易支付安全
作者: 日期:2018年11月08日 阅:4,249

男:易宝支付和青藤云安全的合作使用了青藤哪些产品,解决了哪些问题,解决解决方案是怎样的?

陈:跟青藤云应该是两年前有往来,开始是一些技术和经验分享,张福过来过,还有一位我忘记名字的过来过,一起交流过,讨论过一些关注的安全问题,应该是去年底还是今年,我们也用了青藤云的一些解决方案,应该说对易宝来说安全是比较关键的,因为我们是做交易的,尤其是大量处理资金,所以安全是特别重要,特别考察了市场里很多产品,然后把青藤云选出来,用他们的解决方案来加强我们的安全,就是这方面做了一些合作。

男:能有具体一些的,产品主要解决什么样的安全问题?

陈:特别具体的要等廖威来,他是上手做信息安全的,从我的角度是知道我们跟青藤云,应该是去年底,你们记得清楚吗?去年底签的协议,引进的解决方案,具体的解决方案,详细的使用效果要等廖威来说。

男:对青藤云这家公司有什么样的印象和认识。

陈:我本身在美国也做过一段安全,2002-2004年这段时间,911以后,我是先从防火墙,反DDOS攻击,后来反渗透和综合的信息安全体系搭建方面,当时在诺基亚,在Abacus做了一些项目,这个行业也算是熟悉的。青藤这边,我感觉国内国外有很多信息安全解决方案,这次回去我跟他们聊过几次,现在越做越比较深入,大家不像以前说做过防火墙,做一做加密就简单解决了,现在更多地是整体防护,我前两天和廖威说过,我们的概念应该算与时俱进,去年跟他强调过要全栈加密,不分内外网,因为按以前的概念,搞出防火墙,里面的,外面的,DMZ的,再分其他的区,把要保护的信息资产分类之后分别采取措施,现在是说内外都一样,没有完全安全的地方,外网的做法有的用到内网,包括了刚才讲全栈加密,加密到什么程度,即使是数据处理在我内网的不同服务器之间调用,我要求加密,曾经在我们支付行业界出现过一个很大的问题,不是易宝,是在美国出现过一个,我跟大家说一下,在2012年的时候,美国有家特别大的零售公司,超级百货市场Target,上千万到上亿条个人信息,卡信息泄露,当时的原因很简单,有人把木马放在pos机,就是收钱的设备商,每个人刷卡,刷完之后在Memory的信息拷贝一份送到什么斯,什么斯那个国家就把这些积累起来,在网上卖掉了,这是一个小例子,端对端,用户接触设备到防火墙进来,到中间和后端处理全面都要采取安全措施,都有风险,没有一个地方是安全的。而且长期经验告诉我们说,有的时候里面的风险比外面还大,尤其像我们这种支付公司拥有大量的卡信息,账户信息,个人信息,PCI的数据,要么是对人生命有威胁的数据,拿到你家里的住址,身份证,可以找你,到门口埋伏一下,对生命有危险的,生命安全。还有对财产有安全的,比如拿一张卡,把你卡号拿去了,信用卡的磁条就是16个数字,没什么别的,对财产有安全威胁的,从我们的角度来讲,易宝这么多需要受到保护的信息,我们就秉承前面说到的要全面防护,没有完全可信,没有完全没有风险的地方,我们应该是比较体系化的做,除了说刚才前面提到的,在设备上跟青藤云有合作以外,更多地是在防护体系上,比如说怎么去贯彻信息安全的这些理念,比如说怎么把资产找出来,怎么分,分完之后怎么分级,怎么采取流程规范,这些是我们一直在做的,而且是做得非常好的,应该说我们信息安全等级保护国家要求二级就可以,我们已经是三级了。
男:这种支付性质的公司应该是三级的。

陈:我有PCI,27000,早已经覆盖,整体的信息安全策略上,从整体的体系建设上,这是我们做得比较多的,然后才是说技术层面,比如说涉及到代码上的黑盒子,白盒子测试,整体的防护渗透的检验,黑白双方的红的和黑的,双方攻防的东西才是技术层面的,我们更看重前面的层面,后面是说有基础和理念的情况,去做一下,怎么做,各种办法都有了,包括我们跟青藤云合作,就是说刚才前面说了具体合作的实际的比较细的效果,就找信息安全总监来说是更有比较详细的数字和资料的,到我这里是比较体系化。

