科来,一家最初靠流量分析软件起家的技术公司,在网络分析领域有着长期良好的口碑。虽然在安全领域很少露面,但根据了解,科来在网络安全方面也颇有建树。本期CEO访谈,安全牛采访到了科来创始人罗鹰。
罗鹰
个人简介
科来公司创始人,国内最早研究网络分析与信息安全技术的专业人员之一,专注于网络数据分析和高级木马分析技术,在相关技术领域获得几十项专利技术并拥有完全的自主知识产权。2003年于成都创立科来,截止目前,科来在全球企业级客户超过8000家,遍布全球110个国家,90个世界500强企业客户,共有超过40万用户的客户正在使用科来的技术和产品。
一、做网络流量分析起家
安全牛:好多网络技术人员知道科来是因为你们在网络流量分析领域很有名气,能否介绍一下公司的发展历程?
罗鹰:科来最早不是做安全的公司,而是做NPM,就是网络流量性能分析。这个领域,最早在海外,后来在国内,到现在已经有十三年了。
当时我们三个创始人最早在互联网公司做网络分析,用过不少国外的分析工具,比如当初非常流行的Sniffer。但国外的工具不太好用,虽然功能强大,但它的设计思路面向的是非常专业的人员,而且也不符合国内的使用习惯。
为了方便,2001年我就自己写了一个网络抓包分析的工具,经过一年多时间逐步完善之后,我们尝试通过互联网,以共享软件的模式在海外做销售。没想效果很好,订单很多,到了2003年我们3个创始人就已经忙不过来了。忙不过来就需要招人,而招人就需要一个合法机构,于是我们很自然的注册成立了科来。到06年,我们就已经有了分布在全球50多个国家的几千个商业客户,并在业界享有不小的知名度。
又过了一年,到了07年公司已经积累了一定的规模,于是我们决定做国内市场。因为,在NPM这个领域,最优质的客户还是拥有大型网络的中大型客户,他们的核心业务全部架构在网络上,对网络的稳定可靠性有着非常高的要求。
一开始,我们把在海外的营销模式直接搬到国内,结果根本行不通。因为国外的模式都是规范化的,哪个环节只要找到提供商签约合作,只要你的产品好用,一切就正常进行下去了,但国内的商业环境与国外差异非常大。
后面事情有了转机,我们迎来国内第一个大客户,科技部信息中心。说起来还很有意思,当时科技部信息中心急需网络分析类产品来解决科技部系统的网络故障与安全问题,他们调研了多款国内外产品,其中包括我们在海外发行的英文版,综合评比第一,进一步调查竟然是国产的工具,这样才联系到我们,双方沟通交流之后很快就签了约。
和科技部成功签约,是我们在国内第一家政府客户,也是非常成功的一个样板。通过和科技部的合作,也使得我们在了解大客户需求方面有了长足的进步,之前毕竟大多是中小型客户,两者还是有很大差异的。
二、网络安全是人与人的对抗
安全牛:那又是怎么转到安全领域来的呢?
罗鹰:我们做真正涉足安全领域是在08年前后,客户也是通过使用网络分析工具知道的科来,然后找到的我们。一开始,我们还有些诧异,因为我们不是做安全的。但经过深入沟通,我们意识到网络分析在许多方面可以满足安全的需求。
传统的基于策略、特征的安全产品,在面临针对性攻击(当时还没有APT的叫法)的时候,很难发现。而全流量基于行为的分析,效果则十分明显。于是,我们才开始在安全方面投入专门的团队和其他等资源去做相应的研究。
首先是在我们的产品功能方面做一些改进,后来才逐步的形成了公司内部的两条产品线,一条是原有的NPM,另一条就是全流量的安全分析。后者还衍生出一些跟传统信息安全,在思路上有所不同的分析的方法和工具平台。
安全牛:思路不同是指?
罗鹰:科来主要是基于全流量分析的思路去考虑安全,并不受传统安全思路框架的拘束。安全团队里面,我们招募一些熟悉攻击方法、安全漏洞方面的人才,与然后和全流量分析的团队结合,把双方的知识嫁接起来。
我认为信息安全的本质就是人与人之间的对抗,机器或自动化很难与人抗衡,所谓的人工智能、机器学习,至少在目前还不具备能够对抗真实攻击的能力。要达到真正实用性,还有很长的路要走。
安全牛:您认为AI目前的能力还处于低水平?
罗鹰:可以这么说。拿谷歌的AlphaGo来说,虽然战胜了人类,但它是在一个非常有规则限制的棋类竞技游戏中获得了胜利。而安全有规则可言吗?
