访谈︱这家初创公司以APP加固技术为核心
随着移动互联网的快速增长,移动安全领域在近年来也十分的火热,尤其是移动互联网的入口——移动应用(APP)的安全,更是迅速受到关注。除了BAT3几家互联网巨头之外,还出现了几家专注此领域的初创企业。本次访谈,安全牛采访的是爱加密CEO郭训平先生。
郭训平
个人简历
郭训平,爱加密CEO,全面负责公司的战略规划和运营管理。郭训平先生投身安全领域已达20多年,曾先后在多家知名安全公司如Symantec、RSA等担任重要任职,积累了丰富的销售、市场营销及团队管理的工作经验。
一、国内最早涉入APP安全领域的厂商之一
安全牛
移动APP安全这个领域,国内目前已经有几家在做,相比之下,爱加密是否有着自己的独特优势?
郭训平:移动APP加固是一个比较新的细分领域,前几年还处于研究阶段,真正在市场上流行也就是2014年下半年。
APP加固的主力需求是银行。人民银行早在2012年底就出了一个针对移动支付方面的技术规范。在这个规范里,对APP安全提出了明确的要求。比如防破解、防篡改、数据加密等。之后,银监会就开始按照规范要求执行。
爱加密参与了这个规范的撰写,并提供了一些重要的材料和数据。当时我们通过手动的方式对五六十家手机银行的APP,做了一个比较深入的分析,出了一份几百页的专业技术报告,提炼出银行APP中存在的一些共性问题。
安全牛
也就是说早在2012年,爱加密就进入到这个领域了?
郭训平:是的。我们不仅作为国内最早推出APP加固的安全厂商之一,在移动安全的许多细分技术领域都有着自己的独创性,还是国内最早推出移动APP全方位解决方案的厂商。
安全牛
能否详细描述一下“全方位”的含义?
郭训平:这种全方位可从两种角度解释,第一个是从安全行业常用的“事前、事中、事后”的防护理念出发,提供风险、预警、审计,以及监测与响应等方面的解决方案。
第二个是围绕APP本身的全生命周期。从设计、开发、测试,到上线、交付、升级等各个阶段,帮助开发者或者是用户解决不同层面的问题。
比如说在开发阶段,我们提供安全开发的咨询服务,帮助开发者遵循相关的技术规范。数据能否落地,如何加密,如何保护源码,漏洞风险在哪里,开发框架是否存在安全缺陷等等,这些都是主要以实现业务功能为主的开发者所不熟悉的。对大银行来说,非常看重这种咨询服务。
爱加密是一个技术为导向的公司,技术人员占到了70%以上,创新能力很强。公司的创始人是彭瀛,也是这个公司的董事长,做系统底层研发的,即是技术人员,又是产品经理,从产品创新、定位和设计上都非常出色。
二、在压缩技术和VMP技术领域的创新
安全牛
谈到技术创新,我知道VMP(虚拟机保护)在APP加固中属于较新和较高水平的技术,爱加密在这方面有哪些见解?
郭训平:具体到加固技术,说实话,我们是处于领先位置的。
市面上大多数VMP技术,只是对dex文件的保护,但即使是这样,其中也有一些技术难点。比如VMP支持覆盖的代码量,即虚拟机里可以保护多少代码。保护的代码越多,对性能的影响就越大,对兼容性的要求就越高。
爱加密能做到对全代码的保护,而且不影响兼容性和性能,不影响用户的体验。这一点是我们非常具备优势的地方。还有一个更具优势的地方,爱加密称之为第六代的加密技术,叫做双重VMP技术。
安全牛
怎么理解?
郭训平:也就是说我们的VMP还可以支持对SO库文件的保护,目前只有爱加密唯一一家可以做到。
双重VMP可以最大程度的保障用户APK文件的安全性,尤其是动态调试的安全性。再加上我们独有的压缩技术,可以实现加固之后包体的负增长。
安全牛
也就是说经过加固之后,安装包不变大反而减少?那也就意味着需要分析并优化源代码?
郭训平:是的。我们在不影响性能和兼容性的情况下,对代码结构进行优化、对资源文件进行优化,通过这种静态压缩的方式实现包体的负增长。
再比如,APP需要下载安装,然后才能运行体验。爱加密通过压缩、加速和免安装技术,可以无需安装直接运行原生态的APK。拿游戏来说,压缩比率到可以实现90%以上,完全可以在带宽速度一般的情况下,流畅运行。
独有的压缩技术和双重VMP这两个是我们的核心技术优势。
三、基于大数据的风险监测体系
安全牛
移动安全领域的公司,大都在数据方面有着不小的积累,爱加密在数据积累及应用方面是怎样的?
