青藤云安全創(chuàng)始人&CEO
? ? 一��、由外及內 安全走向精細化
安全牛:自適應安全的概念是你們首先在國內提倡的��,前幾年我只是大概了解青藤的產品����,很少在市場上聽到你們的聲音���,現在是否能談談你的技術理念和對安全的看法���?
張福:之前的確市場上很少發(fā)聲��,因為這幾年集中了所有的資源和人��,主要心思在打磨產品上�����。如今已經積累了不少的客戶����,反饋也普遍很好。倒是可以靜下心來聊一聊了���。
談到看法����,首先我認為,目前的很多安全品類在未來會慢慢消失或者淡化�����,最主要的原因是保護對象產生了變化����。國外這幾年一直在講去硬件化,其本質反映的是一種敏捷的理念�。因為產業(yè)互聯網化,業(yè)務數字化之后����,在云環(huán)境下講的是DevSecOps(敏捷開發(fā)與運維),因此安全也要相應變得更加敏捷和高效����。
再者,全球安全的大趨勢�����,是從邊界往內部走的��。比如,最近幾年很火的微隔離�����。從服務器到虛擬機再到容器�,甚至是業(yè)務單元。安全變得更加精細����,效果也變得更好。再比如���,谷歌提出的零信任網絡,本質上也是一種細粒度的安全����。不再以網絡區(qū)域劃分,而是細化到以實體為單位劃分�。一個人在一家公司能訪問哪些資源,能有哪些權限�����,不管是從他是從哪里來的����,安全體系認證的是實體����,而不是籠統(tǒng)地把辦公網和業(yè)務網一分�,互聯網和本地網簡單的隔離開。所以�,未來安全的核心位置會從網絡挪到服務器,云化后就是虛擬機���、容器���、工作負載或業(yè)務單元。
【引用】“安全一要軟件化��,二要平臺化�。客戶最希望采購的不是安全產品���,而是安全能力�?���!?/p>
各行各業(yè)都在數字化���,因為業(yè)務運轉效率是核心競爭力。比如銀行����,以前更多拼網點,現在拼誰的數據更完整����,誰基于數據的算法更好,數據+算法形成新的生產力�。這些數字化的資產,核心的業(yè)務系統(tǒng)的正常運轉���,才是最重要的保護對象��。
所以在國內不論是做SOC還是做態(tài)勢感知的廠商����,誰跟我們公司合作���,他們的產品就會成為國內最好的產品,因為這些網絡安全的產品��,不管是抗D、WAF�����,還是防火墻�����、IDS/IPS�����,大家的能力都差不多�����。但我們能夠提供核心的識別能力�,則是網絡安全(編者注:指Network Security)廠商所不具備的,兩者一旦融合之后效果一定會出類拔萃�����。比如���,Palo Alto這個防火墻廠商的都要做Agent����,思科也不例外。沒有Agent���,安全能力就會落后別人一個層次�,因此一定是未來的主流��,這應該已是業(yè)內的共識����。
? ? 二、Agent的優(yōu)勢:敏捷���、高效
安全牛:這就又回到技術上來了��,我們知道你們要在服務器上或虛擬機上裝Agent�����,因此資產盤點會非常方便����,尤其是在服務器非常多的場景��。能否進一步講述一下Agent在資產方面的優(yōu)勢所在����?
張福:舉例來說吧,假設某用戶有一萬臺機器���,上面跑了哪些應用系統(tǒng)��,這些系統(tǒng)是什么樣的版本��,有沒有漏洞���,有沒有引用第三方代碼,配置管理又可能存在什么樣的問題��,等等這些信息資產的清點是最痛苦的事�����。人工填報�����,程序排查,掃描器掃��,不僅費時費力����,效果也不會很好。但上了Agent之后����,整個過程可以完全自動化,反向生成信息資產庫���,再也不需要依靠傳統(tǒng)的靠人做配置管理的CMDB(配置管理數據庫)����,無論云主機�����、云應用再怎么彈性擴張縮減�����,都可以做到自動梳理����、一清二楚。
安全牛:除了資產的自動化管理����,風險發(fā)現更是安全產品的重中之重,相比于傳統(tǒng)的漏洞掃描��,Agent的優(yōu)勢又有哪些�?