男:宏观的,他是比较专业。

陈:是的。

男:廖总谈一下,青藤云的自适应理念,以及做的Agent这种做法是业内比较关注的,因为是比较前沿的技术,前沿的安全技术大家最关注的是落地,尤其你们是作为支付,非常有说服力的用户,想听一下对青藤云的安全是怎么用的,解决了哪些问题,在哪些场景下,好用在哪。

陈:细的等会儿他说,我说一下整体上不论是前段时间,我回去和palo alto的架构师在聊,palo alto防火墙和思科的在聊,整体这个行业的趋势是大家在做信息安全的保护措施时,已经没有办法像以前那样简单做个策略,这个可以进,这个不可以进,这个可以进这,可以进那,更多地是像青藤云这种有一个根据情况的变化,外面的输入,外面的态势变化,可以自己采取反映,就好想你一动我自动的打你一下,是这样的,我们内部叫智能化的安全防护,他们也在往这个方向走,不知道你们内部提不提这个说法,叫智能化的,逻辑应该是一样的,不需要传统的手工部署,而是自动化地根据情况变化,适应外面安全态势变化的情况。

男:他们叫自适应。

陈:拔个高叫智能呀,搞一个虚拟小机器人。

男:陈总对中外的IT建设和安全方面非常资深的,可以有一些大的理念和概念多和陈总聊一聊。

男:陈总说了和思科聊过,提智能基于主动意识的网络,您站在CTO的角度,甲方CTO的角度,您认为未来安全有哪些趋势,挺希望听到用户的声音。

陈:接着刚才我说的智能化,今年八九月去上海参加国务院网络安全专家组,这个专家组专门有一个金融安全分组,专门在上海开了一次会,咱们人民银行的科技司喊我过去,这里面,上次大家谈的时候,在那个会上谈的时候,大家的方向跟我们内部做的和想的方向都差不多,就是说数据越来越多,变化越来越快,不可能等着你再手工慢慢玩,这种基于人工智能,基于大数据的快速的反应和自适应的做法就是未来的方向,已经没有办法达到说咱们像前面讲的搞一条策略,不行再搞一条策略,已经玩不过去了,所以不管是哪种防护,都是在这个方向往下走。

男:必须智能化,否则管不过来。

陈:没有办法了,我们要求反应快,等到想明白可能危机已经发生了。

男:支付行业有没有比较自己行业化的特点方向?

陈:支付比较特别地是说我们既有这种数据资产,比较需要保护的,前面讲了跟生命安全相关的PIC,跟卡相关的PCI的相关数据,支付行业有一个特别的地方,就是欺诈,欺诈和安全是有差别的,安全是说攻击你,进来想拿你的东西,欺诈是比较隐晦的办法,搞一个卡号假的,但是适应你的流程往下走,这两件事既有差别,但是很多地方是有相似的,就是解决问题的方法也是相似的,比如我们反欺诈的时候,每天大概,上个月,这个月增加了110万笔,一天增加110万笔交易,一秒钟得处理多少,加上原来的基数就很大的,我们一年做2万亿交易,这个基书架上新增的基数,要让我几个人,五六个人信息安全团队去干这个事,去做两件事,第一,防信息安全的各种漏洞,感知态势,然后做各种防护措施,各种预防性措施,各种演练,各种信息安全的测试,他们都在,还有配合各种审计,各种认证的审计,不可能的。尤其是刚才我提又有欺诈的问题出现,欺诈是20毫秒必须作出反应,给我一个交易,这个交易能做不能做,这个卡是真的假,是不是偷来的,20毫秒要做出反应,做不出反应就过了,安全和欺诈类似,快速的反应,这么大量的情况下,这么大的并发情况下,反应不过来就没了,所以说不管是从欺诈,从信息安全的角度很类似,都是要求在大量的数据,快速变化的情况下快速反应。

男:您提到了有ISO27000,等保,TCI,整个安全体系框架需要什么放一个规则,还是自顶向上,从咨询和规划有一个整体的压力设计?

