對話問答:OpenDNS創始人就云安全給IT前景造成的影響作出評
責編:admin |2014-10-27 16:59:05David Ulevitch是OpenDNS公司的創始人兼CED,這家DNS服務與安全企業坐落于加利福尼亞州舊金山市。Ulevitch最初建立的另一家企業EveryDNS公司是由一個大學研究項目衍生而來,并在隨后的發展中積累下10萬名用戶——不過他在2010年將其出售給了Dyn有限公司。
就在今年,Ulevitch被Inc. Magazine選入“35歲及35歲以下”企業家名錄。
他最近在由Box召開的BoxWorks年度大會上就互聯網安全作出發言。Ulevitch還曾在世界經濟論壇上就這一話題進行過評述,而就在之前其OpenDNS公司當選為2011年技術先鋒企業。
記者:互聯網安全是一項規模龐大的業務類別,而且眾多企業都在斥巨資用于其網絡及數據的保護工作。但時至今日,我們仍然常常能夠聽到關于重大安全事故的報道。為什么會這樣?
DU:盡管目前市面上的安全方案供應商數量眾多,人們也愿意在安全工作上投入大量資金,但從安全性的切實提升角度來看、這一切并不一定就能帶來理想的結果。為什么會這樣?真正讓企業身陷困境的狀況是否真正得到了解決,特別是中小型企業所面臨的難題?他們又可以采取怎樣的安全實踐手段來在推行安全教育的同時、切實改進自己在安全領域的地位,從而幫助自身徹底擺脫頭痛醫頭、腳痛醫腳的被動局面——或者解決更為糟糕的狀況,即根本拿不出足夠的資源來應對出現在面前的攻擊活動?
記者:這些問題確實極具現實意義,那么答案又是什么呢?
DU:首先,我們需要理解云計算到底改變了什么——事實上,它不僅改變了問題本身,也改變了解決方案,即解決問題的方式。我們認為IT的發展前景將迎來一次巨大的轉變。
記者:您所說的轉變到底是怎么一回事?
DU:從傳統角度講,人們走進自己的辦公室后旋即坐在辦公桌前,利用自己的臺式機或者筆記本設備接入位于自有本地網絡中的文件服務器,而且他們所使用的應用程序也都由內部辦公環境負責托管。他們在辦公室內使用文件,在辦公室內使用計算機,就連他們自身也始終處于辦公環境當中。因此從IT發展前景的角度來看,安全性的考量體現在將整個企業視為一座堅不可摧的城堡,而我們對城堡加以保護的方式當然是圍繞著其外部構建防御工事。我們會為其保留一個入口與一個出口,并在這里部署防范措施以監控出入流量,這就是防火墻的職責所在。這可能說是實現安全保障的最簡單方式了,因為我們能夠輕松獲得對出入辦公環境的信息流量的控制權。
記者: 那么現在情況出現了怎樣的變化?
DU:這個嘛,現在企業員工開始使用無數不同類型的設備——其中一部分歸屬于企業,但也有一部分歸屬于員工自己——此外大家還需要面對移動設備,其中最典型的就是Android與iOS智能手機以及iPad平板設備。回顧過去,當時整個企業當中約有80%到85%的應用程序運行在Windows環境之下,但如今這一數字在未來兩年中將下降至不足35%——這絕對是種巨大的變革,也給我們的應用程序保護目標設置了重重挑戰。如今,應用程序開始向基于Web或者遷移至云端演變,因此大家原本所熟悉的內部甲骨文應用被現在的Salesforce所取代,原本的Exchange Server變成了現在的Google Apps,大家甚至開始使用Box、Dropbox乃至Office 365這類與內部運行環境完全無關的不同工具。
有了這些新型設備,企業員工就能夠使用完全運行在企業環境之外的云應用。他們可以在星巴克工作、在自己家中工作甚至在機場和路上都能工作。這種根本性的變化無疑將給IT的發展前景引導至完全不同的新方向。
記者:那么在這種新型IT前景之下,我們又該如何實現安全保障目標呢?
DU:從安全角度出發,由此帶來的負面作用在于,所有面向安全的傳統解決方案都已經不再適用于當下的新環境。大家根本沒辦法將應用程序硬性控制在網絡邊緣,因為業務體系中的往來流量將被劃分成越來越多規模較小的片段——這是因為員工開始更多使用來自外部環境的云服務機制。
記者:這樣說來,如果防火墻已經不再足以保護整座城堡,那么我們難道不能單純將設備作為保護對象嗎?
