您所在的位置:首页 > 大会新闻 > 人物专访 >

梆梆安全阚志刚:专注于移动应用安全保护


             \
第三届GMGC全球移动游戏大会于北京国家会议中心正式开始,有超过30个国家、300家媒体、800家公司参加,邀请了Google、Facebook、Arm、Intel、腾讯、完美、畅游、金山、蓝港在线、中国联通、中国电信、中国手游、百度91等7000多名公司高层人士出席。

以下是本次对梆梆安全阚志刚专访的详细内容:

问:您能给我们介绍一下梆梆安全是怎样一家企业?

阚志刚:我先简单介绍一下梆梆安全是一个什么样的公司,其实是这样,我们公司属于一个移动安全的公司,但是当咱们听到移动安全的时候,大家马上就会想到BAT3,我们通常说是蝙蝠侠3,因为他们都在做移动安全的事情。

为什么咱们公司还能够在夹缝当中能够生存,三年之内我们拿了三次投资,而且还都是非常大的数额。所以说从这个角度上来讲,我觉得我们是找到了一个能够差异化生存的那么一个方向,因为我是学技术的,所以我给大家简单介绍一下,在移动安全领域是主要分为三个方向,其中第一个方向指的是终端安全,也就是手机本身的安全。主要功能就是防病毒、垃圾短信,就是你们用的最多的360手机卫士,或者腾讯手机管家,那么它们的商业模式主要是面对消费者,就是B2C,现在都是免费的,大家知道随着移动互联网的到来,大家感觉到了你在用移动互联网跟互联网的时候,最大的一个区别是什么?就是在互联网的领域,您做任何事情都会先想到打开浏览器,先输入网址去做,但是在移动互联网领域里面,最大的亮点,就是有了很多很多的应用,包括我母亲70多岁了,也知道给我做一个App,也不知道什么意思,但是翻译过来就是应用,我想这个已经是深入到很多人的心目中去了。

但是随着应用的逐渐增长,目前来讲全世界范围内有将近3百万的应用,应用本身的安全性就出了问题,这个问题就是咱们公司所要解决的这个问题,有哪些问题,最简单的,前一段时间都听说过,打包党,打包党是什么含义,也就是说像主持人假设你开发了一款应用,被这位摄影师给你解包,就相当于把你打开,里面放入一些广告,或者是一些乱收费的代码等等,这个就是一个最简单的破坏,也就是对你的应用产生了破解,然后插入了恶意的广告和代码。本来这个应用是你开发的,结果钱让别人给赚走了,所以咱们公司主要是解决移动应用安全的。

第三块指的是应用运行环境的安全,这个是更加专业的,这个是美国的一家公司,叫Vmware,它做虚拟机做的比较好,所以在三分天下的里面,咱们公司就专注于移动应用安全,在目前的全世界范围之内这样的企业也是不多的,咱们公司是第一家去做,也是在这个领域里面起到了一个领头羊的一个作用。到目前为止我们已经保护了将近11万个移动应用,覆盖的客户群能够达到3.6亿部手机,也就是说经过我们保护的应用,已经装载了这么多人的手机里面去,当然我们是保护的机制其实很简单,相当于什么呢?相当于您原来这个应用是裸体的,经过我们保护之后,给你穿了一层防弹衣。穿衣服过程也不需要开发者做任何的工作,你想深一下的话,就是把你开发的应用上传到我们的网站,我们自动化保护,然后再下载,这个过程就完成了,分分钟就能完成。

我们公司最刚开始的时候是做保护,从移动金融客户去入手,比如像手机银行、基金、证券,这样的金融公司都有手机客户端,他们的安全问题都是由我们公司去做的。比如说在上周六发生的携程信用卡泄密事件,也是从应用本身的这种不安全所引起的,我们也是派个工程师帮携程一起解决这个问题。所以说我用一句话来描述我们梆梆安全,就是专注于做移动应用安全保护的,使老百姓放心的使用,经过我们梆梆安全保护的这个应用,这个就是咱们公司的宗旨。

问:其实您的主营业务还是在移动安全分析,你们为什么会把目标锁定在移动安全方面,其次在同行业当中有没有什么样的竞争优势?

