近日, 綠盟科技在上海啟動全國巡迴演講, 宣傳“智慧安全2.0”的企業戰略, 分享積累多年的安全運營服務的知識和經驗。 安全牛記者現場採訪了綠盟科技副總裁葉曉虎博士。
一、如何理解智慧安全
安全牛
智慧安全體現在哪些方面?
葉曉虎:智慧安全可以從三個關鍵點來理解。 一是從智慧安全這個大帽子來講, 指的是從整個安全發展的方向來去思考問題。 國內最早的資訊安全企業已經做了近二十年, 一直都是事件驅動的性質, 非常被動。 因此, 綠盟希望以變被動為主動的觀念, 來設計安全體系。
另外一個是指要做到“准即時”級別的回應速度。 之前的流程從發現漏洞到出升級包, 再到設備更新, 這個時間週期由於各種原因會非常長, 遠遠跟不上攻擊的速度。 要改變這種局面, 就需要基於大量的資料把握和理解安全態勢, 以做出快速回應。
第三是指自動化。
因此, 智慧安全2.0提出的安全能力有三個核心要素:智能、敏捷和可運營。
智慧是指利用大資料和機器學習等技術, 瞭解安全態勢, 快速發現問題。 敏捷是指基於軟體定義把安全能力交付給客戶, 做到快速回應。 可運營是指通過“人機地雲”機制, 不斷地改進企業安全能力。
安全牛
資料是一切分析工作的基礎, 綠盟主要的資料來源有哪些?
舉個例子, 在我們的抗D設備上發現的惡意IP, 可以運用在我們的入侵偵測設備, 這樣就形成了資料流程轉的閉環應用。
還有一部分資料, 通過與業務夥伴合作共用交換而來。 包括一些互聯網公司, 綠盟投資的公司, 技術合作的客戶。
二、安全運營是一個持續過程
安全牛
有了資料之後, 分析的工作量是龐大的, 但現實是安全人員的普遍短缺, 因此如何有效減少安全人員的工作量呢?
葉曉虎:綠盟通過日常大量的安全服務, 把行之有效的安全處置方法和高級專家的經驗形成知識庫, 日後再做回應時, 有助於直接形成處置建議。
根據評估, 我們現在能夠把工作效率提升30%, 讓安全專家更多的精力放到高水準的分析工作中去。
眾所周知, 以前的IPS告警數量太大基本沒法運營。 現在我們則嘗試利用攻擊鏈, 利用威脅情報, 利用行為分析和資料關聯, 把告警變成少量的真正的安全事件, 然後再進一步, 預測下一步可能會發生什麼事情, 我們把這套體系稱之為態勢理解引擎。
今年3月初, 在某券商的系統中發現一個名為“證券幽靈”的木馬, 竟然已經在系統裡生存了十年。 期間, 還曾被發現並進行過處置。 但由於有台伺服器未在安全系統的監管之內, 而且這個木馬也在不斷地進行更新, 因此一直得以生存。
攻擊者通過跳板機把系統的白名單改掉, 這種攻擊技術手段並不高, 但由於缺乏關聯分析,
這個案例反應出兩個問題, 第一個問題就是資產問題。 現在很多企業都搞不清楚自己有多少資產, 開放哪些服務, 何談如何做好安全運營呢?第二個是主觀上的問題。 許多客戶擔心影響不好, 出了事件之後不願意把自己的資訊共用出來, 這也是業界的一個普遍現狀, 實際上阻礙著對攻擊的快速和有效防護。
三、安全服務的價值正在得到認可
安全牛
