访谈|青藤云安全的安全观:持续监控与开放平台
作者:星期三, 九月 19, 20180

青藤云安全上周在?#26412;?#21457;布了其新品——青藤万相·主机自适应安全平台。

青藤云安全在市场方面的声音一向不大,四年来一直潜心打磨产品。但作为一家代表着新兴网络安全?#38469;?#26041;向,同时作为安全领域首家B轮融资2亿元的初创企业,其扎实的?#38469;?#21644;创始人张福的低调务实,很早就受到了安全牛的关注。在其新品发布之际,张福再次接受了安全牛的采访,从公司创始人的角度,清晰的阐述了他?#20113;?#19994;的发展理念和对安全的深?#20154;?#32771;。

青藤云安全创始人 张福

一、 由外及内 安全走向精细化

安全牛:自适应安全的概念是你们首先在国内提倡的,前几年我只是大概了解青藤的产品,很少在市场上听到你们的声音,现在是否能谈谈你的?#38469;?#29702;念和对安全的看法?

张福:之前的确市场上很少发声,因为这几年集中了所有的资源和人,主要心思在打磨产品上。如今已经积累了不少的客户,反馈也普遍很好。倒是可以静下心来聊一聊了。

谈到看法,首先我认为,目前的很多安全品类在未来会慢慢消失或者淡化,最主要的原因是保护对象产生了变化。国外这几年一直在讲去硬件化,其本质?#20174;?#30340;是一种敏捷的理念。因为产业互联网化,业务数字化之后,在云环境下讲的是DevSecOps(敏捷开发与运维),因此安全也要相应变得更加敏捷和高效。

再者,全球安全的大趋势,是从边界往内部走的。比如,最近几年很火的微隔离。从服务器到虚拟机再到容器,甚至是业务单元。安全变得更加精?#31119;?#25928;果也变得更好。再比如,谷歌提出的零信任网络,本质上也是一种细粒度的安全。不再以网络区域划分,而是细化到以实体为单位划分。一个人在一家公司能访问哪些资源,能有哪些权限,不管是从他是从哪里来的,安全体系?#29616;?#30340;是实体,而不是笼?#36710;?#25226;办公网和业务网一分,互联网和本地网简单的隔离开。所以,未来安全的核心位置会从网络挪到服务器,云化后就是虚拟机、容器、工作负载或业务单元。

安全一要软件化,二要平台化。客户最希望采购的不是安全产品,而是安全能力。

各行各业都在数字化,因为业务运转效率是核心竞争力。比如银行,以前更多拼网点,现在?#27492;?#30340;数据更完整,谁基于数据的算法更好,数据+算法形成新的生产力。这些数字化的资产,核心的业务?#20302;?#30340;正常运转,才是最重要的保护对象。

所以在国内不论是做SOC还是做态?#32856;?#30693;的厂商,谁跟我们公司合作,他们的产品就会成为国内最好的产品,因为这些网络安全的产品,不管是抗D、WAF,还是防火墙、IDS/IPS,大家的能力都差不多。但我们能够提供核心的识别能力,则是网络安全(编者注:指Network Security)厂商所不具备的,两者一旦融合之后效果一定会出类拔萃。比如,Palo Alto这个防火墙厂商的都要做Agent,思科也不例外。没有Agent,安全能力就会落后别人一个层次,因此一定是未来的主流,这应该已是?#30340;?#30340;共识。

二、Agent的优势?#22909;?#25463;、高效

安全牛:这就?#21482;?#21040;?#38469;?#19978;来了,我们知道你们要在服务器上或虚拟机上装Agent,因此资产盘点会非常方便,尤其是在服务器非常多的场景。能否进一步讲述一下Agent在资产方面的优势所在?

张福:举例来说吧,假设某用户有一万台机器,上面跑了哪些应用?#20302;常?#36825;些?#20302;?#26159;什么样的版本,有没有漏洞,有没有引用第三方代码,配置管理又可能存在什么样的问题,等等这些信息资产的清点是最痛苦的事。人工填报,程序?#25386;椋?#25195;描器扫,不仅费时费力,效果也不会很好。但上了Agent之后,整个过程可以完全自动化,反向生成信息资产库,再也不需要依?#30475;?#32479;的靠人做配置管理的CMDB(配置管理数据库),无论云主机、云应用再怎么弹性扩张缩减,都可以做到自动梳理、一清二楚。

安全牛:除了资产的自动化管理,风险发现更是安全产品的重中之重,相比于传统的漏洞扫描,Agent的优势又有哪些?

