12月1日,软件供应链安全管理平台 SEAL 0.3 正式发布(以下简称“SEAL”),这是国内首个以全链路视角保护软件供应链的安全管理平台。
两个月前 SEAL 0.2 发布,该版本创新性地提供了依赖项的全局汇总与关联,用户可以获得软件开发生命周期各个环节的可见性,进而以全局视角管理软件供应链。基于0.2版本的技术实践以及企业客户的反馈,在最新版本中,SEAL 为软件开发生命周期(SDLC)的各阶段都提供了安全扫描,包括代码仓库扫描、CI/CD构建流水线扫描、镜像构建物扫描、Kubernetes运行时扫描,同时提供自定义安全策略、漏洞优先级排序等特性帮助开发和安全团队有的放矢地解决安全问题。
将安全扫描扩展至全链路
在软件供应链全链路的各个环节中(如开发、构建、运行),都有可能引入新的第三方依赖。根据 Sonatype 发布的《2021 年软件供应链现状报告》,为了加快软件上市时间,去年全球开发人员从第三方生态系统调用了超过 2.2 万亿个开源软件包或组件。而在过去三年的时间里,针对上游开源代码存储库的恶意攻击的数量增加了742%。
因此,将安全扫描能力覆盖到整个软件供应链可以有效管控整体安全风险,并且用户可以获取更清晰、直观的全局视图。
保障云原生安全:支持容器镜像、K8S集群安全扫描
通过 SEAL 0.3,用户可以获得完整的从代码仓库到运行环境全软件供应链各环节扫描检测能力,包括:
支持集成任意符合OCI标准的镜像仓库,并对其中的容器镜像进行安全扫描
支持集成任意 Kubernetes 集群,扫描其中的工作负载配置及镜像
第三方软件物料清单文件的扫描。例如,对第三方供应商提供的软件包生成SBOM并上传进行扫描。
实现DevSecOps:将安全融入CI/CD流水线
随着 DevOps 理念的推广,现代软件的构建发布变得更加敏捷和自动化。企业内部通常建设了成熟的 CI/CD 流水线以进行软件的构建发布,但近年来 CI/CD 流水线已成为软件供应链最危险的攻击面。因此,诸多企业用户希望将安全环节引入流水线中,以及早发现安全问题,降低修复成本,实现 DevSecOps。自 SEAL 0.3开始,用户可以在任意CI/CD流水线中集成SEAL的安全扫描功能,为软件构建发布提供安全屏障。
全链路安全洞察
软件供应链囊括了软件开发到部署的各个环节,成千上万的依赖项被引入其中,因此想要手动掌握全链路的安全洞察极具挑战。SEAL 0.3 能够聚合管理全链路各个阶段的资源,为用户提供直观、简洁的全局视图,以帮助用户充分了解整个软件供应链上存在的安全风险,并通过资源之间的关联关系提供更合理的安全问题报告和处理对策。
有的放矢,高效修复安全问题
企业常常面临供应链存在许多漏洞的情况,此时要求研发及安全团队将其全部修复则有些不切实际,因为团队人手有限而且并非所有安全漏洞都存在致命风险或被利用的可能。此外,根据不同的业务场景以及企业内部的具体情况,针对安全问题的修复策略也有所不同。为了帮助开发和安全团队高效解决安全问题,SEAL 提供了以下特性:
自动生成多策略修复建议
漏洞优先级排序
因时制宜处理安全问题
自动生成多策略修复建议
从 0.2 版本开始,SEAL 启用自研的聚合漏洞数据库,该数据库基于上游 GitHub、GitLab、OSV 、NVD及Ubuntu,Alpine 等漏洞数据库进行数据聚合、清洗及处理,并优化漏洞匹配规则。基于该数据库,SEAL 扫描出供应链中所包含的安全漏洞,并基于不同策略提供修复建议。
