訪談|青藤云安全的安全觀:持續監控與開放平臺

作者:星期三, 九月 19, 20180

青藤云安全上周在北京發布了其新品——青藤萬相·主機自適應安全平臺。

青藤云安全在市場方面的聲音一向不大,四年來一直潛心打磨產品。但作為一家代表著新興網絡安全技術方向,同時作為安全領域首家B輪融資2億元的初創企業,其扎實的技術和創始人張福的低調務實,很早就受到了安全牛的關注。在其新品發布之際,張福再次接受了安全牛的采訪,從公司創始人的角度,清晰的闡述了他對企業的發展理念和對安全的深度思考。

青藤云安全創始人 張福

一、 由外及內 安全走向精細化

安全牛:自適應安全的概念是你們首先在國內提倡的,前幾年我只是大概了解青藤的產品,很少在市場上聽到你們的聲音,現在是否能談談你的技術理念和對安全的看法?

張福:之前的確市場上很少發聲,因為這幾年集中了所有的資源和人,主要心思在打磨產品上。如今已經積累了不少的客戶,反饋也普遍很好。倒是可以靜下心來聊一聊了。

談到看法,首先我認為,目前的很多安全品類在未來會慢慢消失或者淡化,最主要的原因是保護對象產生了變化。國外這幾年一直在講去硬件化,其本質反映的是一種敏捷的理念。因為產業互聯網化,業務數字化之后,在云環境下講的是DevSecOps(敏捷開發與運維),因此安全也要相應變得更加敏捷和高效。

再者,全球安全的大趨勢,是從邊界往內部走的。比如,最近幾年很火的微隔離。從服務器到虛擬機再到容器,甚至是業務單元。安全變得更加精細,效果也變得更好。再比如,谷歌提出的零信任網絡,本質上也是一種細粒度的安全。不再以網絡區域劃分,而是細化到以實體為單位劃分。一個人在一家公司能訪問哪些資源,能有哪些權限,不管是從他是從哪里來的,安全體系認證的是實體,而不是籠統地把辦公網和業務網一分,互聯網和本地網簡單的隔離開。所以,未來安全的核心位置會從網絡挪到服務器,云化后就是虛擬機、容器、工作負載或業務單元。

安全一要軟件化,二要平臺化。客戶最希望采購的不是安全產品,而是安全能力。

各行各業都在數字化,因為業務運轉效率是核心競爭力。比如銀行,以前更多拼網點,現在拼誰的數據更完整,誰基于數據的算法更好,數據+算法形成新的生產力。這些數字化的資產,核心的業務系統的正常運轉,才是最重要的保護對象。

所以在國內不論是做SOC還是做態勢感知的廠商,誰跟我們公司合作,他們的產品就會成為國內最好的產品,因為這些網絡安全的產品,不管是抗D、WAF,還是防火墻、IDS/IPS,大家的能力都差不多。但我們能夠提供核心的識別能力,則是網絡安全(編者注:指Network Security)廠商所不具備的,兩者一旦融合之后效果一定會出類拔萃。比如,Palo Alto這個防火墻廠商的都要做Agent,思科也不例外。沒有Agent,安全能力就會落后別人一個層次,因此一定是未來的主流,這應該已是業內的共識。

二、Agent的優勢:敏捷、高效

安全牛:這就又回到技術上來了,我們知道你們要在服務器上或虛擬機上裝Agent,因此資產盤點會非常方便,尤其是在服務器非常多的場景。能否進一步講述一下Agent在資產方面的優勢所在?

張福:舉例來說吧,假設某用戶有一萬臺機器,上面跑了哪些應用系統,這些系統是什么樣的版本,有沒有漏洞,有沒有引用第三方代碼,配置管理又可能存在什么樣的問題,等等這些信息資產的清點是最痛苦的事。人工填報,程序排查,掃描器掃,不僅費時費力,效果也不會很好。但上了Agent之后,整個過程可以完全自動化,反向生成信息資產庫,再也不需要依靠傳統的靠人做配置管理的CMDB(配置管理數據庫),無論云主機、云應用再怎么彈性擴張縮減,都可以做到自動梳理、一清二楚。

安全牛:除了資產的自動化管理,風險發現更是安全產品的重中之重,相比于傳統的漏洞掃描,Agent的優勢又有哪些?

