中安网星杨常城：守住身份威胁的护城河

撰文 |田小梦

编辑 |李信马

题图 | IC Photo

在数字化浪潮下，网络攻防两侧博弈持续上演。

网络互联协议的不健全、操作系统中的漏洞、默认存储在浏览器中的密码等，都有可能成为黑客黑入他人电脑的“钥匙”。因此，如何提升内网的安全性，保障业务安全，是企业备受重视的核心环节。

企业应从何处加固自己的“城墙”？中安网星CEO杨常城表示，在攻防对抗过程中，防御侧最大的问题在于无法确认每一个网络连接、端点、漏洞、设备背后的身份，但这又非常关键。不论是对当前企业安全现状评估（事前），还是当前企业内部威胁监控（事中）以及企业威胁应急响应（事后），身份都具有非常重要的意义。“目前为止整个企业的身份状况，对企业来说就是一个随时可能会爆雷的黑匣子。”

中安网星CEO杨常城 图片来源：中安网星

2021年底Gartner在发布的八大安全和风险趋势中，提及“身份优先安全”与“管理机器身份已成为一项关键的安全功能”两大趋势。其中，身份优先安全并不是个新概念，但随着攻击者开始瞄准身份和访问管理功能以实现长期潜伏，身份优先安全变得更加紧迫。而在全企业机器身份管理上，一项能够管理机器身份、证书和秘密的全企业战略，可促使企业机构更好地实现数字化转型。

而AD（即Active Directory，活动目录）与身份安全息息相关，杨常城表示：“AD是一个标准化的身份基础设施，为防止发生身份安全威胁，必须正确配置、维护和监控身份基础设施并给予高度重视。”

中安网星是一家提供身份威胁检测与响应方案的软件及服务供应商。中安网星使用独特的身份图概念将图论引入到身份安全分析中，极大的增加了安全可视化与安全分析能力。目前已针对身份领域的核心基础设施——Active Directory提供全生命周期的防护方案，此方案已服务近百家大型企业，为企业的身份安全保驾护航。创始人杨常城在网络安全领域已有近7年的工作经验，曾在默安科技、360集团就职。在360集团工作期间，他先后担任攻防专家、技术经理、政企灵腾安全实验室负责人等职务，带领红队参与护网工作并获得公安部护网2017、2018、2019“优秀攻击队”称号，还服务过上海进博会、中非会议等多个重保项目。

01 .敲开AD域安全市场大门

提及“AD域”可能有很多人会对其感到陌生。事实上，AD域解决方案最早由微软提供，AD是微软Windows Server中，负责架构中大型网络环境的集中式目录管理服务；域则是Windows操作系统中的安全边界，是共享用户账号——计算机账号和安全策略的计算机集合，能够实现文件的共享。目前已在全球的大中型企业中得到了广泛的应用。

对比最常见最普通的资源管理模式——工作组，AD域可以集中处理上百台服务器，适用于大型网络环境，更加便捷高效。作为当前企业的办公内网广泛应用的集权管理方案，AD域采用主/从管理模式，企业管理者通常采用域的方式来实现对企业员工和设备统一集中式管理，域环境可以把员工账户、计算机、文件共享、打印机等所有ID类型资源的身份进行有效整合，为不同的部门、不同的员工、不同的设备分配相应的权限。

同时，管理人员可以较好地管理计算机资源，比如管理用户域账号、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，以及通过域管理可以有效的分发和指派软件、补丁等，实现网络内的同步安装，保证网络内软件的统一性。

随着近年来实网演习的常态化和不断深入，保障AD域安全也成为重中之重。正因为AD域具有网络访问权限广、控制机器多，保存凭据多的特点，所以不论是在演练还是在真实的高级攻击场景中，大部分的攻击者渗透到企业内网中，首要目标就是寻找AD域服务器，攻破后窃取大量身份信息，以获得控制企业内网。

有攻必有防。放眼全球，也有许多做AD域安全的企业，诸如全球首个统一身份威胁保护平台提供商Silverfort等。“但在国内市场，具备AD解决方案只有中安网星这一家。”杨常城说道。此前国内出现这类产品缺少的原因在于，没有企业专注于AD安全的业务场景去做完整的解决方案。同时，在杨常城看来，AD域虽然是身份基础设施防护一个很好的产品切入点，但也有协议分析的准确度、协议检测的检出率、规则的数量、误报率等技术壁垒。

随着国资云、数字化等政策的影响和驱动，国内的国产化、信创产业发展速度也正在加快，党政军、央企、金融等单位正在逐步替换国产化的操作系统。在这样的背景下，本地化AD已经无法给国产操作系统提供相应的业务能力、安全的能力。可预见，在国内信创市场与Windows存量市场的带动下，将为国内AD域安全打开了市场空间。

