全球最顶级的年度安全展会 RSA 2016昨日落下帷幕,中国大陆从2014年的7家厂商,到2015年10家再到今年的17家公司列席,“中国军团”已经是RSA上一股不可忽视的力量。安全牛作为网络安全领域的行业媒体,始终在跟踪与关注着大洋彼岸的这场安全盛会。下面是安全牛特约记者从现场发来的报道与点评。
华三(H3C)
H3C是首次参加RSA,由市场部副总裁毕首文带队,包括研发、市场、宣策、系统处、服务、办事处等六在部门均派人组团赴展,可谓重视。针对本届RSA主题—— Connect to Protect,H3C认为“安全与互联随行”是最好的诠释。
首次在国外亮相的安全一体化交付平台——华三天机,包含“安全管理单元”、“安全检测单元”和“安全业务单元”这三个组成部分,摒弃了传统架构的一成不变、各自为战的安全防御模式,以安全信息的共享、协作、大数据分析搭建了一套自适应防御体系,来应对挑战。这也是安全防护互联的价值体现。
华三通信目前在安全领域也积极寻求更多的合作机会,与合作伙伴一起,建立生态圈。
点评:
作为网络厂商,首次大规模组团登陆RSA。选择国内国外两个重大安全会议(乌镇峰会,RSA)发布亮相,主推大安全的理念,把握了“安全共享、安全互联”的业界趋势,踩点很准。当然安全在于实践,希冀华三天机的落地能够给企业用户带来真正的安全价值。
花甲科技
很多人都觉得奇怪,“花甲”这么一个老态龙钟的名字怎么会是安全公司的名字?搬出字典,原来:花甲是一种软体动物,壳坚硬如盾牌,用以保护柔软身躯。
这家成立才4个月的互联网移动安全公司,取名寓意即为用坚硬外壳保护企业脆弱的业务安全,不让业务裸体上阵。花甲在展会上首次发布可信业务安全(Trusted Business )解决方案—— SecurityStack。
提起业务安全,梆梆关注解决基础安全防护,APP的加固。阿里则是通过云端风控系统保护业务安全。而花甲是另外一种模式,通过离线风险模型,进行本地化分析,避免数据的云端泄漏问题。
点评:
有句老话:做安全的不懂业务,做业务的不懂安全。真正能做好业务安全的,需要跨界的人才和技术积累。阿里基于之前“淘宝”业务安全的积累,拓宽市场,而花甲有胆识和能力进军阿里发力的业务安全市场,其理念可圈可点,其勇气值得关注。
武汉绿网
在RSA展区北区三家国内公司之一,也是唯一总部位于武汉的参展公司。2003年成立,专注基于X86高性能网络包处理领域。在安全圈知名度不高,但在运营商领域却有相当高的知名度。目前是中国电信DPI的最大供应商,中国移动DPI的第二大供应商(第一大是华为)。
此次参展重点介绍的Cube高性能网络包转发开发平台,基于通用的 Intel X86 硬件架构路线。可在10GE 以太网上实现七层应用的线速分析和转发,解决了X86网络设备IO吞吐量的瓶颈。
据了解,其僵尸木马蠕虫检测产品,4个月就完成了开发设计面世的全流程。而在运营商使用其产品,实际检测效果比平均分高100倍。这个数据确实让人侧目。
点评:
一家典型的“酒香不怕巷子深”的公司。2003年成立,到2012年之前,其研发团队一直占比90%。截止到目前,研发人员仍有70%。正是基于此,有利有弊。开发产品的速度很快,可以说唯快不破,产品性价比高。客户主要集中在运营商领域。2015年达到了1.5亿的销售额。