張福:傳統(tǒng)的掃描器最大的問題就是誤報,因為掃描器依賴掃描banner進行版本的比對����。很多情況下,已經打補丁的系統(tǒng)Banner的版本號是不變的���。還有一些更復雜的問題��,如開源軟件�,在被各發(fā)行廠商修改發(fā)布后�,各種版本紛繁復雜,因此根據版本判斷漏洞誤差太大了��。
安全牛:較新的掃描器已經集成了POC(漏洞驗證)和EXP(漏洞利用)來減少誤報�����。
張福:是的,但很多漏洞是POC不了的�����,即使國內最好的漏掃�, POC的數量也就幾千個,與漏洞數量不成比例��。而且POC有風險��,EXP就更加危險了��。如果裝上Agent之后��,不管是什么系統(tǒng)�����、版本��,還是補丁����、配置��,判斷就準確很多�。另外�,與資產清點同理,范圍越大優(yōu)勢越明顯��。當機器到上萬量級����,用掃描器一遍一遍的掃���,先不說占用多大資源��,只是掃完這些資產��,會花多少時間�����?而利用Agent分析十臺服務器和分析一萬臺服務器耗的時間沒什么差別��,幾分鐘即可���,即敏捷又高效����。
還有一種情況����,某些種類的漏洞掃描器很難掃描出來,比如ImageMatch漏洞�,上傳圖片服務器就會執(zhí)行代碼。這樣的漏洞掃描器是根本掃不到的����,只能檢查是否安裝了這個軟件包,然后敲個命令看看能不能執(zhí)行�����,這種驗證操作非常粗糙����,有時也不可靠。
? ? 三�����、基于攻防為主的安全理念已經落后
安全牛:之前聽你談過,有些想法可能與傳統(tǒng)的攻防思路不一樣�。其實業(yè)內許多資深人士也已經認識到,沒有攻不破的系統(tǒng)���,未來的趨勢是注重檢測��、分析與響應�,從基于規(guī)則走向基于行為����。你是怎么看的呢�?
張福:是的。以前主流的安全理念特別強調防御和控制��,強調對攻擊方或黑客的認知�����。典型的說法就是“不知攻����,焉知防”,比如最典型的IPS�����、WAF,其識別和攔截能力取決于對黑客的認知���。但這種方法并不靠譜�����,任何一家公司不管是安全公司還是企業(yè)����,對黑客的認知永遠是有限的�、被動的,是去拿有限的規(guī)則和資源去對抗未知的無限的攻擊手段��,在方法論上就已經注定是落后的���,被動的�。
如何改變這種情況呢��?需要對自身系統(tǒng)的透徹的認知����,達到了透徹認知的適度,就無需擔心黑客,不需要了解他利用什么樣的漏洞�,也不需要了解他使用什么樣的工具。
安全牛:達到這個地步恐怕很難吧�����?
