青藤云安全創(chuàng)始人&CEO
? ? 一、由外及內 安全走向精細化
安全牛:自適應安全的概念是你們首先在國內提倡的��,前幾年我只是大概了解青藤的產品����,很少在市場上聽到你們的聲音,現在是否能談談你的技術理念和對安全的看法����?
張福:之前的確市場上很少發(fā)聲,因為這幾年集中了所有的資源和人����,主要心思在打磨產品上。如今已經積累了不少的客戶�,反饋也普遍很好。倒是可以靜下心來聊一聊了。
談到看法����,首先我認為,目前的很多安全品類在未來會慢慢消失或者淡化�����,最主要的原因是保護對象產生了變化����。國外這幾年一直在講去硬件化,其本質反映的是一種敏捷的理念���。因為產業(yè)互聯網化���,業(yè)務數字化之后,在云環(huán)境下講的是DevSecOps(敏捷開發(fā)與運維)�����,因此安全也要相應變得更加敏捷和高效����。
再者���,全球安全的大趨勢�����,是從邊界往內部走的�。比如,最近幾年很火的微隔離�。從服務器到虛擬機再到容器,甚至是業(yè)務單元���。安全變得更加精細��,效果也變得更好����。再比如�����,谷歌提出的零信任網絡���,本質上也是一種細粒度的安全��。不再以網絡區(qū)域劃分�����,而是細化到以實體為單位劃分�����。一個人在一家公司能訪問哪些資源��,能有哪些權限���,不管是從他是從哪里來的���,安全體系認證的是實體,而不是籠統(tǒng)地把辦公網和業(yè)務網一分���,互聯網和本地網簡單的隔離開�����。所以����,未來安全的核心位置會從網絡挪到服務器,云化后就是虛擬機�����、容器����、工作負載或業(yè)務單元��。
【引用】“安全一要軟件化�����,二要平臺化����。客戶最希望采購的不是安全產品��,而是安全能力�。”
各行各業(yè)都在數字化��,因為業(yè)務運轉效率是核心競爭力����。比如銀行�����,以前更多拼網點��,現在拼誰的數據更完整����,誰基于數據的算法更好�,數據+算法形成新的生產力。這些數字化的資產��,核心的業(yè)務系統(tǒng)的正常運轉����,才是最重要的保護對象。
所以在國內不論是做SOC還是做態(tài)勢感知的廠商����,誰跟我們公司合作,他們的產品就會成為國內最好的產品����,因為這些網絡安全的產品�����,不管是抗D���、WAF,還是防火墻�����、IDS/IPS�����,大家的能力都差不多���。但我們能夠提供核心的識別能力,則是網絡安全(編者注:指Network Security)廠商所不具備的�,兩者一旦融合之后效果一定會出類拔萃。比如�����,Palo Alto這個防火墻廠商的都要做Agent�����,思科也不例外。沒有Agent�����,安全能力就會落后別人一個層次�,因此一定是未來的主流,這應該已是業(yè)內的共識�����。
? ? 二����、Agent的優(yōu)勢:敏捷、高效
安全牛:這就又回到技術上來了���,我們知道你們要在服務器上或虛擬機上裝Agent���,因此資產盤點會非常方便,尤其是在服務器非常多的場景�����。能否進一步講述一下Agent在資產方面的優(yōu)勢所在?
張福:舉例來說吧��,假設某用戶有一萬臺機器�����,上面跑了哪些應用系統(tǒng)��,這些系統(tǒng)是什么樣的版本�����,有沒有漏洞����,有沒有引用第三方代碼�,配置管理又可能存在什么樣的問題,等等這些信息資產的清點是最痛苦的事��。人工填報���,程序排查��,掃描器掃���,不僅費時費力�,效果也不會很好�。但上了Agent之后,整個過程可以完全自動化�,反向生成信息資產庫,再也不需要依靠傳統(tǒng)的靠人做配置管理的CMDB(配置管理數據庫)�,無論云主機、云應用再怎么彈性擴張縮減�����,都可以做到自動梳理��、一清二楚���。
安全牛:除了資產的自動化管理��,風險發(fā)現更是安全產品的重中之重��,相比于傳統(tǒng)的漏洞掃描�����,Agent的優(yōu)勢又有哪些�����?