张福:传统的扫描器最大的问题就是误报,因为扫描器依赖扫描banner进行版本的比对。很多情况下,已经打补丁的?#20302;矪anner的版本号是不变的。还有一些更复杂的问题,如开源软件,在被各发行厂商修改发布后,各种版本纷?#22791;?#26434;,因此根据版本判?#19979;┒次?#24046;太大了。

安全牛:较新的扫描器已经集成了POC(漏洞验证)和EXP(漏洞利用)来减少误报。

张福:是的,但很多漏洞是POC不了的,?#35789;?#22269;内最好的漏扫, POC的数量也?#22270;?#21315;个,与漏?#35789;?#37327;不成比例。而且POC有风险,EXP就更加危险了。如果装上Agent之后,不管是什么?#20302;场?#29256;本,还是补丁、配置,判断就准确很多。另外,与资产清点同理,范围越大优势越明显。当机器到上万?#32771;叮?#29992;扫描器一遍一遍的扫,先不说?#21152;?#22810;大资源,只是扫完这些资产,会花多少时间?而利用Agent分析十台服务器和分析一万台服务器耗的时间没什么差别,几?#31181;?#21363;可,即敏捷又高效。

还有一种情况,某些种类的漏洞扫描器很难扫描出来,比如ImageMatch漏洞,上传图片服务器就会执?#20889;?#30721;。这样的漏洞扫描器是根本扫不到的,只能检查是否安装了这个软件包,然后敲个命令看看能不能执行,这种验证操作非常粗糙,有时也不可靠。

三、基于攻防为主的安全理念已经落后

安全牛:之前听你谈过,?#34892;?#24819;法可能与传统的攻防思路不一样。其实?#30340;?#35768;多资深人士也已经认识到,没有攻不破的?#20302;常?#26410;来的趋势是注重检测、分析与响应,从基于规则走向基于行为。你是怎么看的呢?

张福:是的。以前主流的安全理念特别强调防御和控制,强调对攻击方或黑客的?#29616;?#20856;型的说法就是?#23433;?#30693;攻,焉知?#39304;保?#27604;如最典型的IPS、WAF,其识别和拦截能力取决于对黑客的?#29616;?#20294;这种方法并不?#31185;祝?#20219;何一家公司不管是安全公司还是企业,对黑客的?#29616;?#27704;远是有限的、被动的,是去拿有限的规则和资源去对抗未知的无限的攻击手?#21361;?#22312;方法论上就已经注定是落后的,被动的。

如何改变这种情况呢?需要对自身?#20302;?#30340;透彻的?#29616;?#36798;到了透?#35895;现?#30340;适度,就无需担心黑客,不需要了解他利用什么样的漏洞,也不需要了解他使用什么样的工具。

安全牛:达到这个地步恐怕很难吧?

张福:这里面其实有一个本质上的思考。安全一定是从产品售卖走向持续的运营服务,即持续的监控和分析,响应,不再是卖一个产品,不再是替客户运维这些产品。而是一种主动的、根据各种指标做持续监控,一旦有问题快速处理,这样可以改善以?#25353;?#32479;安全领域巨大的问题。

防御和控制的落地很难,因为谁都不愿意被层层围起来、被控制,这种安全理念是跟人性、跟业务的发展相矛盾的,因此注定会被人性和业务强力制约,只有和它们不相悖的时候才能共同发展。真正符合人性的安全方法论,应该把资源和精力投在?#29616;?#33258;我上,把理念从防御、控制、拦截,转向持续的监控、分析和快速的响应。做到了这一点,安全就是“润物细无声”的,对客户来说是无感的,因为只是在监测,就像在人体内植入了很多传感器,随时监控体内的各项指标,发现异常立刻做出诊断和治疗,不给疾病发展严重的机会。

我一直在讲,安全和医学的发展非常类似,以前安全是想把人层层保护起来,而未来的大趋势,要能够像医学一样可以监测身体内部的各项指标,只要发生异常变化就进行分析和处置,并结合大数据和机器学习?#38469;酰?#36234;来越敏捷,越来?#35282;?#32622;。终极的安全是,不再关心是什么样的黑客,利用什么样的漏洞,什么样的工具,只要有攻击迹象就会发现,只要发现就会进行分析和响应处置。

四、风险控制体现安全的价值 CWPP是未来

安全牛:现在的数字化环境造成无数的攻击面,不仅极易发生安全事件,恶劣影响的传播速度也是前所未有,因此要求更高级别的识别能力和更快速的响应时间,也因此才能体现安全的价值所在。

张福:衡量安全价值最顶层的指标,其实就两个。第一个就是风险?#25285;?#20294;由于谁也无法将其做到最精确,因此最科学的就是衡量风险的变化。如果风险是在逐渐收敛的,或可控范围内的,安全团队的工作就是有意义的。第二个指标就是响应速度,当出现问题的时候,多久能发现,发?#31181;?#21518;多久能把损失搞清楚,攻击的来龙去脉是什么,这种能力最能体现安全的价值。

所以,想要衡量风险,要做到够真正的识别和响应,Agent的重要性不言而喻。青藤的Agent观测的并不是黑客的攻击特征或者是用了什么工具,而是通过持续的学习来总结用户信息?#20302;?#30340;规律。比如有哪些IT资产,哪些资产和哪些资产是有关联的,机器上哪一个程序代表了哪个业务,跟另外一个机器上的应用连接代表了哪个业务等等。

安全牛:EDR不也是可以在端点上做这些事情吗?

