回眸五年,转型之变

时间 :  2021年05月26日  来源:  安天


        2016年5月25日,习近平总书记视察了安天,安天负责人肖新光向总书记汇报了安天反病毒引擎核心技术研发、发现分析溯源外方网络攻击情况,以及为国家重点型号任务提供的网络安全保障工作。在听取了汇报后,习近平总书记对安天人说“你们也是国家队,虽然你们是民营企业。”

        带着总书记的期望和嘱托,安天人开启了新的征程。


一、明确企业定位,开启产品化征程

        2016年,正是安天酝酿全面的业务转型之时。安天创业的前十年,以安天实验室模式尝试了民间研发机构创新探索的独有道路,2010年起,安天以反病毒引擎授权的独有商业模式开始了企业转型,安天高速引擎适配网络安全设备的特点和移动威胁检测能力对国际知名厂商的快速超越,支撑安天实现了引擎技术授权对多个发达国家厂商的出口。AVL SDK反病毒引擎的LOGO成为产品具有可靠反病毒能力的标志,安天针对“震网”、“火焰”、“毒曲”等攻击样本的专业分析,也受到国内外同业的关注和称赞。但2013年后,受到网络空间国际大气候的影响,安天传统引擎授权业务客户在海外几乎丧失殆尽,屡次尝试突围无果。而与此同时,APT威胁挑战日趋浮出水面,传统合规产品难以应对。依托先进引擎和威胁对抗能力,安天正式酝酿向政企市场转型。安天人将这次转型,称为第三次创业。

        这是一场没有充分准备的战争,最大的挑战是转型的产品准备度。端点防护产品停留在早期作为引擎DEMO的个人/企业级杀毒,距离国际成熟的EPP产品形态还有一定的距离;流量安全方面虽然具备骨干网络威胁监测工作的长期持续积累,但能够供给的是作为自用威胁捕获的环节给主管部门的定制探针,并未实现产品化灌装生产;威胁分析和情报生产方面,追影沙箱是后台用于大规模样本自动化分析处理的环境,尚未进行可前置部署的封装;威胁捕获(蜜罐)方面,虽然从2004年开始了捕风蜜网建设,但一直是作为自用的感知环节,未形成产品封装。安天的研发技术兵力基本是围绕着安天传统的上游反病毒引擎授权的业务模式展开,人员集中分布在反病毒引擎、自动化分析平台、监测捕获体系、恶意代码和高级威胁分析等客户看不见的基础工作上。没有规模化的产品研发队伍、没有面向政企客户的售前体系、没有安全服务队伍,也没有强有力的资本支撑。面对政企市场,安天还是一个地地道道的新人。

        而在转型中,面对各种市场的机会,各种产品形态,如何定位新的商业模式、如何找到新的主战场,没有政企市场经验的安天人开启了艰难的多方尝试和探索,不断寻找市场方向和企业定位。

        安天人以能力型厂商为自身定位,希望达成有效防护的安全价值,并选择了有高安全能力需求的国防军工客户作为主战场,坚持军民融合的发展路线。过去五年,安天坚持在威胁分析的第一线,完善了支撑战略客户关联分析、追踪溯源、靶场演训、威胁猎杀等需求的系列基础能力和装备体系。2017年,安天将“敌情想定”这一概念,引入网络空间安全领域,并提出了网络安全防护要以“敌已在内”为基础想定,这一观点已经广泛为战略客户所接受。

        安天人高度关注客户的数字化转型的安全保障,当前我国信息化处于全面数字化转型的关口,异构互联、泛在移动成为不可逆转的浪潮。IT基础设施全面云化已经不可避免,一些传统的排斥云建设的场景已经破冰在即;与此同时,伴随信创发展,我国基础IT供应链自给能力全面增强,这也提升了防御难度,拉大了防御正面。安天将坚决跟随IT场景延展,支撑保障客户数字化转型,布防防御盲点。