陈:我们有自己的整体规划和策略,这些等级保护只是说业界的一些最佳实践,按照业界的最佳实践从不同的角度,不同的维度来度量我们,一方面是我们自己愿意做的一些,27000是我们自己做的,不是强制的,PCI是强制的,PCI是卡处理,信息安全等级保护不是强制。

男1:GBT推荐,国标推荐。

陈:所谓推荐就是必须做了。

男1:明年开始必须强制了。

陈:我们是先有体系,先有策略,然后这些等级保护,27000最佳实践这样走我们看做得怎样,除了我提到的PCI,ISO27000,等级保护之外我们内部还有安全审计,自己信息安全部门会主动对不同的产品拿出来审,我们自己有审计部,会反过来审信息安全部,一层套一层。

男:你们属于内审,不是第三方的。

陈:内审审他们,他们再审产品,一环套一环,这个体系还是相当全面和完善的。

女:审计部门是在公司下面还是独立的?

陈:审计是归公司的,审计直接报告给大老板,报告给CEO的。

男:IT审计?

陈:是信息安全审计和IT审计都有。

男:你们的整个体系,您认为是基于网络的还是基于数据的,还是基于应用的,有没有一个核心的点?

陈:我倒不觉得我们能侧重在哪个点上,因为你说这几样东西我们全都有,我们是有了产品,解决了用户的问题,所以带来了一堆数据,然后因为做这些事,我们有网络,所以这三样东西我们都有,没有办法侧重哪个,其实我们自己叫Total defense,也不能说全面防护,也不能这么简单提,实际情况就是这样,数据我们内部有一堆这种规范,流程,去对数据的存储处理和请求,怎么看呢,很多很多,每天有很多来做审批,应用呢,我们是怎么样,每个应用出来了,做黑盒白盒的审计,现在正在做自动化测试,可能除了做功能和性能上的覆盖测试以外,信息安全也会加上去,愿意不愿意,应用只要一出来一个新的代码,就可以覆盖上去了,对我们来说,特别是怕一些已经见过的漏洞,已经见过的后门,已经吃过亏了,再进来,我们又覆盖上去了,应该真的是Total defense,没有办法说侧重数据,网络这边我们不用一秒钟,一眨眼400毫秒,最少50万没有了,网络安全,DDOS进来搞我10分钟多少钱,所以网络层的一定要用。应用层的,谁在上面加一个后门,钱转走了,转一个亿行不行,我们可以转12个9,转转试试吧,加一个后门转,别搞12个9,五六个9就够了,应用上的安全更重要,对我们来讲,我们大概里里外外有400个不同的应用,这400个应用,特别重要,特别关键性的,大概得有个一二十个吧,甚至还多。

男:会不会经常的迭代,上线下线。

陈:天天都在迭代,特别多。

男:DevOpos正在用?

陈:敏捷的。

男:作为CTO认为未来支付行业,肯定是越来越在线化,越来越元老化,越来越实时化,越来越数字化,可能所有的业务都和安全是紧密贴合的,在防范这种安全和业务紧密贴合的情况下,怎么样才可能更好地,除了刚才说的很大,就是基于智能的这种智能化,有没有一些稍微具体一些的安全方向怎么做,业务和安全贴得太紧密。

陈:支付行业不知道你们了解多少。

男:比较少。

陈:就是大家每天上街买个地瓜用的都是扫码,那叫C2B的支付。用户给商家的支付,还有B2C的支付,是老板给你发工资,钱从银行发出来,进到你工资账户里,B2B的支付很清楚,账户之间的,还有C2C交易,你俩中午吃饭,欠他多少钱还一下,这里面的格局,假定这个市场的容量是100的话,其实这个容量是2311万亿,这个数,C2B的交易。