具体而言,SEAL 0.3 中有两种安全策略——【安全优先】和【兼容优先】,前者将推荐用户升级到漏洞最少的新版本,后者将为用户评估升级版本的兼容性。此外,修复建议还包括:
提供直接依赖和间接依赖的组件修复建议
提供修复前后的漏洞对比和安全风险信息汇总
漏洞优先级排序
通用漏洞评分系统 (CVSS) 是一个公共框架,安全漏洞等级通常由它来评定。CVSS的最终评分由基础指标评分、时间指标评分、环境指标评分等多个维度指标计算得出。其中时间指标和环境指标是可选的,在多数实践场景常被忽略,只使用静态的基础评分,这意味着CVSS的最终评分与安全漏洞的实际表现可能存在差距。
为了更精确地描述漏洞严重等级,SEAL 在 v0.3 中引入SSVC漏洞评估模型,即特定利益相关者漏洞分类。SSVC 基于决策树模型的模块化决策系统,避免“一刀切”的解决方案,为供应链上不同角色的漏洞管理相关方提供处理漏洞优先级的决策结果。具体来说,SEAL 0.3 可以根据SSVC漏洞评估模型基于CVSS评分、漏洞可利用性的EPSS指标、环境因素、资产重要性等因子对漏洞进行优先级排序,帮助用户将有限的资源投入到更关键的漏洞修复上。
因时制宜处理安全问题
在不同的用户场景中,针对扫描出来的安全问题需要做不同处理。SEAL 0.3中:
支持针对单个安全问题提交Jira事务
支持有时限或永久忽略安全问题。例如在修复不可用或经评估某安全漏洞没有实际影响的场景
共建软件供应链安全新生态
据第三方权威调研机构 Gartner 预测,到2025年全球将有45%的企业遭遇软件供应链攻击。相比传统安全问题,软件供应链安全问题隐蔽性更高、扩散速度更快、影响范围更大、破坏力更强,传统安全工具难以应付全链路、多阶段的安全问题,因此软件供应链安全管理平台 SEAL 0.3 是具有里程碑意义的版本更新,这一版本的发布意味着 SEAL 从安全产品到安全管理平台的转变,并在国内首创性地提出了以全链路视角保护软件供应链的产品理念。
“软件供应链安全管理平台 SEAL 内嵌灵活可插拔的扫描引擎SCE,可以接入多种第三方工具,如SAST、SCA等协同工作,也支持第三方生成的 SBOM 文件的导入。从架构设计上为上下游合作伙伴与 SEAL 的协同分工合作提供了基础,” 数澈软件联合创始人及CEO秦小康说,“与合作伙伴及客户的共赢是 SEAL 团队的基因,SEAL 希望与合作伙伴一起为企业和组织提供全链路的软件供应链安全保障。”
关于阿里、顺丰、京东物流,我读了三份文件,发现新的大幕已拉开
就在这一个个消息扑面而来之时,趁着周末,笔者读了《国家市场监督管理总局行政处罚决定书-国市监处〔2021〕28号》、《顺丰控股4月9日投资者交流活动记录》、《京东物流招股书》三份文件,突然发现一个物流巨头发展与竞争的新时代,大幕似乎真的拉开了。
01
关于“一罚一亏”的解读
虽然近些年电商物流圈百花齐放,但是论地位,目前也只有三家堪称巨头或者派系:顺丰、京东物流、菜鸟。其他企业虽然各有所长,但尚是闷头发育、占山为王阶段。而过去几天的热点事件,将三巨头的两家卷入了其中:顺丰亏损和阿里被罚。首先谈下对着两件事的看法:
1.阿里被罚
4月10日,市场监管总局发布消息,根据《反垄断法》对阿里巴巴作出行政处罚,罚金182.28亿元。其中的信号从两方面来看:
其一,靴子落地
