压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

摘要：在當(dāng)下互聯(lián)網(wǎng)飛速發(fā)展的時(shí)代，網(wǎng)絡(luò)環(huán)境愈加復(fù)雜，網(wǎng)絡(luò)安全邊界愈加模糊，黑客攻擊愈加頻繁和復(fù)雜，傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)手段正在逐漸失效。怎樣提升安全監(jiān)控以及迅速響應(yīng)能力，是下一代安全的落腳點(diǎn)。青藤云主機(jī)自適應(yīng)安全平臺(tái)，更加注重主機(jī)層面的監(jiān)控與迅速響應(yīng)，確保安全最后一共里不被黑客攻陷。

崔晶煒????青藤云安全高級(jí)VP

我們自己更準(zhǔn)確的定義是云時(shí)代的主機(jī)安全。我自己和我們公司認(rèn)為主機(jī)安全應(yīng)該是企業(yè)安全建設(shè)的最后一公里。我今天會(huì)介紹為什么要做主機(jī)安全，為什么主機(jī)安全是最后的一公里，為什么安全的最后一公里對(duì)企業(yè)有非常重要的意義。

青藤云創(chuàng)立于2014年8月份，在過去將近4年時(shí)間，我們非常欣喜地看到中國(guó)的網(wǎng)絡(luò)安全產(chǎn)業(yè)的迅猛發(fā)展。我相信在座各位都有類似的感受。

因?yàn)槲颐刻煸诮佑|甲方，從安全的從業(yè)人員到安全處處長(zhǎng)、互聯(lián)網(wǎng)行業(yè)的安全總監(jiān)。從甲方來看，有更多專職的安全崗、有更多安全的管理崗位，像我昨天去一家大型國(guó)企，去年他們的安全從運(yùn)維的處室里剝離出來，成立了專門的安全處。安全越來越受到甲方的重視。有的時(shí)候安全也是不好做的，有可能承擔(dān)背鍋俠的角色。

從乙方的角度來看，雖然沒有官方數(shù)據(jù)，但我感覺在過去3-4年，中國(guó)的網(wǎng)絡(luò)安全市場(chǎng)至少翻了一番。我自己個(gè)人預(yù)測(cè)未來這一增速可能更快，也就是每三年翻一番，每年的增長(zhǎng)速度可能會(huì)達(dá)到30%，甚至更高。

為什么網(wǎng)絡(luò)安全會(huì)這么熱？一方面是有合規(guī)性的導(dǎo)向，我們國(guó)家去年出臺(tái)了《網(wǎng)絡(luò)安全法》。另外一方面，安全和威脅永遠(yuǎn)是聯(lián)動(dòng)在一起的，為什么安全被提升到這樣的高度？因?yàn)槲覀兪艿降墓艉蛠碜詢?nèi)外的威脅越來越多。

為什么威脅會(huì)越來越多呢？因?yàn)楫a(chǎn)業(yè)互聯(lián)網(wǎng)化和業(yè)務(wù)更加數(shù)字化。我們這家公司服務(wù)了很多大型的企業(yè)客戶，尤其是互聯(lián)網(wǎng)金融行業(yè)和金融行業(yè)。我以這兩個(gè)行業(yè)作為對(duì)比。在10年前，20年前，無論你是作為個(gè)人去存款，需要拿著身份證去柜臺(tái)辦理，填一個(gè)單子，把獻(xiàn)存進(jìn)去，選擇定期或者活期。你個(gè)人去銀行借款基本是不可能的事情。如果是企業(yè)去借款，也需要很長(zhǎng)的流程和審批?，F(xiàn)在有了互聯(lián)網(wǎng)金融、P2P，你個(gè)人的借款、貸款或者企業(yè)的貸款、借款都是數(shù)字化進(jìn)行的。從你的身份識(shí)別開始，填一個(gè)驗(yàn)證碼、密碼，再加上指紋識(shí)別、面部識(shí)別，這些都是數(shù)字化的。再到你的信用評(píng)估，完全都是在線上進(jìn)行的。再到你的錢款的發(fā)放，或者借貸的完成，完全都是在線上完成的。

