Web 3 时代，如何保护你的网络身份安全？

国内网络安全行业的发展现状如何，身份安全的具体落地场景又是怎样的？Web3 时代的网络身份安全有什么不同吗？

针对这些疑问，我们邀请到了国内网络身份安全赛道的代表公司——中安网星的联合创始人&CTO 李佳峰，以及种子轮投资人变量资本管理合作人吴江，一起聊聊网络身份安全赛道的发展与未来。

1. 网络安全保护的资产不仅是传统的金钱，还有数据或其它数字资产，在未来的虚拟数字世界，应用的范围会更广。

2. 在万物上云的背景下，AD 是本地化时代的组件，也需要有更好的解决方案来替换。

3. 安全攻防从业人员，不能只掌握单门技术，需要对大部分技术都有所掌握，需要知道它们的底层技术原理，能做到触类旁通，类似技术界的「全栈」。

4. 无密码是一个非常有价值的事情，从底层解决了密码问题。二次认证并不是从底层解决，而是以堆积木的方式，再堆一层以更安全的方式进行二次认证。

5. 去中心化身份需要应对特定的场景，在企业 To B 这件事情上，企业本身就是比较集权的组织，集权和去中心化的概念有一些相悖。

Founder Park：最早决定创业时，行业发生了哪些变化，让你觉得通过创业做一家公司可以达到目标或实现价值？

李佳峰：创业前我们对大环境进行过一些观察，加上国际趋势也有一些影响，中国对信息安全和网络安全的政策支持比较多。近几年数据安全法、网络安全法以及个人信息保护法都出台了，在这些法律法规的机会上催生了很多需求。

另外，根据实际的案例，我们做这件事情其实和身份安全相关。在之前的项目案例中，我们发现被攻击的企业通常是发现自己被攻击了，才开始采取补救措施，没有把安全做到前置或把安全的需求做到前面。事件发生后，给客户分析安全问题时，发现很多情况下客户的日志保存不完整，往前回溯发现整个链条不完整。现在疫情也有很多溯源的操作，需要找到感染源头，这和网络安全攻击非常相似，需要找到攻击者是从哪个源头入侵的。

在这个过程中，我们发现现在的很多设备、安全产品以及安全的解决方案不是特别完整，比如它虽然能回答两个 IP 或两台计算机之间的连接关系，但同一个计算机可能有多人使用。这种情况在甲方或在客户的调查中，无法很好回答这个问题。如果把两台计算机使用的身份关联起来，会达到非常好的调查和溯源作用，拿出非常完整的溯源报告，这个契机也是我们做这件事情的初衷。

整个行业有大的赛道、环境的变化，再结合我们对行业的理解以及行业内有我们确实可以解决的需求，所以做了这件事。另外近几年网络安全相关的创业者也非常多，这是个非常好的机遇，也是我现在看到的整个行业的变化。

国外也有一些成功的案例可以借鉴，比如美国、以色列和法国等国家的很多企业，网络安全公司的市值非常高，这些都有可取之处，但也需要结合我们国家的具体情况。像国外比较火热的 SaaS 赛道等，在国内有很多不太适合的场景，或暂时不适合的情况。可以有借鉴的情况，但需要具体研究自己的行业以及根据客户的具体需求，再制定相关战略。

Founder Park：疫情给安全行业带来了新的命题和挑战，你们创业时会认为这也是一个机会吗？

李佳峰：疫情给很多行业带来打击，也给很多行业带来机会。创业前我们也担心疫情会不会影响创业节奏，会不会导致无法继续增长。内部讨论和研究后发现，受疫情影响，反而所有企业的数字化要求会越来越高。在数字化增长的趋势下，我们认为网络安全的需求也会越来越多。所以疫情对整个网络安全领域乃至整个 IT 领域都具有催化剂的作用。

SaaS 也好，远程办公也好，在未来某个时间点肯定能达到，但疫情会起到催化剂的作用。在原来的线下办公场地办公时，我们不需要担心网络会不会被攻击，可能是处于一个完全隔离的网络，不能通过互联网访问。这种方式可以实现物理隔离，不需要关心内部网络的安全情况。但如果是接入外部互联网，或接入远程办公后，网络安全策略就必须要提升，在这样的策略背景下，我们的网络服务会暴露在互联网上，任何人都能访问到。这种情况下，不做网络安全的投入，被攻击的风险会成倍增加。所以我们认为这是非常好的机会，也是为数不多能抓住的机会。

