訪談︱這家初創公司以APP加固技術為核心

隨著移動互聯網的快速增長，移動安全領域在近年來也十分的火熱，尤其是移動互聯網的入口——移動應用(APP)的安全，更是迅速受到關注。除了BAT3幾家互聯網巨頭之外，還出現了幾家專註此領域的初創企業。本次訪談，安全牛採訪的是愛加密CEO郭訓平先生。

郭訓平

郭訓平，愛加密CEO，全面負責公司的戰略規劃和運營管理。郭訓平先生投身安全領域已達20多年，曾先後在多家知名安全公司如Symantec、RSA等擔任重要任職，積累了豐富的銷售、市場營銷及團隊管理的工作經驗。

一、國內最早涉入APP安全領域的廠商之一

安全牛

移動APP安全這個領域，國內目前已經有幾家在做，相比之下，愛加密是否有著自己的獨特優勢？

郭訓平：移動APP加固是一個比較新的細分領域，前幾年還處於研究階段，真正在市場上流行也就是2014年下半年。

APP加固的主力需求是銀行。人民銀行早在2012年底就出了一個針對移動支付方面的技術規範。在這個規範里，對APP安全提出了明確的要求。比如防破解、防篡改、數據加密等。之後，銀監會就開始按照規範要求執行。

愛加密參與了這個規範的撰寫，並提供了一些重要的材料和數據。當時我們通過手動的方式對五六十家手機銀行的APP，做了一個比較深入的分析，出了一份幾百頁的專業技術報告，提煉出銀行APP中存在的一些共性問題。

安全牛

也就是說早在2012年，愛加密就進入到這個領域了？

郭訓平：是的。我們不僅作為國內最早推出APP加固的安全廠商之一，在移動安全的許多細分技術領域都有著自己的獨創性，還是國內最早推出移動APP全方位解決方案的廠商。

安全牛

郭訓平：這種全方位可從兩種角度解釋，第一個是從安全行業常用的「事前、事中、事後」的防護理念出發，提供風險、預警、審計，以及監測與響應等方面的解決方案。

第二個是圍繞APP本身的全生命周期。從設計、開發、測試，到上線、交付、升級等各個階段，幫助開發者或者是用戶解決不同層面的問題。

比如說在開發階段，我們提供安全開發的諮詢服務，幫助開發者遵循相關的技術規範。數據能否落地，如何加密，如何保護源碼，漏洞風險在哪裡，開發框架是否存在安全缺陷等等，這些都是主要以實現業務功能為主的開發者所不熟悉的。對大銀行來說，非常看重這種諮詢服務。

愛加密是一個技術為導向的公司，技術人員佔到了70%以上，創新能力很強。公司的創始人是彭瀛，也是這個公司的董事長，做系統底層研發的，即是技術人員，又是產品經理，從產品創新、定位和設計上都非常出色。

二、在壓縮技術和VMP技術領域的創新

安全牛

談到技術創新，我知道VMP（虛擬機保護）在APP加固中屬於較新和較高水平的技術，愛加密在這方面有哪些見解？

郭訓平：具體到加固技術，說實話，我們是處於領先位置的。

市面上大多數VMP技術，只是對dex文件的保護，但即使是這樣，其中也有一些技術難點。比如VMP支持覆蓋的代碼量，即虛擬機里可以保護多少代碼。保護的代碼越多，對性能的影響就越大，對兼容性的要求就越高。

愛加密能做到對全代碼的保護，而且不影響兼容性和性能，不影響用戶的體驗。這一點是我們非常具備優勢的地方。還有一個更具優勢的地方，愛加密稱之為第六代的加密技術，叫做雙重VMP技術。

安全牛

怎麼理解？

郭訓平：也就是說我們的VMP還可以支持對SO庫文件的保護，目前只有愛加密唯一一家可以做到。

雙重VMP可以最大程度的保障用戶APK文件的安全性，尤其是動態調試的安全性。再加上我們獨有的壓縮技術，可以實現加固之後包體的負增長。

安全牛

也就是說經過加固之後，安裝包不變大反而減少？那也就意味著需要分析並優化源代碼？

郭訓平：是的。我們在不影響性能和兼容性的情況下，對代碼結構進行優化、對資源文件進行優化，通過這種靜態壓縮的方式實現包體的負增長。

再比如，APP需要下載安裝，然後才能運行體驗。愛加密通過壓縮、加速和免安裝技術，可以無需安裝直接運行原生態的APK。拿遊戲來說，壓縮比率到可以實現90%以上，完全可以在帶寬速度一般的情況下，流暢運行。

獨有的壓縮技術和雙重VMP這兩個是我們的核心技術優勢。

三、基於大數據的風險監測體系

安全牛

移動安全領域的公司，大都在數據方面有著不小的積累，愛加密在數據積累及應用方面是怎樣的？

郭訓平：我認為作為專註於移動應用安全的廠商，應該具備移動安全基礎設施的能力，以對APP的整個風險狀況進行了解。

目前為止，愛加密的移動應用風險監測體系， 服務APP超80萬款，覆蓋8億終端用戶。而且我們還和全國的運營商合作，每天收集到的APK下載URL可達數百萬計。至少在國內這個監測體系應該是最大的。