過去你有1萬塊錢只有3%的定息利息，資金周轉(zhuǎn)是非常慢的。現(xiàn)在1萬塊錢，通過互聯(lián)網(wǎng)金融的手段，這1萬塊錢在一年之內(nèi)會(huì)被周轉(zhuǎn)出去50次、100次，甚至更多次。如果是短期貸、現(xiàn)金貸、小額貸，它的利息也是相對(duì)比較高的。在資金周轉(zhuǎn)率越來越高、業(yè)務(wù)數(shù)字化的情況下，你的身份識(shí)別、信用評(píng)級(jí)、款項(xiàng)的發(fā)放和流向，在虛擬世界里，你對(duì)外曝露的風(fēng)險(xiǎn)越來越大。

在這樣的環(huán)境下，威脅越來越大，如何做好安全呢？

從我們的企業(yè)來說，我們一直在思考攻防不對(duì)等的問題。傳統(tǒng)的安全，如果是大型的企業(yè)，你有非常充足的人力和錢財(cái)，你要了解誰來攻擊你，你要了解黑客的威脅，要了解到相當(dāng)高的高度。要把傳統(tǒng)的設(shè)備堆完才能做到防。如果是相對(duì)中小型的企業(yè)，你也要對(duì)黑客的世界和內(nèi)部的企業(yè)做適當(dāng)?shù)牧私狻Ｔ诂F(xiàn)在的情況下，整個(gè)黑產(chǎn)的世界是非常猖獗的。被朋友圈刷屏的A站和摩拜被偷庫(kù)了。在云化的時(shí)代，企業(yè)的數(shù)據(jù)越來越多、個(gè)人的數(shù)據(jù)越來越多，這樣的事情防不勝防。你要了解黑客世界的難度越來越高，難度是呈現(xiàn)幾何級(jí)的增長(zhǎng)。

當(dāng)然，現(xiàn)在的安全行業(yè)衍生了一些新的產(chǎn)品，在幫助企業(yè)和客戶去了解黑客的世界。比如，威脅情報(bào)廠商、威脅情報(bào)聯(lián)盟。

另外一方面，我們認(rèn)為作為企業(yè)的安全從業(yè)人員，或者企業(yè)的CIO、CEO，應(yīng)該把你企業(yè)內(nèi)部的安全資產(chǎn)搞得更清楚一些。但我認(rèn)為這一點(diǎn)現(xiàn)在做得不好。在座各位都知道，之前的安全上的都是傳統(tǒng)的邊界防護(hù)產(chǎn)品，你幫企業(yè)做的就是在管理資產(chǎn)的外面搭一層防火墻，再加上IDS、IPS或者是WAF，對(duì)于保護(hù)的內(nèi)部資產(chǎn)的內(nèi)容，你是不知道的。這就好比你筑了一座城墻，你對(duì)城里面的財(cái)務(wù)究竟有多少、保護(hù)了多少棟樓，你是不知道的。從青藤的角度，我們認(rèn)為這很可怕。一方面你要增強(qiáng)對(duì)黑客世界的了解。另一方面，我們也要增強(qiáng)對(duì)企業(yè)內(nèi)部數(shù)字資產(chǎn)，或者是從安全角度定義資產(chǎn)的了解。

我們的答案，認(rèn)知黑客、認(rèn)知自己，兩個(gè)方面都要做到。青藤的產(chǎn)品是幫助企業(yè)的安全從業(yè)人員更好地認(rèn)清自己，認(rèn)清我們需要保護(hù)的資產(chǎn)。

我剛剛舉了一個(gè)城墻的例子。云是一個(gè)趨勢(shì)，從物理的數(shù)據(jù)中心到虛擬化，現(xiàn)在會(huì)有公有云、私有云或者混合云。傳統(tǒng)的邊界防護(hù)手段在這個(gè)時(shí)代沒有那么有效。因?yàn)樵趥鹘y(tǒng)的時(shí)代，你的數(shù)據(jù)中心在哪里，你是非常清晰的。在你的數(shù)據(jù)中心外圍放一個(gè)防護(hù)的設(shè)備，那就叫防火墻，相當(dāng)于是一座城墻。但是，在云的時(shí)代，你的虛擬的服務(wù)器在哪里，可能各個(gè)地方都會(huì)有。搞一個(gè)地圖沒有太大的意義，因?yàn)槔锏馁Y源池是動(dòng)態(tài)的。在這樣動(dòng)態(tài)的技術(shù)架構(gòu)下搭城墻就沒有那么有效。這是一個(gè)方面。