自调查开始,业内外一直犹疑阿里将被处以怎样的惩罚,以致于阿里近期股价持续低迷。从目前结果看,这虽然是中国反垄断有史以来最高的一笔罚款,但未对阿里造成伤筋动骨的影响。在阿里4月12日上午的电话会议上,张勇也表示,预计监管部门的反垄断处罚不会造成重大影响。从当天的股价看,阿里巴巴港股股价大涨,一度涨超7%,可见投资者的信心。
其二,监管信号
从全球看,182.28亿的反垄断罚款也是一笔巨款,标志着我国也进入到了对互联网平台的强监管时代。从措辞上看,处罚文件上有写道“按照《行政处罚法》坚持处罚与教育相结合的原则”,可见此次监管的一个重点在于惩前毖后。从处罚原因来看,阿里被罚主要在于“二选一”,客观的说除阿里之外,在互联网领域难道其他巨头没有“二选一”吗?重罚阿里,其实也是让所有的参与者都要有所收敛。
而这或也将成为中国互联网发展的分水岭,过往电商巨头是非此即彼的商业模式。但事实上,这种商业模式其实已经在被逐步打破,不仅仅表现为拼多多的崛起,也表现为抖音、快手等新兴视频电商的发展。换句话说,淘系电商的护城河其实早已被突破,此次监管的出手,只是正式砸了“城门”。
这或许也预示着电商平台的竞争方式将随之发生转变,如果其他互联网接下来也能进一步开放,那改变将会更大也更快。开放叠加流量分散,平台如何更好地留住自己的客户——商家,一个重要的方式是提供流量之外的其他价值,比如优化供应链,比如更优质的基础设施。
2.顺丰亏损
不过,本文想探究的不是顺丰的过去,而是顺丰的未来。关于顺丰,消费者可能认为这是一家快递公司,行业内认识更全面些,认为这是一家综合型的物流公司。资本市场对顺丰的估值逻辑,也是以对物流公司估值的视角。不过顺丰不这么看,至少它谋划的未来不是。
在顺丰2020年年报和2020年业绩说明会上,顺丰给出的新定位是“致力于成为独立第三方行业解决方案的数据 科技 服务公司,为客户提供涵盖多行业、多场景、智能化、一体化的供应链解决方案”。在顺丰4月9日投资者交流活动中,顺丰高管又做出了详细介绍。在此做简要节选:
公司战略着眼于未来3-5年,目标从未改变,出发点一直是为我们的客户及未来要服务的B端客户提供更好的数字化的 科技 解决方案。
从战略的角度来看,公司的着眼点是在更大的市场,以更多元的服务来满足客户需求。
公司认识到不能单单服务于C端客户,未来在服务B端客户的过程中需要创造更多的价值。
公司存在很多业务,把战略全景图重新组合后,未来的驱动力来自于公司为客户提供的 科技 服务,这离不开供应链这一出发点。
未来三年还有很多目标要一起实现,到时候公司的股价不应以物流公司的估值体系来看,这是对所有投资者最好的交代。
总结一下:顺丰给自己谋划的未来是基于供应链能力,面向B端客户输出数字化的 科技 解决方案,顺丰现有的各种业务是解决方案中的组合模块。未来资本市场对顺丰的估值不应以物流公司的估值体系。
回过头来看顺丰的新定位,有没有觉得和它一个同行很像?对,京东物流。根据京东物流招股书中,京东物流将自己定位成为全球最值得信赖的供应链基础设施服务商,用技术驱动,引领全球的高效流通和可持续发展。
其实关于供应链,除了京东物流与顺丰,菜鸟网络也早有谋划。菜鸟的愿景是为全球消费者提升消费体验,为全球商家提供智慧供应链解决方案,帮助降低全 社会 物流成本。
02
走向下个时代:供应链的时代
前有京东物流,后有顺丰,巨头们为何将目标都瞄准了供应链,而且近来提及供应链的频率越来越高?本周末,借着上述热点,笔者读完《国家市场监督管理总局行政处罚决定书-国市监处〔2021〕28号》、《顺丰控股4月9日投资者交流活动记录》、《京东物流招股书》三份文件,看到了愈发清晰的答案:
