墨云科技：讓安全更智能

兵亞

墨云科技的獨特之處在于其是一家虛擬黑客公司。黑客不僅僅是人，還有人工智能。

扎根于智能網絡安全攻防技術領域的北京墨云科技有限公司（以下簡稱墨云科技）自2017年5月創立以來，一直頗受資本青睞。

2021年9月，墨云科技再獲老股東高瓴創投、藍馳創投、將門創投等億元B+輪融資加持。此次是該公司今年2月B輪億元融資之后的又一輪融資。墨云科技從創業之初便捷報頻傳、突飛猛進，實現了令人瞠目的快速增長：創業半年即實現盈利;公司成立8個月，完成3輪融資。“初期階段，基本上每兩個月一輪融資。”創始人劉兵介紹。

本質上而言，墨云科技是一家利用人工智能技術模擬黑客入侵，驗證用戶安全控制有效性的網絡安全公司，它所在的領域目前正處于蓬勃發展的階段。

以攻擊檢測為切入點

隨著云計算、大數據、移動互聯對于IT基礎設施的重構、物聯網的快速發展以及各行各業網絡安全法的落地，我國網絡信息安全行業迎來了全新的發展階段，增長迅速。

據預計，2018—2021年國內信息安全行業復合增速接近 25%，2021年行業整體規模，包括安全硬件、安全軟件與安全服務在內，合計將超過620億元。安全行業正在由軟硬件產品銷售模式向服務模式轉型。2021年國內安全服務業務規模預計突破200億元。

這樣的發展趨勢，讓劉兵萌生出在安全服務行業創業的念頭。

創業之前，劉兵已經在神州數碼任職超過10年之久，做過安全業務部門總經理、產品線總經理，負責安全產品的銷售業務。工作多年，劉兵發現，不管如何努力，在公司安全業務始終不能占據重要地位。同時，在如此體量的大公司，創新成了一件很難的事：“大公司不能在創新方面走得太快，因為牽一發而動全身，一個舉動，需要對很多人負責。”劉兵解釋。對他來說，這樣的生活已經有些束手束腳了。

時機成熟之后，劉兵就出來自己創業了。市場調研、人員籌備，劉兵足足花了一年時間來籌備創業，他將其過程描述為“被格式化了”。

信息安全服務主要包括安全集成、風險評估、滲透測試、合規性咨詢、安全巡檢、應急保障等，其中滲透測試服務就是通過網絡攻防對抗來評估信息系統的安全性。劉兵打算做一款黑客機器人，來解決高昂的滲透測試的人力成本問題。

于是，墨云科技選擇以攻擊檢測作為切入點。劉兵有自己的理由：“首先，我們想到的是做一個小而美的公司，人多了，管理成本就上去了，各種磨合的問題也就出來了。我們有幾十個人，足夠了。其次，團隊在安全服務上有專長。最后，國內網絡安全行業發展已經有十多年時間，被動防御型的產品非常豐富，缺少的是攻擊檢測和分析，我們要做的就是一個攻擊檢測分析型的公司。”

憑借強大的研發能力，墨云科技的虛擬黑客機器人在2017年國際安全標準WIVET測試中，超過惠普收購的WebInspect，排名全球第一。

“我們專門研究網絡攻擊！”劉兵說。墨云科技的獨特之處在于是一家虛擬黑客公司，黑客不僅僅是人，還有人工智能。“我們虛擬出多個身份，對服務對象的網絡節點做脆弱性評估。之前有一個項目，用戶要求我們用7天時間，攻擊1億個網絡地址……”達到人力不可能達到的程度，就是虛擬黑客的威力。

形成壁壘

近年來威脅情報的發展為機器人的訓練提供了“原料”，比如攻擊所需要的漏洞、指紋設備等信息。墨云科技擁有海量威脅情報數據，這是訓練黑客機器人發起攻擊的重要原料之一。公司團隊中有擅長挖掘漏洞的人來做相應的算法模型，他們之前在智能滲透、黑產溯源攻擊和打擊黑產的自動化挖洞方面很有研究。換句話說，墨云科技的團隊懂得如何加工這些原料。

正如同優秀的編劇總能編出讓人感同身受的劇本，劉兵要做的事情也是編一個以假亂真的“黑客入侵劇本”，模擬出如果真的有入侵事件發生時，客戶的漏洞到底在哪里。

墨云科技的核心產品叫Vackbot，是一款“虛擬黑客機器人”，這是將機器學習與網絡安全技術相結合的革命性創新產品。所謂的技術壁壘，就是如何“教”機器人成為一名厲害的黑客。