第二個(gè)方面，黑客的攻擊手段越來越高明。傳統(tǒng)的時(shí)候，你利用一些黑白規(guī)則把黑客擋在外面，但現(xiàn)在的黑客有更高級(jí)的攻擊手段，更善于偽裝自己?；谶吔绲陌踩雷o(hù)在這種情況下不是那么有效。

我們換一種視角，黑客從城墻進(jìn)來，無論城墻在哪里，無論道路在哪里，最終企業(yè)的安全資產(chǎn)在什么地方？你的ERP、應(yīng)用或者是很多系統(tǒng)是建在服務(wù)器操作系統(tǒng)之上的。有沒有可能把承載這些應(yīng)用系統(tǒng)或者是企業(yè)核心資產(chǎn)的小顆粒做一個(gè)細(xì)顆粒度的防護(hù)，或者是對(duì)這些細(xì)的應(yīng)用系統(tǒng)進(jìn)行清點(diǎn)？以前我們做的是城墻和外圍防護(hù)，現(xiàn)在有沒有可能細(xì)顆粒度到防護(hù)城里的每一棟樓，或者防護(hù)每一棟樓里的每一個(gè)房間。你可以在每一個(gè)房間設(shè)一些頭發(fā)絲，設(shè)一些特征毛點(diǎn)，或者是一系列的指標(biāo)?？梢耘e一個(gè)人體免疫力的例子。如果你要防止病毒，你不知道知道外面的病毒有多少種，你要知道身體出不出問題可以建立一系列的指標(biāo)。比如，體溫是不是正常、頭發(fā)是不是掉了、心臟是不是感到不舒服。你可以通過了解房間內(nèi)部設(shè)立一系列的指標(biāo)。如果這些指標(biāo)發(fā)生細(xì)微的變化，你知道可能是有病毒攻進(jìn)來了。

這是我們的理論，我們想將這個(gè)視角轉(zhuǎn)化為對(duì)內(nèi)外指標(biāo)的持續(xù)監(jiān)控和分析，相當(dāng)于對(duì)城市里的每一個(gè)區(qū)域的每一棟樓的每一個(gè)房間設(shè)立一系列的指標(biāo)。不管外界病毒攻過來的過程是怎樣的，只要它攻進(jìn)來，必然會(huì)觸發(fā)內(nèi)部指標(biāo)的細(xì)微變化，我們捕捉這些變化，并且分析這些變化。這就是我們倡導(dǎo)的自內(nèi)而外的自適應(yīng)安全理論。

剛剛我提到云化的時(shí)代。過去物理的服務(wù)器比較簡(jiǎn)單?，F(xiàn)在我們認(rèn)為絕大部分資產(chǎn)仍然在你的業(yè)務(wù)負(fù)載之上。這個(gè)業(yè)務(wù)負(fù)載可能是物理的服務(wù)器，也可能是虛機(jī)，也可能是云主機(jī)?，F(xiàn)在的互聯(lián)網(wǎng)和嘗鮮的行業(yè)也在用容器的技術(shù)，物理機(jī)、虛機(jī)、容器是承載應(yīng)用系統(tǒng)或者真正的數(shù)字資產(chǎn)的基礎(chǔ)。我們做的就是業(yè)務(wù)負(fù)載平臺(tái)的保護(hù)。

過去大家都說安全的工程師，我們希望能夠幫助打造一個(gè)安全產(chǎn)業(yè)，讓更多的安全的工程師變成安全的分析師。怎么讓安全的工程師逐漸成長(zhǎng)為安全的分析師？一是甲方的安全從業(yè)人員更好的了解企業(yè)內(nèi)部安全視角的資產(chǎn)。再舉剛才的例子，一個(gè)房間里究竟有幾個(gè)花瓶、幾個(gè)保險(xiǎn)柜，安全人員應(yīng)該更清晰的了解這些內(nèi)部情況。二是活動(dòng)。還是舉剛才的例子，會(huì)有什么樣的人進(jìn)房間來搬這些花瓶和保險(xiǎn)柜。三是關(guān)系。如果你管理上萬個(gè)房間、上萬臺(tái)主機(jī)、上萬臺(tái)服務(wù)器，這些服務(wù)器不是相互孤立的，這些服務(wù)器內(nèi)部的各種系統(tǒng)和各種數(shù)據(jù)有相互調(diào)用的關(guān)系，這個(gè)房間的花瓶會(huì)搬到另外一個(gè)房間。我們希望有一種軟件或者有一個(gè)平臺(tái)能夠幫助安全人員更好地分析各個(gè)房間之間的關(guān)系，或者各個(gè)業(yè)務(wù)系統(tǒng)之間的連接關(guān)系，或者系統(tǒng)和數(shù)據(jù)之間的連接關(guān)系。如果安全的從業(yè)人員可以把內(nèi)在的這三點(diǎn)做好、理解好，第一個(gè)是安全角度的資產(chǎn)，第二個(gè)是內(nèi)部的活動(dòng)，第三個(gè)是內(nèi)部的連接關(guān)系，安全人員從工程師上升為分析師絕對(duì)不是難事。這是我們希望打造的理念，也是青藤的產(chǎn)品實(shí)現(xiàn)的功能。