張福:這里面其實有一個本質上的思考����。安全一定是從產品售賣走向持續(xù)的運營服務,即持續(xù)的監(jiān)控和分析���,響應�����,不再是賣一個產品,不再是替客戶運維這些產品��。而是一種主動的�����、根據各種指標做持續(xù)監(jiān)控����,一旦有問題快速處理��,這樣可以改善以前傳統(tǒng)安全領域巨大的問題��。
防御和控制的落地很難��,因為誰都不愿意被層層圍起來���、被控制,這種安全理念是跟人性�����、跟業(yè)務的發(fā)展相矛盾的��,因此注定會被人性和業(yè)務強力制約�,只有和它們不相悖的時候才能共同發(fā)展。真正符合人性的安全方法論�����,應該把資源和精力投在認知自我上�����,把理念從防御、控制�、攔截,轉向持續(xù)的監(jiān)控��、分析和快速的響應����。做到了這一點,安全就是“潤物細無聲”的�����,對客戶來說是無感的����,因為只是在監(jiān)測,就像在人體內植入了很多傳感器���,隨時監(jiān)控體內的各項指標����,發(fā)現異常立刻做出診斷和治療�,不給疾病發(fā)展嚴重的機會�����。
我一直在講,安全和醫(yī)學的發(fā)展非常類似�,以前安全是想把人層層保護起來,而未來的大趨勢��,要能夠像醫(yī)學一樣可以監(jiān)測身體內部的各項指標�����,只要發(fā)生異常變化就進行分析和處置�����,并結合大數據和機器學習技術����,越來越敏捷,越來越前置�。終極的安全是,不再關心是什么樣的黑客����,利用什么樣的漏洞,什么樣的工具��,只要有攻擊跡象就會發(fā)現,只要發(fā)現就會進行分析和響應處置���。
? ? 四�、風險控制體現安全的 CWPP是未來
安全牛:現在的數字化環(huán)境造成無數的攻擊面���,不僅極易發(fā)生安全事件��,惡劣影響的傳播速度也是前所未有���,因此要求更高級別的識別能力和更快速的響應時間,也因此才能體現安全的價值所在����。
張福:衡量安全價值最頂層的指標,其實就兩個����。第一個就是風險值,但由于誰也無法將其做到最精確���,因此最科學的就是衡量風險的變化�。如果風險是在逐漸收斂的�����,或可控范圍內的���,安全團隊的工作就是有意義的�。第二個指標就是響應速度���,當出現問題的時候��,多久能發(fā)現�����,發(fā)現之后多久能把損失搞清楚�,攻擊的來龍去脈是什么����,這種能力最能體現安全的價值。
所以���,想要衡量風險�����,要做到夠真正的識別和響應���,Agent的重要性不言而喻����。青藤的Agent觀測的并不是黑客的攻擊特征或者是用了什么工具�,而是通過持續(xù)的學習來總結用戶信息系統(tǒng)的規(guī)律。比如有哪些IT資產����,哪些資產和哪些資產是有關聯的,機器上哪一個程序代表了哪個業(yè)務�,跟另外一個機器上的應用連接代表了哪個業(yè)務等等。
安全牛:EDR不也是可以在端點上做這些事情嗎���?
張福:不太一樣���。雖然未來三五年,EDR和CWPP(云工作負載保護平臺)是最有前途的兩個細分領域�����,但許多資深專家包括Gartner分析師、全球知名安全廠商的首席戰(zhàn)略官��、首席技術官普遍認為���,CWPP會更有前途。因為EDR面臨著傳統(tǒng)終端安全廠商的即有優(yōu)勢競爭�����,CWPP不一樣����,全球絕大部分服務器沒有安裝這樣的Agent。而且��,Agent一旦部署進去�,占據的是安全的最核心位置,不管是做機器學習���,去把規(guī)則變得更好����,還是要做聯動響應和處置�,更加高效率的運營,都離不開服務器或主機側的能力。
至于EDR����,更多的是在終端設備上,我認為它在經濟層面的意義不大�����。因為未來的新經濟也好�����,新零售也好�����,都離不開數據和算法所產生的結果��。這個結果是在核心業(yè)務系統(tǒng)上計算的�,不是在終端。這些數據的計算產生商業(yè)價值���,我們只保護最有價值的東西�,既不覆蓋PC�,也不管IOT設備,我們保護的是整個企業(yè)未來的核心命脈,即企業(yè)用戶的數據和算法所帶來的新的商業(yè)價值���。
五���、放棄對抗模式 層層結網
安全牛:談到主機或服務器,以前很多安全公司都在做HIDS(主機入侵檢測)���,而且很多有實力的大安全公司,也完全可以切入到這個細分領域�����,青藤又怎么看待這種競爭的可能性����?
