经无比风光的CTF选手的身份,开始沉下心来专攻协议安全的研究方向,聚焦在自动化漏洞挖掘和协议模糊测试领域,去持续探索新攻击、新技术与新方法。
 
硕士到博士的这几年中,在做科研之余,沈凯文并没有停止对前沿技术的洞察与追踪。他曾深入到产业界,以实习生的身份加入队友们创办的长亭科技,到一线观察用户的真实痛点和需求,拿来与自己的技术研究相互印证。这一实习经历拓宽了他在网络安全市场的视野,同时也为他积攒了大量甲方客户资源;

他也曾以合伙人的身份与队友共同创办了一家安全公司,在那里他不仅是一名技术研究员,更是一位企业管理者。在研究自动化漏洞挖掘的同时,他锤炼了自己关于公司战略、制度体系、业务流程、财务核算、品牌管理等方面的管理能力。

从与队友创立的安全公司退出后,沈凯文又马不停蹄地加入了中信资本。在这里他以投资人的视角认真观察国内外优秀网络安全公司的发展逻辑、产品形态,在这个过程中,他更加坚定了未来创业的方向——开发安全。

在与沈凯文的交谈中,我们能感觉到他始终保持着强烈的学习欲望和热情,从技术到管理,从商业模式到融资策略,他都能够侃侃而谈、如数家珍。过往的工作经历让他如同打怪升级一般,逐一点亮了在公司管理上面的所有“技能点”。

图:沈凯文在云起无垠开业庆典上做分享
 
「开发安全」赛道挑战与机遇并存 属于技术创业者的时代已经到来
 
在沈凯文看来,当前整个网络安全行业的大趋势正在变化,实战攻防演练和数字化转型正在推动整个网络安全市场从合规驱动向业务驱动和结果导向转变,“合规驱动的时代是关系型、资源型创业者的天下,而需求驱动、业务驱动将会是属于技术创业者的时代。”
 
在技术驱动的大背景下,甲方企业负责人开始主动寻找更好的技术解决方案。因此,能明显观察到甲方企业主每年会专门预留部分预算,以采购新兴的安全技术,比如开发安全、威胁情报产品等。另一方面,传统安全设备(WAF、IDS)对于大型甲方企业来说,已经逐渐采购齐全,每年只需要付出少量成本进行更新与维护即可。在这个维度上,它们释放了更多预算空间。
 
今年,在创业环境、博士毕业、合伙人、大方向、技术基础、商业模式、天使投资人全都处于ready的状态后,云起无垠这家公司顺理成章地成立了。
 
 

沈凯文谈到,“虽然我们在科研上做出了一些小的突破,但科研本身相对曲高和寡。追溯内心,我还是一个实践型理想主义者,希望为网络安全行业做出一点贡献,真正能够为行业解决一些现实性、根源性的问题。”
 
谈及为何选择「开发安全」这个细分赛道时,沈凯文认为,作为一个科研型创业团队,它的使命就是去解决科研型技术难题,去思考如何在本质上提升安全,而不是关注工程问题。而开发安全天然就是适合科研人员从事的领域,包括污点分析、符号执行、模糊测试以及最终的自动化漏洞挖掘在内,每一个都是适合科研人员长期投入的技术挑战。
 
抛开科研使命不谈,沈凯文对于开发安全还有着更深一层的理解。
 
他认为,过去网络安全行业存在一个几乎无解的核心矛盾:安全效果难以度量。这就导致用户很难衡量各款安全产品效果的优劣,最终让整个市场沦为关系型的商业模式。“任何一家网络安全厂商在销售安全产品时,都无法承诺一定能够为用户带来价值。拿WAF举例,因为攻击是低频的,谁也不知道用户是否会被攻击,保证一定能够检测到攻击。在用户的视角中,如果攻击失败了,产品效果如何证明?如果攻击成功了,产品效果更是无从谈起。”
 
而开发安全则是一种度量标准十分清晰的商业模式。开发安全并不向用户保证防御效果,而是直接向用户交付漏洞,漏洞数量的指标让每一位企业管理者都能够更直观地量化和判断安全产品带来的价值,因此,安全左移实际上在某种意义上赋予了安全度量的标准,实现商业模式的转变。
 
“开发安全是一个更加高频的领域,比如用户采购了ABCD四家开发安全产品,谁能够真正地挖出漏洞,这个事情能够很直接地验证和度量效果。也只有这件事情上,技术创业者才能够利用技术优势构造自身的壁垒。”
 
