Astra Security 联合创始人兼首席执行官 Shikhil Sharma – 访谈系列

希基尔·夏尔马 是 Astra Security 的创始人，这是一个持续渗透测试平台。在职业生涯的初期，Shikhil 为许多企业、初创公司和银行提供网络安全咨询。在帮助一些顶级企业保护其网站和应用程序后，Shikhil 注意到传统渗透测试的低效性，并成立了 Astra Security 来帮助解决这一问题。他非常关心打造习惯养成型产品和设计直观的营销活动。

阿斯特拉安全 最近 筹得$ 2.7万元 通过人工智能驱动的渗透测试彻底改变网络安全。

您的职业生涯始于为企业和银行提供网络安全咨询。您发现传统渗透测试存在哪些缺陷，从而促成了 Astra Security 的成立？

传统的渗透测试通常作为一项临时练习进行，通常是在监管要求或怀疑存在漏洞时触发，从而使应用程序在到期渗透测试期间的较长时间内容易受到黑客攻击。传统的渗透测试以服务为导向，通常会用 500 页的报告让客户应接不暇，这些报告充斥着专业术语，但缺乏可操作的见解。

沟通通常是非结构化的，利益相关者、开发人员、首席技术官、首席信息安全官，甚至渗透测试人员都因缺乏无缝协作和明确的补救指导而感到沮丧。随着人工智能加快新代码投入生产的速度，传统的渗透测试方法无法跟上。这促使我们创建了 Astra Security，这是一个持续进攻渗透测试平台。

Astra Security 致力于让中小企业的网络安全“超级简单”。你们的方法与市场上传统的安全解决方案有何不同？

中小企业需要简单、有效且不会拖慢速度的安全措施。这就是 Astra Security 脱颖而出的地方。我们的方法以易用性、自动化、可操作的见解以及大规模持续安全为中心。每隔几个月就会出现一系列新的工具缩写，包括 CSPM、SSPM、CTEM 和 ASPM，中型企业很难跟上这些工具的步伐。在 Astra，我们提供所有这些工具的功能，但不会给它们起任何花哨的名字，以保持平台的用户友好性。

我们的平台直接集成到 CI/CD 管道中，提供实时警报和指导补救，以便没有专门安全专家的团队也能保持受到保护。

为了领先于网络犯罪分子，Astra 开发了哪些最具创新性的人工智能安全功能？

Astra 的 AI 驱动攻击性安全引擎旨在大规模检测、关联和修复漏洞。我们的平台通过威胁建模利用 AI 驱动的攻击模拟不断扫描基础设施，模仿现实世界的黑客策略，以发现最复杂的威胁。我们提供一个友好的机器人“Astranaut”，它具有客户堆栈中每个漏洞的上下文，并帮助开发人员快速修复漏洞。

Astra Security 提供“持续渗透测试”。这与传统渗透测试有何不同？为什么这种转变是必要的？

与传统的一次性测试不同，Astra 的持续渗透测试平台使安全措施实时且主动。我们的 AI 驱动平台持续扫描基础设施、检测漏洞并模拟真实攻击，提供即时警报、风险优先级和 AI 驱动的补救措施，以便开发人员可以更快地解决问题。随着网络威胁日新月异，企业无法等待数月才能进行下一次测试。Astra 将 AI 自动化与专家验证相结合，确保全天候保护并降低风险。

您的平台每月发现超过 110,000 个漏洞。您能分享一下您发现的一些最令人惊讶或最关键的漏洞吗？

我们每月发现的实际漏洞数量超过 200,000 个。我们仍然看到基于注入的攻击，例如 SQL 和脚本攻击，这些攻击已经存在多年，仍然是我们平台上发现的首要问题。令人惊讶的是，访问控制漏洞非常普遍，许多应用程序都容易受到攻击。我们在内部推出了一个测试版的访问控制漏洞扫描器模块后，能够大规模地看到这种情况。另一件让我们感到惊讶的事情是，有多少次无意中将密钥提交给面向客户的代码，从 Stripe、Slack 到电子邮件服务提供商密钥——我们都见过。

人类安全研究人员在 Astra 的 AI 渗透测试平台中扮演什么角色？自动化和人类专业知识如何相互补充？

在 Astra，AI 自动化和 Astra 的安全专家携手合作，提供精确、可操作且实时的安全评估。AI 加速漏洞检测并自动执行攻击模拟，而我们的安全研究人员则提供深入的背景信息、验证和创新分析，确保不会忽视任何关键漏洞。我们认为渗透测试人员现在发挥着更重要的作用，他们不再需要花时间一次又一次地报告容易被发现的漏洞，而是更多地关注实际的关键潜在攻击。

随着云环境变得越来越复杂，Astra Security 如何发展以保护现代 SaaS 和基于云的基础设施？

我们的平台主动扫描云工作负载、API 和身份，检测错误配置、权限提升风险和现实世界的攻击媒介。Astra 确保企业能够安全地扩展，而不会影响敏捷性，同时实现深度云集成、自动合规性检查和嵌入到 CI/CD 管道中的安全性。

您的背景包括参与备受瞩目的漏洞赏金计划。您最难忘的漏洞发现是什么？

我在漏洞赏金计划之旅中发现的最难忘的漏洞之一是，在一个主要的市场平台中发现了一个关键的身份验证绕过和注入攻击。该漏洞允许攻击者在没有有效凭证的情况下访问用户帐户，从而可能泄露敏感的财务数据。这一发现之所以引人注目，是因为它对现实世界的影响——如果被利用，可能会导致大规模的金融欺诈。负责任的披露确保了漏洞在造成任何损害之前得到修补。

您积极参与网络安全工作，并经常在行业活动中发言。社区参与在塑造 Astra 的使命方面发挥了什么作用？

社区参与是 Astra 使命的关键。与安全专家、开发人员和 CISO 的互动有助于我们直接了解新兴挑战。这些见解直接影响我们的产品创新，确保我们构建的解决方案不仅先进，而且实用、有效且符合行业需求。在 Astra，我们建立了 403 Circle — 我们由 100 多名 CTO 和 CISO 组成的独家社区，安全领导者在这里分享经验、交流见解并寻求网络安全前线同行的指导。

您认为五年后 Astra Security 将会发展到什么程度？您认为它对网络安全行业的最终影响是什么？

五年后，Astra 将站在 AI 驱动的进攻性安全领域的前沿，使持续渗透测试成为行业标准。我们的目标是通过为企业提供自动化、智能的安全引擎来消除传统的被动安全方法，该引擎可以实时检测、确定优先级并帮助修复漏洞。Astra 将塑造主动网络安全的未来，帮助企业从定期的安全测试转向始终在线、由 AI 驱动的保护，并随企业规模而扩展。

感谢您的精彩采访，想要了解更多信息的读者可以访问 阿斯特拉安全.