對于大多數安全方案供應商來說,他們一直所秉持的安全實施思路就是檢查惡意軟件副本并構建與之映射的防護模式,最終將這套模式交付至所有購買了該方案的客戶手中。
這種處理方式之所以無法繼續起效,或者說家得寶以及Target公司遭受數據泄露的原因所在,是因為當下的惡意軟件擁有兩種足以成功突破傳統應對措施的重要特性。
第一點,惡意軟件存在多態性。具體而言,惡意軟件每次對自身進行復制時,生成的副本都會與原先存在一定程度的差別。就在我們獲取副本并根據其狀況構建模式的同時,這種應對模式已經推動了實用意義、因為每套惡意軟件副本所遵循的模式都不完全相同。
第二個原因在于,如今很多惡意軟件其實是專門針對特定受害者群體的,因此大家所遭受的第一次攻擊實際上也就是最后一次攻擊。惡意人士所扮演的更像是狙擊手角色,而非拿著獵槍與我們正面對轟。
記者: 聽起來實在有些可怕。
DU:從積極的角度看,這也給了我們重新審視安全保護思路的大好機會。
這也正是如今眾多小型安全初創企業不斷涌現的原因所在。IT領域面臨的單一一種顛覆性現狀已經足以創建出一套全新安全保障體系,而當下我們則同時面臨著三種:移動生產機制、多設備介入與云應用程序。
現在市場上的安全方案供應商能夠替我們打理身份驗證方面的管理工作,幫助我們規劃面向不同服務的登錄方式,這樣我們在雇傭新員工的時候就用不著向其傳達太過復雜的規章制度。此外,我們也擁有足以承擔起數據加密任務的供應商,他們能夠妥善處理我們保存在Salesforce或者Amazon當中的業務信息,從而讓云端數據變得更加牢固可靠。
此外大家還擁有像OpenDNS這樣的服務供應商,我們不會將保護職責完全寄托在一臺冷冰冰的設備身上; 我們認為自己有能力帶來標準甚至更加理想的安全保障成效,而且是以服務的方式進行交付——每天二十四小時、每周七天。這種服務會結合背景信息并擁有動態特性,因此它能夠根據客戶的業務定位、所在位置以及訪問對象來制定正確的安全與管理政策。
記者: 具體來講,OpenDNS是如何實現上述目標的?
DU:我們的解決辦法就是,“沒錯,我們知道互聯網上足足有3億個站點允許大家自由訪問,”但對于北美地區那些平均員工數量在50人左右的企業而言,真正有可能引起他們注意的網站其實只有300萬個——剩下的他們可能這輩子都聞所未聞、見所未見。
有鑒于此,我們可以投入大量時間以確保從信譽、行為以及其它各類科學研究角度出發對目前擁有的數據進行歸類,并為其所有活動添加背景信息。具體而言,如果與您規模相當的其它企業當中沒有任何一位員工訪問過來自東歐地區的某個IP地址,那么我們也不建議各位去當這種實驗性小白鼠——我們會親自上陣對其進行深入分析。當然,如果大家對于自己的判斷很有信心,我們也尊重各位的訪問意愿。
我們擁有大量技術成果儲備,足以保證我們擁有比威脅更快捷的反應速度,而且遠早于那些只有在威脅真正出現在客戶計算設備上才能發現問題的安全設備。換句話來說,我們的目標是搶在大家對惡意軟件進行下載之前就阻止這種行為。
記者:那么您如何判斷威脅身在何處?您又是如何獲取安全保護所需要的數據的?
DU:我們的網絡體系每天承載著5000萬用戶的日常使用,單昨天一天我們就處理了600億次DNS請求; 我們會將其記錄、保存下來并加以分析。這還僅僅是我們分析對象中的一半。另一半則來自其它來源,例如域名注冊、互聯網上的BGP路由信息以及哪些網站負責托管其它網站。我們會將這些背景信息匯總在一起。我們的研究團隊構建起了大量分類引擎及算法,專門用于從這些數據當中挖掘出使用模式; 因此,當出現了偏離固有使用模式的狀況或者不同于原有分類機制的活動時,我們會通過算法進行阻止或者為其設置紅色標記。
記者: 這種服務所對應的市場是怎樣的?
DU:我們銷售的產品名為Umbrella。我們很久以前就已經決定采取這種獨立于設備之外的安保服務方式。我們并不在乎大家實際使用的到底是筆記本還是平板設備。我們的收費單位也并非每臺設備,而是每一位用戶。
我們的合作伙伴當中包括2000家活躍MSP(即管理服務供應商),他們一直以來都在幫助我們進行服務產品銷售。作為虛擬CIO角色,他們負責現實層面上的服務銷售、配置與定價,并與客戶直接交流。我們的大部分MSP合作伙伴都會將這些服務融入到客戶的每月使用成本當中,而我們則以每用戶每年的方式向其收取費用——理由很簡單,他們很清楚在我們服務的支持下,客戶能夠有效應對惡意軟件帶來的負面影響、降低釣魚攻擊的危害并免受其它安全妥協問題的困擾。這樣一來,他們的運營收益也能得到良好的保障。有時候這些商家甚至會將服務直接交付給客戶,我們并不在意他們具體采取怎樣的銷售方式。
記者:您與這些MSP之間是怎樣的一種合作關系?