微步在线
成立仅8个月时间,抢眼的新生代力量。在RSA现场发布了其威胁分析平台VirusBook(www.virusbook.cn),这是由专业的安全分析师团队为同行打造的基于SaaS的安全分析工具。
现阶段安全分析师所使用的分析平台主要是国外的站点,如VirusTotal、DomanTools、PassiveTotal及一系列的开源情报站点。但这些站点存在一些问题:首先,只提供了分析所需要的某一方面信息,并不能完整覆盖整个分析过程,导致分析师需要到多个站点进行查询,并手动进行关联分析;其次由于网络问题,某些重要网站往往不能正常使用。此次首发的威胁分析平台,能够提供全面的分析服务,解决痛点。
- 提供pDNS、whois、文件Hash、文件行为、开源威胁情报、以及ThreatBook Labs产出的威胁情报等,来自数百个数据源的多层次、多角度安全信息;
- 提供20+全球领先防病毒引擎的检测能力。利用多引擎可以很好的平衡漏报及误报的问题,可以对木马、僵尸、蠕虫、病毒、rootkit、webshell、勒索软件以及移动APP等进行检测;
- 提供文件的静态分析以及Sandbox动态分析结果,包括可能的主机和网络行为、数字证书、文件元数据、MetaData、导入Dll等信息;并对多源数据进行关联,方便分析人员进行鉴别、拓线及溯源;
- 提供可视化分析工具,让分析师的工作简单高效;
- 除Web访问方式外,VirusBook还提供公开及私有API接口,可以更方便的使用或整合分析平台的能力。
点评:
微步的切入点很不错,本届RSA,检测和响应成为重点。作为安全检测的重要保障,威胁情报其应用也逐步走向成熟。威胁情报公司和平台引起了国内外的广泛关注。微步在此时发布其威胁情报分析平台,填补了国内安全行业空白,正当其时。
安天
从2011年起参加RSA的安天,此次亮相RSA,带来了两份报告——《安天2015传统威胁年报》和《安天2015AVL Team移动安全年报》,这些报告已不再停留在之前的数据统计,开始形成观点。最为突出的是,如:让业界关注商业“军火”,意指在商业领域,APT难度大大降低,遭受危害的风险更强。
安天从反病毒检测引擎供应商,进化到高级威胁检测能力厂商,初步形成了以“安天实验室”为母体,“企业安全”与“移动安全(AVL TEAM)”为两翼的布局,全球更是有超过十家以上的著名安全厂商都选择安天作为检测能力合作伙伴。
“每年RSA,美国都大肆谈中国威胁论,今年,我想用客观的情况来平衡这种声音”,江海客如是说。根据安天的观察,中国遭受美国APT攻击的次数和频度远高于美国之来源于中国,有事件有真相。”
2015年APT事件时间与地理位置分布
点评:
一家有情怀的公司,一个有情怀的创始人。从连续多年的威胁通缉令扑克牌中,从其所表述的“在国际化舞台上,我们就需要用客观的事实亮出自己的声音”中,能深刻的体会到这一点。希望真正有实际数据分析能力的公司,能够在国际,国内舞台上,不仅仅是发布报告,而是做主题演讲,让世界看到中国真实遭受攻击的状况。
追求技术和产品的先进完美,并非网络安全厂商的唯一价值,在大国博弈当中,寻找产业链的对位和行业的位置,发出中国的声音,这是必要的责任。这家企业必须给赞!