張福:傳統(tǒng)的掃描器最大的問題就是誤報��,因為掃描器依賴掃描banner進行版本的比對�。很多情況下,已經打補丁的系統(tǒng)Banner的版本號是不變的�。還有一些更復雜的問題,如開源軟件�,在被各發(fā)行廠商修改發(fā)布后,各種版本紛繁復雜���,因此根據版本判斷漏洞誤差太大了�。
安全牛:較新的掃描器已經集成了POC(漏洞驗證)和EXP(漏洞利用)來減少誤報�����。
張福:是的�����,但很多漏洞是POC不了的����,即使國內最好的漏掃, POC的數量也就幾千個�,與漏洞數量不成比例。而且POC有風險��,EXP就更加危險了�����。如果裝上Agent之后��,不管是什么系統(tǒng)��、版本���,還是補丁�、配置�,判斷就準確很多。另外�����,與資產清點同理�����,范圍越大優(yōu)勢越明顯。當機器到上萬量級����,用掃描器一遍一遍的掃,先不說占用多大資源���,只是掃完這些資產��,會花多少時間���?而利用Agent分析十臺服務器和分析一萬臺服務器耗的時間沒什么差別,幾分鐘即可���,即敏捷又高效�。
還有一種情況���,某些種類的漏洞掃描器很難掃描出來���,比如ImageMatch漏洞����,上傳圖片服務器就會執(zhí)行代碼����。這樣的漏洞掃描器是根本掃不到的����,只能檢查是否安裝了這個軟件包,然后敲個命令看看能不能執(zhí)行�,這種驗證操作非常粗糙,有時也不可靠����。
? ? 三、基于攻防為主的安全理念已經落后
安全牛:之前聽你談過��,有些想法可能與傳統(tǒng)的攻防思路不一樣�����。其實業(yè)內許多資深人士也已經認識到�,沒有攻不破的系統(tǒng),未來的趨勢是注重檢測���、分析與響應�����,從基于規(guī)則走向基于行為��。你是怎么看的呢����?
張福:是的。以前主流的安全理念特別強調防御和控制��,強調對攻擊方或黑客的認知�。典型的說法就是“不知攻,焉知防”��,比如最典型的IPS��、WAF��,其識別和攔截能力取決于對黑客的認知����。但這種方法并不靠譜,任何一家公司不管是安全公司還是企業(yè)�����,對黑客的認知永遠是有限的���、被動的�����,是去拿有限的規(guī)則和資源去對抗未知的無限的攻擊手段�,在方法論上就已經注定是落后的�����,被動的��。
如何改變這種情況呢��?需要對自身系統(tǒng)的透徹的認知�����,達到了透徹認知的適度���,就無需擔心黑客����,不需要了解他利用什么樣的漏洞,也不需要了解他使用什么樣的工具�。
安全牛:達到這個地步恐怕很難吧?
