绿盟科技叶晓虎:安全运营是持续的 安全事业是长久的
作者:星期五, 四月 28, 20170

近日,绿盟科技在上海启动全国巡回演讲,宣传“智慧安全2.0”的企业战略,分享积累多年的安全运营服务的知识和经验。安全牛记者现场采访了绿盟科技副总裁叶晓虎博士。

一、如何理解智慧安全

安全牛:智慧安全体现在哪些方面?

叶晓虎:智慧安全可以从三个关键点来理解。一是从智慧安全这个大帽子来讲,指的是从整个安全发展的方向来去思考问题。国内最早的信息安全企业已经做了近二十年,一直都是事件驱动的性质,非常被动。因此,绿盟希望以变被动为主动的观念,来设计安全体系。

另外一个是指要做到“准实时”级别的响应速度。之前的流程从发现漏洞到出升级包,再到设备更新,这个时间周期由于各种原因会非常长,远远跟不上攻击的速度。要改变这种局面,就需要基于大量的数据把握和理解安全态势,以做出快速响应。

第三是指自动化。一位水平再高的安全专家,一天能分析多少个样本,能处理多少事件呢?因此在有了数据之后,还要通过机器学习或人工智能来代替人完成大多数工作,然后再通过专业人员的分析,发现问题并解决问题。只有做到自动化,才可能做到前面的两点,即变被动为主动和准实时的响应速度。

因此,智慧安全2.0提出的安全能力有三个核心要素:智能、敏捷和可运营。

智能是指利用大数据和机器学习等技术,了解安全态势,快速发现问题。敏捷是指基于软件定义把安全能力交付给客户,做到快速响应。可运营是指通过“人机地云”机制,不断地改进企业安全能力。

安全牛:数据是一切分析工作的基础,绿盟主要的数据来源有哪些?

叶哓虎:大致有四种来源:一是像VirusTotal这种公开的数据源;二是自己开发的爬虫、蜜罐,以及僵尸网络跟踪系统等收集的数据;三是绿盟的安全运维设备采集的数据,这部分数据是绿盟比较有特色的地方,因为经过十几年的积累,我们所服务的客户数量还是非常庞大的。

举个例子,在我们的抗D设备上发现的恶意IP,可以运用在我们的入侵检测设备,这样就形成了数据流转的闭环应用。

还有一部分数据,通过与业务伙伴合作共享交换而来。包括一些互联网公司,绿盟投资的公司,技术合作的客户。

二、安全运营是一个持续过程

安全牛:有了数据之后,分析的工作量是庞大的,但现实是安全人员的普遍短缺,因此如何有效减少安全人员的工作量呢?

叶晓虎:绿盟通过日常大量的安全服务,把行之有效的安全处置方法和高级专家的经验形成知识库,日后再做响应时,有助于直接形成处置建议。

根据评估,我们现在能够把工作效率提升30%,让安全专家更多的精力放到高水平的分析工作中去。安全运营为什么是“运营”,就是说它是一个持续的过程。

众所周知,以前的IPS告警数量太大基本没法运营。现在我们则尝试利用攻击链,利用威胁情报,利用行为分析和数据关联,把告警变成少量的真正的安全事件,然后再进一步,预测下一步可能会发生什么事情,我们把这套体系称之为态势理解引擎。

今年3月初,在某券商的系统中发现一个名为“证券幽灵”的木马,竟然已经在系统里生存了十年。期间,还曾被发现并进行过处置。但由于有台服务器未在安全系统的监管之内,而且这个木马也在不断地进行更新,因此一直得以生存。

攻击者通过跳板机把系统的白名单改掉,这种攻击技术手段并不高,但由于缺乏关联分析,一直没有根除。在我们正式介入之后,通过样本分析、关联取证等一系列技术手段,最终定位到人,把幕后黑手揪了出来。

这个案例反应出两个问题,第一个问题就是资产问题。现在很多企业都搞不清楚自己有多少资产,开放哪些服务,何谈如何做好安全运营呢?第二个是主观上的问题。许多客户担心影响不好,出了事件之后不愿意把自己的信息共享出来,这也是业界的一个普遍现状,实际上阻碍着对攻击的快速和有效防护。