高品質的安全運營雖然效果好, 但它屬於服務, 而服務相對於產品, 在國內是很難掙到錢的, 因此許多廠商不僅沒有“砸盒子”, 反而還在“造盒子”。
葉曉虎:其實國內對安全服務價值的認識已經在改變了,最近兩起政務雲1分錢中標的例子,就證明了企業更看重服務的價值。硬體雖然是免費的,但可以從服務上把成本掙回來。
另外,在一些重視安全的行業裡,如金融,還是非常看重服務的。無論是安全平臺還是安全產品,無非都是工具,而工具是需要人來使用的,工具只是用來提升工作效率。
目前已經有客戶把整個安全工作都交給安全提供商,這其實是一個非常好的模式,因為對於好多企業來說,安全並不是主業,採購設備、管理實施都是很高的負擔。至於使用什麼平臺、什麼設備、如何實現,由安全企業自己決定。客戶只看結果。
反過來對於安全公司來說,這種模式也起到一個非常強的促進作用。它倒逼安全公司必須做出轉變,要把精力放在提升自己的能力,以真正解決用戶的實際問題上,而不是只為了銷售產品,不管銷售出去之後設備的使用效果如何。
現在大家已經普遍認識到,發生問題是不可避免的,因此如何做到更快速的回應才是最合理的。十年前整個安全行業都在講防禦,但現在,加強檢測、快速發現問題、快速處置已經成為共識。
四、不懼競爭 安全是一個長久的事業
安全牛
互聯網公司利用雲計算的大趨勢,和自身資源豐厚的優勢,強勢切入安全領域,給傳統安全廠商帶來了很大的衝擊,綠盟作為典型傳統安全廠商的代表,對此有何看法?
葉曉虎:實際上近兩年的確有不少人問過我們類似的問題,但我覺得任何行業都會面臨革新和變化,這是非常正常的,具體到安全領域現在面臨的變化而言,綠盟歡迎這樣的變化。
首先,安全行業以前關係驅動的氛圍很濃,很少有人把主要的精力投入到提升自身的安全能力上,如果持續這種狀態,安全行業是無法發展起來的。而現在,包括阿裡、騰訊、360等互聯網公司,給安全行業帶來的改變和競爭,促使大家把焦點放在提升安全能力上,放在主動解決用戶需求上。
雖然互聯網公司從業務上給傳統安全企業帶來很大的衝擊,包括人才的流失,但另一方面,應該看到更多其他行業的優秀人才湧進安全領域,實際上促進了整個安全行業的發展。
再者,我個人覺得目前整個安全行業遠未成熟,尤其是利用大資料分析來改變攻防對抗局面,大家都還在起步階段,因此沒有哪一家明顯的處於優勢地位,現在談顛覆性的技術、領先優勢還早。
以前的安全主要是工程師化的,靠一些大牛、一些技巧解決直接的安全問題。安全其實直到近兩三年才開始走向體系化,成為一門學科;從人才培養到理論研究,從安全治理到安全意識,再到商業模式,這一切都剛剛開始,大家都在摸索。
還是那句話,新的技術大家都在起步階段,可能某些廠商稍微快一些,但並不構成壁壘。再者,為客戶提供安全運營服務的體系,並非短時間之內就能夠夠建設好的。它需要對行業對客戶業務的深度理解,並經過長年累月的打磨,才能夠行之有效。
從公眾角度來看安全行業常用恐嚇去銷售,用炫耀來公關。攻破這個,破解那個,各種表演各種秀,但又能怎樣?作為防守方,核心要思考的問題是你能為你的用戶提供什麼?怎麼幫助用戶解決安全問題?
