近日，绿盟科技在上海启动全国巡回演讲，宣传“智慧安全2.0”的企业战略，分享积累多年的安全运营服务的知识和经验。安全牛记者现场采访了绿盟科技副总裁叶晓虎博士。

一、如何理解智慧安全

安全牛：智慧安全体现在哪些方面？

叶晓虎：智慧安全可以从三个关键点来理解。一是从智慧安全这个大帽子来讲，指的是从整个安全发展的方向来去思考问题。国内最早的信息安全企业已经做了近二十年，一直都是事件驱动的性质，非常被动。因此，绿盟希望以变被动为主动的观念，来设计安全体系。

另外一个是指要做到“准实时”级别的响应速度。之前的流程从发现漏洞到出升级包，再到设备更新，这个时间周期由于各种原因会非常长，远远跟不上攻击的速度。要改变这种局面，就需要基于大量的数据把握和理解安全态势，以做出快速响应。

第三是指自动化。一位水平再高的安全专家，一天能分析多少个样本，能处理多少事件呢？因此在有了数据之后，还要通过机器学习或人工智能来代替人完成大多数工作，然后再通过专业人员的分析，发现问题并解决问题。只有做到自动化，才可能做到前面的两点，即变被动为主动和准实时的响应速度。

因此，智慧安全2.0提出的安全能力有三个核心要素：智能、敏捷和可运营。

智能是指利用大数据和机器学习等技术，了解安全态势，快速发现问题。敏捷是指基于软件定义把安全能力交付给客户，做到快速响应。可运营是指通过“人机地云”机制，不断地改进企业安全能力。

安全牛：数据是一切分析工作的基础，绿盟主要的数据来源有哪些？

叶哓虎：大致有四种来源：一是像VirusTotal这种公开的数据源；二是自己开发的爬虫、蜜罐，以及僵尸网络跟踪系统等收集的数据；三是绿盟的安全运维设备采集的数据,这部分数据是绿盟比较有特色的地方，因为经过十几年的积累，我们所服务的客户数量还是非常庞大的。

举个例子，在我们的抗D设备上发现的恶意IP，可以运用在我们的入侵检测设备，这样就形成了数据流转的闭环应用。

还有一部分数据，通过与业务伙伴合作共享交换而来。包括一些互联网公司，绿盟投资的公司，技术合作的客户。

二、安全运营是一个持续过程

安全牛：有了数据之后，分析的工作量是庞大的，但现实是安全人员的普遍短缺，因此如何有效减少安全人员的工作量呢？

叶晓虎：绿盟通过日常大量的安全服务，把行之有效的安全处置方法和高级专家的经验形成知识库，日后再做响应时，有助于直接形成处置建议。

根据评估，我们现在能够把工作效率提升30%，让安全专家更多的精力放到高水平的分析工作中去。安全运营为什么是“运营”，就是说它是一个持续的过程。

众所周知，以前的IPS告警数量太大基本没法运营。现在我们则尝试利用攻击链，利用威胁情报，利用行为分析和数据关联，把告警变成少量的真正的安全事件，然后再进一步，预测下一步可能会发生什么事情，我们把这套体系称之为态势理解引擎。

今年3月初，在某券商的系统中发现一个名为“证券幽灵”的木马，竟然已经在系统里生存了十年。期间，还曾被发现并进行过处置。但由于有台服务器未在安全系统的监管之内，而且这个木马也在不断地进行更新，因此一直得以生存。

攻击者通过跳板机把系统的白名单改掉，这种攻击技术手段并不高，但由于缺乏关联分析，一直没有根除。在我们正式介入之后，通过样本分析、关联取证等一系列技术手段，最终定位到人，把幕后黑手揪了出来。

这个案例反应出两个问题，第一个问题就是资产问题。现在很多企业都搞不清楚自己有多少资产，开放哪些服务，何谈如何做好安全运营呢？第二个是主观上的问题。许多客户担心影响不好，出了事件之后不愿意把自己的信息共享出来，这也是业界的一个普遍现状，实际上阻碍着对攻击的快速和有效防护。