張福:這里面其實有一個本質上的思考����。安全一定是從產品售賣走向持續(xù)的運營服務,即持續(xù)的監(jiān)控和分析����,響應,不再是賣一個產品���,不再是替客戶運維這些產品�。而是一種主動的�、根據各種指標做持續(xù)監(jiān)控,一旦有問題快速處理�����,這樣可以改善以前傳統(tǒng)安全領域巨大的問題�。
防御和控制的落地很難,因為誰都不愿意被層層圍起來��、被控制�����,這種安全理念是跟人性、跟業(yè)務的發(fā)展相矛盾的����,因此注定會被人性和業(yè)務強力制約����,只有和它們不相悖的時候才能共同發(fā)展。真正符合人性的安全方法論�,應該把資源和精力投在認知自我上,把理念從防御�����、控制���、攔截�����,轉向持續(xù)的監(jiān)控�����、分析和快速的響應��。做到了這一點�����,安全就是“潤物細無聲”的��,對客戶來說是無感的�,因為只是在監(jiān)測,就像在人體內植入了很多傳感器���,隨時監(jiān)控體內的各項指標���,發(fā)現異常立刻做出診斷和治療,不給疾病發(fā)展嚴重的機會����。
我一直在講,安全和醫(yī)學的發(fā)展非常類似��,以前安全是想把人層層保護起來���,而未來的大趨勢����,要能夠像醫(yī)學一樣可以監(jiān)測身體內部的各項指標,只要發(fā)生異常變化就進行分析和處置�,并結合大數據和機器學習技術,越來越敏捷���,越來越前置��。終極的安全是,不再關心是什么樣的黑客�,利用什么樣的漏洞,什么樣的工具��,只要有攻擊跡象就會發(fā)現�����,只要發(fā)現就會進行分析和響應處置����。
? ? 四、風險控制體現安全的 CWPP是未來
安全牛:現在的數字化環(huán)境造成無數的攻擊面���,不僅極易發(fā)生安全事件���,惡劣影響的傳播速度也是前所未有����,因此要求更高級別的識別能力和更快速的響應時間��,也因此才能體現安全的價值所在�。
張福:衡量安全價值最頂層的指標,其實就兩個���。第一個就是風險值�����,但由于誰也無法將其做到最精確����,因此最科學的就是衡量風險的變化�����。如果風險是在逐漸收斂的�,或可控范圍內的�����,安全團隊的工作就是有意義的����。第二個指標就是響應速度�,當出現問題的時候,多久能發(fā)現�,發(fā)現之后多久能把損失搞清楚,攻擊的來龍去脈是什么���,這種能力最能體現安全的價值��。
所以,想要衡量風險���,要做到夠真正的識別和響應���,Agent的重要性不言而喻。青藤的Agent觀測的并不是黑客的攻擊特征或者是用了什么工具��,而是通過持續(xù)的學習來總結用戶信息系統(tǒng)的規(guī)律�。比如有哪些IT資產,哪些資產和哪些資產是有關聯的,機器上哪一個程序代表了哪個業(yè)務����,跟另外一個機器上的應用連接代表了哪個業(yè)務等等。
安全牛:EDR不也是可以在端點上做這些事情嗎����?
張福:不太一樣。雖然未來三五年��,EDR和CWPP(云工作負載保護平臺)是最有前途的兩個細分領域����,但許多資深專家包括Gartner分析師、全球知名安全廠商的首席戰(zhàn)略官�����、首席技術官普遍認為��,CWPP會更有前途�。因為EDR面臨著傳統(tǒng)終端安全廠商的即有優(yōu)勢競爭,CWPP不一樣�,全球絕大部分服務器沒有安裝這樣的Agent。而且���,Agent一旦部署進去���,占據的是安全的最核心位置��,不管是做機器學習��,去把規(guī)則變得更好����,還是要做聯動響應和處置�,更加高效率的運營,都離不開服務器或主機側的能力����。
至于EDR,更多的是在終端設備上�,我認為它在經濟層面的意義不大。因為未來的新經濟也好��,新零售也好����,都離不開數據和算法所產生的結果���。這個結果是在核心業(yè)務系統(tǒng)上計算的�,不是在終端。這些數據的計算產生商業(yè)價值�,我們只保護最有價值的東西,既不覆蓋PC�,也不管IOT設備,我們保護的是整個企業(yè)未來的核心命脈���,即企業(yè)用戶的數據和算法所帶來的新的商業(yè)價值��。
五����、放棄對抗模式 層層結網
安全牛:談到主機或服務器�,以前很多安全公司都在做HIDS(主機入侵檢測),而且很多有實力的大安全公司�����,也完全可以切入到這個細分領域�,青藤又怎么看待這種競爭的可能性?