因此,沈凯文认为,面临国内从合规市场向业务驱动市场的转型,在所有的新兴市场中,相比数据安全和零信任安全,开发安全会成为增速最快的细分赛道。

图:云起无垠团队
 
Fuzzing技术注定是软件安全测试技术的未来
 
沈凯文介绍,Fuzzing 是一种针对软件安全的自动化测试方法,它主要的理念是追寻测试样例的变异,并通过海量的测试数据来覆盖更多的程序执行流,从而找到更多的安全问题。Fuzzing 不仅可以发现逻辑类漏洞,还能检测到内存破坏的漏洞,比如缓冲区溢出、内存泄漏、条件竞争等。其本质原因在于,Fuzzing 对软件安全测试的整体粒度更细,测试点更多,判断位置也会更精准。
 
“Fuzzing技术虽然九几年就被提出了,但当时它还是利用较为落后的暴力枚举法,更多停留在实验室环境下。但近 30 年,Fuzzing 技术呈飞跃式发展,它目前除了可以覆盖 AST 技术以外,还可以利用到一些其他的技术,包括符号执行、语法树变异、代码覆盖引导技术、遗传算法变异、污点跟踪等。”因此他认为,虽然当前安全行业还有很多从业者还没有认识到Fuzzing的价值,但从科研的角度看,现代的Fuzzing技术已经趋于成熟,并且逐渐成为软件测试方法的集成者和开拓者。
 
目前,Fuzzing技术在国际上已被应用在 Google、Microsoft、美国国防部(DoD)等头部组织机构。据公开统计,近 5 年 Project Zero 项目中已有 37%以上的 CVE 漏洞是由Fuzzing技术挖掘出来的。在国内,Fuzzing技术也已被各大厂商广泛应用,如华为、阿里等一线厂商均开始尝试落地Fuzzing技术
 
沈凯文表示,未来Fuzzing技术在安全行业中的应用和落地将会像AI技术一般,可以从算法引擎上优化传统软件安全测试方法(比如传统 AST 方案)。因此,它会在很多方面比传统的 AST 方法效果更好,也是目前科研界和工业界认定的下一代软件测试方法的突破方向。


打造开箱即用的“代码安全基础设施” 让Fuzzing技术真正为企业赋能
 
“大家都觉得AI技术很厉害,但事实上较少有人主动关注AI的框架,使用AI技术的人可以不懂遗传、蚁群和反向传播等算法,但他们依然可以通过接口调用的方式把AI技术顺畅地使用起来,享受AI技术为生产和生活带来的便捷。不远的将来,Fuzzing也会到达这个阶段,它会成为一个成熟的技术,如同API接口一样能够直接调用,真正造福于开发人员。”
 
沈凯文谈到,互联网科技发展和技术更迭都始于研发。无论是传统的数据库、操作系统,还是新兴的车联网、脑机接口、元宇宙,最终都需要由代码开发来诠释与实现。而云起无垠提供的智能模糊测试技术将作为代码开发的基础设施,为一切开发场景安全赋能。
 
他表示,Fuzzing的算法引擎对安全人员的技术能力要求较高,比如操作系统底层原理、编译原理、动静态分析、符号执行、智能算法等,普通的安全工程师很难在一两年之内掌握。相较于与WAF类产品,甲方安全人员需要与Fuzzing类产品高频交互,过高的使用门槛往往会让用户望而生畏。因此如何提高产品的易用性,提高用户的友好程度非常关键。
 
当前,云起无垠正在基于智能Fuzzing技术逐步建立产品矩阵,为用户提供包括黑盒、灰盒和白盒在内的模糊测试类产品,全面覆盖“开发、测试、部署、运维”在内的各个阶段。在产品层面,云起无垠主攻“开箱即用”的设计思路,目前正在通过将技术细节封装在核⼼算法引擎中的方式,让甲方用户能够在不深度了解Fuzzing技术的前提下,更便捷地使用安全测试产品,以此来增强用户的使用友好度。
 
沈凯文最后谈到:“在未来的一段时间里,云起无垠也将持续对产品进行打磨,不断提升产品的用户友好程度。云起无垠的价值和使命就在于,把Fuzzing技术做到平民化落地,让它变成一项开发人员能够真正用起来的技术,成为‘代码安全基础设施’,以助力整个信息安全产业的发展”。