當然,攻擊技術也是需要瞭解和探索的,但對安全公司來講,更多的是去思考如何產品化,如何建好整個服務運營體系,如何做到更加快速的回應。
拿產品化為例,一個能夠交付給客戶業務場景裡的成熟產品,需要考慮很多環節,裡面的各種細節、困難,比單純的破解技術要複雜的多、工作量大得多。而產品化則是傳統安全公司的優勢所在。
可能在新浪潮的衝擊上,傳統安全企業短期內會經歷沉浮,但自身的安全能力水準高低和是否得到客戶的認可,以及是否把安全當做一個長久的事業去做,才是最終決定企業發展的關鍵因素。
葉曉虎:其實國內對安全服務價值的認識已經在改變了,最近兩起政務雲1分錢中標的例子,就證明了企業更看重服務的價值。硬體雖然是免費的,但可以從服務上把成本掙回來。
另外,在一些重視安全的行業裡,如金融,還是非常看重服務的。無論是安全平臺還是安全產品,無非都是工具,而工具是需要人來使用的,工具只是用來提升工作效率。
目前已經有客戶把整個安全工作都交給安全提供商,這其實是一個非常好的模式,因為對於好多企業來說,安全並不是主業,採購設備、管理實施都是很高的負擔。至於使用什麼平臺、什麼設備、如何實現,由安全企業自己決定。客戶只看結果。
反過來對於安全公司來說,這種模式也起到一個非常強的促進作用。它倒逼安全公司必須做出轉變,要把精力放在提升自己的能力,以真正解決用戶的實際問題上,而不是只為了銷售產品,不管銷售出去之後設備的使用效果如何。
現在大家已經普遍認識到,發生問題是不可避免的,因此如何做到更快速的回應才是最合理的。十年前整個安全行業都在講防禦,但現在,加強檢測、快速發現問題、快速處置已經成為共識。
四、不懼競爭 安全是一個長久的事業
安全牛
互聯網公司利用雲計算的大趨勢,和自身資源豐厚的優勢,強勢切入安全領域,給傳統安全廠商帶來了很大的衝擊,綠盟作為典型傳統安全廠商的代表,對此有何看法?
葉曉虎:實際上近兩年的確有不少人問過我們類似的問題,但我覺得任何行業都會面臨革新和變化,這是非常正常的,具體到安全領域現在面臨的變化而言,綠盟歡迎這樣的變化。
首先,安全行業以前關係驅動的氛圍很濃,很少有人把主要的精力投入到提升自身的安全能力上,如果持續這種狀態,安全行業是無法發展起來的。而現在,包括阿裡、騰訊、360等互聯網公司,給安全行業帶來的改變和競爭,促使大家把焦點放在提升安全能力上,放在主動解決用戶需求上。
雖然互聯網公司從業務上給傳統安全企業帶來很大的衝擊,包括人才的流失,但另一方面,應該看到更多其他行業的優秀人才湧進安全領域,實際上促進了整個安全行業的發展。
再者,我個人覺得目前整個安全行業遠未成熟,尤其是利用大資料分析來改變攻防對抗局面,大家都還在起步階段,因此沒有哪一家明顯的處於優勢地位,現在談顛覆性的技術、領先優勢還早。
以前的安全主要是工程師化的,靠一些大牛、一些技巧解決直接的安全問題。安全其實直到近兩三年才開始走向體系化,成為一門學科;從人才培養到理論研究,從安全治理到安全意識,再到商業模式,這一切都剛剛開始,大家都在摸索。
還是那句話,新的技術大家都在起步階段,可能某些廠商稍微快一些,但並不構成壁壘。再者,為客戶提供安全運營服務的體系,並非短時間之內就能夠夠建設好的。它需要對行業對客戶業務的深度理解,並經過長年累月的打磨,才能夠行之有效。
從公眾角度來看安全行業常用恐嚇去銷售,用炫耀來公關。攻破這個,破解那個,各種表演各種秀,但又能怎樣?作為防守方,核心要思考的問題是你能為你的用戶提供什麼?怎麼幫助用戶解決安全問題?
當然,攻擊技術也是需要瞭解和探索的,但對安全公司來講,更多的是去思考如何產品化,如何建好整個服務運營體系,如何做到更加快速的回應。
拿產品化為例,一個能夠交付給客戶業務場景裡的成熟產品,需要考慮很多環節,裡面的各種細節、困難,比單純的破解技術要複雜的多、工作量大得多。而產品化則是傳統安全公司的優勢所在。
可能在新浪潮的衝擊上,傳統安全企業短期內會經歷沉浮,但自身的安全能力水準高低和是否得到客戶的認可,以及是否把安全當做一個長久的事業去做,才是最終決定企業發展的關鍵因素。