張福:HIDS實際上已經失敗���,因為客戶很難接受在關鍵業(yè)務服務器上裝這種即占資源又維護困難的Agent�,更何況業(yè)務掛了怎么辦。而基于攻防對抗思維的大安全公司��,很難去做這個產品���。因為對抗是有代價的���,所以兼容性和穩(wěn)定性問題是端點安全最大的障礙,很可能會帶來嚴重后果���,頂多有客戶容忍在辦公終端PC上這么干��,但這還是EDR的概念���。
【引用】“基于對抗思維的公司,是要Hook底層驅動的��,因為對操作系統(tǒng)控制的更深�,才更加有對抗黑客的能力?!?/p>
安全牛:對抗思維需要和操作系統(tǒng)底層驅動結合的很深,因此很難部署在關鍵業(yè)務服務器上��,那你的解決思路是����?
張福:我的思路是放棄跟黑客對抗,或是說不需要跟黑客在攻防技術做深層次的對抗��。青藤的安全理念就像許多張網�����,雖然每張網上都有很多洞�����,但很多網層層疊在一起的時候�����,再小的魚也漏不過去����。這些網其實就是指技術指標,或說一種業(yè)務規(guī)則�����。當黑客在系統(tǒng)內部活動的時候�����,網就是他的障礙。每一張網不需要做得滴水不漏���,只要保證整體協(xié)調下來的層層疊疊的網絡是穿越不過去的����,就可以了��。
放棄掉對抗思路之后�,就不需要對系統(tǒng)做什么更改了。我們的Agent不需要給操作系統(tǒng)安裝任何的驅動����,對整個系統(tǒng)都是只讀的,不寫入�。因為只是觀測,并不需要改變���。我的目的不在于防得多好�����,或者控制得多死���。我們只要能夠發(fā)現就能解決問題,因為黑客最怕的不是花了多大的代價去阻擋它��,大不了多嘗試幾次�����,黑客最怕的是被發(fā)現���。
安全牛:但如果大廠轉變思維定式�,豈不是也很容易做成這樣的東西�����?
張福:思維定式不是那么容易轉變的���。而且��,我們已經有時間和資源上的先發(fā)優(yōu)勢����。目前已經有了上百萬行代碼,填平了大量的“坑”����,積累了上百家客戶。我們做的每一個功能��,都充分平衡了功能和性能��,性能里面還要區(qū)分在Agent上跑�����,還是在服務器上跑�����。這些技術與經驗積累��,即便是互聯網巨頭公司拉一個300人的團隊去做��,哪怕不像我們用了四年�����,但至少兩年時間也是需要的�。而且關鍵在于�,對產品內在的邏輯缺乏深刻理解�,很容易做著做著就脫離核心邏輯,這樣產品的能力和競爭力就會難以維持����。最后,互聯網巨頭是以其主營業(yè)務為核心的�,不可能在方方面面都投入足夠多的資源���。
? ? 六�����、做網絡安全領域的“安卓”
安全牛:國內具備較大規(guī)模的安全提供商�����,可以粗分為網絡通信設備廠商��、傳統(tǒng)安全廠商和大型互聯網公司��,作為安全初創(chuàng)公司���,面臨的競爭壓力無疑是巨大的����。在解決了生存問題之后��,則面臨著未來的發(fā)展���,青藤的企業(yè)戰(zhàn)略是什么�����,或者說青藤的愿景是做成一家什么樣的公司��?
張福:我們公司的終極理想是做安全領域的安卓�����。目前國內的安全還是比較封閉��,每家都抱著自己的利益�,打來打去��。我的想法是�����,等企業(yè)經過多年的商業(yè)沉淀,整個產品的技術核心基礎到了一定水平���,就把產品開放出來做平臺�,所有的安全場景都基于這個平臺�。
安全牛:你的意思是如同安卓本身不賺錢,賺錢的是上面的應用���?