        五年来,安天巩固了威胁检测引擎、高级威胁分析对抗、海量威胁自动化分析和威胁情报等方面的基础能力优势。构筑了由铸岳、智甲、镇关、探海、捕风、追影、拓痕、智信组成的产品品牌方阵,可以为客户构建资产运维、端点防护、边界防护、流量监测、导流捕获、深度分析、应急处置、可信接入等基础安全能力。安天创始人肖新光进一步提出了“超越产品赛道,重构有效安全价值”的产品主张,适配价值场景和威胁特点,按照关键安全动作在场景下基于有效防御动作组合的思路,推动网络安全产品的积木化重构。

        安天智甲从早期单机版杀毒软件中脱胎换骨,强化主动防御、采集检测响应、分布式防火墙、介质管控等核心模块,深化微隔离等新兴特性,渐进形成对NG-AV(下一代反病毒)、EPP(端点防护)、EDR(端点检测响应)、CWPP(云平台防护)的产品赛道覆盖,全面走向UES(统一端点安全)产品理念,成为覆盖各种体系结构、操作系统、功能场景防护的端点安全产品家族。安天发挥国产手机底层安全赋能优势,引入零信任概念打造智信安全,改善远程接入和BYOD层面的安全属性。安天整合追影威胁分析系统(沙箱)、捕风威胁捕获系统(蜜罐)的情报输出能力,将能力产品与智甲端点安全、流量监测的有效联动。并进一步进行重构改造,让安天出品的每一款产品都既是威胁情报的消费者、也成为威胁情报的生产者。安天发挥反病毒引擎和Linux系统安全方面的技术积累,成为了相关信创系统初始参研单位。

        2019年1月,安天以ATT&CK威胁框架为驱动,通过攻击侧技术遍历的思路,对产品能力进行梳理;2019年7月起,安天全线产品的事件告警和行为标签,实现了对ATT&CK威胁框架的全面支持,形成了多个产品有效的能力互补覆盖。

        2020年,安天“光明组合”管理团队更将“产品化”作为安天“四化战略”的头等大事,以进一步加快安天产品化水平的全面提升。安天进一步推出了“超赋能、新合规”战略,通过AVL SDK反病毒引擎和威胁情报赋能,对传统的合规产品进行消化引入、能力改造,完善了镇关系列新合规产品。


二、安天引擎关口前移,形成国家安全能力基石

        反病毒引擎是安天的技术创新起点和核心能力基石,反病毒引擎授权也是安天长期的业务模式。安天在推动政企市场业务转型的同时,持续投入、坚持深化安全引擎的基础能力。五年来,安天持续在核心技术自主创新上不断深化,目前安天引擎的解析深度等关键指标,渐进超越了国外主流厂商。安天反病毒引擎针对海量已知威胁精准检测能力是安天的重要技术特点。安天引擎可以精准检测命名8个基本分类、超过6万种家族、超过1500多万变种,监测能力覆盖百亿样本空间,助力安天全线产品和安天合作伙伴实现精准威胁辨识。结合安天知识赋能,可以针对攻击载荷输出74种核心恶意型行为、117种恶意代码运行平台、载体格式和环境信息,对载荷进行杀伤链维度能力评价,输出ATT&CK威胁框架171个攻击技术标签,覆盖率64.29%。并在工信部支持下,将安全引擎能力向工业网络基础设施延展。安天正在规划安全引擎加速芯片,并已经研发了FPGA的原型。

        习近平总书记视察时,嵌入安天反病毒引擎的网络设备和网络安全设备为6万台,累计手机终端为2亿部;截止到2021年4月,安天引擎所覆盖的网络设备和网络安全设备已经累计超过100万台,手机终端累计达26亿部。安天坚定为保护公民个人隐私安全和提升国家互联网治理能力构筑基础设施,过去五年,通过广泛深度赋能手机厂商和其他智能终端合作伙伴,安天的安全引擎和安全中间件累计防护覆盖超过26亿部手机等智能终端设备,成为“国民级”引擎,有力地遏制了手机病毒传播,全面改善了手机用户在应用下载、Wi-Fi接入、扫码等环节对抗风险的能力。安天将继续发挥检测引擎、安全中间件、威胁情报等方面的优势积累,驱动全生命周期的供应链安全能力提升,全面增强个人用户对抗网络安全风险的能力,为管理部门遏制侵害公民个人隐私等不法行为提供基础设施及支撑能力。