男:我国的GDP是80多万亿。2311万亿,300倍。

陈:天天用的腾讯的微信支付和阿里的支付宝,主要做的是C2B,也可以做C2C,C2B和C2C两种交易,在2311万亿占30%,B2C,就是银行给你发工资,发社保这些事,占20%,还剩下50%叫B2B的交易,易宝主要是做B2B的,我们是不做C2B的,所以会说在市场上易宝干什么的,卖水的?但是我们做的是2B的交易,回答你刚才的问题,2B交易的特点是什么呢?就是处理的钱,这个逻辑比较复杂,C2B的交易,拿卡我在你账上一口完事了,B2B的交易,这边一个小的B做了交易,收了钱,这个钱往上面一层拿的时候,扣掉一个税,扣掉联盟的加盟费,扣掉个费,上到上面,上面可能还有其他的逻辑要处理,这个处理的逻辑跟层次性会比较强,这种业务是属于比较难开展的我跟你谈这个事,咱俩可能谈两年不一定谈得成,比如航空公司,我们国内所有的航空公司都是易宝客户,咱俩谈两年谈不成,谈成了接上了,我的系统和你的系统几乎是集成在一起的,这时候他再来了,说我很牛,你俩再慢慢谈吧,得费多大牛劲能把我的拆开,我们这种是门槛相对来讲比较高一点,逻辑比较复杂一点,做的交易额度会很大,机构和机构不可能玩五毛一块的,怎么也是几千几万,十万百万这种的,这是支付的特点,我们向未来发展,刚才讲支付向未来发展,可以看到说之前如果大家都是00后的,都没有经历过之前是给现金的,咱们都知道,后来有卡了,工资发到卡上,用卡支付的,这大概是90年代到2000年一段时间,2000年以后,尤其是2008年以后基于手机支付,拎个手机四处买东西。再强前发展就是两个比较大的方向,一个是说手机这个东西还会接着去用,但是呢,别忘了手机其实后面是绑了一个卡的,或者是里面已经充了现钱的,这个卡还是要先解决了态度用的,未来的支付,更多地是基于真实的个人生物特征,刷脸,美女一出来,脸一出来,就是她,这肯定没错的,不用查身份证,就是她,已经抓到人的现行了,她支付了多少,你说我还用不用输入密码,都是她了,还用输入密码干啥,或者说到一个地方支付,上海有这种演示的,墙上有可以取指纹的,拿手往上一拍,五个手指头和掌纹都收了,一定是你嘛,哪里跑,尤其是移动设备有电子栅栏,就是手机划一个线,只要进到我的线里就知道谁的手机,MEI多少号,UID多少,记录了,没的跑。这种支付更加是基于真正的,真实的个人身份完成的支付,这种支付要求的安全情况就更加不一样了,现在没有看到的,比如说现在这个圈里划一个电子栅栏,可以想法通过电子栅栏,废掉我电子栅栏,很多办法就出来了,刷脸可以戴个面罩,手可以戴个指纹套,都可以,安全的情况就变了,会有很大新的变化。就像现在又有什么这种包括欺诈和电信诈骗的里面,劫持信号什么这些都会有发生,所以新的情况会更加复杂,更加高科技,不仅仅是这种通用的比较笨的搞个DDOS,放个小后门,搞个木马这种老套的东西了,这种都是大家必须容易搞定的事了。更加复杂的是现在能想到的基于这种真实交易的场景,这是一个方向,还有一个方向是什么呢?

我们在做支付的时候,现在你们支付,刚才前面讲了,后面就是一张卡,未来的应收数可能跟卡没有关系,未来是电子现金,我们叫Digital Cash,账户里的电子现金和电子身份证EID连在一起,相当于每个人发一个U盾,公安部发的,每次交易的验证直接拿这个EID来做,怎么保护这些信息,绝不是现在这种保护方法,前面提到了有效的,就是(议应)新的数据也好,移动的手段和场景也好,出现新的这种支付的变化。解决方案应该说是自动化,智能化,一定是方向,因为很多东西只能在了逻辑上想,想明白之后用到场景上,不能逐个场景现做,现去考虑。

男:没错,基于规则的已经跟不上变化了。你们具体的IT设施,我也看过你们的一些资料,有一百多万这样的客户都是企业方面的,有联通,移动,运营商,汽车制造,什么都有,你们在之间的这种支付,是用什么,你们各自应该有自己的私有云,或者是各自自己本地的数据中心,IDC,你们是通过一个公有云,共同在公有云做,还是私有云之间彼此的打通,大概的逻辑架构是怎样的?