張福:是的���。而且平臺有兩種模式���,一種封閉式的�����,一家獨大���。另一種是做共享社區(qū),開源模式�����。
安全牛:如同蘋果iOS與谷歌安卓,微軟的Windows和GNU的Linux����。
張福:對。國內的某大型安全公司也在這樣做�����,但它憑借的是雄厚的資源和實力����,試圖來做All in one 式的解決方案。對于青藤來說�,則希望把解決方案的核心平臺做好,使得任何廠商都可以跟這個平臺結合在一起�����,讓大家的安全能力能夠流轉起來���。
我是做安全攻防和運維出身的�,一路走過來����,有許多切身體會��。安全工作落地最大的困難其原因無外乎兩個���,一是強調防御和控制,方法論上就有著天然的劣勢�����。二是人才匱乏�。兩者造成安全成本居高不下。我的解決思路就是平臺����。
通過平臺底層的技術框架,把上層的解決方案統(tǒng)一起來���,去除安全能力流轉的門檻。某客戶對某個問題的解決手段和經驗��,形成可以被其他用戶復用的工具或方案�,不再需要經歷同樣的分析研究過程。比如處置挖礦或勒索病毒����,一萬家公司都要經歷同樣的流程����,能夠復用的話��,就可以把成本史無前例地降到最低����。更重要的,隨著經驗能力和工具在平臺上的沉淀��,對人的要求就會降低����,一開始需要安全專家,后來需要素質高的畢業(yè)生�,再后來稍具專業(yè)知識的人都可以使用。
安全牛:做平臺還可以在某種程度上解決安全市場碎片化的問題����。
張福:中國的安全產業(yè)兩三百億的年收入,排在前列的公司才一���、二十億���,碎片化的原因就在于過去用戶主要是遵循合規(guī)來應付檢查����,誰關系好就買誰的產品���。但是現在客戶對安全的需求越來越大���,對效果的要求越來越高,需要真正的價值��,光靠關系是不行的�����。所以���,對于沒有核心技術的公司來講��,未來幾年就是生死存亡的幾年。
青藤的平臺是一種按年付費的模式�,不僅能夠跟客戶一直保持關系,并且收入也是源源不斷�。往后看七八年,如果我們的道路走得正確�����,就能夠覆蓋中國絕大部分的服務器,哪怕是只覆蓋一半���,也成為了平臺型的企業(yè)�,即使覆蓋5%到10%����,也足夠成就一家獨角獸或是上市公司。
我始終認為未來在安全領域會產生年營收過百億的公司�,而且毫無疑問,整合是必經之路��。有的公司靠著強大的資源�、資金能力,在強行整合����,但這不是唯一的道路。我理想中的道路不是強行統(tǒng)一��,而是通過和別人真正合作�,通過共贏來實現目的。這也是我們要做安全領域的安卓的最大意義。
安全牛評:
如果說自適應安全�、PPDR模型是青藤云安全的技術標簽,那么專注與務實則是這家初創(chuàng)公司的形象標簽����。創(chuàng)始人張福在本次采訪中提出兩個重要理念,一是弱化對抗思維��,強調持續(xù)監(jiān)控��。二是提倡平臺模式�,整合安全,降低成本�����。無一不是基于實踐經驗和深度思考得出的精華結論��。實際上這兩種安全理念��,也已經得到了許多資深人士的支持�,并正在業(yè)內形成共識。
青藤云安全時間線
2014年��,公司成立�,并獲天使輪投資
↓
2015年,推出青藤自適應安全架構�����,A輪融資6000萬元
↓
2016年���,首次獲《中國網絡安全企業(yè)50強》最具潛力初創(chuàng)企業(yè)推薦
↓
2017年��,首次入選Gartner全球安全指南(CWPP領域)
↓
2018年���,B輪融資2億元,并于近日發(fā)布新品青藤萬相