其一、宏观环境
我们一直在谈“百年未有之大变局”,从行业角度看,“大变局”体现在哪?不仅是国际经济地位与国际贸易环境的变化,也表现为以工业4.0为代表的制造业升级,以 “双循环”为代表的国内产业变革,以中产阶级崛起的消费需求变革,以飞速向各行各业渗透的信息技术变革……
而这些变革,于行业而言,带来的不只是以C端快递、即配为代表的机会,也是B端快运的机会,更是供应链的机会。但是当下我国的供应链发展尚还不强,这也是近期部委出台相关政策的背景。换句话说,顺丰、京东物流等的谋划,其实就是在赌国运,赌中国崛起,服务中国崛起,跟随中国崛起,就像FedEx、UPS当年随美国崛起一样。
其二、市场需求
当然,当下的产业环境与市场需求和当年大不相同,更多元、更碎片,要求更敏捷。就像前文所述,渠道方面,除了传统电商平台,视频电商也在崛起,除此之外还有社区团购、线下商超等等,除了公域流量还有私域流量,消费者是随时随地消费,且希望立等可取。
对于上游品牌商制造商而言,消费需求与市场环境变化的速度,不仅要求它们能够快速捕捉消费者需求,而且要做到快速反应和供给。典型例子是服装,尤其是网红服装。而这就要求供应链端可以提供敏捷、柔性、全渠道的支撑,并且能够借助数字化等手段,向上游快速反映消费端需求。
从 社会 分工角度看,专业的人做专业的事,可以带来更高的效率更低的成本。这也就给外部物流企业提供了机会。不过机会也体现在两个方面:一个是专业化,一个是多元化,二者各有优势。不过,头部企业的一个需求是希望物流供应商可以提供综合化甚至是一体化服务,一方面可以降低管理成本,另一方面全链条的服务、数据,也可以给企业提供更多优化的空间。
其三、企业增长
对于顺丰的业绩,王卫的一个回答让笔者印象深刻,“规模再大也守不住市场,这是我们战略角度看到非常深刻的教训。”
可以看到,随着电子发票的普及,顺丰时效件当中的纸质发票已在日益缩减。另外,即使增速如快递,价格战也让各方苦不堪言,即使之前洗牌洗掉二线快递,依然有搅局者出现。从哪突围?一个方式是更完备的赛道,更全面的产品矩阵。这样既可以带来更广的用户群体,更大的市场空间,也可以有更好的规模协同。通过门槛的提升,更密切的客户关系,进而更好地捍卫领地。
有了完备的产品又如何输出?顺丰和京东物流的答案是提供供应链服务。
从快递/仓配到综合化的物流服务再到供应链服务,甚至再到数字化 科技 服务,这是顺丰与京东物流为自己寻找到的增长空间。加速向B端上游渗透,这是它们为自己规划的增长路径。其实这一点和腾讯等互联网巨头很像,马化腾之前也提出“未来将从消费互联网向产业互联网转变”,并认为“互联网的下半场属于产业互联网”。这其实也在寻找未来的增长空间。
其四、资本估值
曾有投资人表示,如果把企业发展比作滚雪球,那么预测企业未来价值就可以考虑两个因素,一个是坡道是否够长,一个是坡道上的雪有多厚,只有同时具备长长的坡和厚厚的雪,才有更大机会滚成大雪球。而B端至少是一个长长的坡。
另外,无论是顺丰还是京东物流,和当下的其他快递股不一样,它们不是只有快递版块,而是均有较为多元化的业务,而且这些业务在各自赛道均处于领先地位。这种地位和增长空间,就给资本提供了梦想。但如果再跃升一下呢?从物流到供应链再到数字 科技 ,估值逻辑也变了。打个比方,如果股票是产品,包装变了、价值变了,价格会不会也发生变化。
03
顺丰、京东物流、菜鸟的谋划
明白了以上背景,我们再看看顺丰、京东物流、菜鸟在供应链方面各自是如何做的。
1.顺丰