Founder Park：如何看待网络安全行业以及其发展空间？

李佳峰：这几年行业的增长率是非常高的。市场调研显示每年网络安全领域的市场规模的复合增长率保持在 20% 以上，这两年受疫情影响可能不到 20%，通过复合增长率能看出行业的增长是非常快的。尤其是在 2016 年，网络安全法颁布后，增长速度非常快。

从社会发展角度看，网络安全是在保护数字资产，它的存在是非常必要的。网络安全保护的资产不仅是传统的金钱，还有数据或其它数字资产，保护的范围更广，应用的范围也更广。人类社会会奔向数字化程度更高的场景，像电影《头号玩家》里的场景，越来越多的场景会搬到虚拟世界，那么虚拟世界也需要做好网络安全的防御，所以它肯定是成长性非常高的行业，也是值得关注的行业。

吴江：我个人认为网络安全是一个新兴行业，新兴行业未必能用周期性概括和定义。在我的理解范畴里，不会把它当作周期性的去理解，网络安全一定是持续发展、成长的状态。不同的网络时代、发展进程，对安全的定义、要求和需要的防护程度是完全不一样的，是在持续演进且要求会越来越高，越来越专业甚至越来越多变的演进状态。

所以我更倾向于它是一个会高速且持续成长和变化的行业。政策是有驱动作用的，过去很多人不重视个人的信息安全是需要被保护的，或者即便意识到了，但由于政策措施不到位，导致没有被很好的保护，一旦政策措施下来，会有更好的策略和体系去保护用户个人隐私和网络安全环境。但核心的服务和需求的存在一直是需要的，对于网络安全的从业者或创业者来说，它都是要长期持续耕耘的。

Founder Park：你们主要解决行业中的哪些问题？

李佳峰：目前我们主要解决用户身份威胁的发现和识别。

举个例子，现实世界中每个人都有一个标记自己身份的特殊物品，比如身份证，但也可能有假的身份证，如何识别虚拟世界身份证的真假，我们就是在做这样的工作。

第一个切入的领域是做 AD 相关的保护。AD 的全称是 active directory，中文翻译是活动目录。它有点像我们平时用的电话簿，能记录联系人，会把很多信息记录下来。这个信息可以做认证或做用户、账户的管理。对企业来说，需要有一个集权的管理去管理所有的用户，可以存储用户信息、用户账户密码等等，同时也可以提供其它的系统或组件去使用。AD 可以连接企业内部的所有身份基础设施，作为核心的底层身份基础设施，可以让所有的系统来对接它、连接它。比如住酒店，酒店连接的是公安系统的身份证查验系统，相当于不同的系统可以调用 AD，那么我们第一部分就是保护 AD 系统不被入侵。在我们的物理世界，像支付宝或发放身份证的中心，要保护支付宝、身份系统不被入侵，比如身份证在使用过程中，需要分析用户使用它的行为，以及用户使用过程中有没有尝试伪造以及不正常的认证进行攻击等，主要做这样的事情。

Founder Park：AD 主要应用在哪些领域？之前 AD 的解决方案存在什么问题？

李佳峰：AD 作为一套优秀的身份方案，在众多企业的内部也被作为最核心身份基础设施。在企业内部，需要有这样一套系统连接所有人员，存储他们的信息。应用范围也不只包含 Windows，因为它的底层是基于 LDAP（轻量目录访问协议）协议进行认证的，所以我们任何的操作系统都可以连接进入这个系统，国产的操作系统也可以接入到系统中。AD 已经存在 20 多年了，大部分企业会选择这套方案。我们的方案主要是保护整个 AD 系统不被入侵以及发现其中的脆弱项目。

但是企业也可以不用 AD，如果需求不是特别广泛，只需求某一个小点，那么可以找到其它的替换方案。所以目前 AD 是我们进入身份威胁安全领域的头阵。我们现在也支持除了 AD 外其它的身份基础设施，比如 IDaaS（身份即服务）或本地化的 IAM（身份识别与访问管理）等，还有客户自己研发的身份认证基础设施，我们都会尝试接入进来，因为他们的接入是基于网络认证的协议。协议都是标准的，基于历史的积累，从而也可以进行快速分析，发现其中威胁。

