NSC2014網康科技創始人CEO袁沈鋼
責編:rhliu |2014-10-24 12:25:06互聯網時代下的企業安全變革
過去10幾年的時間中國互聯網已經開始做到世界頂尖級的水平了,而且在有些領域,在創新性方面已經開始世界領先了。但是從B2B的角度來講,中國還是在這方面發展的速度相對來說慢。我們的B2C企業,或者是BAT這樣的企業,或者是其他的第二層的互聯網企業,大概現在是幾百億美金的市值或者上千億的,已經比較多了。但是在B2B的企業,1Billion美金的公司還是相對來說比較少的。就B2B行業里面說到企業安全,應該說在過去的10年當中的發展同樣是落后于B2C的行業。我們可以看到,過去在安全領域,B2C行業當中有很多殺毒的公司,過去有瑞星,后來有奇虎、騰訊、百度都在做殺毒,而且B2C的安全和殺毒相對來說做得都是不錯的。但是我們在企業安全方面,遠遠落后于互聯網時代對整個社會企業,包括國家在這個層面的要求。我今天的演講想從這個方面來跟大家稍微做一些自己個人體會的分享。
中國的安全投入,可以看到這個數據,跟日本和美國比,我們的差距還是非常大的。中國的安全在整個IT的投入大概只占我們IT投入的1%。目前美國能達到4%,而日本大概能達到6%。不好的情況是什么?我們安全的市場還是太小了,而且投入程度太低。好的情況是什么?就是跟非洲沒有穿鞋一樣,就是說我們未來的安全增長空間還是比較大的。你可以大家,要達到美國的水平,要有4倍的增長空間,要達到日本的水平,要有6倍的增長空間,所以說空間還是很大的。
我們可以看到,中國整個IT市場的規模大概在2千多億美金,而我們整個安全市場是18億美金,100億多一點,整個比例還是很大的。但是由于我們互聯網蓬勃的發展,國家的需求,包括企業個人的安全需求,未來這種增長空間還是比較大的。從IDC的預測角度來講,到2018年,我們可能會出現從現在16億、18億美金的增長到100億美金的增長空間,所以說安全市場對于我們在座的諸位很多從事安全行業的市場來說,我覺得還是一個蓬勃向上發展的非常朝陽的行業。這既代表著國家的重視,也代表著我們整個行業從事人員的一個機會。
我們看一看,同時在美國,除了個人安全的企業,反倒是個人安全的企業并不是非常急劇的發展。因為我原來在賽門鐵克工作,賽門鐵克、McAfee,這樣的安全企業并不是急劇的快速發展,而在美國,反倒是B2B的安全企業在高速、快速的發展。這個發展已經延伸到了整個互聯網的這種基礎設施,而它的這個解決角度并不是完全是從消費的角度解決,而是大量的從企業的安全角度解決,從企業對社會責任的角度來解決這個事情,而不僅僅是從個人安全來解決這個事情。所以說這種效率和結構跟我們目前在國內解決企業安全的這種方式、方法和結構還是有不同的。可以看到,他們從CDN的角度,或者是Web防護的角度,有CloudFlare,白名單技術有Bit9,從網絡層面有Paloalto,沙核技術有FirEye。還有就是大數據技術,就是Splunk,可以看到整個技術沿著三個方向,第一個方向就是走到網絡應用層上去,不再僅僅局限于三層到四層的網絡安全,開始到網絡應用層的安全,主要的代表是Paloalto還有一個代表就是已經開始向云或者是中心的安全在移動,而不僅僅是做終端和邊界的東西。