張福:HIDS實際上已經失敗,因為客戶很難接受在關鍵業(yè)務服務器上裝這種即占資源又維護困難的Agent����,更何況業(yè)務掛了怎么辦。而基于攻防對抗思維的大安全公司����,很難去做這個產品。因為對抗是有代價的,所以兼容性和穩(wěn)定性問題是端點安全最大的障礙���,很可能會帶來嚴重后果��,頂多有客戶容忍在辦公終端PC上這么干����,但這還是EDR的概念��。
【引用】“基于對抗思維的公司��,是要Hook底層驅動的����,因為對操作系統(tǒng)控制的更深,才更加有對抗黑客的能力��?���!?/p>
安全牛:對抗思維需要和操作系統(tǒng)底層驅動結合的很深,因此很難部署在關鍵業(yè)務服務器上�,那你的解決思路是?
張福:我的思路是放棄跟黑客對抗���,或是說不需要跟黑客在攻防技術做深層次的對抗����。青藤的安全理念就像許多張網,雖然每張網上都有很多洞�����,但很多網層層疊在一起的時候�����,再小的魚也漏不過去����。這些網其實就是指技術指標����,或說一種業(yè)務規(guī)則。當黑客在系統(tǒng)內部活動的時候���,網就是他的障礙�����。每一張網不需要做得滴水不漏��,只要保證整體協(xié)調下來的層層疊疊的網絡是穿越不過去的���,就可以了��。
放棄掉對抗思路之后���,就不需要對系統(tǒng)做什么更改了。我們的Agent不需要給操作系統(tǒng)安裝任何的驅動�����,對整個系統(tǒng)都是只讀的����,不寫入。因為只是觀測�����,并不需要改變��。我的目的不在于防得多好�,或者控制得多死��。我們只要能夠發(fā)現就能解決問題�����,因為黑客最怕的不是花了多大的代價去阻擋它����,大不了多嘗試幾次�,黑客最怕的是被發(fā)現。
安全牛:但如果大廠轉變思維定式�,豈不是也很容易做成這樣的東西?
張福:思維定式不是那么容易轉變的��。而且��,我們已經有時間和資源上的先發(fā)優(yōu)勢��。目前已經有了上百萬行代碼����,填平了大量的“坑”����,積累了上百家客戶�。我們做的每一個功能���,都充分平衡了功能和性能���,性能里面還要區(qū)分在Agent上跑,還是在服務器上跑�。這些技術與經驗積累,即便是互聯網巨頭公司拉一個300人的團隊去做�,哪怕不像我們用了四年,但至少兩年時間也是需要的����。而且關鍵在于,對產品內在的邏輯缺乏深刻理解����,很容易做著做著就脫離核心邏輯,這樣產品的能力和競爭力就會難以維持��。最后�����,互聯網巨頭是以其主營業(yè)務為核心的�����,不可能在方方面面都投入足夠多的資源。
? ? 六��、做網絡安全領域的“安卓”
安全牛:國內具備較大規(guī)模的安全提供商����,可以粗分為網絡通信設備廠商、傳統(tǒng)安全廠商和大型互聯網公司���,作為安全初創(chuàng)公司�����,面臨的競爭壓力無疑是巨大的���。在解決了生存問題之后,則面臨著未來的發(fā)展���,青藤的企業(yè)戰(zhàn)略是什么,或者說青藤的愿景是做成一家什么樣的公司�?
張福:我們公司的終極理想是做安全領域的安卓。目前國內的安全還是比較封閉�,每家都抱著自己的利益�,打來打去�。我的想法是,等企業(yè)經過多年的商業(yè)沉淀���,整個產品的技術核心基礎到了一定水平�����,就把產品開放出來做平臺�,所有的安全場景都基于這個平臺�。
安全牛:你的意思是如同安卓本身不賺錢,賺錢的是上面的應用���?