同样是送货,顺丰的模式主要是网络模式,优势在于干线。为了开拓供应链市场,其采取了收购等手段。根据最新介绍,不同于传统供应链将消费者作为下游,顺丰将消费者作为上游,把下游当作一个个需要撬动改革数字化的节点,致力于通过提供独立第三方的大数据和 科技 行业解决方案,助力企业实现直面消费者(D2C) 的数智化经营。未来其将全面聚焦八大行业,帮企业从成本供应链到收入供应链转型,在不断优化供应链关键指标的同时寻找最佳平衡点。
从规划上看,顺丰供应链业务拓展分为了三个阶段:第一为项目驱动,做强行业标杆,团队会围绕行业标杆客户, 帮其实现数字化,学会行业知识,不断加强行业积累。第二为产品驱动,做大成长型客户,把从头部标杆学到的能力,抽离出来做成 SAAS、移动端等标准化产品赋能中小企业;第三为技术驱动,形成中小客户生态,通过从原材料到消费者的数据管理、采集、清洗、结构化等,成为真正有场景应用数据驱动的供应链解决方案服务商。
至于服务案例,目前公开信息不多。物流指闻之前曾了解到顺丰供应链推出“一盘货”服务模式:从B端客户将商品从海外发出,保税仓储,进出口关务,或从国内生产,仓储分销,再到线上平台或线下门店发货至C端消费者及退换货,顺丰供应链能提供面向两端对象需求,融合仓到仓、仓到店、仓到C端等线上线下多渠道仓配的一体化服务。根据当时资料,顺丰供应链已为包括美妆、服饰与配件、 汽车 、休闲食品、咖啡、消费电子、高新 科技 等诸多行业的海内外品牌提供了“一盘货”物流服务。
2.菜鸟网络
再说菜鸟网络,不同于顺丰与京东物流,菜鸟网络走的是整合模式,通过投资等方式也拥有了仓干配等资源,并且也有极强的 科技 能力。
在供应链方面,去年618大促前夕,菜鸟供应链正式发布全新的产品矩阵,涵盖了数智大脑系统、数智仓储运配服务、数智全案解决方案、商流联动产品等全链路、全场景的物流供应链服务产品体系。这当中,菜鸟供应链数智大脑通过数智化分仓、数智化预测、数智化决策等产品组合,助力商家通过数智化技术驱动供应链升级,使之更高效、智能。同时推出全新的数智仓配组合、综合的供应链数智全案服务,以及商流联动服务。
从实践案例上看,今年2月,物流指闻曾了解到,蒙牛与菜鸟供应链正在联合试水的新零售玩法:消费者在手机下单,品牌直接从同城的经销商仓库给消费者就近发货,半日可送达消费者手中,而这背后就是菜鸟供应链启动定制方案。
顺便提下,同属阿里巴巴的犀牛智造,其实也是典型的C2M实践。根据介绍,犀牛智造拥有高度柔性的供应链,可以按需生产、以销定产、快速交付,打通了生产全链路的数字化。试点阶段已与200多家淘宝店主达成合作,做到“100件起订、7天交付”。
3.京东物流
京东物流应该称得上是供应链老兵,其供应链经验最早可以追溯到2004年成立的京东多媒体网。在三巨头当中,也是唯一一家提出要共建全球智能GSSC供应链基础网络的企业。此外,京东物流开展供应链业务也有着独特的优势:控仓。
与顺丰不同,京东物流是仓配模式,这就意味着其可以控仓,链接上下游的仓,是供应链当中的重要一个环节。作为商品、资金、信息交汇的节点,在仓这一环节,除了有正在进行的大量的自动化智能化优化工作,也可以开展供应链金融等业务。仓配模式一方面让下游消费者快速的收货,另一方面也可以与上游商家形成更深度的绑定。此外,从现下看,仓恰好也可以为开展全渠道一盘货业务奠定基础。
当然,仓也会形成库存,这也考验了供应链管理的水平。得益于强大的物流基础设施和先进的智能供应链系统,2020年第四季度,京东物流助力京东集团的库存周转天数进一步降低至33.3天,运营效率继续保持全球同行业领先水平。