自內(nèi)而外，從了解我們自身的業(yè)務(wù)系統(tǒng)來說。我再?gòu)耐庠谕{來介紹。

這是典型的黑客攻擊路徑。黑客一般都會(huì)在外部做一些信息收集，收集一些關(guān)于甲方的目標(biāo)信息數(shù)據(jù)，可能是收集一些郵件、聯(lián)系人，為攻擊做好準(zhǔn)備。準(zhǔn)備好了攻擊和武器會(huì)進(jìn)行刺探掃描。利用相關(guān)的漏洞鉆進(jìn)來，會(huì)上傳一個(gè)shell，控制了服務(wù)器進(jìn)行反向連接，會(huì)做提權(quán)，把自己的權(quán)限提高，安裝后門?？赡軙?huì)潛伏在里面做一些內(nèi)網(wǎng)的掃描滲透。為了防止自己的痕跡被北方發(fā)現(xiàn)，會(huì)做擦除日志的工作。傳統(tǒng)的安全對(duì)這些也會(huì)有一些應(yīng)對(duì)措施，但不是那么有效。青藤的理念和技術(shù)可以幫忙提升最后這個(gè)閉環(huán)的效率。

傳統(tǒng)的安全，在信息收集方面，社工這個(gè)事是很難防的，它不是技術(shù)的問題，而是管理和流程的問題。黑客給你發(fā)過來一個(gè)郵件，你打開或者不打開，企業(yè)內(nèi)部的人員，財(cái)務(wù)人員或者人力資源部門是不是有這樣的意識(shí)？這是很難防范的。我們的理論，防社工很難防，可以什么都不做。刺探掃描、漏洞利用、上傳shell，傳統(tǒng)的安全工作都是在這個(gè)區(qū)域進(jìn)行對(duì)抗。但是遇到的問題什么？在你上了這么多的安全設(shè)備之后，對(duì)于大型企業(yè)來說，你每天會(huì)收到上萬條日志告警，有黑客撩了你上萬次，你可以打出一個(gè)很長(zhǎng)的報(bào)告，每天跟領(lǐng)導(dǎo)匯報(bào)一下防住了1萬次的攻擊。但是，對(duì)于內(nèi)部的甲方或者是領(lǐng)導(dǎo)來說，你擋住了1萬次的攻擊，這一點(diǎn)不重要，你能告訴我這1萬條里面有多少條是有效的、有多少條是值得關(guān)注的、有多少條是根本不需要關(guān)注的。在傳統(tǒng)的安全設(shè)備中，根本沒辦法判別這些東西。如果有1萬條，天天都是“狼來了”。很多安全人員最后就是皮了，這些日志告警什么都不是，因?yàn)榇_實(shí)很難防。

但是，總歸有漏網(wǎng)之魚。如果越過了這些，真正到了服務(wù)器這一層，這個(gè)事情就非?？膳隆鹘y(tǒng)的設(shè)備漏掉就漏掉了，真的當(dāng)黑客到了服務(wù)器這一端，反而傳統(tǒng)設(shè)備是不知道的，這個(gè)事情變得非?？膳?。今天爆發(fā)的A站和摩拜是典型這樣的事情，黑客控制了服務(wù)器，做了偷庫(kù)。在傳統(tǒng)安全設(shè)備防不了的情況下，怎么樣防？可以看得出來。在傳統(tǒng)安全設(shè)備對(duì)抗不了的區(qū)域，服務(wù)器安全才是核心安全。在服務(wù)器上，你不能出事。如果真的有一次嚴(yán)重的事故，必然是一次大的事故。