張福:傳統的掃描器最大的問題就是誤報,因為掃描器依賴掃描banner進行版本的比對。很多情況下,已經打補丁的系統Banner的版本號是不變的。還有一些更復雜的問題,如開源軟件,在被各發行廠商修改發布后,各種版本紛繁復雜,因此根據版本判斷漏洞誤差太大了。

安全牛:較新的掃描器已經集成了POC(漏洞驗證)和EXP(漏洞利用)來減少誤報。

張福:是的,但很多漏洞是POC不了的,即使國內最好的漏掃, POC的數量也就幾千個,與漏洞數量不成比例。而且POC有風險,EXP就更加危險了。如果裝上Agent之后,不管是什么系統、版本,還是補丁、配置,判斷就準確很多。另外,與資產清點同理,范圍越大優勢越明顯。當機器到上萬量級,用掃描器一遍一遍的掃,先不說占用多大資源,只是掃完這些資產,會花多少時間?而利用Agent分析十臺服務器和分析一萬臺服務器耗的時間沒什么差別,幾分鐘即可,即敏捷又高效。

還有一種情況,某些種類的漏洞掃描器很難掃描出來,比如ImageMatch漏洞,上傳圖片服務器就會執行代碼。這樣的漏洞掃描器是根本掃不到的,只能檢查是否安裝了這個軟件包,然后敲個命令看看能不能執行,這種驗證操作非常粗糙,有時也不可靠。

三、基于攻防為主的安全理念已經落后

安全牛:之前聽你談過,有些想法可能與傳統的攻防思路不一樣。其實業內許多資深人士也已經認識到,沒有攻不破的系統,未來的趨勢是注重檢測、分析與響應,從基于規則走向基于行為。你是怎么看的呢?

張福:是的。以前主流的安全理念特別強調防御和控制,強調對攻擊方或黑客的認知。典型的說法就是“不知攻,焉知防”,比如最典型的IPS、WAF,其識別和攔截能力取決于對黑客的認知。但這種方法并不靠譜,任何一家公司不管是安全公司還是企業,對黑客的認知永遠是有限的、被動的,是去拿有限的規則和資源去對抗未知的無限的攻擊手段,在方法論上就已經注定是落后的,被動的。

如何改變這種情況呢?需要對自身系統的透徹的認知,達到了透徹認知的適度,就無需擔心黑客,不需要了解他利用什么樣的漏洞,也不需要了解他使用什么樣的工具。

安全牛:達到這個地步恐怕很難吧?

張福:這里面其實有一個本質上的思考。安全一定是從產品售賣走向持續的運營服務,即持續的監控和分析,響應,不再是賣一個產品,不再是替客戶運維這些產品。而是一種主動的、根據各種指標做持續監控,一旦有問題快速處理,這樣可以改善以前傳統安全領域巨大的問題。

防御和控制的落地很難,因為誰都不愿意被層層圍起來、被控制,這種安全理念是跟人性、跟業務的發展相矛盾的,因此注定會被人性和業務強力制約,只有和它們不相悖的時候才能共同發展。真正符合人性的安全方法論,應該把資源和精力投在認知自我上,把理念從防御、控制、攔截,轉向持續的監控、分析和快速的響應。做到了這一點,安全就是“潤物細無聲”的,對客戶來說是無感的,因為只是在監測,就像在人體內植入了很多傳感器,隨時監控體內的各項指標,發現異常立刻做出診斷和治療,不給疾病發展嚴重的機會。

我一直在講,安全和醫學的發展非常類似,以前安全是想把人層層保護起來,而未來的大趨勢,要能夠像醫學一樣可以監測身體內部的各項指標,只要發生異常變化就進行分析和處置,并結合大數據和機器學習技術,越來越敏捷,越來越前置。終極的安全是,不再關心是什么樣的黑客,利用什么樣的漏洞,什么樣的工具,只要有攻擊跡象就會發現,只要發現就會進行分析和響應處置。

四、風險控制體現安全的價值 CWPP是未來

安全牛:現在的數字化環境造成無數的攻擊面,不僅極易發生安全事件,惡劣影響的傳播速度也是前所未有,因此要求更高級別的識別能力和更快速的響應時間,也因此才能體現安全的價值所在。

張福:衡量安全價值最頂層的指標,其實就兩個。第一個就是風險值,但由于誰也無法將其做到最精確,因此最科學的就是衡量風險的變化。如果風險是在逐漸收斂的,或可控范圍內的,安全團隊的工作就是有意義的。第二個指標就是響應速度,當出現問題的時候,多久能發現,發現之后多久能把損失搞清楚,攻擊的來龍去脈是什么,這種能力最能體現安全的價值。

所以,想要衡量風險,要做到夠真正的識別和響應,Agent的重要性不言而喻。青藤的Agent觀測的并不是黑客的攻擊特征或者是用了什么工具,而是通過持續的學習來總結用戶信息系統的規律。比如有哪些IT資產,哪些資產和哪些資產是有關聯的,機器上哪一個程序代表了哪個業務,跟另外一個機器上的應用連接代表了哪個業務等等。

安全牛:EDR不也是可以在端點上做這些事情嗎?