陈:很多场合聊过这个事,云这个问题在支付行业里面目前还不是特别常见的,原因是如果基于云,特别是公有云,我们有私有云,如果是公有云,当你的支付信息在这个云上存在或者是处理的时候,举个例子,下面有块硬盘坏了,然后说戴尔硬盘坏了,戴尔的服务很好,拿个哥们把硬盘拿出来换走了,硬盘里有一百万卡号,找地方就恢复了,可以吧,这就是为什么我一直不上公有云,不管是华为还是腾讯,都来找我商量过这个事,但这是没有办法的,除非我所有物理设施全部加密,又对计算效率有很大影响,一旦出了故障,比如key找不到就是一堆垃圾了,这个东西基于支付的业务,上云的是极其罕见的,不敢说没有,但是国内大家我是没看到,就是大的支付行业,大的支付厂家是没有用到这个公有云的。但是私有云是我们自己搭的,自己做的,易宝的私有云主要是基于Docker3040,已经废掉了VMware和虚拟机,在Docker上做,基于Docker的私有云是我们自己架好的,刚才你问的问题比较直接,就是所有我的服务对象,就是我们英文叫PSP(Payment sevice provider),支付服务提供商,我的支付服务提供商,我们本身会和我的客户进行集成,可以把我想成一个API网关,要用我支付的时候调我API网关,集成到他的应用上,不管是移动还是系统,集成上去,我们之间肯定是加密的通道,我们本身相当于一个RA,不是CA,我们自己有一套中枢系统,会给客户发证书,该到期的,该换的都是自己内部管理,同时也有做交易的加密通道进来,还有很多商户每天天黑了,说我今天做了多少钱,会上来看,我们客户可以通过互联网提供一个商户的后台,可以查交易,这个其实也是一套加密的通道过来,同时也用手机做,用Token做了双因子认证,确保别到时候谁把这个东西拿去,光加密,人都换了就麻烦了,也在做这些。这个相对来讲拓骨很简单,可以想成一个中心的,接了我们,我们再和银行接,银联接,网联接,人民银行接,信息传过去,一环接一环。

男:之间走的是HTPS,CFC给你们做,这个必须规定是有CA证吗?

陈:我们是CFC的。

男:基本就是这些问题。

男:对于互联网金融行业来说风控是特别重要的一块,想问一下我们的风控系统这块建设怎么做?

陈:两件事,第一是互联网金融这个词太大,而且用得太烂了,现在不要乱用,一用之后会被人家删掉了,现在随便讲互联网金融发出去就会被删掉,现在比较时髦的是Fintech,第二我们讲互联网金融纯粹是中国国内硬造的词,其实不存在互联网金融这个事,当年有过汽车,有过电报,什么时候有过电报金融的,通讯都用电报了,那个时候,什么时候叫电报金融了,是不存在的一个事,只是中国的互联网发展到了今天,有了一个契机,这里面的小故事,如果时间够我就稍微说一说,中国在2008年以前,在世界的这些国家里相比,我们的互联网渗透率是很低的,大概只有10%左右,就是所谓的互联网渗透率,就是说上网算一个,一百个人有多个人上网,这个渗透率,2008年以前,我们之所以互联网渗透率低,原因是第一中国地下铺的光缆太少,老美,我家院里都铺,想接光纤,给钱就接,早铺好了,人家的基础设施完善。第二是老美有钱,家里电脑好几个,老婆有老婆的电脑,儿子有儿子的电脑,老公有老公的电脑,一人一台电脑不成问题的,中国搞一人一台电脑,一家一台电脑都费劲的这两个因素造成了整个中国的互联网渗透率比较低。但是2008年,苹果手机一声春雷把中国送进了新的时期,因为我们太多手机工厂,你想想什么OPPO,VIVO,华为,很多的,这些手机厂商,记得最清楚还有海信,这些手机生产商,500块钱就搞定一台,直接上网,可以上微信,直接跨入互联网时代,中国互联网渗透率就起来了,超过了美国。

男:对,移动互联网超过美国。

陈:美国家家是能通,但是我们现在不放光缆了,直接无线的,买电脑,人手一份手机,一下子超过了,这就造成了我们的互联网有这个大的发展,也造成了刚才你说的互联网金融的事。这是一个,第二是中国今年改革开放40周年,40周年老百姓赚了很多钱,赚很多钱想干啥,说咱万元户能否把钱赚得再多一点,通过钱来赚钱,都想理财,还有很多老板做事,想贷款,这个时候中国的大银行,其实是忙不过来的,咱们的大银行是为人民服务很好的,但是忙不过来的,只忙什么?只忙一些特别大的,比如说特别大的国企肉比较肥的来吃,你上银行借20万是什么下场,所以忙不过来,他是为人民服务的,只是忙不过来。这种情况下互联网上有一些比较简单的办法,开始的余额宝,小钱生钱,后来理财,P2P,尤其是今年到去年,叫现金贷,结婚差五万,现金贷吧,不能别的办法去抵押,可以把身份证,人家给你评估,怎么也给借点钱,都可以做到的,所以这一波,是造成了中国整个互联网发展的两个原因,一个是手机发展的,第二是我们的金融服务相对于其他国家有一个发展的过程,还没有到那个过程,中间有这样一段,正好互联网给补上了,你刚才讲的风险控制,这个事稍微复杂一点,风险控制是有两个方面,一个方面是指信贷风险控制,就是说我把钱借给你了,我借给你,你能不能安全地在规定时间内还给我,这个风险。