我覺得過去我們做安全,特別是在McAfee或者賽門鐵克做安全,大量的是用的匯編語言,或者是逆向工程,我們經常說的案件就是大量的做逆向工程,然后看整個的黑客攻擊、病毒傳播或者是逆向怎么做這個東西。我們手工作坊式的技術,跟不上黑客的道高一尺,魔高一丈的攻擊發展和變化。除了我們繼續要提供很大的關鍵技術的挖洞、保護或者是防止人的攻擊,我們可以看到,他們在用大數據的技術、應用層的技術,來解決整個互聯網大規模的安全的攻擊,而不僅僅是防一兩個洞。在今天的這個社會,到處都是動,而最重要的東西是對安全的攻擊的洞察力,感知力和探測能力,而不僅僅局限于怎么來發現一個洞和探知一個洞。
我們可以看到,國外安全技術很大的一個特點就是全面的開始向軟化、應用服務平臺,包括大數據上進行轉移。國內在過去10年左右的時間主要集中在硬件方面,而且集中在硬件盒子上面,我們可以看到,現在硬件盒子性能越來越高,盒子越來越大,而且這個盒子我們國內的用戶或者是一些客戶感知的一個事情,買了盒子總是覺得很之前,很方向的,實際上現在的安全防護大量的是軟件、服務和能力的事情,而不僅僅是一個性能的事情。如果這個盒子做得比網線還快,比整個網絡出口的帶寬還快,但是不能夠防護,不能夠讓你感知攻擊,不能解決這種攻擊的話,那么你這個盒子買了是不起作用的一個事情。在技術層面,這是帶來了一個很大的變化。
網康在2012年開始做下一代防火墻,主要在應用層面、數據關聯性層面、用戶洞察力層面來解決過去安全無法感知的問題。從預測的角度來講,5年的負荷增長率會超過40%,而且在國外也開始全面的替代傳統的防火墻,特別在企業網出口、校園網出口,用來感知應用的這些地方,來全面的替代傳統防火墻和UTM。
第一代防火墻過去是包過濾的東西,在三層、四層上進行防護,最后開始做應用代理,包括狀態防火墻。在這個發展的過程中,他發現僅僅是做包過濾或者是狀態防火墻,檢測TCPIP的狀態還是不能夠解決問題。到了后來,就發展到UTM這個狀態,就是說除了防火墻在ACL的控制方面,在網絡三層、四層的控制方面開始加IBS入侵檢測。但是這里面UTM所帶來的問題,一個問題就是數據的這種關聯性的問題,就是安全數據是有各個模塊的,數據的關聯性解決不了。還有就是整個的網絡引擎都是一個個模塊,像串糖葫蘆的方式。所以說在早期的UTM,它的性能衰減是非常大的。2009年,包括Paloalto,他們提出了解決關聯問題和事件回溯性的問題,還有就是啟動一個一體化引擎,來解決性能和通過率的問題,這就是整個到了第七代的下一代防火墻,這是整個防火墻的發展歷史。可以看到防火墻的發展,我們過去強調的還是在數據通訊方面,主要是在三層、四層,彌補原來路由器這方面的路由協議安全上控制不能解決的問題。另外防火墻很核心的一個功能就是訪問控制,網端隔離的事情。最后在UTM上,后來開始加上一些特征匹配,然后進行一些安全防護。
下一代防火墻除了在這方面提供一個特征之外,很大程度上想去解決原來傳統防火墻和UTM很大程度上的問題,大量的網絡數據,IP地址、目的地址,包括端口號,實際上對于一般的技術人員看不清這個問題。你看到的都是協議,實際上在現在這個互聯網時代,我們有幾千種PC機的應用,大概能夠到十萬級的移動應用,整個都是應用的時代,你僅僅看到STTP,僅僅看到DNS,僅僅看到FTP的東西還是不解決問題,你還是要解決這些基礎協議之上到底是什么樣的應用,這個應用是可信任的嗎?是在你的白名單里面還是在黑名單里面,是跟你的企業環境相關的還是不相關的?到了這個層次。
