传统的网络安全包含防火墙、防病毒授权管理与身份认证等,但是传统安全产品存在难以检测APT攻击,使产品相互独立形成 “安全孤岛”,无法呈现统一的安全态势,且存在入侵事件发生之后,不能快速定位、溯源和取证等问题。
面对每天都有新出现的安全漏洞,组织需要对检测和响应做更多投入,来提升安全事件响应效率,而非试图完成不可能的完美防护目标。咨询公司ESG提出了SOAPA架构的概念,不少安全分析师也认同该架构在不久的将来会取代SIEM。新型的传感器、不同的数据源、分析工具操作需求推动着整体安全技术向更全面的事件驱动软件架构变革。SOAPA架构有能力收集海量数据,并针对这些数据集扩展并完成分析。近日,安全牛采访了国内首个践行SOAPA架构的大数据安全企业——兰云科技的联合创始人周宏斌,深入探讨安全之困与脱困之道。
周宏斌 兰云科技联合创始人、CEO
具备17年安全行业经验,对身份认证技术、终端安全防护、网间安全防护、APT检测技术均有深入研究;曾任中铁信安信息安全事业部总监、华为公司网络安全专家、现任北京兰云科技有限公司联合创始人、CEO。曾研制成功国内第一款单向光闸产品,是国内单向光闸产品的开拓者和领导者。
一、专注 “大数据安全”
安全牛:从创办兰云科技到现在走过了三年时间,是专职做网络安全技术吗?企业发展状况怎样?
周宏斌:兰云科技作为国内首家推广SOAPA架构理念的安全公司,成立于2016年4月,同年8月拿到拳头产品 “兰眼下一代威胁感知系统” 的销售许可,随后开始打造综合安全分析产品 “兰天智能安全平台”,终端安全产品 “兰星”;17年7月完成A轮融资后,完成应对数据泄露问题的 “兰溯数据泄露监测与取证系统” 的产品研发。至此,所打造的产品,强有力的支撑了公司。“网络安全监测与分析专家” 的定位,帮助客户提升了对自身网络安全健康状况的掌控能力。公司目前A+轮已敲定,业务开展情况良好,顺利进入银行、保险等对产品和服务能力要求非常高的行业,并获得客户的高度认可。
二、SOAPA产品线建设 重点实现行业布局
安全牛:兰云科技目前拥有哪些产品线和客户群呢?
周宏斌:实际上兰云产品解决的就是传统安全设备在检测能力和分析效率方面的不足。SOAPA架构能够有效解决传统的设备 “孤岛” 问题,针对整体做出分析和呈现,此外还可以有效溯源和取证。我们主要服务于银行、保险、能源、交通等行业以及政府机构,主要客户有华夏银行、阳光保险、国家电网、京港地铁等。目前,研发的产品有:
1. 兰眼:兰眼下一代威胁感知系统采用创新的多引擎沙箱和大数据分析技术,集成AV和IDS辅助检测模块,并引入威胁情报体系,构建起了分层的检测架构,可以有效弥补传统特征检测技术以及传统沙箱技术的弱点,从而可高效检测以APT为代表的下一代威胁。独创的应用级沙箱技术在未知威胁检测方面有着优异的表现。
2. 兰天:兰天智能安全平台以大数据技术为基础,结合安全分析中数据持续增长、类型复杂、来源多样等数据特性,通过对使用用户及使用行为的技术分析,可有效检测高级持续性恶意攻击以及内部违规行为。兰天智能安全平台在融合各种网络安全要素的基础上,从宏观的角度实时评估网络的安全态势,并在发现威胁之后实现安全联动,为企业信息化管理部门的决策分析提供依据,高效保护客户核心资产。目前已应用于安徽移动,北京大兴国际机场,北京公交集团等。
3. 兰溯:结合流量还原,大数据分析和搜索引擎技术,实现数据泄露的监测、分析、取证。
网络世界是现实世界的延伸,而不是一个全新的世界,因而网络世界的问题可以参照现实世界。同样通过网络监测的方法,结合后期查验从而进行结果处理。比如说 “华住事件” 是从流量角度分析,非纯记录而是建立新模型完成监测和发现问题。保险行业是信息泄露重灾区,随之带来的名誉损失、数据损失等的恶劣社会影响。解决高端问题,降低报告输出的专业度,便于非专业人员排查信息泄露情况。快速定位问题,查找源头。
4. 兰星:针对于终端高级威胁和数据泄露进行高效检测和响应的EDR产品,它可以持续感知终端的活动信息,结合兰天安全智能平台终端进行快速的检索和定位,在对抗高级威胁和数据泄露方面可以获得更好的检测效果与响应效率。
安全牛:刚刚从监测分析,谈到产品和企业定位,现在谈一下兰云有哪些技术优势和壁垒呢?基因优势又是什么?