另一个就是像易宝做的交易风险,所谓交易风险就是在交易过程中存在的欺诈现象,比如说我拿薅羊毛,拿一分钱支付跟你扯淡的这些事,这是我们面临的交易风险易宝是不做信贷的,我们不借钱,不放贷款,或者是借钱出去,信用风险我们是不去处理的,但是交易风险是特别大的问题,但是在刚才回答你的问题,风控的方面,在这个新的形势下,就特别显得重要,美国的风控相对于中国有一个落差是什么?美国有一个很完善的叫信用服务,信用服务是150年来一直建立发展的过程,就形成了三大征信公司加300家小征信公司,形成了完善的征信体系,要去了解谁,了解他,把身份证一递,马上给你一份,这个哥们儿三家公司给你一份,一家给二十份,一家给五十份,一看大概知道怎么回事了,中国没有这个,28%的人有在央行比较好的,比较完善的征信记录,还有72%的人一查说白户,什么叫白户,就是光有你的名,是合法公民,但是没有贷过房,没有贷过车,我们也不知道你怎么着,这是比较麻烦,这是我们中国所谓的金融科技风险控制当中比较挑战性的一块。但是,幸运的是我们在2008年以后,因为移动互联网技术发展,大量的数据出来了,看你手机,电脑,各种互联网上的活动,大量的数据出来了,这些数据加上我们近期,特别是近三两年出现了人工智能的技术,能够快速的让我们找到,就是给这个人打标签,人家一看良民,可以多借点钱,尽管你说我在人民银行征信系统没有什么记录,一看这个不错的,工作几年了,职业是什么,借贷能力很强,可以把钱借给你,这是历史给中国一个很好的机会,这个机会就像前面讲的,在2008年中国超越美国,在移动支付上中国也超越美国在信用管理方面。老美是四平八稳的,传统的东西没有跳跃,我们是一下子跳过去了,不知道回答你的问题没有。

男:这两年国家对于网络安全重视程度特别大,去年《网络安全法》落地了,今天好像是正式实施的一个公安部下发的,11月1日正式上线,《公安机关互联网安全监督检查规定》,上面有一些相关的规定,您觉得国家现在对网络安全越来越重视,国家的这些措施对企业来说,能达到怎样的效果?

陈:想要达到什么效果?

男:您觉得有哪些改观?网络安全这块。

陈:是这样的,去年6月1日的《网络安全法》出来,对行业是件好事,之前大家都有这方面的想法,但是没有一个规矩可循,做到什么样算合法了,算是做到尽责了,不太好衡量。《网络安全法》出来之后明确界定了什么数据,多少条算犯法,搞多少条可以进去多少天,这事比较清楚了,这样的话,对这些接触网络数据的,尤其是个人隐私数据的,和做网络安全的人,相对来讲就有一个比较清晰的界限和尺度,可以去自我衡量,自我评估,说我做的时候太过了,还是说我做的不足,就有一个比较好的评估,这是对企业的好事。还有一方面是有了网络安全法,对向他们这种专门提供专业安全服务的,也是有好处。以前网络安全处永远没完的,网络安全说白了,其实是一个成本很高的事,你说做网络安全,做到什么程度,做到每一个数据,所有的环节都加密,所有的环节都怎么保护,可以,但是很麻烦,很多成本,很多的效率问题,有了网络安全法,他们在服务,像我们这些用户的时候就知道说用户有网络安全法,要守法,这是个机会,要用我的设备,但是我提供到这样就好了,对他们也是很好的事。

男:问一下廖总,青藤云叫自适应安全,不知道我们公司有没有使用其他的态势感知的产品,您对比来说,他们之间您觉得有哪些区别,青藤云安全有哪些优势?

廖:我理解青藤是态势感知的一个环节,一个数据来源,为态势感知提供很底层的数据,因为现在安全防御都是叫纵深防御嘛,IFT,从网络到主机到应用,到应用底层,监控是全方位的,把所有的数据,可能人处理不了形成一张图,可以知道什么情况,我觉得青藤在HIDS方面,主机方面是很好的入口,会把主机各个形式发现,传统的IPS都是在网络层,只能看到一层的数据,看不到更底层的,刚好青藤的主机上面有数据,为我们判断是否攻击,网络上漏网之鱼提供很全的数据来源,这是我的理解。

男:终端端点是数据真相追原,主要是装在主机上的。

廖:还有更深在应用层的。

男:刚才只说了一个需求,要对数据进行知道,监测,还有没有其他的需求。

廖:网络嘛已经很长时间了,IPS和RASP和自建IDS数据分析,主机之后还有很多业务,JAVA和RASP4600运行保护,基于应用层的监控,可能会更底层,我们从头到尾一条线纵深下来,完完全全知道一个请求从外面应用处理,数据库存储,到底层究竟做了什么事情,从一条线从前往后串起来,全链条展现出来。

男:青藤可以做到吗?