防火墻有防火墻的日志,IPS有IPS的日志,殺毒有殺毒的日志,URL過濾有URL的日志,所有的安全模塊必須一個個去看,還不知道它們之間每一個發生事件的關聯性,這是過去我們說傳統防火墻和UTM很大程度上解決不了的一些難題。我們在下一步防火墻做了這么一個嘗試,開始向現在的殺毒廠商,像騰訊、百度、360這樣的廠商,我們也可以給企業的安全評等級、評分。如果你的安全在一級、二級的時候相對來說你是比較安全的,如果到了四級、五級的時候,可能要采取一些措施,我們也可以自動化的幫助你采取這些措施,來降低你的安全風險,使你這個企業安全能夠有一定程度的提高,我們叫安全風險評估。我們所有展示的這些流量都是跟應用相關的,都是跟用戶相關的,而不再是簡簡單單的一個協議層面的東西。
我們現在做的事情就是,我們可以看到有PPTV,有QQ,有360殺毒,有優酷,我們把現在每天所使用的網絡應用,包括過去這種基線模型給用戶展示出來,然后你基于這些基線模型,讓用戶看到現在的網絡變化的情況,跟昨天,過去的10天、30天有什么不同,實際上大量的這種攻擊和各方面的東西,有的時候你也不知道這個洞在哪里。但是你能夠看到跟你過去的行為模型、應用模型、數據模型和流量模型的變化。實際上我們管理人員各方面最能夠感知到的就是這種快速的變化。但是實際上對于一般的技術人員來講,或者是缺乏安全知識的人員來講,你讓他深入到某一個細節當中他未必知道,但是他能夠知道這種變化,能夠知道自己可能暴露在網絡威脅當中,暴露在網絡攻擊當中,這個是現代安全當中很重要的一個東西。你要讓他能夠感知到威脅,這是安全當中很重要的觀點,而不是僅僅說我能幫你找到這個洞,光找到洞不行,因為洞數不清,你必須要讓他知道,我什么時間開始暴露在這個威脅當中,暴露到威脅當中的時候,他才能采取一些應對性的措施。比如最簡單的,關閉一些應用,把一些用戶進行隔離,或者說內網當中由于有僵尸,由于有木馬,在進行反向的連接攻擊,那我把這些反向的攻擊連接排除出去,這是很重要的手段。
我們還在看這種連接的國家,在這個網段當中,什么時間在跟柬埔寨進行連接,什么時間跟臺灣進行連接,跟尼泊爾或者荷蘭進行連接,所有這些連接的東西都可以跟應用相關,都可以跟用戶相關,而且是把所有的這些連接的東西,由于一體化引擎,可以把數據的這種相關性建立起來,都可以深入一層,點擊進去來看,我今天所發生的連接為什么開始出現跟尼泊爾的連接,我的這個連接有可能暴露出來我的一種安全風險和漏洞,這也是我們在這方面做的工作。點擊進去之后我們還可以告訴你的安全建議是什么,內網網段是什么,外網網段是什么,然后告訴你,這個IP在進行IP掃描,那個是一個阻擊的DDoS的攻擊。所以我們在做下一代防火墻方面,包括安全事件的回溯,試圖給大家提供一個全網安全的洞察力,這是在下一代防火墻方面。
我們傳統的防火墻或者UTM,大量的是把這個設備裝到網絡當中,網管員或者是工程師經常是一個月、兩個月、三個月都不去登錄,因為給他帶來的有用的信息和價值還是太少了。但是下一代防火墻,可以讓他天天看到網絡的變化,包括發生的這種應用事件和用戶行為的回溯,這是讓他看到的價值,全網的洞察力。
我們經常說互聯網精神,每個人在互聯網時代當中對互聯網精神都有一個體驗,包括用戶體驗是唯一的標準。就安全設備角度來講,我覺得很大的一個程度上,我跟大家分享一個體會。我覺得安全產品一個很重要的體會就是要解決兩個問題,我們現在的安全產品做完之后用戶使用的頻度太低了,你這個頻度太低的話,實際上也代表著用戶的體驗不好,我們傳統的企業安全或者企業安全設備一定要解決用戶使用頻度的問題。如果你一個企業安全設備,用戶的使用頻度在提升,我覺得這個企業安全設備的價值就越來越大,對用戶的用處越來越大,代表著用戶的體驗也越來越好。如果這個用戶一天能夠到我們下一代防火墻當中登錄10次,或者每次都看三四分鐘這樣的東西,我覺得這個產品就達到了我們的目標效果和價值了。如果這個產品做的十天半個月用戶放在那里,基本上不登錄,不管,不看,我覺得這個企業安全的產品實際上是沒做好,也就是沒有適應互聯網時代的這種技術變革的需求。在企業安全方面,我們的安全企業要適應這種變革,一定要把這個產品和用戶體驗做好,把頻度做上去。