张福:不太一样。虽然未来三五年,EDR和CWPP(云工作负载保护平台)是最有前途的两个细分领域,但许多资深专家包括Gartner分析师、全球知名安全厂商的首席战略官、首席?#38469;?#23448;普遍认为,CWPP会更有前途。因为EDR面临着传?#25345;?#31471;安全厂商的即有优势竞争,CWPP不一样,全球绝大部分服务器没有安装这样的Agent。而且,Agent一旦部署进去,占据的是安全的最核心位置,不管是做机器学习,去把规则变得更好,还是要做联动响应和处置,更加高效率的运营,都离不开服务器或主机侧的能力。

至于EDR,更多的是在终端设备上,我认为它在经济层面的意义不大。因为未来的新经济也好,新零售也好,都离不开数据和算法所产生的结果。这个结果是在核心业务?#20302;成?#35745;算的,不是在终端。这些数据的计算产生商业价?#25285;?#25105;们只保护最有价值的东西,既不覆盖PC,也不管IOT设?#31119;?#25105;们保护的是整个企业未来的核心命脉,即企业用户的数据和算法所带来的新的商业价值。

五、放弃对抗模式 层层结网

安全牛:谈到主机或服务器,以前很多安全公司都在做HIDS(主机入侵检测),而且很多有实力的大安全公司,也完全可以切入到这个细分领域,青藤又怎么?#21019;?#36825;种竞争的可能性?

张福:HIDS实际上已经失败,因为客户很难接受在关键业务服务器上装这种即占资?#20174;?#32500;护困难的Agent,更何况业务挂了怎么办。而基于攻防对抗思维的大安全公司,很难去做这个产品。因为对抗是?#20889;?#20215;的,所以兼容性和稳定性问题是端点安全最大的?#20064;?#24456;可能会带来严重后果,顶多有客户容忍在办公终端PC上这么干,但这还是EDR的概念。

基于对抗思维的公司,是要Hook底层驱动的,因为对操作?#20302;?#25511;制的更深,才更加有对抗黑客的能力。

安全牛:对抗思维需要和操作?#20302;车?#23618;驱动结合的很深,因此很难部署在关键业务服务器上,那你的解决思路是?

张福:我的思路是放弃跟黑客对抗,或是说不需要跟黑客在攻防?#38469;?#20570;深层次的对抗。青藤的安全理念就像许多张网,虽然每张网上都有很多洞,但很多网层层叠在一起的时候,再小的鱼也漏不过去。这些网其实就是指?#38469;?#25351;标,或说一种业务规则。当黑客在?#20302;?#20869;部活动的时候,网就是他的?#20064;?#27599;一张网不需要做得滴水不漏,只要保证整体协调下来的层层叠叠的网络是穿越不过去的,就可以了。

放弃掉对抗思?#20998;?#21518;,就不需要对?#20302;?#20570;什么更改了。我们的Agent不需要给操作?#20302;?#23433;装任何的驱动,对整个?#20302;?#37117;是只读的,不写入。因为只是观测,并不需要改变。我的目的不在于防得多好,或者控制得多?#39304;?#25105;们只要能够发现就能解决问题,因为黑客最怕的不是花了多大的代价去阻?#33756;?#22823;不了多尝试几次,黑客最怕的是被发现。

安全牛:但如果大厂转变思维定式,岂不是也很容易做成这样的东西?

张福:思维定式不是那么容易转变的。而且,我们已经有时间和资源上的先发优势。目前已经有了上百万?#20889;?#30721;,填平了大量的“坑?#20445;?#31215;累了上百家客户。我们做的每一个功能,都充分平衡了功能和性能,性能里面还要区分在Agent上跑,还是在服务器上跑。这些?#38469;?#19982;经验积累,即便是互联网巨头公司拉一个300人的团队去做,哪怕不像我们用了四年,但至少两年时间也是需要的。而且关键在于,对产品内在的逻辑缺乏深刻理解,很容易做着做着就脱离核心逻辑,这样产品的能力和竞争力就会难以维持。最后,互联网巨头是?#20113;?#20027;营业务为核心的,不可能在方方面面都?#24230;?#36275;够多的资源。

六、做网络安全领域的“安卓”

安全牛:国内具备较大规模的安全提供商,可?#28304;?#20998;为网络通信设备厂商、传统安全厂商和大型互联网公司,作为安全初创公司,面临的竞争压力无疑是巨大的。在解决了生存问题之后,则面临着未来的发展,青藤的企业战略是什么,或者说青藤的愿景是做成一家什么样的公司?