就现下而言,顺丰通过收购嘉里物流股权,除了供应链业务、经验,其实也看中了嘉里物流的仓。不过与顺丰不同,京东物流还自带零售基因,这意味着京东物流与商家绑定更深度、也更有经验。与菜鸟的整合模式不同,京东物流采取的是稳扎稳打自建的模式,投入大但更稳定可控。所以问题还是需要辩证的看。
从成果上看,根据京东物流招股书披露,来自一体化供应链客户的收入,占了京东物流近几年总收入的绝大部分。根据灼识咨询报告,按2019年总收入计,京东物流是中国最大的一体化供应链物流服务商。
在京东物流招股书中,还介绍了 汽车 、服饰、快消品、3C电子、生鲜、医药、家具及家电等多个垂直领域对一体化供应链物流服务的需求情况。这在物流指闻之前发布的《京东物流的一体化供应链物流服务,到底怎么样?》一文中曾有详细介绍,这里不再赘述。这里再举两个有代表性的例子:
面对制造业企业上下游信息割裂、库存水平高、配送时效慢等典型问题,京东物流提供了一整套智能解决方案,让库存水平降低了30%,配送频次从每周2-3次提升到6次。去年5月,京东和快手对外宣布展开战略合作,在快手小店的供应链能力打造、品牌营销和数据能力共建等方面深入合作,打造短视频直播电商新生态。这两个例子,一个体现了京东物流向上游渗透的情况与价值,另一方面是其如何应对、服务新业态。
当然了,京东物流等企业在供应链方面的努力还有很多,篇幅所限这里不再赘述。就像前文所述,供应链业务方面之前三巨头都有努力做,不过当下内外部的环境变化,将供应链摆在了更为重要的位置。
04
结语
除了文章开头提到的一个个大新闻,同一时间业内也有一些“小事”发生:在义乌,因为存在安全隐患与低价倾销等原因,两家快递企业被整治,部分分拨中心停运;在菏泽,邮政管理局开展联合执法打击跨区收件快递“黄牛”。另外,货车司机服农药自查的调查结果也公布了,不禁让人唏嘘。
秦朔老师在文章中写道:最近二三十年,中国的货运价格(元/吨/公里)没有上涨过,两三千万卡车司机自己消化了压力,这是中国制造保持低成本竞争力的来源之一……中国供应链环节多,货物要多次搬倒运输……运输费用的占比,中国最低。管理费用的占比,中国最高。
对此笔者深表认同,希望在下一个时代里,企业竞争力的获取、成本的优化,是通过 科技 ,是通过供应链的优化,而不是仅靠价格战,亦或者是盘剥一些弱势群体。
来源/物流指闻(ID:wuliuzhiwen)
作者/叶帅
专访派拉软件李广兵:从身份认证走向一体化零信任的“自我革新”
在被誉为80年代最出色的警匪片《铁面无私》中,肖恩·康纳利所扮演的一名老练警察在为凯文·科斯特纳扮演的新手官员指点迷津时曾提到,这个世界教给我们的第一课是:不要相信任何人。
这句话亦适用于如今的网络安全世界。在云端和移动端的重要性越发凸显的当下,传统边界已变得模糊,数据无处不有,威胁也无处不在。
当入侵者能够轻而易举通过黑客攻击和防火墙漏洞进入基于边界的安全系统时,曾经流行的“城堡/护城河”方法便显得力不从心起来。
于是,人们一边高喊着:“不要相信任何人”,一边高举起秉持着“永不信任、持续验证”策略的“零信任安全”旗帜。
他们坚信,在零信任安全网络中,没有人能获得免费通行证,即使身处网络边界内也不例外。
近日,朋湖网专访了国内零信任厂商派拉软件副总经理李广兵,在回溯派拉软件过往的发展迭代历程中,他告诉朋湖网,决定企业生命线长度的,在于被市场“抛弃”之前先完成自我革新,跟上时代的步伐。