比如今年夏天美国国防部DAPRA组织的人工智能的攻防比赛,7只队伍各自编写程序去互相对抗,但结果并不如人意。所以工具或说武器再好,平台越来越智能化和自动化,基于我们这种全流量网络分析的思路来看,也需要人来使用人来做更精准的分析,网络安全最终还是得靠人。
举一个可能不是很恰当的例子,把网络系统的高复杂度类似于人体呢,当发生问题时,各种验血、CT、核磁的仪器再先进,其检测的结果还是需要医生来解读和确诊的。对应而言,这些医疗设备检测工具就是我们的全流量分析平台。拥有专业医疗知识和临床经验的医生,就是我们专业的安全分析人员。
三、全流量分析能力打造安全优势
安全牛:科来的技术基因是网络流量分析,不是安全,但我了解到你们在2016年一年当中,抓到的APT在数量方面不亚于国内任何一家安全公司,这是如何做到的呢?
罗鹰:其实刚才已经谈到了一点,我们组建了一直非常强的网络安全团队。这支队伍经过多年的锻炼,积累了非常多的高级别的实战经验。
安全牛:科来之前不是在安全圈,怎么找到这些安全攻防方面的人呢?
罗鹰:除了一些安全攻防专家,其实我们相当一部分人员是自己培养起来的。前者熟悉黑客的攻击手段、渗透方法、入侵路径等,后者则基于对网络流量的深度理解发现异常。
黑客所有的攻击行为,包括前期所做的渗透探测等都会留下很多痕迹,哪怕他事后把系统中的日志擦除,也躲不过网络流量的分析。通过旁路部署的流量镜像,可以把黑客从渗透到完成入侵,甚至是如何擦除痕迹的行为完整的记录下来。
然后基于我们的网络技术,进行深度行为分析。不能够自动化的形成标准产品的,就做成案例集分享给团队成员,甚至是用户。目前科来已经积累了大量的分析案例,每年都会出一本案例集。最终的目的,还是要基于我们的技术基因,把产品智能化,令分析工作更省时更省力。
但是,我觉得至少在未来三到五年可预见的时间内,还很难做到真正的全自动化。安全防御检测系统还不可能放在用户那里就不用管了,实际上,我们提供的是一个非常强大的分析系统。
以前用户的网络安全投入,都在防御上面,包括防火墙、IDS等,但我们知道这些传统手段,几乎无法有效阻止针对性的高级攻击。再者,另一项重要的安全工作就是止损。既然无法100%的防住攻击,那就做到快速的发现、快速的阻止,这里就需要一个感知系统。
我们在给客户做分析的时候,经常会发现,有些关键服务器已经被入侵长达两三年的时候,客户也一无所知,因为系统没有警报。而且聪明的黑客,不会一下拖出很多数据,而是以一种非常隐秘的方式,看上去很正常的流量,把数据夹带出去。传统的安全系统很难发现这种攻击,只能通过全流量分析才能看得到,这就是一种很强的感知能力。
安全牛:谈到感知,现在的态势感知概念非常火,您对这方面怎么看?
罗鹰:首先这个概念是没有问题的,但问题在于国内的情况,往往是一个新的安全概念提出来,就会有太多的安全公司声称自己在做,大家都在做,一时间很难分清谁做的好谁做的坏。
信息安全的态势感知就如同战争中的情报,要了解地形,了解整个战况,否则这场仗是没办法打的。比如自身的防御系统,是否起到了作用,或者即便是被渗透突破,也要知道突破点,从而才能进行升级或更新。
现在有大量的信息泄露事件,企业都是通过第三方的通报才得知,更不知道自己的数据是怎么被拿走的。因此感知能力非常的重要,哪怕做不到实时发现,事后也要能够追溯,把整个攻击过程完整还原,并在此基础之上去改进安全策略和升级防御系统。
其实所谓的高级威胁攻击(APT),并非都是使用0day,并非都是高精尖手段,经常会有低水平的攻击照样得手,就是因为忽略了某个环节或地方。安全防御是体系化建设工程,需要逐渐积累,与攻击者斗智斗勇。哪怕已经考虑到了99%,剩下的1%就可能功亏一篑,更何况还做不到99%。
安全需要在攻防对抗过程当中不断的升级,当一方改变战术,另一方需要快速的感知,并相应的做出变化。
安全牛:而全流量分析可以极大的支撑感知能力。
罗鹰:是的,全流量分析之于安全的重要性和实用效果,已经在业内得到认同,它的难度或说门槛在于长期的技术积累。比如,一般的安全分析工具只能识别一些常见的协议。但真正的流量分析能力,是一个量变到质变的过程,是要认知绝大多数协议的。否则,谈不上行为识别或定性。这有点像应用程序的黑白名单,当积累较少时,只能做黑名单,否则许多正常程序就被拦截了。但当经过长期的积累,就能够做到白名单,只拦截异常程序。
我们做全流量分析有3个目标,准、快、全。三个目标都很好解释,准是分析工作的前提,不准还用它干什么。快是指性能,性能往往决定一个产品的可用性。现在我们已经做到实时的万兆,2017年会与底层硬件厂商深度合作,推出100G性能的设备。最后是全面。如同刚才所说,做不到识别绝大多数的协议,是没办法去定性的。
此外,全流量分析能够使传统的防御检测技术更加有效,尤其是在涉及到0day攻击的方面。之前由于和一些客户单位合作,积累了非常多的经验,因此未来我们会把这些技术和分析能力应用到更广的市场。如金融行业中,有许多流量分析的业务需求,以前这块市场基本上都是国外的产品。
从近两年来,我们开始在金融行业发力,未来几年的目标是成为这个行业的流量分析领域的第一。因为一方面,我们的分析能力已经和国外没有差别。另一方面,我们比国外企业更加的了解国内网络上运行的业务或流量。
四、用户数据收集是一把双刃剑
安全牛:你们是否会基于一些第三方大数据平台,来辅助流量分析?