张福:我们公司的终极理想是做安全领域的安卓。目前国内的安全还是比较封闭,?#32771;?#37117;抱着自己的利益,打?#21019;?#21435;。我的想法是,等企业经过多年的商业沉淀,整个产品的?#38469;?#26680;心基础到了一定水平,就把产品开放出来做平台,所有的安全场景都基于这个平台。

安全牛:你的意思是如同安卓本身不赚钱,赚钱的是上面的应用?

张福:是的。而且平台有两种模式,一种封闭式的,一家独大。另一种是做共享社区,开源模式。

安全牛:如同苹果iOS与谷歌安卓,微软的Windows和GNU的Linux。

张福:对。国内的某大型安全公司也在这样做,但它凭借的是雄厚的资源和实力,试图来做All in one 式的解决方案。对于青藤来说,则希望把解决方案的核心平台做好,使得任何厂商都可以跟这个平台结合在一起,让大家的安全能力能够流转起来。

我是做安全攻防和运维出身的,一路走过来,?#34892;?#22810;切身体会。安全工作落地最大的困难其原因无外乎两个,一是强调防御和控制,方法论上就有着天然的劣势。二是人才匮乏。两者造成安全成本居高不下。我的解决思路就是平台。

通过平台底层的?#38469;?#26694;架,把上层的解决方案统一起来,去除安全能力流转的门槛。某客户对某个问题的解决手段和经验,形成可?#21592;?#20854;他用户?#20174;?#30340;工具或方?#31119;?#19981;再需要经历同样的分析研?#25239;?#31243;。比如处置挖矿或勒索病毒,一万家公司都要经历同样的流程,能够?#20174;?#30340;话,就可以把成本史无前例地降到最低。更重要的,随着经验能力和工具在平台上的沉淀,对人的要求就会降低,一开始需要安全专家,后来需要素质高的毕业生,再后来稍具专业知识的人都可以使用。

安全牛:做平台还可以在?#25345;?#31243;度上解决安全市场碎片化的问题。

张福:中国的安全产业两三百亿的年收入,排在前列的公司才一、二十亿,碎片化的原因就在于过去用户主要是遵循合规来应付检查,谁关系好就买谁的产品。但是现在客户对安全的需求越来越大,对效果的要求越来越高,需要真正的价?#25285;?#20809;?#25239;?#31995;是不行的。所以,对于没有核心?#38469;?#30340;公司来讲,未来几年就是生?#26469;?#20129;的几年。

青藤的平台是一种按年付费的模式,不仅能够跟客户一?#21271;?#25345;关系,并且收入也是源源不断。往后看七?#22235;輳?#22914;果我们的道路走得正确,就能够覆盖中国绝大部分的服务器,哪怕是只覆盖一半,也成为了平台型的企业,?#35789;?#35206;盖5%到10%,也足够成就一家独角兽或是上市公司。

我始终认为未来在安全领域会产生年营?#23637;?#30334;亿的公司,而且毫无疑问,整合是必经之路。有的公司靠着强大的资源、?#24335;?#33021;力,在强行整合,但这不是唯一的道路。我理想中的道路不是强行统一,而是通过和别人真正合作,通过共赢来实现目的。这也是我们要做安全领域的安卓的最大意义。

附:青藤云安全时间线

2014年,公司成立,并获天使轮投资

2015年,推出青藤自适应安全架构,A轮融资6000万元

2016年,首次获《中国网络安全企业50强》最具潜力初创企?#20302;?#33616;

2017年,首次入选Gartner全球安全指?#24076;–WPP领域)

2018年,B轮融资2亿元,并于近日发布新品青藤万相

安全牛评

如果说自适应安全、PPDR模型是青藤云安全的?#38469;?#26631;签,那么专注与务实则是这?#39029;?#21019;公司的形象标签。创始人张福在本次采访中提出两个重要理念,一是弱化对抗思维,强调持续监控。二是提倡平台模式,整合安全,降低成本。无一不是基于实践经验和深?#20154;?#32771;得出的精华结论。实际上这两种安全理念,也已经得到了许多资深人士的支持,并正在?#30340;?#24418;成共识。

相关阅读

这?#39029;?#21019;公司做自适应安全

青藤云安全B轮融资2亿元

以不变应万变:青藤云安全的自适应

持续监控与分析:黑客攻防的以不变应万变

 

分享:
0

相关文章

写一条评论

 

 

0条评论