自2008年成立以来,从统一身份认证管理平台到以身份为中心的零信任安全体系再到一体化零信任安全解决方案,派拉软件似乎将“自我革新”深深刻进了其DNA中,而不断的创新与变革也为其赢得了市场的回应,如今派拉软件已积累了上千家客户,覆盖政府、央国企、金融、 汽车 、制造业、医疗/医药、房地产及教育行业等各个领域。
01
明者穷则思变、因时而变:从身份认证到零信任
有这么一则故事:
传说中古时候有一种动物叫做梧鼠,它能利用腹侧的膜做短距离的飞行,但却连房子也飞不过去;它会爬树,却爬不高,连树顶都爬不上去;它也能游泳,却连小河沟也游不过去;它也会挖洞,却挖不成能藏自己的洞穴;它也会奔跑,却跑不过其它的动物,连人都能轻易地追上它。
《荀子·劝学》言:“螣蛇无足而飞,梧鼠五技而穷。”尽管它身怀五种技能,但最终还是能被老鹰轻易地抓到。
对于派拉软件而言,在刚成立的那几年,所面临的境遇似乎与上则故事略有相似。当时,派拉软件主要业务方向聚焦在了技术与咨询服务方面,上云服务、安全认证服务、性能管理......什么都会一点儿,什么路好像都可以走通,但却没有一条能够看得长远的路。
博而不精,结果只会是梧鼠之技。“我们决心还是要‘专注’,专注一个赛道,去做精、做深、做大。”李广兵表示,在经过了前几年的打磨后,2012年开始,派拉软件便将精力专注在了身份安全领域。
身份安全要做什么?在Gartner的定义中,身份安全,主要是为了确保主体能够安全地访问相应资源。
在此之中,用户需要先经过身份认证系统识别身份,才能进入访问控制器。访问控制器依据用户的身份和授权数据决定用户是否能够访问某个资源。
可以说,身份认证技术是构建网络安全体系的第一关,是名副其实的“门禁”,也是网络安全的基石所在。
“随着国内数字化的飞速发展尤其是作为一个人口大国,身份安全的市场空间和重要作用都不容小觑。”李广兵讲道。
而彼时,国内的网络安全的方向还主要集中于如防火墙、入侵检测等方面的安全硬件的研发上,出于对“基于‘边界’的安全访问机制未来可能会被打破”的判断,加之身份安全市场还是一片新蓝海,派拉软件便开始了对身份安全的专注。
在“专注”之下,凭借着扎实的技术积累,派拉软件赢得了一批又一批客户的信任,公司也驶入了发展的快车道。
同时,“专注”也为派拉软件带来了更多发展的可能性。2016年,伴随着云计算、移动互联、物联网等新兴技术的发展,数字经济的到来,用户的数据也变得越来越多,派拉软件便顺势而为,开始拓展另一条业务线,即数据安全,“但派拉软件不做传统数据库管理,而是与身份认证安全管理紧密结合起来,去对数据进行安全访问管理。”李广兵表示。
与此同时,派拉软件也将大数据、AI等技术应用到身份安全产品当中,打造了新一代的统一身份认证管理平台,并有所延伸至应用安全领域。
这是第一次革新,在身份安全与数据安全、应用安全三管齐下下,派拉软件的生命线得以拓宽;而第二次革新,派拉软件将目光瞄准了零信任。
2020年,在疫情的影响下,远程办公成为了大多数企业的选择,但同时,企业的安全边界也愈发模糊,基于边界的安全防护体系正在瓦解。
正如中国通信院发布的《数字化时代零信任安全蓝皮报告》指出,数字化转型浪潮下,企业传统安全架构面临三大挑战:一是上云、应用架构升级等技术转型带来新的安全风险;二是工作空间和供应链协同的数字化引入更多的安全隐患;三是新零售、物联网等产品服务创新面临多样的安全威胁。
如何在受限于远程和多种非企业设备终端的情况下,保护企业数据的访问安全和合规使用?
