2022.09.15

36氪首发新一代智能模糊测试技术,宣布完成数千万元天使轮

36氪获悉,安全初创厂商「云起无垠」于今日正式对外宣布完成天使轮融资。据介绍,本轮融资金额在数千万元级别,绿洲资本独家投资。

云起无垠成立于2021年7月,定位为新一代智能模糊测试技术提供商,希望通过Fuzzing(模糊测试)技术,为企业的整个软件生命开发周期提供助力,从开发环节即帮助企业提升整体安全能力。

从技术分类角度出发,Fuzzing在广义上被划入开发安全范畴,是一种针对软件安全的自动化测试方法。概括而言,其核心理念是通过向目标系统提供海量的非预期输入,并通过监控与捕捉异常结果来找到更多的未知安全问题。

从行业角度而言,过去相对更被熟知的开发安全工具是AST,主要包括静态应用程序安全测试(SAST)、动态应用程序安全测试(DAST)、交互式应用程序安全测试(IAST)。对比之下,Fuzzing技术过去多出现在学术领域 ,国内少见独立厂商。但36氪观察到,自2020年左右开发安全在国内愈发被重视,主攻不同安全测试工具的公司也随之增多,和AST对标的Fuzzing同样也浮现出一些国内厂商。

云起无垠正是其中一家。公司创始人兼CEO沈凯文表示,其在此时间点选择Fuzzing作为创业方向主要有以下几个原因:

首先对于行业格局而言,随着市场需求的变化,国内安全行业近年来更受客户和资本认可。其中,开发安全已逐步成为客户完成安全基础建设后的下一个建设重点。此外,Fuzzing近年在产业侧的推广与落地给了初创公司更多信心。目前在国际上,Fuzzing已被应用到 Google、Microsoft、美国国防部 (DoD)等头部机构,侧面说明Fuzzing技术拥有较高成长潜力。而且,沈凯文还觉得,Fuzzing技术的发展与落地使真正的代码安全自动化测试成为可能。比如,智能覆盖引导技术的融入大幅度提升了Fuzzing技术的细粒度测试效率与效果。

另从客户需求迭代的角度来看,沈凯文表示,此前客户多用AST类产品,但此类产品只能找到Web场景中的问题,而Fuzzing技术还可以拓展至API、协议、数据库等更多场景。并且,与传统测试技术相比,Fuzzing技术不仅能够发现已知(1 day)漏洞,还能通过自动化技术挖掘更多的未知(0 day)漏洞。其本质的原因在于Fuzzing做软件安全测试时,整体的粒度会更细,测试点会更多,判断位置也会更精准。

他进一步介绍,模糊测试技术可通过模版生成或流量提取的方式自动化得到海量优质的测试种子。在测试过程中,模糊测试技术还可通过软件覆盖率反馈机制,智能地指导测试种子往优秀的方向变异。另值得一提的是,模糊测试还会通过观测程序控制流图(CFG)来判定内存破坏漏洞。这种基于系统底层逻辑的漏洞检测方法,也使得任何细微的漏洞都可以被及时发现。“这会让更多的客户关注到Fuzzing的应用价值,从而给Fuzzing创业提供更大的市场空间。”沈凯文说。

然而从落地来看,将Fuzzing从技术转化为产品,在国内还处于早期阶段。

在代码安全自动化测试技术领域,沈凯文表示,Fuzzing技术无疑是近几年网络安全四大顶级学术会议中最热门的研究方向。通过学者们的不断研究,目前Fuzzing在科研层面已经成熟。

但另一方面,产业界长期仍缺乏简单易用的产品。这意味着,当前市场上虽然有更多客户意识到Fuzzing的价值,但由于缺乏Fuzzing专业知识与落地经验,普通客户很难只基于开源的学术Fuzzing框架来进行代码自动化测试。比如从产品易用性来看,开源Fuzzing版本也缺少UI界面与用户报告等基本模块,这使得普通客户难以将这些开源Fuzzing框架应用到日常工作任务中。总之,沈凯文觉得即便Fuzzing技术的优越性已在学术界得到认可,而由于Fuzzing自身的高技术门槛,“开箱即用”型模糊测试产品成为市场刚需。

在行业客户画像上,云起无垠主要服务两类客户:第一类是对代码安全漏洞容忍度很低的企业,比如汽车、Web 3.0、工业控制、军工和航空航天等。这类客户的产品一旦出现问题,往往会造成巨大的产品召回损失。所以,它们对产品的安全性要求非常高,愿意投入大量资金来购买软件安全自动化检测工具。第二类是DevOps客户,包括金融、互联网企业等。这类客户往往有着海量快速迭代的代码,人工代码审计完全不能跟上开发的速度。为了确保业务安全的快速迭代,自动化安全检测是它们的刚需。

当前,云起无垠正在逐步建立更为全面的产品矩阵——针对“开发、测试、部署、运维”各阶段,其提供基于Fuzzing技术的模糊测试产品,主要包括黑盒Fuzzing测试、灰/白盒Fuzzing盒测试。其中,前者主要覆盖开发、测试阶段,后者可覆盖开发、测试、部署、运维阶段。在推广逻辑上,伴随着和客户间信任度的提升,云起无垠可以从提供黑盒Fuzzing测试产品,拓展到灰/白盒Fuzzing测试,进而提升自身产品在客户处的覆盖面和效果。在使用场景上,这些产品主要落在协议、API、数据库、Web3.0等场景。

总体而言,沈凯文认为Fuzzing领域的创业不仅需要技术能力,还需要对客户的深入理解。对此,他表示云起无垠的核心竞争力之一在于其已经建立起具备产学研一体化能力的团队。整体来看,云起无垠的创始团队分别来自清华大学、北京邮电大学、海外头部高校及一线互联网厂商。技术团队成员多次在 DEFCON CTF、HITCON CTF、GEEKPWN 等世界国际头部网络安全竞赛中获奖,并在网络安全四大学术会议和工业会议 Blackhat USA 发表多篇论文及演讲。公司销售团队核心成员具备8年以上销售及管理经验,客户群覆盖车联网、金融、互联网和运营商等重要行业。创始人沈凯文是清华大学网络空间安全博士,也是蓝莲花、Tea Deliverers核心成员,在GeekPwn2019国际安全极客大赛中获全球第一名,入选"极棒名人堂"。

在近期计划上,云起无垠计划持续打磨产品,并进行客户推广。

关于投资:

绿洲资本表示:“作为新一代Fuzzing(模糊测试)技术先锋,云起无垠捕捉未知,服务企业软件全生命开发周期。其创始团队具备产学研一体的特点,能够抓住市场痛点,实现技术落地。绿洲很期待与云起无垠一起,实现其对产业发展的延展性。”



上一篇:零信任应用的新进化 —— 统一微隔离

下一篇:危险的指纹,86万银行存款突然没了