现代公司必须尽快在其终端上挡住多种威胁

——F-Secure首席执行官萨姆·康提能

F-Secure CEO 萨姆·康提能

2017年终将上升的数据泄露和网络攻击，注定要给安全人员带来更多的不眠之夜。面对公司的IT基础设施现状，CSO们在网络与终端这两个安全领域的空白填补上大多十分困惑。萨姆·康提能，F-Secure总裁兼CEO，近期接受媒体采访，回答了关于威胁态势、竞争厂商，以及网络安全的未来等问题：

问题1. 作为F-Secure的首席执行官，什么是您在这个职位上最关注的事？

答：F-Secure不是初创公司，但与赛门铁克这样的行业巨头相比，我们还很弱小。我们不能装作是你什么都能从中拿到的网络安全超市。因此，我们特别专注于在我们经营的领域提供“一流”的解决方案。

在B2B领域，终端已经从传统反病毒(AV)预防扩展到了检测能力。有些厂商将之称为下一代，有些叫做EDR(终端检测与响应)。终端安全上已经出现了一种范式转移，人们不能依赖安全解决方案来阻止所有威胁。坏人技术高明，且毅力持久，只要他们盯上你的公司，他们终将侵入到你的网络。你的安全解决方案应该具备尽快检测出入侵者的能力，因为你拦不住他们。在终端方面的扩展，更多是关于基于行为的异常检测，这上面传统AV或“一流”防火墙可做不到。

我们正朝着漏洞管理这个有趣的领域迈进。目前，F-Secure是唯一一家具有将终端和漏洞及补丁管理融合起来的价值主张的厂商(长期以来都作为终端投资组合的一部分)。终端防护、漏洞管理和补丁管理，为公司的CSO和CISO们，创建了一个合乎逻辑的整体解决方案。

我们还探索某些新的云端威胁及其攻击方法。几个月前，我们宣布成为Salesforce.com的唯一网络安全供应商，为Salesforce环境提供额外的安全层。

问题2. F-Secure正将重点从消费类业务快速转移到B2B上来，目前为止的成绩如何？

答：到B2B业务的转变从3年前就开始了。现在，50%以上的公司一线产品都涌自B2B。今天的App经济下，随着消费者转向免费安全解决方案，消费市场已经发生了巨大改变。有些同行觉得这种模式也无妨。但如果免费产品实际上是在挖掘消费者信息和数据，那么该安全公司就是在侵害消费者隐私。我们不会进入这种广告和数据驱动的免费商业模式，所以我们将投资从B2C转移到了B2B。

我们状况良好，增长高于市场增长速率。但我们也非常警惕与专注，因为我们无法忽视来自市场中安全巨头的竞争。我们必须成为“安全专家”，以便提升我们在终端安全战场的价值。

问题3. 终端安全是否已错过了“网络安全”这趟班车？

答：正好相反。3到4年前，网络安全领域围绕网关、下一代防火墙等概念掀起了掘金狂潮。但现在情况有变。终端又成为了新的性感迷人的小甜心。因为人们已经意识到，目标明确的罪犯想要侵入终端，终端才是他们的终极目标。个中原因就在于，终端上存放着密钥。一旦他们从公司雇员的终端收获管理员密钥，他们就能黑了整个公司。事实也证明，今天终端总是发生大事情的地方。

如今出现了云端化的新兴趋势，包括像印度这样的国家都在迈向云端。人们现在正将自己的IT，包括大部分应用，都迁移到云端。公司企业正将工作负载和App逐渐迁往云端，但终端不会消失。网络安全和网关层，对没有内部IT的公司而言，某种程度上变得比较受限或不太重要。

由于数据隐私和其他问题，银行之类的大公司可能永远不会采取云端路线。然而，很多公司正完全摒弃他们的内部IT，尤其是在中级市场上。有些IT团队规模堪比军队的超级大公司，因为可能的IT裁员问题，而表现出对云端化的抵制。很多中级市场公司选择了云IT，将自身主要精力放在公司业务上。F-Secure将继续作为以终端为中心的安全厂商。

问题4. 如何看待安全公司的收购行为，如 Palo Alto 收购Cyvera，火眼收购曼迪安特，以及Sophos收购Astaro和Cyberoam，这种反向收购，全产品线战略是否意味着能给安全厂商带来更多的交易？