怎么樣防呢？我們會(huì)有一些答案。我們來做一些場(chǎng)景化的例子。這些例子都是在主機(jī)層面的，也就是安全的最后一公里。為什么這是安全的最一公里？因?yàn)槟闫髽I(yè)最重要的資產(chǎn)都在服務(wù)器上。

這個(gè)例子是我們?nèi)ツ陰椭粋€(gè)大型的互聯(lián)網(wǎng)客戶發(fā)現(xiàn)的。這是一個(gè)視頻直播類的大型互聯(lián)網(wǎng)客戶，主機(jī)的數(shù)量是數(shù)千臺(tái)。去年7月份，在某一天的凌晨，我們系統(tǒng)告警，發(fā)現(xiàn)黑客利用漏洞往外傳數(shù)據(jù)。被我們產(chǎn)品的“反彈shell”功能捕捉到了。我們的安全工程師和分析師服務(wù)于很多客戶，晚上有人加班，我們的安全人員很快收到了郵件告警?；谖覀兊钠脚_(tái)，我們對(duì)“反彈shell”的目標(biāo)服務(wù)器進(jìn)行了深入分析，是哪一臺(tái)服務(wù)器建立反向連接。我們發(fā)現(xiàn)了另外兩個(gè)內(nèi)核級(jí)的后門。在傳統(tǒng)的安全概念，無論是黑客，還是安全專家，如果你在系統(tǒng)內(nèi)部發(fā)現(xiàn)了內(nèi)核級(jí)的后門，基本上就可以放棄了，要么你的數(shù)據(jù)已經(jīng)被偷走了，要么你就必須得把服務(wù)器關(guān)掉，或者是進(jìn)行格式化。

我們收到告警以后，這個(gè)事情確實(shí)非常大，我們的服務(wù)人員給客戶打電話。經(jīng)過幾個(gè)小時(shí)的排查，我們發(fā)現(xiàn)了具體的情況和木馬的特征，對(duì)整個(gè)內(nèi)網(wǎng)和所有電腦展開了排查。經(jīng)過產(chǎn)品的溯源，再加上配合客戶的人工響應(yīng)，發(fā)現(xiàn)這是一次典型的社工事件。最開始是黑客在2月份的時(shí)候給人力資源部門發(fā)了一封郵件，有一個(gè)附件，點(diǎn)開了就進(jìn)來了。3月份的時(shí)候，黑客又滲透到財(cái)務(wù)部門，把財(cái)務(wù)的數(shù)據(jù)都拿到了。這就非常可怕。在2、3月份的時(shí)候就進(jìn)來了，而且進(jìn)了兩個(gè)關(guān)鍵的部門，拿到了所有的人力和財(cái)務(wù)的數(shù)據(jù)。但是，這不是它的最終目標(biāo)，它的最終目標(biāo)是想拖走企業(yè)服務(wù)器上的那些客戶的數(shù)據(jù)。它潛伏了半年多。

在半夜1點(diǎn)多給客戶打電話的時(shí)候，客戶的第一個(gè)反應(yīng)是他們有內(nèi)鬼。經(jīng)過排查，我們發(fā)現(xiàn)不是內(nèi)鬼，是一次典型的社工事件，半年多的時(shí)間。到了7月份的時(shí)候，人力資源有所有人的名單。研發(fā)在IT部門的安全意識(shí)相對(duì)薄弱一點(diǎn)，在7月份的時(shí)候又滲透到研發(fā)系統(tǒng)，拿到了所有系統(tǒng)的口令和密碼，一直到真正的核心資產(chǎn)服務(wù)器上。進(jìn)入核心的服務(wù)器，對(duì)外傳數(shù)據(jù)的時(shí)候，很幸運(yùn)，因?yàn)榭蛻粞b了我們的軟件，被我們的“反彈shell”功能發(fā)現(xiàn)了，我們捕捉到了。

這樣一個(gè)事件對(duì)于傳統(tǒng)的安全產(chǎn)品是根本處理不了的。我們分析了傳統(tǒng)的殺毒軟件，根本處理不了，很可能查不出來結(jié)果，還會(huì)被認(rèn)為是一次內(nèi)鬼事件，還可能出現(xiàn)拖庫(kù)事件，但我們很容易的處理了。