DU: MSP幾乎為我們貢獻了整體業務收益的三分之一。他們能夠切實幫助我們更好地獲取客戶反饋與產品使用意見。我們也會投入大量工程技術資源來確保自身能夠為其提供足以肩負重任的安全解決方案。
我們也從MSP業界學習到了大量寶貴經驗,其中最重要的一點就是他們在IT執行流程中擁有非常出色的協作與溝通能力。正因為如此,我們才能夠在MSP領域中積累起強大的業務實力。目前這部分營收已經成為我們業務體系內發展速度最快的分支,因為我們擁有良好的口碑、信譽以及服務供應商的強烈推薦。為了保持住這一發展勢頭,我們建立起完整的工程技術與產品團隊來專門與MSP合作伙伴進行對接。我們還將自身服務與Kaseya、Autotask以及其它工具進行整合,幫助他們更好地為客戶帶來自動化配置方案。他們能夠利用這些工具直接實現OpenDNS產品的配置工作。
記者:您覺得這些變化給MSP業務帶來了怎樣的影響或者說轉變?
DU: MSP對我們的原有服務模式作出了調整,從而使其更適合他們自身以及客戶的實際需求。他們在扮演虛擬CIO角色的同時,也成為了技術的真正推動者。
他們過去一直將注意力集中在為小型企業、也就是他們支持服務的主體對象提供上門服務方面。他們需要親自前往現場并殺除筆記本電腦中的病毒; 他們會對筆記本進行全新設置或者干脆配置新的設備; 他們還得管理并維護Windows Exchange Server或者微軟的小型企業服務器; 此外,他們基本上按小時收費。但現在情況已經完全不同,前面提到的很多軟件已經逐漸從業務環境中消失了。
換一種更為直白的說法,這些服務供應商不再親身前往客戶處處理IT工作并從對方企業手中獲取報酬; 相反,他們現在轉而以客戶為單位計算服務成本,例如每月每位員工100美元,并包攬下其全部IT技術任務——設置電子郵件、部署備份機制、實現安全保障——而這也充分調動起了MSP合作伙伴的積極性。客戶感染情況更少、備份效果更好、系統運行狀態更可靠、需要進行上門服務的比例也更低,一切都比原先更加理想。他們不再以現場工作的小時數來收費,現在他們無需前往客戶所在位置、但卻能夠賺到更為豐厚的回報。
記者: 也就是說,現在的處理方式更有利于他們的財務狀況?
DU:現在的這種業務模式以更為高效的方式實現資源利用。MSP合作伙伴如今能夠以數量更少的員工為更多客戶提供支持。舉例來講,如果他們有30家客戶現場需要處理,每個現場的工作需要耗時3個小時,那么現在的新方案能夠為其提供十倍以上的處理效率。這顯然意味著更為可觀的利潤、更理想的穩定性收入并為客戶帶來更具可預測性的成本支出。
這才是真正的雙贏結果。由于現在大部分工作是以虛擬方式而非上門服務實現的,因此客戶能夠擁有更多供應商選項——他們用不著再單純從公司所在地周邊的五英里范圍內進行搜索了。除此之外,新機制也使得小型企業擁有者能夠享受到其原本根本無法承受的大型工具與大規模服務方案。
記者:讓我們再回到OpenDNS本身。是不是必須首先成為DNS服務的客戶,才能進一步享受到您所提供的Umbrella安全平臺?
DU:沒錯,我們確實提供一項遞歸DNS服務,而這也正是瀏覽器準確找到目標網站的方式所在。大家必須要使用這項服務才能訪問到我們的安全服務。
我們的客戶其實并不一定是為了DNS服務才購買我們的產品,事實上他們購買的其實是安全保障。我們運行的DNS服務只不過是其中的一個側面,我們同時也為其解決各類其它問題。
記者:那么與傳統解決方案相比,通過云交付的安全機制有著哪些不同?OpenDNS又是如何利用這些潛在優勢的?
DU:二者的區別絕不僅限于員工開始在辦公環境之外處理日常業務,也不單純在于能夠讓這些虛擬CIO更輕松地實現部署。事實上,云安全——也就是我們所采用的安全機制——從本質層面上更具吸引力,即使使用者并未真正離開自己的辦公室。這是因為我們以實時方式找出包含在全局體系中的威脅因素,并通過智能化方式對各個客戶加以保護。想象一下,每天有5000萬用戶通過我們的網絡進行協作,這將迸發出多么巨大的能量。
我們同時也在對受感染用戶以及非感染用戶的流量模式進行審查,而且整個實施過程真的非常快捷。我們擁有一個研究團隊,專門負責分析數據并向其中添加大量背景信息,從而真正識別出互聯網當中不同部分是安全還是危險——通常能夠在大家下載惡意軟件或者受到感染之前就加以阻止。
與此同時,我們現在已經擁有越來越多追蹤記錄以及安全威脅識別信息,甚至能夠在問題出現之前就將其揪出來。我們還會經常發布這些數據,至少是以半公開方式交付給安全研究業界。