答：只要你在两方面都是绝对强者就行。6个月前我们启动了快速检测服务(在托管检测空间)。现在我们可以看到很多案例都是，客户从 Palo Alto 买了机器学习，从火眼买了沙箱什么的，但攻击者依然不断涌进。还有很多案例，如已在客户终端侧部署了F-Secure的快速检测传感器的红蓝对抗中，攻击者即使搞定了 Palo Alto 和火眼的工具，但只要黑手伸到密钥存放的终端，我们的技术就能立即标识出来。

CSO和IT经理们都很欣赏我们那种火眼和 Palo Alto 之类网络级防护到达不了的终端检测。这就是今日终端检测界的一股清流。在预防领域，包括传统AV上，我们总能拿出品质优良的产品。

问题5. 2017年勒索软件态势如何？可能的触发点会是什么？

答：只会更坏。很多勒索软件家族虽已存在数年，却仅仅是刚刚开始兴风作浪而已。有很大的可能会出现第一例IoT领域的勒索软件。在网络犯罪控制了IoT的情况下，会有更多的Mirai型劫持案例出现。IoT空间将会继续脆弱不堪，因为IoT提供商都只关注用户体验、酷炫界面之类的去了，安全不在他们的考虑重点之内。如果出现联网汽车被锁定的案例，我是一点都不会惊讶的。新美国总统上台，可能会伴随着更多的民族国家网络入侵。

问题6. CSO和CISO往往最头痛的是不甚明朗的威胁态势，关于这一点您怎么看？

答：很多公司领导层都没有理清CSO的明确路线，虽然网络安全已经提上了他们的议事日程。CISO常会将自己看作拥有比之前的IT头儿更大的预算来购买硬件设备和软件的角色。很多CISO都会有这种完全错误的认知：购买更多东西就意味着不再有可怕的网络安全问题出现。而这简直大错特错！

CSO应有战略眼光，是要认识到网络防御更像是一个过程。他们需要将自己从IT框框里提升出来，成为更加战略性的角色。CISO应是业务部门的伙伴，要将安全的实现与公司的业务目标相贴合，管控风险的同时推动业务。搞坏伟大技术的总是过程或人，而这一点大多数CSO并未真正理解。他们没有从一个被升职的IT安全角色转变过来，没有全面理解自己的职责。

问题7. 相比于现有多条产品线的McAfee，F-Secure的优势在哪里？

答：我们主要在欧洲受一点益。最近受益最大的，是在政治方面。斯诺登揭秘之后，更多的公司奔向我们，因为我们不是美国公司。他们可不愿意跟自己的网络防御都被迫为NSA开个后门的公司合作。公司企业当然不会只依赖F-Secure一家。他们会采取多厂商策略，比如加进赛门铁克或 Palo Alto Networks 的一些产品。这种多厂商的策略是很好的，毕竟我们是一个跟强权国家的全国监视机构毫无瓜葛的公司。

作为一家芬兰的独立公司而非北约的一部分，让他们可以很放心地与我们合作。他们喜欢F-Secure的良好团队、超棒产品、深刻视野，还有最重要的，我们不是源自美国的公司。

问题8. 最后的问题，为什么网络罪犯和黑客总是比研发密集的安全行业中领先一步？

答：首先，坏人没有领先一步，至少并不总是。坏人就像足球赛里的前锋，而安全公司就是守门员。假设我们扑出了10个球中的9个，但只要有1个球漏过，造成了公司的巨大损失，那我们就输了。这就是困难所在。

而且，很多公司都是黑客易于下手的目标，因为他们没有运营良好的漏洞扫描解决方案，或者该软件被很糟糕地配置。因此，坏人不需要有什么创新思维，只需用常见攻击方法尝试已知漏洞就够了。很不幸，大部分公司对所有内容都在线上这一新的数字环境都有点犯懒。

公司企业可以快速推送App上线，但其安全的推进可能是超级笨拙的。安全很多时候更像是事后诸葛一样的存在，而没有融入大部分公司的DNA里。不过，其中一些公司现在开始理解整体网络防御的真正意味了。对行业来讲，这是个很好的迹象。

最后，是F-Secure的CEO萨姆·康提能给CSO/CISO列出的目标清单，来保证企业时刻处于最佳的安全态势：

1. 将自己从IT框框里提升出来，成为更加战略性的角色；
2. 做业务部门的伙伴，要将安全实现与公司目标相贴合，管控风险的同时推动业务；
3. CSO的职位并不意味着有更丰富的预算来采购相较于之前更多硬件和软件产品；
4. 理解网络防御策略更像是由过程驱动的旅程；
5. 你的关键结果领域(KRA)并不是升级的IT安全，而是更全面地履行你的职责。