第二個(gè)案例是云主機(jī)經(jīng)典網(wǎng)絡(luò)上的內(nèi)網(wǎng)攻擊。這是一個(gè)政企類的客戶，事業(yè)單位。他們用了某云的經(jīng)典網(wǎng)絡(luò)的云主機(jī)。因?yàn)樗麄冇行┓呛诵牡膽?yīng)用用了國(guó)內(nèi)大型的云上主機(jī)。在座各位知道，云主機(jī)有VPC，也有經(jīng)典網(wǎng)絡(luò)。客戶裝的云主機(jī)的數(shù)量不多，大概就是十幾臺(tái)。在這十幾臺(tái)上都裝了我們的軟件。我們的軟件會(huì)有這樣一個(gè)特點(diǎn)，會(huì)幫它掃描有哪些租用的主機(jī)沒有安裝監(jiān)控軟件。他們的同事跟我們說不對(duì)，他們就這十幾臺(tái)主機(jī)，怎么我們發(fā)現(xiàn)了數(shù)千臺(tái)主機(jī)都沒有安裝青藤的軟件？這不是我們的問題，這是經(jīng)典網(wǎng)絡(luò)的問題。云上的經(jīng)典網(wǎng)絡(luò)就是大的網(wǎng)絡(luò)，中間沒有任何隔離。所有這些機(jī)器都可以相互PIN到，可以相互訪問。這是一個(gè)小的機(jī)群，如果在座各位用公有云和經(jīng)典網(wǎng)絡(luò)，一定要小心一點(diǎn)，這些網(wǎng)絡(luò)并沒有隔離措施，云上的主機(jī)都可以被訪問到。如果企業(yè)比較核心的內(nèi)容放在上面，這是比較可怕的事情。

這些客戶在使用這些云主機(jī)，漏洞管理是安全人員很大的工作，把漏洞堵住了，安全效能就會(huì)提升上去。我們發(fā)現(xiàn)很多主機(jī)上存在redis未授權(quán)訪問漏洞，我們用軟件非常方便的排查定位，并且修復(fù)了漏洞。

我們有一些商用的客戶，現(xiàn)在管理的客戶的主機(jī)數(shù)量，最大的單個(gè)客戶有上萬臺(tái)主機(jī)，在運(yùn)營(yíng)商和金融行業(yè)都會(huì)有。我們的產(chǎn)品是分布式的架構(gòu)，對(duì)于框架和資產(chǎn)的清點(diǎn)是非常方便的。我們的軟件會(huì)定時(shí)清點(diǎn)一遍每臺(tái)主機(jī)上的資產(chǎn)，而且會(huì)做到分級(jí)、分權(quán)管理，包括集團(tuán)公司、子公司都可以一目了然的目前使用的服務(wù)器和主機(jī)從安全的角度資產(chǎn)是什么樣的情況。第一，做到心里有數(shù)，我管的錢和資產(chǎn)究竟是什么樣的情況。第二，在資產(chǎn)出現(xiàn)風(fēng)險(xiǎn)的時(shí)候，你能夠快速的定位。比如，清除了一個(gè)Struts2漏洞，你管著上萬臺(tái)主機(jī)，怎么快速定位這些漏洞，怎么快速定位哪些機(jī)器上有這些框架，哪些機(jī)器上有這些漏洞，用青藤的產(chǎn)品可以非常快速的定位這些資產(chǎn)。我們也回來提供幫助，做相關(guān)的漏洞資產(chǎn)的導(dǎo)出和修復(fù)。

最后再舉一個(gè)場(chǎng)景化的實(shí)例。黑客干活都是趁大家下班以后。這是能源行業(yè)的客戶。安全駐場(chǎng)人員在下午下班時(shí)間接到產(chǎn)品告警，發(fā)現(xiàn)了“反彈shell”和“Webshell”，迅速的進(jìn)行排查。安全人員使用了安全日志操作審計(jì)，檢查黑客操作的每一條命令，發(fā)現(xiàn)歷史記錄被黑客清空了。因?yàn)楹诳涂傁腚[藏自己的痕跡。但是，青藤有一個(gè)審計(jì)功能，所有黑客入侵的痕跡都被記錄下來。我們不慌不忙的看到了黑客是怎么進(jìn)來的。黑客利用系統(tǒng)漏洞進(jìn)行了提權(quán)，安裝和修改了一些文件，裝了rootkit系統(tǒng)后門，并且發(fā)現(xiàn)了多個(gè)系統(tǒng)后門和被篡改的關(guān)鍵位置文件。