張福:不太一樣。雖然未來三五年,EDR和CWPP(云工作負載保護平臺)是最有前途的兩個細分領域,但許多資深專家包括Gartner分析師、全球知名安全廠商的首席戰略官、首席技術官普遍認為,CWPP會更有前途。因為EDR面臨著傳統終端安全廠商的即有優勢競爭,CWPP不一樣,全球絕大部分服務器沒有安裝這樣的Agent。而且,Agent一旦部署進去,占據的是安全的最核心位置,不管是做機器學習,去把規則變得更好,還是要做聯動響應和處置,更加高效率的運營,都離不開服務器或主機側的能力。

至于EDR,更多的是在終端設備上,我認為它在經濟層面的意義不大。因為未來的新經濟也好,新零售也好,都離不開數據和算法所產生的結果。這個結果是在核心業務系統上計算的,不是在終端。這些數據的計算產生商業價值,我們只保護最有價值的東西,既不覆蓋PC,也不管IOT設備,我們保護的是整個企業未來的核心命脈,即企業用戶的數據和算法所帶來的新的商業價值。

五、放棄對抗模式 層層結網

安全牛:談到主機或服務器,以前很多安全公司都在做HIDS(主機入侵檢測),而且很多有實力的大安全公司,也完全可以切入到這個細分領域,青藤又怎么看待這種競爭的可能性?

張福:HIDS實際上已經失敗,因為客戶很難接受在關鍵業務服務器上裝這種即占資源又維護困難的Agent,更何況業務掛了怎么辦。而基于攻防對抗思維的大安全公司,很難去做這個產品。因為對抗是有代價的,所以兼容性和穩定性問題是端點安全最大的障礙,很可能會帶來嚴重后果,頂多有客戶容忍在辦公終端PC上這么干,但這還是EDR的概念。

基于對抗思維的公司,是要Hook底層驅動的,因為對操作系統控制的更深,才更加有對抗黑客的能力。

安全牛:對抗思維需要和操作系統底層驅動結合的很深,因此很難部署在關鍵業務服務器上,那你的解決思路是?

張福:我的思路是放棄跟黑客對抗,或是說不需要跟黑客在攻防技術做深層次的對抗。青藤的安全理念就像許多張網,雖然每張網上都有很多洞,但很多網層層疊在一起的時候,再小的魚也漏不過去。這些網其實就是指技術指標,或說一種業務規則。當黑客在系統內部活動的時候,網就是他的障礙。每一張網不需要做得滴水不漏,只要保證整體協調下來的層層疊疊的網絡是穿越不過去的,就可以了。

放棄掉對抗思路之后,就不需要對系統做什么更改了。我們的Agent不需要給操作系統安裝任何的驅動,對整個系統都是只讀的,不寫入。因為只是觀測,并不需要改變。我的目的不在于防得多好,或者控制得多死。我們只要能夠發現就能解決問題,因為黑客最怕的不是花了多大的代價去阻擋它,大不了多嘗試幾次,黑客最怕的是被發現。

安全牛:但如果大廠轉變思維定式,豈不是也很容易做成這樣的東西?

張福:思維定式不是那么容易轉變的。而且,我們已經有時間和資源上的先發優勢。目前已經有了上百萬行代碼,填平了大量的“坑”,積累了上百家客戶。我們做的每一個功能,都充分平衡了功能和性能,性能里面還要區分在Agent上跑,還是在服務器上跑。這些技術與經驗積累,即便是互聯網巨頭公司拉一個300人的團隊去做,哪怕不像我們用了四年,但至少兩年時間也是需要的。而且關鍵在于,對產品內在的邏輯缺乏深刻理解,很容易做著做著就脫離核心邏輯,這樣產品的能力和競爭力就會難以維持。最后,互聯網巨頭是以其主營業務為核心的,不可能在方方面面都投入足夠多的資源。

六、做網絡安全領域的“安卓”

安全牛:國內具備較大規模的安全提供商,可以粗分為網絡通信設備廠商、傳統安全廠商和大型互聯網公司,作為安全初創公司,面臨的競爭壓力無疑是巨大的。在解決了生存問題之后,則面臨著未來的發展,青藤的企業戰略是什么,或者說青藤的愿景是做成一家什么樣的公司?