在之前的场景和环境中，很多客户对于 AD 的保护方案是缺乏的，市面上没有相关方案能解决这部分的痛点。2016 年在美国的 Black Hat（黑帽技术大会）中，提出了一些针对 AD 的攻击方式和方法。这些方式和方法公之于众后，很多攻击者会使用和学习。过了两到三年很多客户开始被攻击，造成的影响有勒索病毒、勒索软件、勒索攻击和窃取资料等，商业间谍活动也比较多。所以厂商、公司开始重视 AD 和身份的安全，造就了现在的需求，这也是我们做这套方案前存在的问题，以及我们可以解决什么问题的大概背景。

Founder Park：是不是本身 AD 的技术底层也在发生变化，才导致 AD 本身也需要更新换代？

李佳峰：这也是技术背景之一，以 AD 的解决方案提供商微软为例，微软在自发进行一些变革。比如微软推出的 Azure 云服务，云服务商上有一个 Azure AD 的技术组件，用来替换本地化的 AD 方案。整个方案完全云化以及基础设施上云之后，安全维护都由提供厂商或第三方的专业厂商负责，不需要使用者进行维护。

举个常见的例子，手机可以把运行和计算都放到云端，不再需要太大的体积和过多的电量，只需使用一个接入端，网络接入公有云。云厂商只需要提供一些基础硬件，比如没人用手机时，硬件资源就给别人使用，这样可以具有非常大的优势，不用担心黑客单独入侵一个手机，入侵的风险由手机的提供商解决，这样会节省很多资源，也带来很多便利。在万物上云的背景下，我认为 AD 是本地化时代的组件，它也需要有更好的解决方案来替换。微软提出了一些解决方案，我们认为可以做一些更好的、更适合中国国情和我们的客户的具体细化的场景解决方案。

Founder Park：除了 AD 外，注意到你们的公司介绍上还提到了云目录，云目录是一个新产品吗？还是一个新的产品方向？

李佳峰：云目录是想达到的一个最终形态。我们期望在方案后期，能为每个身份标记一个特征。原来的网络通信常见的有应用层、传输层、网络层，还有数据链路层等。这是比较传统的定义，而且是互联网之初就有的一些层次划分。基于这些层次，整个设计中可能没有考虑到身份这一层，但身份层又是非常重要的。如果能为这些架构标记上身份，通过在应用层进行更多更细的拆分，我们就能把身份层加入进去，这是非常有价值的一件事。

云目录可以为任何企业提供底层的身份基础设施，SaaS 也好，本地化的应用也好，能供任何第三方进行调用。这样的方式对企业和整个行业都非常有价值，所以它会是我们偏后期的一套方案。在实际的落地过程中肯定会遇到非常大的阻力，因为它不再是一个检测产品，或者说不会影响客户环境，它需要很大的替换成本、部署成本等各种隐性成本，所以这会是比较长的路。

Founder Park：会担心身份威胁安全领域较小，成长空间不大吗？

吴江：从个人的角度来看，网络安全没有一件是小事，网安无小事。我更关心他们有没有切实的问题解决方案，并且方案是否被用户所认知，他们的用户是 B 端客户。从这个维度看，中安网星解决的问题确实是一个很小的领域。但问题真实存在，且是用户的痛点，这么来看又不算小的领域，至少是一个切入点，确实能解决用户非常重要的需求，而且还有很多延展性。

李佳峰：从身份安全甚至整个大领域来看，我们也做过一些调研，基本上身份领域占了整个行业的 20% 左右，身份领域里组成非常多。再细分的话，身份里会有做硬件的。比如苹果手机用到了 Face ID 和 Touch ID、指纹解锁等，这些都和身份识别相关，同时也有做软件相关的，包括认证、威胁识别、威胁阻断、威胁发现等等。

我们认为身份威胁的领域是比较大的，需要选择一个比较通用化、标准化同时比较容易的切入点，但同时也具有一定的壁垒。我们恰巧在这个机会中掌握了技术，形成了一定的壁垒，然后去切入市场。