三、安全服务的价值正在得到认可

安全牛：高质量的安全运营虽然效果好，但它属于服务，而服务相对于产品，在国内是很难挣到钱的，因此许多厂商不仅没有“砸盒子”，反而还在“造盒子”。

叶晓虎：其实国内对安全服务价值的认识已经在改变了，最近两起政务云1分钱中标的例子，就证明了企业更看重服务的价值。硬件虽然是免费的，但可以从服务上把成本挣回来。

另外，在一些重视安全的行业里，如金融，还是非常看重服务的。无论是安全平台还是安全产品，无非都是工具，而工具是需要人来使用的，工具只是用来提升工作效率。

目前已经有客户把整个安全工作都交给安全提供商，这其实是一个非常好的模式，因为对于好多企业来说，安全并不是主业，采购设备、管理实施都是很高的负担。至于使用什么平台、什么设备、如何实现，由安全企业自己决定。客户只看结果。

反过来对于安全公司来说，这种模式也起到一个非常强的促进作用。它倒逼安全公司必须做出转变，要把精力放在提升自己的能力，以真正解决用户的实际问题上，而不是只为了销售产品，不管销售出去之后设备的使用效果如何。

现在大家已经普遍认识到，发生问题是不可避免的，因此如何做到更快速的响应才是最合理的。十年前整个安全行业都在讲防御，但现在，加强检测、快速发现问题、快速处置已经成为共识。

四、不惧竞争 安全是一个长久的事业

安全牛：互联网公司利用云计算的大趋势，和自身资源丰厚的优势，强势切入安全领域，给传统安全厂商带来了很大的冲击，绿盟作为典型传统安全厂商的代表，对此有何看法？

叶晓虎：实际上近两年的确有不少人问过我们类似的问题，但我觉得任何行业都会面临革新和变化，这是非常正常的，具体到安全领域现在面临的变化而言，绿盟欢迎这样的变化。

首先，安全行业以前关系驱动的氛围很浓，很少有人把主要的精力投入到提升自身的安全能力上，如果持续这种状态，安全行业是无法发展起来的。而现在，包括阿里、腾讯、360等互联网公司，给安全行业带来的改变和竞争，促使大家把焦点放在提升安全能力上，放在主动解决用户需求上。

虽然互联网公司从业务上给传统安全企业带来很大的冲击，包括人才的流失，但另一方面，应该看到更多其他行业的优秀人才涌进安全领域，实际上促进了整个安全行业的发展。

再者，我个人觉得目前整个安全行业远未成熟，尤其是利用大数据分析来改变攻防对抗局面，大家都还在起步阶段，因此没有哪一家明显的处于优势地位，现在谈颠覆性的技术、领先优势还早。

以前的安全主要是工程师化的，靠一些大牛、一些技巧解决直接的安全问题。安全其实直到近两三年才开始走向体系化，成为一门学科；从人才培养到理论研究，从安全治理到安全意识，再到商业模式，这一切都刚刚开始，大家都在摸索。

还是那句话，新的技术大家都在起步阶段，可能某些厂商稍微快一些，但并不构成壁垒。再者，为客户提供安全运营服务的体系，并非短时间之内就能够够建设好的。它需要对行业对客户业务的深度理解，并经过长年累月的打磨，才能够行之有效。

从公众角度来看安全行业常用恐吓去销售，用炫耀来公关。攻破这个，破解那个，各种表演各种秀，但又能怎样？作为防守方，核心要思考的问题是你能为你的用户提供什么？怎么帮助用户解决安全问题？

当然，攻击技术也是需要了解和探索的，但对安全公司来讲，更多的是去思考如何产品化，如何建好整个服务运营体系，如何做到更加快速的响应。

拿产品化为例，一个能够交付给客户业务场景里的成熟产品，需要考虑很多环节，里面的各种细节、困难，比单纯的破解技术要复杂的多、工作量大得多。而产品化则是传统安全公司的优势所在。

可能在新浪潮的冲击上，传统安全企业短期内会经历沉浮，但自身的安全能力水平高低和是否得到客户的认可，以及是否把安全当做一个长久的事业去做，才是最终决定企业发展的关键因素。