張福:是的�。而且平臺有兩種模式�����,一種封閉式的����,一家獨大。另一種是做共享社區(qū),開源模式�����。
安全牛:如同蘋果iOS與谷歌安卓�,微軟的Windows和GNU的Linux。
張福:對�。國內的某大型安全公司也在這樣做,但它憑借的是雄厚的資源和實力��,試圖來做All in one 式的解決方案��。對于青藤來說�,則希望把解決方案的核心平臺做好,使得任何廠商都可以跟這個平臺結合在一起��,讓大家的安全能力能夠流轉起來���。
我是做安全攻防和運維出身的���,一路走過來,有許多切身體會��。安全工作落地最大的困難其原因無外乎兩個��,一是強調防御和控制,方法論上就有著天然的劣勢�。二是人才匱乏�。兩者造成安全成本居高不下。我的解決思路就是平臺���。
通過平臺底層的技術框架���,把上層的解決方案統(tǒng)一起來,去除安全能力流轉的門檻���。某客戶對某個問題的解決手段和經驗����,形成可以被其他用戶復用的工具或方案�,不再需要經歷同樣的分析研究過程。比如處置挖礦或勒索病毒��,一萬家公司都要經歷同樣的流程��,能夠復用的話�,就可以把成本史無前例地降到最低。更重要的��,隨著經驗能力和工具在平臺上的沉淀,對人的要求就會降低��,一開始需要安全專家����,后來需要素質高的畢業(yè)生,再后來稍具專業(yè)知識的人都可以使用�。
安全牛:做平臺還可以在某種程度上解決安全市場碎片化的問題。
張福:中國的安全產業(yè)兩三百億的年收入�����,排在前列的公司才一���、二十億�,碎片化的原因就在于過去用戶主要是遵循合規(guī)來應付檢查����,誰關系好就買誰的產品。但是現在客戶對安全的需求越來越大�����,對效果的要求越來越高�,需要真正的價值�����,光靠關系是不行的�。所以����,對于沒有核心技術的公司來講��,未來幾年就是生死存亡的幾年�。
青藤的平臺是一種按年付費的模式,不僅能夠跟客戶一直保持關系�,并且收入也是源源不斷。往后看七八年���,如果我們的道路走得正確�,就能夠覆蓋中國絕大部分的服務器�����,哪怕是只覆蓋一半�,也成為了平臺型的企業(yè),即使覆蓋5%到10%�,也足夠成就一家獨角獸或是上市公司��。
我始終認為未來在安全領域會產生年營收過百億的公司����,而且毫無疑問����,整合是必經之路。有的公司靠著強大的資源��、資金能力����,在強行整合,但這不是唯一的道路���。我理想中的道路不是強行統(tǒng)一�,而是通過和別人真正合作���,通過共贏來實現目的���。這也是我們要做安全領域的安卓的最大意義。
安全牛評:
如果說自適應安全���、PPDR模型是青藤云安全的技術標簽���,那么專注與務實則是這家初創(chuàng)公司的形象標簽��。創(chuàng)始人張福在本次采訪中提出兩個重要理念����,一是弱化對抗思維����,強調持續(xù)監(jiān)控��。二是提倡平臺模式��,整合安全�����,降低成本���。無一不是基于實踐經驗和深度思考得出的精華結論��。實際上這兩種安全理念����,也已經得到了許多資深人士的支持,并正在業(yè)內形成共識�。
青藤云安全時間線
2014年,公司成立��,并獲天使輪投資
↓
2015年��,推出青藤自適應安全架構���,A輪融資6000萬元
↓
2016年����,首次獲《中國網絡安全企業(yè)50強》最具潛力初創(chuàng)企業(yè)推薦
↓
2017年��,首次入選Gartner全球安全指南(CWPP領域)
↓
2018年�����,B輪融資2億元�,并于近日發(fā)布新品青藤萬相