郭训平:我认为作为专注于移动应用安全的厂商,应该具备移动安全基础设施的能力,以对APP的整个风险状况进行了解。
目前为止,爱加密的移动应用风险监测体系, 服务APP超80万款,覆盖8亿终端用户。而且我们还和全国的运营商合作,每天收集到的APK下载URL可达数百万计。至少在国内这个监测体系应该是最大的。
有了这些数据资源之后,我们使用几十个引擎对安装包进行检测,并把各种数据放到大数据平台进行分析,可以及时发现不同类型、不同行业的移动应用的风险状况和未来趋势,以及服务于不同方面的市场需求。
这些数据第一是为公司自己的主营业务服务。第二会给市场上的一些需求方,如从政府层面、监管部门层面提供态势监测。第三是为一些第三方客户,提供渠道监测服务。
安全牛
APP加固这个市场,很容易见顶。这也是为什么很多互联网巨头并没有开辟这个市场,主要是为自己服务。爱加密如何考虑未来的业务发展规划?
郭训平:从目前来看,APP加固这个市场还没有见顶,至少对我们还没有太大影响,这与爱加密的产品的定位与用户的真实需求匹配度非常高有关。
除了APP加固,其实我们也在关注几个新的方向。比如我们目前一个基于大数据分析为基础的核心安全解决方案,MSOC,移动安全运营管理平台。
随着移动互联网尤其是移动互联网的发展,边界变得模糊,传统网络防护方法已无法满足用户需求。MSOC在照顾到传统安全防护体系的同时,打通数据,帮助用户去整合移动互联网、物联网、云计算和大数据等新风险防御体系。
第二个方向,我们关注IoT智能生活领域。金融行业为什么对APP安全的需求如此刚性,就是因为里面的信息和内容非常重要。一旦出了问题,责任重大。loT不管是互联网还是车联网,和人们的生活息息相关。汽车被人攻击,直接威胁人身安全。智能家居被攻击,威胁的是家庭财产和个人隐私。
而且,IoT的市场空间要大的多,因此物联网安全肯定是像我们这种从事APP加固公司的主要业务发展方向之一。但目前这个领域我们还是处于研究测试和产品定型的阶段,并没有产生大规模销售需求。
第三个方向,我们还是想围绕着APP本身做一些目前可落地的事情。比如,基于大数据的风控和反欺诈解决业务逻辑上的问题。再比如,新型业务在用户端的接受程度,以及自身业务和同行业务发展情况的监测和分析,可以为管理者提供非常有价值的信息,了解产品效果,节省推广成本,辅助业务发展方向的决策。
这种服务从纯技术角度来讲,可能跟传统的安全没关系,但它的实质就是保障业务发展,确实能帮用户目前棘手的问题。在这方面我们已经有了七八家的银行客户,应用效果非常不错。不管采用什么样的技术和手段,最终目的还是要保证用户的业务,因此我的理解这是一个“大安全”的概念。
四、提升整个安全行业的价值
安全牛
爱加密去年的销售情况是怎样的?
郭训平:APP加固这个领域,行业特点比较明确。爱加密金融行业的客户有200家左右,银行客户有将近100家,银行客户覆盖率达到90%。
2016年我们的收入6千万元左右,去年其实是APP加固市场增长比较快的一年,与2015年相比,各个行业尤其是非金融行业,对APP加固的需求有着很大的提升。原先主要是金融,银行和证券,2016年还包括了运营商、政府、大型企业、互联网金融和游戏运营商等。根据目前的营收趋势,我们预测今年的收入将会过亿。
安全牛
移动APP安全这一块,实际上已经不少公司在做了,怎样才能在这种竞争的环境下更好地发展自己呢?
郭训平:移动化的趋势不可避免,APP安全作为一个新兴领域是一个非常好的切入点,因为实施成本低,交付容易,尤其是以云的方式交付。
刚才我们提到BAT3,这块业务它们也都有,但它们是自用,还没有到这个市场正式开始竞争,即使在全球来讲也没有特别突出的公司。国内在这个领域影响大一些的公司,也就两三家。仅从APP加固的销售业绩上来讲,大家并没有本质的差别,无非一两千万而已。
起步早的公司,可能知名度会高一点。但除此之外,还有两点也非常重要:一是技术要不断的创新,并在产品层面要做扎实。二是要从整个行业的发展去看问题。比如我们在对外做宣传的时候,我会告诉大家爱加密在这个行业起到了什么作用。比如在监管层我们做了什么,在标准工作中我们做了什么,在技术提升上做了什么等等。
“
爱加密参与了,银行业、证券业、公安部三所、国家应急响应中心、天津防病毒中心、工信部电信研究院、信安标委会等牵头的,针对移动APP安全的规范和标准的撰写。
我认为有竞争是件好事情,因为如果在某个新兴领域只有一家公司,这个公司是没有战斗力的,而且缺乏足够的声音造势,业务也很难做起来。因此大家需要合作,而不是恶意的竞争。
至少在我这里绝不允许员工拿着竞争对手产品被破解的报告给用户去讲,这样最终不利于安全行业的发展。作为新兴领域的先行者,要能够带领整个行业往前走,这才是对整个行业,甚至是整个民生都有价值的。
最后,我认为一家安全公司还是要讲情怀的。一个人加入一家创业公司,带来的结果应该是因为自己的加入推动整个公司的成长,而不仅仅是个人或自己部门的成长。每个加入的员工都这样的话,公司一定会不断的健康成长,发展壮大!