三、安全服务的价值正在得到认可

安全牛:高质量的安全运营虽然效果好,但它属于服务,而服务相对于产品,在国内是很难挣到钱的,因此许多厂商不仅没有“砸盒子”,反而还在“造盒子”

叶晓虎:其实国内对安全服务价值的认识已经在改变了,最近两起政务云1分钱中标的例子,就证明了企业更看重服务的价值。硬件虽然是免费的,但可以从服务上把成本挣回来。

另外,在一些重视安全的行业里,如金融,还是非常看重服务的。无论是安全平台还是安全产品,无非都是工具,而工具是需要人来使用的,工具只是用来提升工作效率。

目前已经有客户把整个安全工作都交给安全提供商,这其实是一个非常好的模式,因为对于好多企业来说,安全并不是主业,采购设备、管理实施都是很高的负担。至于使用什么平台、什么设备、如何实现,由安全企业自己决定。客户只看结果。

反过来对于安全公司来说,这种模式也起到一个非常强的促进作用。它倒逼安全公司必须做出转变,要把精力放在提升自己的能力,以真正解决用户的实际问题上,而不是只为了销售产品,不管销售出去之后设备的使用效果如何。

现在大家已经普遍认识到,发生问题是不可避免的,因此如何做到更快速的响应才是最合理的。十年前整个安全行业都在讲防御,但现在,加强检测、快速发现问题、快速处置已经成为共识。

四、不惧竞争 安全是一个长久的事业

安全牛:互联网公司利用云计算的大趋势,和自身资源丰厚的优势,强势切入安全领域,给传统安全厂商带来了很大的冲击,绿盟作为典型传统安全厂商的代表,对此有何看法?

叶晓虎:实际上近两年的确有不少人问过我们类似的问题,但我觉得任何行业都会面临革新和变化,这是非常正常的,具体到安全领域现在面临的变化而言,绿盟欢迎这样的变化。

首先,安全行业以前关系驱动的氛围很浓,很少有人把主要的精力投入到提升自身的安全能力上,如果持续这种状态,安全行业是无法发展起来的。而现在,包括阿里、腾讯、360等互联网公司,给安全行业带来的改变和竞争,促使大家把焦点放在提升安全能力上,放在主动解决用户需求上。

虽然互联网公司从业务上给传统安全企业带来很大的冲击,包括人才的流失,但另一方面,应该看到更多其他行业的优秀人才涌进安全领域,实际上促进了整个安全行业的发展。

再者,我个人觉得目前整个安全行业远未成熟,尤其是利用大数据分析来改变攻防对抗局面,大家都还在起步阶段,因此没有哪一家明显的处于优势地位,现在谈颠覆性的技术、领先优势还早。

以前的安全主要是工程师化的,靠一些大牛、一些技巧解决直接的安全问题。安全其实直到近两三年才开始走向体系化,成为一门学科;从人才培养到理论研究,从安全治理到安全意识,再到商业模式,这一切都刚刚开始,大家都在摸索。

还是那句话,新的技术大家都在起步阶段,可能某些厂商稍微快一些,但并不构成壁垒。再者,为客户提供安全运营服务的体系,并非短时间之内就能够够建设好的。它需要对行业对客户业务的深度理解,并经过长年累月的打磨,才能够行之有效。

从公众角度来看安全行业常用恐吓去销售,用炫耀来公关。攻破这个,破解那个,各种表演各种秀,但又能怎样?作为防守方,核心要思考的问题是你能为你的用户提供什么?怎么帮助用户解决安全问题?

当然,攻击技术也是需要了解和探索的,但对安全公司来讲,更多的是去思考如何产品化,如何建好整个服务运营体系,如何做到更加快速的响应。

拿产品化为例,一个能够交付给客户业务场景里的成熟产品,需要考虑很多环节,里面的各种细节、困难,比单纯的破解技术要复杂的多、工作量大得多。而产品化则是传统安全公司的优势所在。

可能在新浪潮的冲击上,传统安全企业短期内会经历沉浮,但自身的安全能力水平高低和是否得到客户的认可,以及是否把安全当做一个长久的事业去做,才是最终决定企业发展的关键因素。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章