GN:“专注于IoT安全全周期自动化和全球监管应对”
Source: Byline Network
ZIEN(지엔)CEO 조영민(赵英民)访谈
随着欧盟(EU)将物联网(IoT)和连接产品的安全要求从建议提升为强制性义务,向欧盟出口或进入欧盟供应链的国内制造商必须从开发初期就准备安全设计、测试以及文档证明。
国内物联网安全专业公司 ZIEN(지엔) 将这一趋势视为今年业务的核心变量,正在强化从固件漏洞自动分析、合规文档化、基于软件物料清单(SBOM)的供应链管理到安全运营监控的 “物联网产品全生命周期安全” 自动化战略。
“专家手工是瓶颈” … 安全咨询经验促成创业
ZIEN 是一家成立于 2021 年 6 月的物联网产品·网络物理系统(CPS)安全专业公司。CEO 赵英民出身白帽黑客,创业前在全球会计·专业服务公司 EY 从事全球安全咨询。他多次经历产品安全检查过度依赖专家的模式,
“产品安全检查范围广、重复工作多,投入的人越多成本越高,进度也容易受影响。”
他指出,“看到只有专家手工完成的工作,认为需要一个平台来降低成本和资源消耗,于是决定创业”。尤其是固件分析如果仅靠人工,难以实现规模化供应,他把逆向工程等高端技术也能实现自动化视为信心来源,并以 “从开发到运营的物联网产品全周期安全自动化平台” 作为 ZIEN 的定位。
“监管打开市场” … RED·CRA 正式启动
赵董事长表示,“最初物联网·产品安全市场并不明显”,但“近期机器人、摄像头、医疗器械等实体产品领域的安全需求快速增长”。过去以 IT·云为中心的安全需求正向机器人·设备·产品转移,尤其全球范围内产品安全监管·认证的强制化趋势日益明显。
- 欧盟无线设备指令(RED·Radio Equipment Directive):自 2023 年 8 月 1 日起生效,要求向欧盟销售的无线·连接产品必须具备安全功能并提供测试·技术文档等证明。
- 欧盟网络韧性法(CRA·Cyber Resilience Act):扩大适用范围,将 “包含数字要素的产品” 全面纳入法律义务,
- 2026 年 9 月 11 日起开始强制漏洞·事故报告义务
- 2027 年 12 月 11 日起主要义务全面实施
赵董事长认为,“CRA 涉及的产品众多且罚款巨大,市场必将统一到这一标准”,并预测“大企业会率先准备,随后中型·小型企业也只能跟进”。他强调,关键不是 “装配安全功能”,而是 “证明安全体系”,即不仅要记录做了什么,更要记录怎么做,否则在出口过程中会出现问题。
从固件、合规文档、SBOM 到运营监控的 “物联网安全平台化”
ZIEN 的产品线聚焦于物联网安全全周期的自动化。流程分为以下四个阶段:
- 开发阶段 – 漏洞发现
- 商品化阶段 – 合规·认证应对
- 运营阶段 – 组件·漏洞管理
- 现场可视化 – 异常行为监控
每个阶段的产出都作为下一阶段的输入进行设计。
开发阶段 – Z‑IoT
赵董事长强调,“大多数漏洞出现在产品内部的固件”。ZIEN 通过自动化固件漏洞分析和二进制文件逆向自动化为核心,利用 AI 引擎将漏洞检测结果直接以开发者可立即采取行动的形式呈现。
商品化阶段 – Z‑GRC
为应对合规·认证,ZIEN 开发了 “Z‑GRC”。该平台自动化审查认证准备文件和模板工作,使制造商能够一站式获取全球认证。ZIEN 与法国全球认证机构 “Bureau Veritas” 合作,构建了从认证文件审查到证书发放的闭环体系。
运营阶段 – Z‑BOM(基于 SBOM)
基于 “软件物料清单(SBOM)” 的管理平台计划在今年上半年推出。SBOM 列出产品所包含的开源组件和库。赵董事长指出,“物联网产品超过 80% 使用开源软件,开源安全至关重要”。Z‑BOM 提供按产品·版本·组件粒度追踪和响应漏洞的运营体系。
现场可视化·异常行为监控 – Z‑Sentinel
ZIEN 正在研发 “Z‑Sentinel” 解决方案,用于自动识别物联网资产并监控安全事件,计划在今年底或明年初上市。目前重点面向公共领域设备管理。
核心技术
- 检测准确度:通过分析全球物联网产品,AI 学习的检测规则能够高精度识别已知和未知漏洞。
- 补丁关联性:AI 引擎还能指导安全的代码转换方向,帮助开发者轻松修复。
与 KISA 合作的机器人吸尘器检查 … 关注 “物联网安全制度空白”
ZIEN 认为合规工作不应仅停留在文书层面。去年与韩国互联网振兴院(KISA)·韩国消费者院共同开展机器人吸尘器安全检查项目,发现了主要漏洞。在此过程中,ZIEN 发现《信息通信网络利用促进及信息保护等法律》在没有制造商配合的情况下,难以进行前置漏洞分析,形成制度空白。借助消费者院的帮助,ZIEN 以《消费者基本法》相关条款实现了检查与公开。
国内大型制造企业为主要客户,医疗·机器人需求增长 … 目标 2024 年营收 20 亿元
主要客户包括三星电子、LG 电子、SK Intelics 等大型企业,近期已在机器人产品线、数字标牌等场景部署解决方案。医疗器械领域需求也在快速上升。医疗器械出口需满足 FDA 等认证,时间表固定,漏洞消除与证据体系直接决定能否出口。
- 2023 年营收:约 8 亿元
- 2024 年目标营收:20 亿元
- 融资:2023 年种子轮融资 2 亿元,完成 TIPS 项目,计划在 2024 年进行 A 轮融资
赵董事长表示,“预计在 A 轮融资中公司估值将大幅提升”。他计划利用募集资金,以国内案例为基础,进军欧洲、 中国、美国等海外市场。
“物联网安全,法律实施后再准备就晚了”
赵董事长指出,“对物联网和连接产品必须具备安全才能出口到欧洲及相关国家的认知仍然不足”。如果等法律实施后才准备,出口进度会被拖慢,营收也会受影响。随着物联网产品数量增加,实际安全事故已在发生,一旦出现事故将对企业形象和营收造成巨大冲击。他强调,“相较于 IT,防护较少的物联网领域是盲区,攻击更容易成功。若物理 AI 被攻击,甚至会影响社会安全。因此必须在开发阶段就把安全设为默认值”。