我們企業安全的產品很大程度上做的事情就是僅僅為網管員做。實際上我們希望企業安全這個產品要解決這么一個問題,不僅你要為網管員做,而且要為企業的很多部門、領導,CSO、CIO,甚至是CEO來做,這樣才能增加企業安全的價值。否則的話,這個企業安全僅僅就是網管員來使用這個產品的話,它的受眾群體太小,受眾群體太小的話,也代表著你這個企業安全產品的價值不夠大。我們在這方面也是在做改變和嘗試,包括我們的上網行為產品也在做這方面的改變和嘗試。
互聯網產品很大程度上安全產品要形成一個閉環。我們過去是做出了這個Feature,做出了這個功能、性能和速度,但是基本上安全產品缺乏形成閉環的能力。我覺得在殺毒市場,在互聯網企業,在B2C企業當中,很大的一個創新就是產品做出了這么一個閉環。由于做到了閉環,用戶嘗到了甜頭,每天還去檢查這個閉環,看到這個產品的價值,這個時候這個產品就做得好,用戶體驗就好。而安全產品,往往是我們做了這個標準,通過了這個檢測和各方面。實際上對于用戶角度來講,你通過了這個檢測,通過了標準和等級保護,但是你給我帶來的價值閉環在哪兒?這個問題沒有解決。所以說我們的企業安全產品,過去大量的是靠大量的銷售人員,靠項目,靠關系,難以產生這種閉環價值的驅動力,這是我們做企業安全方面很大的一個誤區。
我覺得在新的互聯網時代,包括企業變革的時代,很大程度上我們要改變這個事情。就是說用互聯網的思維來做企業安全,產生對用戶價值的閉環。用戶用了你這個東西,能夠看到這個企業安全效果的提升,能夠發現這些問題,包括解決這些問題,讓他探知到這種攻擊和各種各樣的問題。我們并不僅僅是為了通過認證,通過國家標準,我們看到國家在大力支持,網絡安全在大力支持,但是我們不是靠著國家說我們要大戰安全了,我們就能夠興旺發達起來了,而還是真真切切的,必須給用戶帶來閉環性的價值,這個產業才能發展起來。光靠國家的號召或者是國家的推動,還是解決不了這個問題。整個互聯網的發展并不是靠國家的號召,或者是成立一個小組就能發展起來的,還是靠這個行業自身持續不斷的創新和努力發展起來的,這是我的核心觀點。
期待著跟行業的各位,包括在整個行業,我們在企業安全方面持續不斷的創新。我們過去的企業安全產品做了很多功能性的事情,做了很多性能性的事情,完成了我稱之為基本的一個東西,或者是接近及格的一些東西。但是我們企業安全還是遠遠適應不了這個互聯網時代的需求,那么我們就需要變革。變革無外乎就是我剛才所說的這幾點,我們要解決用戶的操作簡單,讓更多的人來使用企業安全的互聯網設備,讓大家參與使用這些東西。原來他裝上了,他不懂,很難用,我們要解決易用性和參與性的問題。另外我們要解決的就是用戶的黏性問題,一定要使用戶更高頻度的,更廣泛的參與到企業安全設備的使用、管理和價值呈現方面,給用戶提供互聯網時代的企業安全產品,企業安全市場才能夠做大,才能夠有小得可憐的16億美金到18億美金的市場,我們說現在互聯網時代是三十年河東,三十年河西,我們B2C的企業是三十年河東發展得很好了,但是在中國,B2C的安全企業還是一直生存在相對來說掙扎或者是困難的狀態。我們希望未來三十年企業安全企業也能夠發展起來,大家共同努力,謝謝大家!