首先，教給Vackbot比較完善的知識點，這需要時間。以學英語為例，人類一般會從字母、單詞、句子開始學起，訓練一個黑客機器人也得按照一個一個腳本來教它，把組合規則告訴它，由此才能生成一個完整的攻擊。墨云科技的團隊就是把五花八門的攻擊套路和手法用機器能懂的語言喂給機器人，這需要豐富的原料和一定的周期，前期的投入非常重要。

其次，因材施教。訓練機器人學習并不容易，需要把它布在用戶的某個節點，就像體檢時所進行的某一項檢查。理想狀態下，墨云科技的團隊會讓機器人模擬64個真實黑客同時用不同的策略對某個目標進行攻擊，但現實情況總不盡如人意，要從實踐操作中一一解決問題。目前市面上很多智能安全產品都是在一些開源代碼的基礎上進行開發，但現實狀況是，這些底層的代碼可能并不能與具體的安全場景相匹配，唯一的解決辦法就是自己重新來寫底層代碼。

最后，教會機器人融入多樣化的工作環境。不同的客戶有完全不同的業務，有很多系統甚至是定制開發的，這就像黑客要掌握多種攻擊姿勢，才能實現跟真實的安全滲透人員相同的效果。目前，墨云科技服務的行業橫跨運營商、金融、政府等多個領域，這些早期的客戶給了他們試煉的機會。

雖然Vackbot所采用的滲透策略可以自由靈活地進行配置，但必要時一些重要的決策還需交由人工進行研判，以進一步保障滲透過程的可控性。

除了技術，劉兵認為他在神州數碼多年的管理經驗，讓他比很多技術出身的創業者更懂得行業客戶的需求。“技術好是基礎，但一個產品要賣出去，你不僅要跟技術部門溝通，還要跟立項部門、質量驗收部門、采購部門等介紹清楚，中間只要有一個環節不了解，這個單子可能就不是你的了。”

解決行業痛點

經過幾年發展，墨云科技有效解決了網絡安全行業的兩大痛點：一是很多用戶已經投入大量資金購買各類安全設備及系統，但因缺乏科學有效的驗證手段來判斷安全控制的有效性、安全投入的合理性;二是網絡安全攻防領域基本上是傳統的信息安全服務商以“白帽子”黑客人工方式進行滲透測試的模式，交付方式、工作效率、標準化程度、行為及數據可控性都有非常多的不足。Vackbot推出之后，這兩個痛點迎刃而解。

通俗而言，就是在用戶授權情況下，墨云科技在真實環境中利用“黑客劇本”動態生成攻擊路徑鏈，主動并持續地進行模擬入侵，從而在真正黑客入侵之前發現漏洞及攻擊手法，為用戶展現全鏈條脆弱性所在。但是，Vackbot追求的不是漏洞掃描工具所關注的發現漏洞的數量，而是找到那些會被攻擊者利用，并借此進一步入侵的關鍵漏洞。Vackbot 對這些漏洞進行識別與利用，并作為跳板，依靠 Vackbot 背后的墨云安全大腦攻擊知識圖譜，尋找并利用與實際場景匹配的攻擊手段，向更深層次進一步滲透，從而形成攻擊路徑鏈，實現深度安全驗證。

Vackbot使用起來也非常便捷，劉兵介紹，只需要5分鐘就能完成前期部署。值得一提的是，與傳統安全監測不同，Vackbot并不提供高危、中危、低危的等級分類。“做安全一定是要跟業務相關的，提供這樣的分類其實沒有多大意義，我們更重視和業務相關的漏洞。”墨云科技將流量趨勢、攻擊路徑、攻擊面、漏洞數等數據以可視化形式展現，讓客戶更直觀地了解到問題所在。當然，虛擬機器人檢測攻擊過程，既不影響網絡設備的正常運行狀態，也不破壞檢測目標的數據。

劉兵對墨云科技未來的發展充滿信心。他說，最近的這次融資將用于加大在產品研發、市場布局、人才引進等方面的投入力度，保持產品競爭力及核心技術優勢。目前，墨云科技已覆蓋300多家行業用戶，其中包括中國人民銀行、光大銀行、中國銀聯、中國移動、中國電信、中國聯通、國家電網、南方電網等標桿客戶。