安全领域的“探路者”：OneASP 让应用程序具备自我防护能力

移动互联网时代，企业越来越重视信息化的可持续发展，数据和信息已经成为企业发展的核心竞争力，而信息安全则关乎企业的“命脉”。云计算时代，新开发架构和技术的不断应用，让整个企业的 IT 系统变得更加复杂，而越复杂也就意味着企业的潜在安全威胁增多。同时，随着黑客技术不断的升级和迭代，攻击方式更加多样化且非常隐蔽，企业安全防护面临更高的挑战。

权威调研机构 Gartner 的数据表明，超过80%的攻击发生在应用层，但是周界安全和应用安全投入比例仅为 23：1，而国内专门做应用层防护市场的团队却屈指可数。2014年9月份 Gartner 的调研员 Feiman 提出的一种全新概念——实时应用自我保护术 RASP（Runtime Application Self－Protection），简单而言，RASP 技术能够像一剂疫苗注入到应用中，与应用一起运行，结合应用的逻辑和数据流，在运行时对访问应用的代码进行检测；对于已知漏洞，相当于为其打了虚拟补丁，起到补偿控制的作用。

RASP 技术的问世，曾在业界内引起不小的轰动。OneASP 是国内第一家将 RASP 技术落地的创业公司。近日，CSDN 与 OneASP 总裁兼首席安全顾问，前微软大中华区信息安全总监何迪生展开了一次对话。何迪生曾在北美工作过12年，之后的 11年都是在微软管理安全业务，期间还担任过微软香港区首席安全官（CSO）、大中华区信息安全总监和核心基础架构总监，负责管理多个安全项目。这个已经将大半生都献给安全事业的男人，再次踏上了新征程。以下内容系 CSDN 整理：

CSDN：首先请您介绍一下自己的工作经历，以及目前团队的情况？

何迪生：我大学毕业于加拿大滑铁卢大学，当时是拿到了统计学\计算机科学学士以及精算学硕士学位。随后的十几年，基本上都在微软工作。因为家庭的原因，我选择回到了国内发展，然后在香港警署“防犯罪技术部”任职安全咨询顾问十多年，也在信息系统安全协会（ISSA）香港分会担任总裁一职，04到14年期间，我在国际信息系统审计和控制协会（ISACA）北京事务委员会担任主席。后来，我还非常有幸地担任了 WTO 第六次部长会议的首席安全咨询师和 08 年北京奥运会奥运城市运行指挥平台的安全顾问，可以说也是奥运会的原因，让我跟北京结下一份不解之缘。总的来讲，我将大半生的职业生涯都奉献给了安全事业，OneASP 是我的新起点。

当然，我非常喜欢 OneASP 这个年轻的、有活力的团队，我们有很多优秀的人才，他们在安全防护领域深耕多年，拥有优秀的技术和解决问题能力。大家都希望在安全领域有所作为，所以整个团队具有很强的凝聚力。在2015年，我们推出了国内首个代码级应用安全防护系统，OneASP 也是国内第一家将 RASP 技术进行落地的公司，我们非常自豪，因为我们是“第一个敢吃螃蟹的公司”，尤其是面对 RASP 这项新技术，开发门槛也非常高。我们目前的主要任务，就是更快速地实现产品迭代，为客户提供更高品质的服务。目前，公司也是“求贤若渴”。

CSDN：现代移动互联和云计算的流行使安全管理愈加困难。请问您如何看待国内外安全市场的发展现状？面对国内外众多的安全巨头，OneASP 作为一个小团队该如何破局？

何迪生：随着信息技术的不断发展，信息安全问题日益严峻。尤其是这两年，可以说已经上升到了我们国家的战略高度。不可否认，中国的信息安全行业较欧美这些发达国家，起步较晚，差距有点大。但近几年，国内 IT 行业正在“超高速”发展，国内企业对信息安全需求呈现爆发式增加，辅助政府政策法规的驱动，激发了整个信息安全市场的无限潜力。

在投资领域，安全行业也在不断刷新纪录，去年年底，安全公司 Tenable Network Security 宣布获得 2.5 亿美元 B 轮融资，也创下业界融资的最高纪。而安全公司CrowdStrike 已获得了高达 1.56 亿美元的融资总额。另外，Tanium 在去年陆续融资两亿美元，估值 25 亿美元。相信中国的安全市场，随后也会有新一轮的爆发。

从另一个角度而言，互联网时代外部环境变化迅速，无论行业“巨头”还是刚起步的其他团队都面临着不同的挑战，大家都没有可借鉴的商业模式，企业大多是通过“试错”去不断寻找新的市场方向，大家都在不断做调整。而我们这种精英式的小团队更加灵活应变，也能更快适应安全市场的发展。其实，我们跟安全行业的一些“巨头”不仅没有业务上的冲突，而且在产品和技术层面也在商讨一些合作，我们希望打造一个安全的生态圈，OneASP 专注于应用层面防护，而网络层的防护可以跟行业“巨头”的产品进行集成。

还有一点，其实很多优秀的业务模式往往都是精英团队创新的结果，比如腾讯的微信，而团队的执行力已成为新时代制胜关键，想要“突破重围”，团队的执行力非常重要。

CSDN：OneASP 是国内第一家做 RASP 技术的创业公司，市场上也鲜有类似的产品，请问为什么会选择 RASP 领域？

何迪生：首先是互联网时代，企业迫切需要“安全感”。随着互联网应用的不断深入，网络安全威胁不断扩张和演化，企业研发人员的安全意识其实是非常薄弱的，很多企业在安全领域的投入非常少，但是多样化的攻击也越来越难以防御，而传统的安全解决方案像 WAF 的部署成本高昂，而且对技术要求非常之高。更重要的是，现如今安全领域的指导人才非常少见，缺乏安全且有效的流程指导方案，这就导致了各种安全事件频发，像香港航空某站遭受 SQL 注入攻击，涉及156万乘客信息/268万机票信息/八千多员工信息。甚至每过一段时间，就会有一起非常重大的企业安全事故发生，包括某些行业巨头都会存在安全隐患，一些中小型创业公司更是难以幸免。