盛邦安全
也是首次亮相的安全新兴企业,安全牛之前已经做过详细报道,印象深刻的是盛邦首席营销官严雷对Web安全市场的观点:
严雷(右)
“Web安全目前看是一个已经成熟并且正在走向细分和逐渐演进的市场。过去我们谈Web安全,主要是说WAF、Web漏洞扫描的事情,WAF、 web扫描器能代表整个Web安全么? 根据我们多年摸索,Web安全的概念比这二个更加广泛,比如,SSL代理、应用层DDoS、应用负载均衡、网页防篡改、Web安全监控和预警、网站群安全 治理,还有Web加速、Web行为分析等等,RSA上,每个领域都能成就一个上百亿市值的公司。”
“总结起来,Web安全市场发展迅速,存在很多新的市场空间在出现,有很多细分的领域,大家可以携手创建新的Web安全生态链,走出国门,不要仅限于相互低水平斗争中。这是我们想表达的理念。”
点评:
这是今年在会场上,中国元素表现最为明显的公司。引起大量的国外客户侧目。首次参与,带来了很大的曝光度。
绿盟
点评:
最具国际化的公司。无论从展台的搭建、布置,人员的选用,如果不是知道这个标是绿盟,估计大家完全以为这是一家美国公司。窥见一斑,绿盟国际化的确走在了前列。
网思科平(又称蝎子网络)
成立于2015年2月,又是一新生代力量。蝎子,取名可攻可防的含义。从事信息安全领域的大数据分析研究,应用大数据技术构建满足安全分析和威胁情报所需要的基础性平台。
蝎子网络研发一系列的安全传感器,主要覆盖硬件、终端、网络和应用等方面,并逐步覆盖至工业控制、移动互联、云计算、IoT等实际应用,利用安全传感器持续获取高质量安全数据,据了解,部分传感器已经具备全球领先能力。目前其主要产品包括下一代SEM系统、底层威胁识别系统、终端威胁识别与分析系统、网络恶意代码监控、服务器安全监控系统和高性能沙箱系统。
主要客户领域:政府、运营商、能源。
点评:
属于新生代,老实说,采访过程感觉技术强大,但很多事情讳莫如深,有待进一步了解。
网康
网康其实是最早在RSA参展的公司。作为连续参与11届的网络安全公司,针对此次RSA主题,有其自己的解读。
网康执行副总裁左英男在接受采访时谈到:
本届大会主题是Connect to Protect,其中的connect是关键词,本意是连接。以我的理解,从广义角度诠释,指的是安全行业厂商之间的产品与技术合作,其实这也是美国安全产业与国内安全行业最大的不同之处。无论是收购、并购、产品联动、技术分享,美国的安全企业给我们做出了榜样,有句古话叫做“兄弟齐心,其利断金”,只有大家联合起来,优势互补,资源共享,才能在与黑产、灰产的持久战中取得优势。
从狭义角度来解读,Connect指的是安全产品之间的联动协防。在安全形势越来越复杂多变的今天,单独依靠某些独立的产品,例如终端防护、NGFW、WAF等等,很难系统完整地解决客户复杂的安全需求,而是需要利用部署在云端的大数据安全分析技术,把部署在终端、网络边界的安全产品的能力“连接”起来,形成“云管端”立体安全解决方案。用一个形象的比喻来解释:我们可以把“云”看做大脑,把“管”和“端”看作眼睛和耳朵,看作手和脚。一方面,大脑要依靠眼睛和耳朵持续不断地捕捉大量数据,经过大脑的分析和判断,形成可付诸实施(actionable)的指令,指挥手和脚完成防御动作。从本次RSA大会上我们可以明显地看到这种技术发展趋势。
啥也不说了,为这段精彩点评给赞!
360
360在此次大会发布了面向全球互联网提供DDoS监测和告警服务的系统,对于全球成规模的DDoS事件,DDoSMon基本会在第一时间成功探测检出。利用该系统还能结合多种数据源,帮助用户看到攻击的深层内幕。
谭晓生(右)
在展会现场,我们采访了360首席技术官谭晓生。谭总针对今年RSA威胁情报的火热关注程度,谈到,一个公司有否具备威胁情报的能力,最关键的看两个部分,一个是数据源,一个是分析能力。
截至目前,360拥有超过95亿样本量、50亿条DNS解析记录以及众多第三方数据源。在分析能力层面,360强于URL等分析,可视分析工具强,能够协助分析人员做更大关联的分析。当然,威胁情报背后就是协作。没有一家都对每一个样本分析都能做到极致,另外不同的思维对不同的事情有不同的判断。威胁情报并不是互斥业务,TI会继续成为热点,且逐渐变成很多威胁发现与安全运营管理的必备功能。
结束语:
最为遗憾的是,并未采访到全部的国内安全厂商,而且介绍各企业的采访内容也是挂一漏万,很难反应“中国军团”的全貌。但不管怎样都可以看出,安全正在发展,中国正在奋进。
RSA虽然结束,但我们正在征途。
相关阅读
作者:网康 段平霞