阚志刚:是这样的,因为从我们创业团队层面来讲,我们创业团队主要来自于美国的Symantec公司,它是全球最大的一家安全公司。包括我在创业之前是那家公司有一个叫移动安全事业部,我当时在那儿做总经理,在这种情况下,我们这个团队10年出来创业,就选择了移动安全这个层面,当时我们在Symantec公司,因为它有一个很重要的产品叫诺顿,那么我们部门是做了这种移动诺顿,就是手机诺顿,其实就相当于现在的360手机卫士,我们出来创业之后,不可能做跟Symantec一样的东西,因为我们有这种竞业禁止这些合同,所以我们就选择了做移动应用安全的保护。其实三年之前的话,应用还不是特别流行,我们当时选择了这个方向,也是比较艰苦的,同每一个创业公司都是一样的,我们也是从零去开始,甚至说有一度公司现金流也发生问题,包括我自己,也把自己的房子押出去,给大家去发工资等等。

我觉得市场应该是起的比较快的,在2012年的确对于我们来讲是一个很好的机会,它是一个拐点,这是回答您的第一个问题。

第二个问题从竞争优势上来讲,我是这样来去分析的,因为很多投资者也问我,他说你们这个事情,美国人也不做,中国人也不做,为什么偏偏落在你们头上,走了什么运?其实我一直也在琢磨这个问题,我们也不是聪明绝顶,其实其他人也可以做的出来,你比如360、腾讯财大气粗,它也可以做得出来,从技术层面来讲,我相信他们在几个月之后,因为当时我们在做这种地皮的时候,认为我们的技术是领先9个月到12个月这个级别,为什么他们不做?我想除了技术层面的问题之外,最主要还是一个商业模式的问题,比如说像BAT,它做了这个事情,会怎么样?你比如您作为某一家BAT的CEO,你会去想,我为什么要做这个事情,我能不能为我现在的营业模式,或者商业模式增加一些亮点。

所以说经过我们分析研究说,举一个例子大家很清楚,比如我360做了这个事情,那你比如说在360渠道上,都穿了360衣服,穿了360衣服的应用,在其他的渠道,像91、腾讯里面,是不允许它去上的,这种情况下就会造成每一个渠道都要有相同的这种服务,对于您开发者来讲,去每一个渠道都要穿着不同的衣服,对您的维护是非常累的。我想在这种情况下,就必须需要一个中立的、专业的安全公司去做这个,也就是什么?必须吃这碗饭的人去做这个,才是最专业的。因为我不相信说你挂着狗头卖羊肉,你能够做的非常好,这是不可能的。

因为我想安全,的确是个很严肃的事情,在座各位都用携程去订购机票,你发现这种问题之后,包括我自己就感觉到非常恐慌,我每次去订,它为什么会发生这种事情,所以我们免费帮他们去做评估,做分析,帮他们解决这个问题,为什么?因为移动应用的确是为每一家银行,游戏公司,或者是应用,开了这么一个安全的一个漏洞,对不对?就像十年之前在做网站一样,网站的引入也为企业开了一个可能的漏洞,经过十年的发展,那么在用网银的时候,你感觉到现在心里很舒服,你有USB,有U盾等等。那么手机支付,这个地方就产生了很大的问题。我们公司就是能够为开发者,为应用的拥有者去解决这个问题。