Founder Park：从投资的角度来看，中安网星在产品上哪方面的思考比较打动你？

吴江：中安网星团队最大的特点是他们不只能说到，还能做到。

安全是一件很复杂的事情，大部分人可能没有机会理解安全到底是什么，只享受了服务，并不知道背后的逻辑和体系，甚至不知道安全理念到底是什么。中安网星是把相对复杂的东西交付为相对简单的产品模块直接给客户，不给客户讲特别复杂的东西，而是给客户解决场景的问题，拿到产品可以开箱即用。这是我接触他们时很心动的一点。

不讲概念，不讲体系，不讲一些宏大的名词，而是给用户一个产品，并告诉用户这个产品能解决什么问题，用户拿过去就能使用。而且他们的客户大部分是对安全性要求较高的金融领域客户，对这个领域的客户来说，一是产品要好，二是可靠性要高，因为金融领域对安全性的技术要求是非常高的。中安网星的产品能经受住他们的考验，并且引到他们的体系里。从这一点来说，产品能力和应用可靠性是毫无疑问的。

Founder Park：你们目前做的核心产品有什么竞争点，或者比较创新的点？

李佳峰：目前我们做到的一个点是从图的概念出发，把所有客户的身份在一个图的场景中标注出来，如何找到并快速发现每两个身份之间的关系，举个例子，我们平常使用微信，可能隔了很久我们翻看通讯录，发现我也不知道什么时候加了一位好友，也不知道什么时候扯了两句闲话。这时候我们的产品可以把用户和用户之间的关联建立起来，通过连线的方式在一张网状图中展示每个身份之间的关系，以及标注出每个身份的属性，客户再进行溯源。发现问题后能快速定位到哪个用户或员工被攻击了，或哪个计算机的账户被攻击，这都能快速定位，而且能用图的方式进行展示，不再是通过列表进行展示。

这项技术引入了数学中的图论，同时与把图论使用得非常好的图数据库进行关联，一方面做到了身份之间的关系，其次也做到关系的关联，同时把所有身份进行特殊属性的展示，能给客户一个快速分析和溯源的场景。

在过去，企业溯源的过程会花费大量的时间，使用图计算后，能快速定位用户之间的关系，可以把原来一两天的工作量降低到一个小时或半个小时，这对客户来说是非常重要的。因为在阻断某些攻击时需要争分夺秒，对企业来说核心是降本增效。一个企业不希望养更多的人来解决更多的问题，而是希望把人数降低，通过机器、计算或各种软件解决需求。软件和计算机不会出错，而且会把人的不稳定因素降得更低。总体来看，我们的方案能给企业带来降本增效的作用。

Founder Park：你们服务什么类型的客户，解决客户怎样的需求问题？

李佳峰：首先是金融领域，银行我们服务了很多客户，银行客户的需求主要是网络威胁的发现。这些威胁和我们熟知的网络威胁不同，我们平常了解较多的网络危险有薅羊毛、抢优惠券等，这些也是企业威胁防护的一部分。我们的主要领域不在这里，而在另一部分，保护银行或金融单位不被国外的攻击者攻击，相关交易数据以及股民资料或银行客户的资料不被窃取，更多是面向 B 端，和 C 端接触较少。

除银行外，还有一些承接的证券行业、保险行业等。以保险为例，如果保单以及历史申请材料泄露，也是个人信息的泄露。这些数据在网络攻击活动中非常重要，除了国际之间的斗争，还有商业竞争，不同的保险公司之间如果有恶意竞争，也会存在网络威胁的攻击行为，我们主要保护这样一个领域。

客户的需求大部分是和威胁阻断相关的。但我们的产品前期没有提供阻断功能，日常杀毒软件的功能首先是发现威胁，其次是阻断威胁。很多客户提出：发现威胁后只告诉我需要处置，但我并不知道如何处置以及怎样妥善处置。发现威胁后很暴力的把服务器关机肯定是不行的。在这样的场景下，要做到自动阻断，而且是精确阻断相关威胁，只阻断威胁并且不给其它组件或其它服务造成困扰。这些需求都来自实际的行业经验，