创业公司走过A轮、B轮不容易,走向上市的更是凤毛麟角。在创投圈,“不成功便成仁”的魄力已经渐失,更多的是求生存。在各种各样的死法中,除了品控、成本、市场需求这样的“显性”症状,企业安全问题更像是死神发起的最后召唤。以外部安全威胁为例,Wanna Cry的恐慌刚刚平息,更猛烈的Petya就突袭而来,甚至还要随时面对更频繁的DDoS攻击。有数据显示,60%的小企业在遭受DDoS攻击后,六个月内便会垮掉!这样的灭顶之灾,让创业公司如何自处?
直面内忧外患的安全困局:内有技术短板,外有黑客环伺
受创业环境的影响和制约,绝大部分创业公司的企业安全架构存在着不少问题。或为了追赶产品上线的进度,一切以功能为主;或因创业初期资金有限,无法采购太多的服务器资源;亦或缺乏技术精英,技术团队组建出现短板。这些困难直接导致系统在技术架构层面无法做太多的设计,系统的所有资源都集中在一个服务器上。正因此,创业公司普遍存在两大问题:服务器不稳定和服务器性能持续面临瓶颈。
创业公司的“生死劫”不仅体现在“内忧”,“外患”尤胜。
网络黑产业链随着创业浪潮水涨船高,攻击手段层出不穷。其中,DDoS攻击已经成为企业凛冬期间的“头号杀手”。百度安全今年发布的《2016年DDoS攻击报告》显示,DDoS攻击规模越来越大,已经超越了12306的高峰期带宽。由此带来的损失也足够引起创业公司的重视:“仅需一小时,且用买苹果有线耳机的钱,黑客就能打垮一家网站”绝不是夸张而谈。
近年来,黑客攻击小型创业网站并索取保护费的新闻屡见不鲜。仅仅一个用户的数据被泄露,都极有可能被不法分子利用进行敲诈勒索,蒙受巨大损失,这对基础薄弱的创业公司来说几乎是致命的打击。此前,有香港媒体报道,因受网络攻击造成相关经济损失金额逾18亿港元,而平均每次修复工程花费就达780万港元。内地知名的创业公司也曾面临各种棘手的企业安全问题:滴滴出行未成为行业巨头前,Uber、滴滴打车频频爆出过系统漏洞,巨人网络某站POST型SQL注入,贷齐乐P2P平台频遭攻击……
经过这些年的内忧外患,创业公司的企业安全问题有所缓解了吗?现状并不乐观。当前不少创业公司要么缺乏安全意识,要么有心加强安全风控,却缺乏相应的技术能力和解决方案。如果公司决心自主搭建安全系统,主机托管,则需要经验丰富的运维工程师,同时还需要技术人员随时跟进,对最新的安全漏洞进行修补,然而超负荷的工作量以及高成本,常常让创业公司望而却步。
既然内部无法解决困局,“救命稻草”也唯有走出去寻找了。
正视安全厂商的技术实力:丰富经验是先决条件,产品和服务是加分项
创业公司走出去寻找“安全靠山”的总体思路不会变,即“一个中心,两个基本点”:以保障企业安全的可靠运行为中心,享受优质、便捷的产品和服务为两个基本点,全方位提升企业的安全防护能力。
随着网络技术的深入发展,国内安全厂商也如雨后春笋般崛起。从云主机、终端设备安全,到WEB-APT以及DDoS防护,一时间数百家安全厂商在各自的领域战斗着。这对于创业公司而言,又产生了新的问题:如何才能找到最适合自己企业的安全合作厂商?是追求“大而全”还是选择“小而美”?
业内有不少安全人士着手预测未来的网络威胁走势,其中已达成共识的是:随着黑色产业链以及高级威胁攻击技术的发展,新一轮的黑客淘金浪潮就要来袭,未来黑客攻击的广度和深度都将扩大。换言之,黑客一旦锁定有漏洞或缺乏防护的企业安全系统,定会调用各种资源、手段发动“连锁式”攻击。
即使是已经成长多年的成熟公司,面对企业自身的安全漏洞,同样战战兢兢。如视频、电商等网站一旦被黑客发现并攻击漏洞,动辄数万条用户信息将面临“裸奔”威胁。这样看来,错综复杂的网络威胁环境,让创业公司不得不“广积粮,高筑墙”。
基于全面防护的考虑,创业公司大多会选择国内互联网巨头打造的安全服务。以百度安全为例,伴随着百度安全业务的纵深拓展,其丰富的经验不仅体现在自身技术挖掘方面,更包含在多领域纵深钻研的服务经验。从其服务的金融、游戏、电商等六大行业客户群来看,不仅有行业内的老牌知名企业,更有许多近几年快速发展的创业公司。这些明星、种子企业的服务经验,对于更多长尾客户而言,具有较高的参考意义。
除此之外,拳头产品和服务同样是创业公司选择大型安全厂商的重要加分项。选择与百度安全展开合作的企业,大多认可的是其“将大规模攻击防御生效时间降低到5分钟以内”,“从海量安全事件中进行深度关联学习,识别出潜在威胁的‘昊天镜’”,以及基于大数据、网络攻防、应急响应三大安全能力所能提供的渗透测试、安全培训与咨询服务等等。
当一家安全厂商在业内值得称道的产品和服务越来越多时,它所能吸引到的企业客户将成指数级增加。
小结:网络攻击常态化已成既定事实,创业公司对于安全合作的把控也越来越娴熟。它们所期待的安全合作,更集中到产品协同的方向上来。这对于安全厂商来说,既是机会又是挑战。“大而全”与“小而美”的兼顾,看似鱼和熊掌不能兼得,但其实已经有安全厂商走向了“高精尖”的道路。如何诠释呢?或许可以称之为“智能安全”。AI正在改变机器与人的交互方式,影响力日益扩大,整个行业亦面临着安全问题同步升级。就在2017百度AI开发者大会上,由百度安全与DuerOS团队联合开发的业内首个智能设备漏洞检测工具亮相,全面开放,兼容各类智能设备,检测范围覆盖智能设备常见高危漏洞并提供业内领先的解决方案。这正是百度在互联网安全方面多年实践的在当下智能安全层面的积淀,随着安全市场的平稳发展,百度安全的技术能力还将赋能于更多企业与业务。