另外我们也欢迎竞争对手去加入,因为无行不成事,在这一个领域里边如果没有几家公司去做,也说明这个市场是不健康的,不存在的。比如有麦当劳就有肯德基,有耐克就有阿迪,而且是并列的。我会把我们的技术能够开元,能够做一些普及的事情,因为的确安全,尤其是移动安全对我们在座各位,或者是老百姓,或者是我们在农村的父母,他们一旦用到了智能手机,你想一想会有什么情况出现,对不对,咱们还是有一些意识。如果对于那些我们农民兄弟,他们用到了智能手机,那个时候有可能真的问题非常大。我们也希望尽一些我们自己的社会责任,能够把我们的技术,尤其是安全意识,能够首先传递给开发者。你像携程这个事件,我想就是由于开发者的经验不足引起的,你在开发的时候,你怎么能够把一些挑事的一些信息不加删除,就能够推向市场,那么大家有可能是这方面,就是它把一些日志,一些你挑事的信息没有删掉就发布了,这样一些黑客就能够把APP反编译之后,都读懂了它的数据,就能够把数据库所有的信息辩别出来,也就是把咱们的银行卡号能够辨别出来,这个就指的是基数问题。

问:您说的非常好,也非常全面,但是有几个问题问您一下,您现在公司已经开始盈利了,盈利点是什么?

阚志刚:这个问题非常好,如果不以盈利为目的的公司不是好公司。所以我们公司从一成立,一直准备去盈利,其实我们公司去年基本上实现了盈亏平衡,因为我们的盈利模式是很简单的。比如您是招商银行,我们把它定义成土豪客户,因为我们公司的产品都做上了这种SAS的模式,也就是说时间范围内把安全产品做成服务的这种SAS模式的第一家公司,在你的印象当中,您的安全产品都是设备、防火墙、工具,我们做成SAS。比如您是招商银行,我保护您的应用,你一年的至少交给我20万元钱,你现在高端的服务能够达到200万元,我们现在这个客户有100多个客户,我们是完全能够去养活自己,我们为什么还要拿下一轮融资,就是为了把这个安全平台做的更加完善,我们下一步在做一个移动应用,主动防御系统,就是防止这种APP的攻击,这就是更加专业的一个层面。所以从公司盈利这个方面,我们是非常有信心的。

问:还有一个问题,您刚才也说了携程这个泄露事件,它是被一个乌云揭秘捅出来的,您对这个乌云揭密机构了解多少,我看了一个刚发内幕的东西,这个机构还有点不是特别善良。您对这个机构有什么看法?

阚志刚:乌云这个圈子里面都是我们的朋友,都是安全的。但是我认为如果没有乌云这个漏洞,没有乌云这个平台,你受到的危害你根本都不知道。恰恰是有了这么一个平台,才让我们老百姓得到这样的消息说我的信用卡还能够去被别人窃取走,如果没有人去揭露,通过一些公关的手段就把这个问题给解决掉了。所以我非常崇敬,也非常赞扬乌云下面的那帮黑客兄弟们,能够勇敢把这个揭出来,当然它也有被利用的时候,我个人分析,比如携程被泄露的这个时机是很微妙的,其实这种漏洞是早就存在的,你像我们安全圈认为,都认为这迟早是要出事的。比如你订购这个机票,你用这种客户端,你不需要任何信息,很简单就可以了。这就是说是一个安全跟用户体验之间的一个平衡点,对不对。我觉得携程很大胆的选择了用户体验,当然在安全这个层面就有折衷,在非常敏感的时刻给爆出来,这个是值得大家去深思的。因为传统的金融领域,跟这个网络支付,在做这种博弈,博弈的一个最好的这么一个武器是什么呢?就是安全。这个时候捅出来,这个层面是有一定的偶然性,也有可能有一定的必然性。但是从整个乌云漏洞这个平台来讲,我认为这些人还真的是一些斗士,如果有一些真正侵犯你隐私的人,他不会吧这些漏洞给弄出来的,它通过这些漏洞需要赚钱的。你知道一条信用卡的信息至少要值十好几块钱,如果把携程的几百万都拿下来,我们每个人都是受害者,我想这个我们还是应该对这个平台,虽然我一看到很多的贴子,但是他们还是很坚强的。我觉得这个也是做安全的一个道德底线和道德价值,真正的黑客不会去破坏别人,只会说帮你解决这个漏洞。

问:想问您一个问题就是现在的支付,因为我们用短信或者其他的平台支付,现在支付存在漏洞,这是一个,刚才咱们说三个方面的安全,有机器本身,应用安全和运营环境安全,但是现在大家下载游戏,它主要还是停留在应用宝,也有360,因为他们去检测这个包是否有安全问题,在我们安全中是存在着不安全的隐患吗?