三、坚持火线战斗,持续分析对抗安全威胁

        五年来,经过全面基础设施建设,安天形成了超过3万7千个计算单元的后台大规模自动化分析能力,日自动化样本分析处理能力达到百万量级,全面完善了监测捕获系统、大规模自动化分析系统、人工交互式分析系统和威胁情报系统。安天持续监测跟踪了数百个威胁行为体的活动,特别是针对“方程式”、“白象”、“海莲花”、“绿斑”等几十个高级网空威胁行为体(APT组织)进行了攻击活动、攻击装备、支撑体系和作业手法的深度解析。

        2017年5月,安天第一时间对使用永恒之蓝漏洞的“魔窟”(WannaCry)病毒启动“A级灾难响应”预案,向主管部门通报情况、集结上百名工程师开展分析响应工作,率先发布WannaCry蠕虫的深度分析报告、免疫及查杀工具,为我国控制该病毒疫情提供了有力的技术支撑。2019年6月,安天发布长篇报告,完整复盘NSA攻击中东最大金融服务机构的全过程。2020年,安天持续跟踪分析抗击疫情背景下的相关网络安全风险,多次捕获发现相关威胁行为体浑水摸鱼的网络攻击。2021年,安天发现印度相关攻击组织的攻击活动,有力支持了回击印方在网络安全问题上对我国的抹黑。

        在这些工作中,作为安天核心应急和深度分析力量,安天CERT不断成熟,逐步形成了“第一时间启动,同时应对两线威胁,三体系联动,达成四作业面效果”的工作机制。安天也连续六届十二年蝉联“国家级”网络安全应急服务支撑单位。


四、新团队、新布局,资本助力加速发展

        为更好地实现“民企国家队”的使命,2020年,安天创始人肖新光邀请网络安全和信息化领域著名企业家、原中国电科三十二所所长游小明加盟安天,出任安天执行董事长、首席执行官,与安天董事长肖新光一同组建“光明组合”管理团队。安天新一届15人高管团队中,既有安天的联合创始人,也有原军工央企的负责同志,其中有多人担任过上市公司高管。

        安天以哈尔滨为总部基地,建设了哈尔滨、北京、武汉、成都、深圳、上海六地研发中心、两个省级工程中心和重点实验室、一个博士后创新创业基地和多个高校联合实验室,参与了一项国家重点实验室建设。

        安天拥有超过800名优秀网络安全技术专家和工程师,已经累计申请网络安全类专利1061项,获得专利授权458项,实现了工程师人均超过一项专利申请,人均0.5项专利授权,被评为国家知识产权示范企业。五年来,安天获得国家科技进步二等奖1项、省部级奖4项,并在2018~2019连续两年度蝉联国家网络安全对抗赛冠军。

        安天2020年顺利完成了B轮滚动融资,累计到位资金8亿元人民币。由龙江基金领投,高科新浚等基金跟投,特别是获得了中国国有企业结构调整基金的跟投。安天的B轮融资规模成为去年国内网络安全行业最大的一笔。

        资本注入让安天发展更具布局能力。2021年4月,安天与北京国泰网信签订协议进行深度合作,安天通过并购获得国泰网信的控股权。国泰网信是国内工业场景密码应用的标杆企业,通过本次并购,安天与国泰网信进行了技术、产品、团队的深度融合,安天的反病毒引擎、安全内核、威胁情报等,将实现对国泰网信产品的“超赋能”,国泰网信和安天产品体系的融合,将强化安天密码可信板块,加强面向物联网、工业场景的最后一公里的价值落地能力,扩展了安天工控安全版图。


五、适配使命愿景,校准价值主张

        作为中国网络安全“民企国家队”,该怎么履行自己的使命,安天五年来一直在探寻求索。

        2021年初,安天对内部发布了新版企业价值主张(征求意见稿):

        依托端到端的安全能力和供应链关口前移的优势,实现全场景的有效防御覆盖与可信场景构造。并依托强大的威胁对抗体系,实现深度客户赋能,驱动客户完成从威胁情报消费,到自主安全能力生产的智能化安全运营变革。

        我们支撑战略客户达成威胁对抗、安全防护与数字化融合闭环的愿景,我们的能力是国家网空战略防御能力的基石,是社会安全治理的保障,是维护网络空间人类命运共同体安全的支撑力量。