02. 初心与速度

早期杨常城在360的技术团队中做了一部分AD域产品的准备，但真正要去做商业化，为更多客户去赋能，需要一个完整的产研团队。

“我们信息安全部由于积累多，体系化等原因被赋予了研发公司多款产品的使命。”杨常城告诉DoNews，网络安全有很多细分的领域，身份威胁防护只是其中之一。360集团虽是扁平化管理，但在员工的岗位的借调上还是有一定困难的，因此杨常城决定跳出来自己创业。

如何才能加强身份威胁的防护，杨常城认为，对于企业来说一切都不应该是匿名的，应该建立一个真正意义上的企业身份云（暂且称之为云目录），任何形式的用户、设备、网络、应用程序或数据都可以连接到它。通过与这种结构的连接，不只是得到一个简单的代理。当资产连接到云目录时，会为该资产实例化一个专用且全面的安全堆栈。该堆栈涵盖身份、认证、授权、访问、行为分析和风险评估。“当一切设备实名后，大部分的安全风险都可以快速定位和抑制，这是一定是安全界跨时代的记号。”

去年10月份，中安网星发布了自研产品――“智域安全管家”，致力于帮助企业客户构建完整的“横向移动”防御体系，在多变的网络安全环境中，增强企业内网的核心防护能力，这也弥补了国内网络安全市场AD域防护运营的缺失。在落地场景中，智域安全管家以其在APT攻击横向移动检测方面的应用效果，目前中安网星已经与多家保险、证券、银行等金融行业用户，以及众多国内政企用户达成了较为深度的合作，以“智域”协助客户解决在AD域中面临的安全及运营问题。

杨常城介绍，身份威胁防护的核心是检测凭据盗窃和特权滥用以及对IAM的攻击，提供从端点到 IAM 再到多云环境的凭证滥用、权限滥用和特权提升攻击的可见性。“AD作为我们身份基础设施防护的切入点，目前已经做到极致。”身份威胁防护从AD出发，中安网星落地了AD身份安全产品、终端安全产品、云身份安全产品三大矩阵，并将目前优秀的解决方案扩展到所有的身份设施，将所有与身份相关的威胁监控起来。涉及IDaas、IAM、端点身份等多个IT设施，覆盖的业务场景业务风控、内部风控、黑客入侵、护网演习等。

作为成立近两年的安全厂商，中安网星目前产品在客户侧测试的客户量有90余家，完成合同双签的有20家左右，大概每周就需要部署1到2家客户。

03 .砥砺前行

18个月完成四轮融资，能够引入包括初心资本、微步在线、AA投资等在行业内极具影响力的投资方，是让杨常城最欣慰的事情。

中安网星融资情况 内容来源：天眼查 制表：DoNews

自2020年8月至今，中安网星一路披荆斩棘，不仅遇到了初创企业固有的难题，也面临过疫情带来的阻力。

“几经生死。”杨常城感慨道。相对于其他创业的前辈们，中安网星的初始团队是一个相对年轻的团队，平均年龄在二十四五岁，虽然在创业前作出了一些规划，但是在实际公司运营中还是困难重重。首先是资金的困难，早期需要大量的资金去投入，在研发上面去做商业化的准备，期间面临了几次生死；其次整个产研团队过去做的更多的是攻防相关的工作，在系统化的研发和体系管理上缺少经验，也影响了公司发展。

除此之外，中安网星也未能避开客户用来衡量合作企业标准——资质。大部分网络安全创业公司在早期都会去做金融行业客户，打标杆、立标签、秀能力、打品牌，但是往往金融客户对这种供应商的选择是有强资质要求，如注册时间需要满三年、注册资金要符合一定的额度、几年连续有效的财报、大型的案例等，而初期的创业公司往往是不具备的。

“得益于用户对AD清晰的认知，再加上AD的特性，和被攻击后会造成的危害和影响。我们在过去一年中，单点的产品覆盖还是挺快的。” 杨常城表示，目前中安网星的客户已覆盖广州、深圳、北京、上海等地区。

两年内获得了四轮融资，杨常城认为，作为网络安全初创企业，成立的前3-5年正是实现0-1的突破期，而中安网星还处于突破阶段。对于下一步的业务规划，“相比营收，投资者更看重创业企业的增长速度和业务覆盖速度。”杨常城表示，未来两年，中安网星将继续加快产品研发，持续深入打磨本地化AD安全防护的基础上，深入布局身份威胁检测方案方案，弥补现有身份威胁检测方案的不足与市场缺失。