阚志刚:我先回答你第二个问题,你开发了一款游戏,你放在这些渠道里面,这些肯定都是安全的。我们所要解决什么问题,你比如说开发了一款游戏,叫A游戏,这个A游戏肯定是安全的,另外一个黑客也可以下载这个A游戏,他下载什么?他要对这个A来进行分析,分析完之后,就找到了A游戏的一些漏洞,然后去做什么?然后去做挂码,去做私服,因为咱们商业模式是B2D的,是保护开发者的,因为这是两个层面的安全问题,应用本身的安全真的是由安全公司,比如每一个商店都有检测的,他们去检测有没有病毒和收费等等。我们是保护开发者的,也就是一个应用,好人也可以下载,坏人也可以下载,坏人下载之后一分析进行破解,对这个游戏本身,服务器、挂码、或者是偷取账号,是两个不同的角度。为什么说我们公司能够生存,如果做第一个事情,早就被这些巨头压死了。

回答你第一个问题,现在移动支付,具体不安全到什么程度,刚才我也回答这位兄弟的问题,移动互联网,每个公司都在追求有益的体验,极致、简单,但是极致跟安全之间它是成反比的,越极致越不安全,越安全越烦琐,在这种情况下,比如支付宝的快捷支付,前一段时间有很多文章,都去批评它不安全,比如它的短信,有可能被拦截等等。但是支付宝它能够去承担这种安全的风险,也就到现在没有改变自己的流程,也就是有安全问题,我有钱,我赔了,培养客户的用户体验。

因为永远是这种极致和安全之间是一对茅和盾的关系,就看你能不能承受。因为在移动安全领域,我们分析到什么,说是因为原来的安全产品,都是以设备,以产品为准,到移动安全,大部分会提倡动态安全的以前的安全,到移动安全大部分提倡动态的安全防护体制,还有一种就是情报式的这种安全的意识。

还有主动防御,所以我们在定义下一代安全体系的时候,我们用这三个词来定义,第一情报,第二个主动,防御式的,第三动态对抗的,因为安全的问题,一直有新的问题出现,所以这三个关键词是我们定义安全系统的三个关键词。

举个例子就知道,其实在安全领域,拿携程来讲,其实如果是说技术人员做的好的话,我会跟CEO汇报,说我用现在的用户体验,它的安全的这种指数是多少,也就是说你携程CEO能不能承担这个风险,恰恰我们做技术的,或者做安全的,没有给CEO传递这样的事情,大家都认为很极致,CEO说行我们就去推,就没有任何的预案,如果是说比较成熟的处理这个事情,我可以说我有PLAN A、plan B、PLAN C,那么PLAN A是注重用户极致的,一旦出现了安全问题,我再过度到PLAN B、PLAN C,我是为了用户使用起来更简单,必然要牺牲一部分安全,但是这个安全我是能够承受得了,也就是我给银行说好了,我自己能够赔偿,而不是把这个责任一股脑推给消费者,我想这个就是一种将来是基于一种情报式的安全,动态的。最好是主动防御的,比如发现这样的问题能够主动解决这些问题,第一代的安全就指的是说出了安全问题,我在解决安全问题是灭火式的,下一代尤其在移动互联网领域里边,安全系统应该是动态的,主动防御的,还有情报式的,能够为我们企业用户、CEO、角色者提供一个安全指数,就看你CEO有没有魄力,能不能去承担这个安全风险,大概就这样。