張福:我們公司的終極理想是做安全領域的安卓。目前國內的安全還是比較封閉,每家都抱著自己的利益,打來打去。我的想法是,等企業經過多年的商業沉淀,整個產品的技術核心基礎到了一定水平,就把產品開放出來做平臺,所有的安全場景都基于這個平臺。

安全牛:你的意思是如同安卓本身不賺錢,賺錢的是上面的應用?

張福:是的。而且平臺有兩種模式,一種封閉式的,一家獨大。另一種是做共享社區,開源模式。

安全牛:如同蘋果iOS與谷歌安卓,微軟的Windows和GNU的Linux。

張福:對。國內的某大型安全公司也在這樣做,但它憑借的是雄厚的資源和實力,試圖來做All in one 式的解決方案。對于青藤來說,則希望把解決方案的核心平臺做好,使得任何廠商都可以跟這個平臺結合在一起,讓大家的安全能力能夠流轉起來。

我是做安全攻防和運維出身的,一路走過來,有許多切身體會。安全工作落地最大的困難其原因無外乎兩個,一是強調防御和控制,方法論上就有著天然的劣勢。二是人才匱乏。兩者造成安全成本居高不下。我的解決思路就是平臺。

通過平臺底層的技術框架,把上層的解決方案統一起來,去除安全能力流轉的門檻。某客戶對某個問題的解決手段和經驗,形成可以被其他用戶復用的工具或方案,不再需要經歷同樣的分析研究過程。比如處置挖礦或勒索病毒,一萬家公司都要經歷同樣的流程,能夠復用的話,就可以把成本史無前例地降到最低。更重要的,隨著經驗能力和工具在平臺上的沉淀,對人的要求就會降低,一開始需要安全專家,后來需要素質高的畢業生,再后來稍具專業知識的人都可以使用。

安全牛:做平臺還可以在某種程度上解決安全市場碎片化的問題。

張福:中國的安全產業兩三百億的年收入,排在前列的公司才一、二十億,碎片化的原因就在于過去用戶主要是遵循合規來應付檢查,誰關系好就買誰的產品。但是現在客戶對安全的需求越來越大,對效果的要求越來越高,需要真正的價值,光靠關系是不行的。所以,對于沒有核心技術的公司來講,未來幾年就是生死存亡的幾年。

青藤的平臺是一種按年付費的模式,不僅能夠跟客戶一直保持關系,并且收入也是源源不斷。往后看七八年,如果我們的道路走得正確,就能夠覆蓋中國絕大部分的服務器,哪怕是只覆蓋一半,也成為了平臺型的企業,即使覆蓋5%到10%,也足夠成就一家獨角獸或是上市公司。

我始終認為未來在安全領域會產生年營收過百億的公司,而且毫無疑問,整合是必經之路。有的公司靠著強大的資源、資金能力,在強行整合,但這不是唯一的道路。我理想中的道路不是強行統一,而是通過和別人真正合作,通過共贏來實現目的。這也是我們要做安全領域的安卓的最大意義。

附:青藤云安全時間線

2014年,公司成立,并獲天使輪投資

2015年,推出青藤自適應安全架構,A輪融資6000萬元

2016年,首次獲《中國網絡安全企業50強》最具潛力初創企業推薦

2017年,首次入選Gartner全球安全指南(CWPP領域)

2018年,B輪融資2億元,并于近日發布新品青藤萬相

安全牛評

如果說自適應安全、PPDR模型是青藤云安全的技術標簽,那么專注與務實則是這家初創公司的形象標簽。創始人張福在本次采訪中提出兩個重要理念,一是弱化對抗思維,強調持續監控。二是提倡平臺模式,整合安全,降低成本。無一不是基于實踐經驗和深度思考得出的精華結論。實際上這兩種安全理念,也已經得到了許多資深人士的支持,并正在業內形成共識。

相關閱讀

這家初創公司做自適應安全

青藤云安全B輪融資2億元

以不變應萬變:青藤云安全的自適應

持續監控與分析:黑客攻防的以不變應萬變

 

分享:

相關文章

寫一條評論

 

 

0條評論