有了這些數據資源之後，我們使用幾十個引擎對安裝包進行檢測，並把各種數據放到大數據平台進行分析，可以及時發現不同類型、不同行業的移動應用的風險狀況和未來趨勢，以及服務於不同方面的市場需求。

這些數據第一是為公司自己的主營業務服務。第二會給市場上的一些需求方，如從政府層面、監管部門層面提供態勢監測。第三是為一些第三方客戶，提供渠道監測服務。

安全牛

APP加固這個市場，很容易見頂。這也是為什麼很多互聯網巨頭並沒有開闢這個市場，主要是為自己服務。愛加密如何考慮未來的業務發展規劃？

郭訓平：從目前來看，APP加固這個市場還沒有見頂，至少對我們還沒有太大影響，這與愛加密的產品的定位與用戶的真實需求匹配度非常高有關。

除了APP加固，其實我們也在關注幾個新的方向。比如我們目前一個基於大數據分析為基礎的核心安全解決方案，MSOC，移動安全運營管理平台。

隨著移動互聯網尤其是移動互聯網的發展，邊界變得模糊，傳統網路防護方法已無法滿足用戶需求。MSOC在照顧到傳統安全防護體系的同時，打通數據，幫助用戶去整合移動互聯網、物聯網、雲計算和大數據等新風險防禦體系。

第二個方向，我們關注IoT智能生活領域。金融行業為什麼對APP安全的需求如此剛性，就是因為裡面的信息和內容非常重要。一旦出了問題，責任重大。loT不管是互聯網還是車聯網，和人們的生活息息相關。汽車被人攻擊，直接威脅人身安全。智能家居被攻擊，威脅的是家庭財產和個人隱私。

而且，IoT的市場空間要大的多，因此物聯網安全肯定是像我們這種從事APP加固公司的主要業務發展方向之一。但目前這個領域我們還是處於研究測試和產品定型的階段，並沒有產生大規模銷售需求。

第三個方向，我們還是想圍繞著APP本身做一些目前可落地的事情。比如，基於大數據的風控和反欺詐解決業務邏輯上的問題。再比如，新型業務在用戶端的接受程度，以及自身業務和同行業務發展情況的監測和分析，可以為管理者提供非常有價值的信息，了解產品效果，節省推廣成本，輔助業務發展方向的決策。

這種服務從純技術角度來講，可能跟傳統的安全沒關係，但它的實質就是保障業務發展，確實能幫用戶目前棘手的問題。在這方面我們已經有了七八家的銀行客戶，應用效果非常不錯。不管採用什麼樣的技術和手段，最終目的還是要保證用戶的業務，因此我的理解這是一個「大安全」的概念。

四、提升整個安全行業的價值

安全牛

郭訓平：APP加固這個領域，行業特點比較明確。愛加密金融行業的客戶有200家左右，銀行客戶有將近100家，銀行客戶覆蓋率達到90%。

2016年我們的收入6千萬元左右，去年其實是APP加固市場增長比較快的一年，與2015年相比，各個行業尤其是非金融行業，對APP加固的需求有著很大的提升。原先主要是金融，銀行和證券，2016年還包括了運營商、政府、大型企業、互聯網金融和遊戲運營商等。根據目前的營收趨勢，我們預測今年的收入將會過億。

安全牛

移動APP安全這一塊，實際上已經不少公司在做了，怎樣才能在這種競爭的環境下更好地發展自己呢？

郭訓平：移動化的趨勢不可避免，APP安全作為一個新興領域是一個非常好的切入點，因為實施成本低，交付容易，尤其是以雲的方式交付。

剛才我們提到BAT3，這塊業務它們也都有，但它們是自用，還沒有到這個市場正式開始競爭，即使在全球來講也沒有特別突出的公司。國內在這個領域影響大一些的公司，也就兩三家。僅從APP加固的銷售業績上來講，大家並沒有本質的差別，無非一兩千萬而已。

起步早的公司，可能知名度會高一點。但除此之外，還有兩點也非常重要：一是技術要不斷的創新，並在產品層面要做紮實。二是要從整個行業的發展去看問題。比如我們在對外做宣傳的時候，我會告訴大家愛加密在這個行業起到了什麼作用。比如在監管層我們做了什麼，在標準工作中我們做了什麼，在技術提升上做了什麼等等。

愛加密參與了，銀行業、證券業、公安部三所、國家應急響應中心、天津防病毒中心、工信部電信研究院、信安標委會等牽頭的，針對移動APP安全的規範和標準的撰寫。

我認為有競爭是件好事情，因為如果在某個新興領域只有一家公司，這個公司是沒有戰鬥力的，而且缺乏足夠的聲音造勢，業務也很難做起來。因此大家需要合作，而不是惡意的競爭。

至少在我這裡絕不允許員工拿著競爭對手產品被破解的報告給用戶去講，這樣最終不利於安全行業的發展。作為新興領域的先行者，要能夠帶領整個行業往前走，這才是對整個行業，甚至是整個民生都有價值的。

最後，我認為一家安全公司還是要講情懷的。一個人加入一家創業公司，帶來的結果應該是因為自己的加入推動整個公司的成長，而不僅僅是個人或自己部門的成長。每個加入的員工都這樣的話，公司一定會不斷的健康成長，發展壯大！