另一个方面，因为 RASP 技术刚刚推出市场，我们在这个领域属于“新玩家”。从技术层面而言，它将防护程序与应用代码紧密结合，大大提升了检测的精准性。而且我们能够填补应用层防护市场的空白，这是我们的机会。

最后，就是团队的技术底蕴，OneASP 属于最早期的“探路者”，团队中汇集了很多应用层安全防护这方面的人才。 而且 Gartner 报告显示，超过80%的网络攻击都发生在应用层，这就是一个很好的切入点。然而国内现有的安全防护方案，大多是基于数据流做防护，无法深入应用内部，由此带来的误杀误报率很高。可以说我们是占据了“天时，地利，人和”的优势，所以我们选择了 RASP 这个细分领域探索。虽然国内安全市场是“群雄逐鹿”，但我们敢于一搏。

CSDN：业内普遍认为基于层级的防御是提高系统防御能力的有效方法。基于这样的共识，时下大量的投资都集中于WAF，下一代防火墙，IDS/ IPS，终端保护，SIEMs，DLP，IAM等方面。那么RASP技术的优势主要体现在哪些方面？贵公司对该产品做了哪些升级和改进？

何迪生：总的来说，我们的优势主要体现在以下几个方面：首先，传统安防设备多采用“边界保护”技术，基于数据流做防护，但它无法进入应用内部，缺乏保护的精确性，这也是 RASP 技术在近期迅速发展的原因之一；其次，RASP 技术是将防护程序与应用代码结合在一起，运行时对每个请求进行精准检测，在其内部发现攻击时，能够阻止，大大降低了误杀误报率。简单而言，RASP 探针像一剂疫苗注入到应用中，以虚拟补丁的形式存在，赋予其自身免疫能力，在应用被完全修复前降低应用被攻击的可能。



目前，我们的产品还在不断更新升级，在技术改进上，一方面，相对于 WAF在应用程序外部进行安全防护，我们则是基于应用程序代码级别进行实时防护，极大提高了精确度。另一方面，相对于 WAF 基于特征库进行过滤，OneRASP 则基于上下文及语法进行分析防护。而相对于 WAF 对每个请求使用统一规则库进行扫描，RASP 在针对不同的攻击类型进行精确防护，也大大降低了性能的损耗，所以在技术层面而言，我们弥补了很多 WAF 的一些不足。

CSDN：目前，RASP技术主要的应用场景有哪些？有没有比较典型的客户案例可以分享？

何迪生：正如前面所讲的，80% 的网络攻击都发生在应用层，而这类用户往往具有的共性就是应用中存在漏洞，若黑客针对其漏洞发起攻击，便会给企业带来严重损失，此时用户便需要一种简单有效的防护方案来保证自身应用和数据的安全。此外，传统安防设备仅可监听或阻断黑客攻击行为，RASP 技术不仅仅可以实现传统安防设备的功能，更可以将代码漏洞找出，帮助研发人员快速排查系统的风险点，帮助从根源上解决黑客攻击的问题。

目前，OneASP 服务的客户主要集中在电商、金融、互联网金融等领域，像国内知名的互联网金融平台银客网就属于我们的第一批企业客户。银客网以前也使用过 WAF 这类的安防设备，但误杀误报漏报现象严重，而 OneRASP 不仅操作简便，还能帮助其抵御常见的攻击类型，同时检测的精准性更是得到客户的认可。更重要的是，相对于传统的安全解决方案，我们还帮助这家互联网金融公司节省了至少 50% 的安全层面的费用支出。

CSDN：怎么看待未来云安全领域的发展？公司未来有怎样的发展规划？

何迪生：我们都知道，在今年3月份，围棋人机大战“历史性对决”，人类的李世石以 1：4 的战绩败给了机器人 AlphaGo，当然这件事之后，很快就引发了“人工智能会不会超越人类”的争论。我相信，人工智能等相关技术的发展，未来不仅可以帮助我们造出各种聪明、可爱的机器人，还可以投入在许多不同行业，而安全行业也必然会受到影响。

近几年，我们国家开始将安全提到国家战略层面，加上互联网的高速发展，安全行业人才缺口其实非常巨大。市场上缺少安全方面的专家，直接带来的后果就是传统的安全工具很难发挥其最大的效果，所以安全的下一个方向就是“自动化”。当然，我们目前也在做帮助企业实现安全防护“自动化”的工作。

我个人认为，未来 IT 安全领域的方向将会是人、安全人工智能（Security Artificial Intelligence）以及安全机器人（Security Robotic）共同合作的一种全新状态。具体而言就是人类的主要工作就是负责设计、定义以及管理，而安全人工智能将会成为“核心大脑”，具备自我学习、自我构建、自我更新以及自我整合的能力，安全机器人则更多的负责执行，然后再通过各种 API 进行整合。总体而言，未来安全领域将是一个完整的生态圈，是人、人工智能与机器人共同作用的结果。

而关于公司的规划，因为目前我们仅支持 Java、PHP、.NET 三种主流编程语言，未来我们更希望能够实现对更对不同类型应用的保护，同时整合国内安全生态圈多种安全数据，实现对企业多维度的纵深防御。更远来讲，我们希望能够实现企业安全防护的“智能化”，这就属于人工智能的维度了。我相信，OneASP 也会坚持做一个“探路者”。