最后我們分析出來黑客入侵的路徑就是strust2漏洞，黑客上傳webshell后進(jìn)行提權(quán)及安裝后門操作。我們的報(bào)告可以完整的還原黑客是怎么進(jìn)來的，我們?cè)撛趺礃舆M(jìn)行響應(yīng)。我們的系統(tǒng)也試圖進(jìn)行自動(dòng)化的響應(yīng)，但從安全的角度，不僅在中國(guó)，在全球范圍內(nèi)，對(duì)黑客事件沒有辦法完全做到自動(dòng)化的響應(yīng)。

我還要強(qiáng)調(diào)一個(gè)“微秘端”，我們?cè)诎惭b了軟件的每一臺(tái)機(jī)器上虛開一個(gè)端口，這個(gè)端口對(duì)于已經(jīng)進(jìn)來的黑客掃其他機(jī)器是非常有幫助的。它可以大大提高內(nèi)網(wǎng)誘捕黑客的幾率。

對(duì)于企業(yè)來說，傳統(tǒng)的安全設(shè)備必須得上。從最后的效果來講，要講安全的最后一公里，對(duì)企業(yè)來講最重要的就是服務(wù)器，因?yàn)榉?wù)器是承載企業(yè)最重要資產(chǎn)的負(fù)載。如果能在服務(wù)器做好安全，相當(dāng)于開啟了“上帝視角”，你能夠縱覽全局，你能夠知道安全資產(chǎn)，能夠快速定位漏洞，能夠很清晰地還原每一次黑客入侵事件。資產(chǎn)清點(diǎn)做到完全自動(dòng)化，我們的軟件設(shè)定每天做一次全量掃描。如果你管著上萬臺(tái)的主機(jī)、10萬臺(tái)的主機(jī)都沒有問題，全量掃描的時(shí)間也就是幾分鐘，對(duì)系統(tǒng)資源幾乎沒有消耗。如果有實(shí)時(shí)的入侵，也可以相對(duì)輕松的做響應(yīng)分析。

青藤的產(chǎn)品不僅想服務(wù)于客戶，我們還想服務(wù)于甲乙方的安全人員。我們希望甲乙方的安全工程師都能夠從工程師的角度變成安全分析師，幫助安全行業(yè)進(jìn)一步的提升。

我們會(huì)在主機(jī)層面采集很多數(shù)據(jù)，所以我們也會(huì)新開了功能，對(duì)在主機(jī)上采集到的珍貴數(shù)據(jù)進(jìn)行大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)，希望幫助甲方把安全提升到新的高度。

我們服務(wù)了很多的大型商用客戶，上萬代的主機(jī)并發(fā)，做到了穩(wěn)定可靠。產(chǎn)品本身也是非常安全。我們的軟件是絕對(duì)的綠色進(jìn)程，如果是跟別的軟件有沖突，我們可以做自殺打卡機(jī)制，對(duì)系統(tǒng)資源最小的耗用。同時(shí)，我們的軟件做到了對(duì)人最低的要求，非常簡(jiǎn)單易用。

我們現(xiàn)在有三個(gè)功能模塊，資產(chǎn)清點(diǎn)、風(fēng)險(xiǎn)發(fā)現(xiàn)、入侵檢測(cè)。我們今年會(huì)開發(fā)三個(gè)功能，日志安全、安全基線、快速任務(wù)。我們希望這是一個(gè)平臺(tái)級(jí)的產(chǎn)品，把很多能力開放給安全從業(yè)人員，讓大家做更多自由的發(fā)揮。

我們現(xiàn)在已經(jīng)有很多大型的客戶，在互聯(lián)網(wǎng)、金融、運(yùn)營(yíng)商和政府行業(yè)。

最近剛剛有一家美國(guó)媒體把我們?cè)u(píng)為全球前十位的云安全初創(chuàng)公司。過去一年之內(nèi)三度入選Gartner報(bào)告。入選全球最酷安全廠商是非常難的。我們的投資方，A輪是寬帶資本，B輪是紅杉資本。我們認(rèn)為主機(jī)安全是安全的最后一公里，希望有更多的機(jī)會(huì)跟大家交流。