周宏斌:沙箱是有壁垒的,系统的沙箱一般是调操作系统的API,在进行解密处理之后,同漏洞无关的内容基本98%以上识别成功,只要是没有破坏到不能使用都是可以的。
基因优势是我们技术功底深厚,大多数同事从02、03年就开始从事安全行业,例如深度认证、终端安全等。产品驱动的能力也很强大,负责驱动的研发人员有15年的相关经验。同时我们还拥有很多专利:数据监测方法和装置、日志处理方法等等;07年我们引进了Linux的源代码、桌面型原代码,双向网闸的技术。这些关键技术的不断积累,提升了我们解决安全问题的核心竞争力。
三、流量检测与分析 网络安全脱困之道
安全牛:未来检测与分析是潮流,像是流量分析NETFLOW、深度包APM/NPM、UEBA/NTA等。其本质都是流量检测,你从技术专家的角度可以为我们讲解一下区别吗?
周宏斌: 一般而言Netflow面向网络的第四层以下,主要是目的是测量和统计网络运行情况;NTA侧重于UEBA面向网络的第七层。NTA是协议分析,UEBA是以人为角色针对某个特定系统,但是它们的业务逻辑是相关的,更多的是采集关键用户行为点实现标签画像,预测用户习惯以完成整体目标效果。
在兰天、兰溯产品部署之后,我们推理应用场景、识别场景模型,理清访问关系、访问逻辑,提高内容贴合度以达到更好的效果,同客户一起探索最优解决方案。
安全牛:这些技术和产品都是针对事后处理的?
周宏斌:技术上是实时的,因为保险行业普遍是隔天处理事件。完全杜绝事件发生是不可能的,这样的处理方式是为了对心存侥幸的不法分子以震慑作用,有效的降低事件发生的可能性。
部署产品后,我们发现了若干起内部员工泄露投保用户信息、非授权员工违规访问核心数据库、外部黑客入侵web服务器等安全事件,有效提升了客户的安全监控能力,降低了安全运营风险。所以提高威胁发现能力以及提高安全事件分析能力才是真正的解决之法。
四、构建网络空间的蓝天白云
安全牛:解决安全之困非朝夕之间,19年兰云科技有哪些规划和想法呢?
周宏斌:一方面在APT检测领域,“兰眼” 产品已经具备了很强的竞争力,与各大安全厂商的合作是对我们安全能力的最大认可和证明。2019年,我们会进一步扩大和完善 “兰眼” 产品的销售渠道。
另一方面,2018年我们推出了数据泄露监测与分析取证产品 “兰溯”,取得了非常好的应用效果。产品在客户处上线仅一个月,就帮助客户发现了多起违规泄露数据的事件,避免造成严重损失。2019年我们会进一步强化 “兰溯” 的能力和易用性,要让客户 “爱不释手”。将 “兰溯” 打造成拳头产品,树立标杆客户和标杆行业,再与合作伙伴一起服务全行业的客户。
安全牛:如何实现企业管理,市场销售、行政、研发、产品各项的均衡发展?
周宏斌:一个公司,资源总是有限的,无论是初创期、发展期、稳定期,都会出现各种冲突和问题,我们难以找到一个完美方案来均衡企业的不同方面,但可以在远期目标的牵引下,制定每一个阶段的目标,形成发展主线。遇到冲突和问题时,便于快捷找出更适合的方案。
安全牛:未来安全行业是否有一些大场景的应用,发展趋势会是怎样?请谈一谈对公司的定位判断和愿景?
周宏斌:近些年我们一直在谈 “消费升级”,解决温饱问题后,人们对生活品质的要求越来越高。带给了企业无数新机会,通过创造 “高品质” 的产品取得用户认可,从而获得丰厚的回报。其实安全行业也是一样的,伴随着越来越多的业务IT化、资产数字化,而网络攻击能力也在持续提升。保证业务的持续稳定运营、数字资产的安全性就成了迫在眉睫的问题,越来越多的企业不再仅限于 “合规” 需求,所以 “安全升级” 是必然趋势,这给整个安全行业带来了无数机会,只要以改进客户安全体验为目标能切实解决客户安全问题,就能获得丰厚的回报。
兰云科技的定位是成为网络安全监测与分析专家,帮助客户提升威胁检测能力和安全事件分析效率,建立对组织自身网络安全的掌控能力。兰云科技的产品和解决方案遵从一个基本原则,简称1-3-5原则,也就是客户环境出现的任何1个安全事件/风险/可疑线索,安全人员利用兰云的产品,可以在3分钟之内,通过5个简单的步骤,定位出问题所在,再结合其他安全产品实现事件的处置。携手客户及合作伙伴,构建网络空间的蓝天白云,是我们不变的理想和目标。
安全牛评
SOAPA是安全行业的创新点之一,主要解决了常见的信息安全应急响应滞后、一线安全人员效率低、专家级安全服务成本过高等问题。随着网络安全的不断发展,组织愈加需要更具拓展性、灵活性、模块化的架构简化安全运维工作,帮助实现更为完整的安全即服务概念,将信息安全服务做到自动感知、智能分析、应急响应、辅助决策,为企业或机构提供一站式解决方案。
相关阅读