罗鹰:我觉得如果基于全流量做分析的话,其实不怎么需要第三方的大数据平台,用户本身的数据已经足够。我们现在所服务的很多大客户和重点行业,它本身就拥有很多的数据。
由于我们现在也在做大数据平台,也招募了不少行业里非常厉害的做大数据算法的牛人。这些牛人之前所在的公司也在做大数据平台,但苦恼的是空有架构和平台但是没有数据可处理,或者数据不规范很难利用。而我们的情况是数据多的处理不过来,哪怕就一个用户的数据都会非常庞大。
在数据收集上,我们一直都是有核心理念的。用好了当然会产生很大的价值,但反过来看也是会有法律风险,数据收集是一把双刃剑。比如,收集数据的企业自身是否具备很强的能力去保护这些数据呢?而且不只是技术上的保护,内部的管理也可能是一个大缺口。内部职员在主动或不知情的情况下,导致数据泄漏的例子太多了。一旦发生泄密,对收集数据的安全公司来说是致命的。
对于某些信息安全公司来说,老是喜欢去收集大量的数据,随着未来国家信息网络安全法律法规的完善,会伴随巨大的法律和安全风险,但科来所有的产品都不会往自己的服务器回传数据,我们的策略就是不保管数据,我们的使命是帮助用户去架设他们系统内的数据平台,所有数据都在用户端,同时我们提供分析能力去充分挖掘这些数据的价值。本身我们的定位也就是数据分析能力提供者,用我们的数据分析能力,为用户产生巨大的价值,从而粘住用户。
举个例子,有客户曾问我们有没有一些典型的黑名单。我们回答说不需要,因为用了我们的系统之后,客户自己就能快速的建立起属于自己的黑名单。
安全牛:那你们接外部数据吗?
罗鹰:外部威胁情报我们可以接,而且比传统的系统更容易。同时我们自己也有一个威胁情报收集和处理的平台,可以基本上实现半自动化的情报分析。一些无法提取大量特征要素的情报,我们可能会做二次分析。我觉得外部威胁情报是非常必要的,可以从一个完全没有想到的角度发现问题。
五、做国内流量分析领域的领头羊
安全牛:你们目前的业务比例大概是什么样子的?
罗鹰:NPM和安全基本上各占一半。这几年增长的比较快,得益于信息安全逐渐受到重视。
我们现在在NPM领域的竞争力已经非常强,不用说在国内,就是与国外的几家老牌公司,技术产品上也是不相上下。同时,我们也正在扩展到APM(应用性能监控)的领域,把NPM和APM整合在一个平台之上,我们叫UPM(统一性能监控)。
安全牛:从网络流量层到业务应用层,也是一个自然的延伸。
罗鹰:其实这也是用户的实际需求。当时我们一个银行客户向我们反应,这两种产品是由不同公司提供的,使用起来很痛苦。于是就向我们提出,是否能在应用层发现异常之后,马上能追溯到最底层,能够准确的定位问题所在。
安全牛:但这样会有很多定制化的工作吧?
罗鹰:这方面各有各的做法,比如使用探针的方式。但探针在面向企业级客户的时候,困难比较大。一是定制要求比较高,特别是国内许多大客户的业务系统就是自己开发的,会造成实施成本很高。第二在实施过程也会遇到挑战,如果在部署探针后系统发生问题,如何判断是原有业务系统的问题还是新部署探针的问题呢?