基于零信任理念的安全架构成为其中一种解决方案,“永不信任,持续验证”的零信任让安全边界变得无所不在,也最大限度地保证了资源的被可信访问。
同年,中国信息通信研究院发布的《中国网络安全产业白皮书(2019年)》中,更是首次将零信任安全技术和5G、云安全等并列列为我国网络安全重点细分领域技术。
风口之下,何不作为?于是,派拉软件围绕着零信任进行了一系列生态产品的开发,构建了基于零信任理念的安全架构治理体系,为企业提供涵盖终端、访问通道到云端的全场景数字身份治理解决方案,同时为用户、应用、数据提供全面的安全保障机制。
“从传统身份安全转向零信任身份安全,一方面是出于外部网络环境及企业安全需求的变化,另一方面也是派拉软件有着良好的转型基础。”李广兵表示,零信任安全的本质是以身份为中心进行动态访问控制,而派拉软件在身份安全领域已积累了十多年,基础扎实,也具备着天然的优势,零信任安全的应用场景能够全覆盖认证的全链路,即“人”的身份治理、“物”的身份治理、“服务”的身份治理、以及“数据”的身份治理。
《周易·系辞》下有言:“易穷则变,变则通,通则久。”
从传统身份安全厂商转向零信任身份安全厂商的十多年间,派拉软件始终牢记于心的是:穷则思变、因时而变。
而变为革新、新则思进。
02
达者变为革新、新则思进:走向一体化零信任安全
“我刚进入网络安全行业的时候,大家讲到安全基本上就是防火墙、杀毒软件等,但现在来看,企业面临的网络安全威胁种类变得越多了,勒索软件、网络钓鱼和有针对性的攻击数量每年都在增加。”李广兵讲道。
“对于网络安全厂商而言,技术的不断研发创新固然重要,但更多需要思考的地方在于:如何在解决安全的前提下,保证产品使用的便捷性。”他强调。
“因为面临的网络安全威胁种类变多了,一家网络安全厂商很难解决企业的所有安全问题,但要是让企业堆上十来个管理平台或系统,对其网络安全的运营能力是一个极大的挑战,到时候虽然安全了,但后续的运维却增加了不少负担。”
为了满足企业更多样化的安全需求,并保证产品的便捷性,派拉软件决定做一体化的解决方案。
在一年多零信任安全实践的基础上,派拉软件不断丰富完善零信任产品矩阵,并以身份为核心,推出了一体化端到端零信任解决方案。
具体来说,就是将零信任安全能力从IAM延伸到终端安全、SDP、细粒度授权、安全网关、用户行为分析、数据访问安全等领域,同时可支持远程办公、移动设备接入、远程运维、互联网业务访问等多种复杂的应用场景。通过基于持续动态的风险评估策略进行访问控制,以助力企业构建体系化的端到端的安全防护能力。
“在不断创新的路上,我们一直在思考产品如何能更进一步。”李广兵讲道,产品竞争优势就在于跟客户更进一步,也就是贴近客户需求,客户的痛点在于端到端的安全防护能力,那企业就需要通过不断的自主研发创新去解决客户的问题。
03
写在最后
以前,我们信任着城堡和护城河的安全方法:城堡/护城河外部,即网络外部的每个人都是“坏的”,里面的每个人都是“好的”。
但如今,城堡与护城河已不复存在,工作场所已然发生了天翻地覆的变化,人们的工作空间不再拘泥于办公室。云的兴起改变了一切,带来了便捷性的同时也瓦解了网络边界。
正如城堡和护城河已成为过去一样,传统的“城堡和护城河”的安全方法也逐渐被时代所抛弃。
从“信任但验证”策略到“从不信任,始终验证”的转变,毋庸置疑,零信任安全的时代已经到来。
在时代的洪流中,派拉软件唯一能做的事,即终日乾乾,与时偕行。