我们则是基于流量分析来做,这样做有两个好处。一是不影响原有业务系统。第二基于我们的协议识别引擎,可以方便识别出应用的交易类型。也就是说它不是开发的工作量,只是配置的工作量。
之前几年,科来在营销方面很弱,相关人员也非常少。但最近一两年,建立起一个专门面向金融行业的,从销售到售前的服务团队。这个团队目前已经比较成熟,2016年的销售成绩非常漂亮,目标是在国内金融行业,市场占有率第一的位置。
安全牛:科来目前主要的竞争对手是哪些?竞争形势如何?
罗鹰:目前竞争还是非常激烈,有国家队、传统安全企业、互联网企业以及新创企业。NPM和信息安全我们面对的完全是不同的竞争对手。
竞争形势上来说,比过去要激烈太多,甚至是惨烈,现在都认为信息安全市场是个香饽饽,各种资本涌入这个市场,新创企业也不断涌现,甚至之前主营业务不在这块儿的企业也开始转行;在网络流量分析领域,我们在16年过去一年就遇到不下10家做流量分析相关的企业。但是结果不是大家所预期那么好,据我了解不少友商16年业绩并不是太好。信息安全和NPM市场一样,不是一个玩概念就能做好的市场,需要企业扎进去深耕细作,要有工匠精神,持续积累发展。客户的需求确实是刚性的,但他们急需成熟的可交付的应用,而不是实验性或者概念性的产品和服务。
网络分析是一个底层技术积累多,相对辛苦的方向,投入大,见效慢,面临老牌厂商的竞争,风险是非常高的。科来很幸运的是在竞争不激烈的时候,给到了科来必要的成长时间,如果放到现在激烈竞争的环境是不太可能生存发展的。
六、市场快速发展 即是机遇也是危险
安全牛:能否结合公司发展,谈一谈对未来安全市场的发展?
罗鹰:谈到未来可以这样看,既然现在整个安全市场在快速增长,因此也会给予一些新兴企业很好的机会。
传统安全公司有一个特点,它什么产品都做,在企业发展很早的时候就开始多元化。哪怕是一些新上市但营收规模还不够大的安全公司也是如此。这个其实也容易理解,就是为了支撑成长 。但是在未来几年,安全市场的规模不断扩大,在垂直或细分领域里做到最好,反而会更有优势,因为相对那些大而全的企业,我的资源更加集中。
科来的产品竞争力很强,是因为我们200多人专门做这个领域。其他公司名气虽大,员工总人数很多,但真正做这块产品的可能就几十人,一个产品经理,最多一个事业部。对我们来说,产品做不好意味着整个公司都要完蛋,他们做不起来大不了换个部门换个产品。所以我们更加专注。
当然外部市场环境也很重要,如果说市场规模不够大,那垂直领域的厂商是没有办法支撑发展的,因此我觉得现在是垂直领域厂商切入的非常好的一个时机。
安全牛:就是基于流量分析的能力在APT领域做深耕吧?
罗鹰:是这个意思,但APT新概念一出来,大家一拥而上。有的甚至一两万元的设备,弄个开源的沙箱,就号称能做APT防护。所以后来我们干脆都不主推APT这个概念,只是实打实的强调全流量分析能力,拥有流量分析能力应该是以后网络安全防御技术和产品发展的一大趋势。
安全牛:是的,现在建立的SOC大多都只是一个数据处理平台,并不具备分析能力,因此很难做到真正的态势感知。如果能与流量分析结合起来,效果就大不一样了。
罗鹰:的确是这样。关于企业发展,其实还有一个方面。当市场快速增长时,对于大型传统安全企业还可能会是一个危机。因为一旦你的增量速度达不到,很快就会被新进入市场的公司赶上,甚至抛在后面。不管是国家队还是互联网公司都有可能做到。所以对于传统的企业来说,更重要的是需要匹配市场的发展速度。
至于科来自身,我们还是把自己定位于创业企业,所以会专注自身擅长的领域,把所有的资源集中在我们全流量分析的这种核心竞争力基础上面,至少未来的两三年不会考虑多元化。目标是做到这个细分领域的NO.1。不只是指国内厂家,还包括国外的公司。
最后,企业的发展速度还要与市场的增长匹配,要把握节奏。未来变化太快,谁也无法看的很清楚,而 To B 行业与互联网公司的模式差异很大,无法在融到资之后快速地验证商业模式,也不能走那种催化或烧钱的路子。我们还是要把资源用到增强自身核心竞争力上面,我觉得每一个安全企业,夯实自己的核心竞争力才是最重要的。潮水终归会退下,不要做潮水掩盖之下的裸泳者。