廖:可以做到中间一个重要环节,主机层是一个连接,以前是缺失,都是开元的,开元的可能甲方维护成本太高,要维护,他们有一个很全面的,做到了细粒度,颗粒度很好的。

陈:以前大家更关注前端和网络,对主机本身应该说基本上也就是通过这个主机加固。

廖:都是夜观天象,看主机被入侵没有,网络层看的。都是知道特别晚的,就像我们老大说的20毫秒,一般是20天之后发现这个主机有流量,一查发现被入侵了。

陈:已经入机N天了,才知道。

男:应该已经用了一段时间了。

廖:对。一年了。

男:一年的使用过程中有没有兼容性,使用效率,占用资源和其他的安全产品的适配度,有没有这些方面的问题,或者是一些好的现象和好的东西可以说一下。

廖:相对来说挺不错的,可能每个软件都有自己的bug,bug肯定是有的,但是整体还是很好的,整体运行很稳定的。
陈:没有那么重,不会给机器造成特别大的负担。还算是一个比较轻量级的Low Footprint留下的寻迹比较浅。

男:在兼容性方面呢,因为需要管理平台,需要对其他的硬件结合,需要和其他的系统之间。

陈:这个没有问题。

廖:兼容性很好的,我们的系统也挺稳定的,它的兼容性也没有问题。

男:怎么样关注到它。

陈:为什么选它。

男:也有类似的产品。

陈:当时张福过来,交流了好几波,我们的技术人员交流过,我记得很多波。

廖:跟了一年多,因为我们是第一个吃螃蟹的。

男:这个东西的落地是业内非常关注的事情,而且也代表了一个比较前沿的技术,前沿的技术大家一般都是比较观望。

陈:算是填补国内空白,以前全链条的,现在如果做Total Defense,全面的防护一定是从每个环节做起,主机层,我们只做到加固,操作系统,壳留下,其他的东西乱糟糟的丢掉,该关的关,加固,现在看是不够的,有的怎么说,这种木马和脚本已经很深入了,一定是要在这个角度上,这个环节上要特别加固,他们是找到了一个比较好的切入点,空白补上了。不知道你们还有别的客户没有,我们是唯一一家吗?

男:还有很多的。比如说像金融类的,在互联网金融的前十名的九家都是我们的客户,我们跟中信银行,光大银行,吉林银行,金融类的基本都有合作,还有九富这些,平安科技。

男:大概是什么样的业务主机上,还是所有的业务主机。

廖:我们基本是所有的都装了。

男:只要新上的肯定都装了?

廖:新上的必须上,老的也装了。

陈:我们是操作系统,不是Docker层。

男:需要操作系统权限。

廖:对。

男:Docker的话你们赶紧上。

廖:我们提需求了。

陈:Docker应该有考虑,也是新生事物。

男:是一个方向。

廖:对安全来说就是轻量性的进程。

女:易宝是用青藤的第一家客户吗?

廖:不是。

陈:最佳客户。

男:B2B的。

陈:谁是第一个客户,他是吃螃蟹的。

男:互金是。您本身对安全的要求就非常之高,这种高标准下是第一个吃螃蟹的。

女:青藤还有易宝提供什么服务吗?

廖:据说服务很好的,我们有问题他们都是及时跟进,比如有软件补丁推送都是很好的,比如一帮外界的情报,漏洞推送方面。

男:青藤的A主要输送,作为数据的输出,主要输出哪些其他的系统里面?

廖:现在目前我们是主要在青藤有一个引擎去处理,A把数据收集到他的系统中处理,现在偏向于用它,未来会对接到日志中心,统一的处理。

男:日志中心是你们的?

廖:我们的。现在是在青藤处理。

男:资产这块呢?

廖:他们处理,因为有Agent,所以资产可以做得很精细化,这就比我们之前原来用Osack好的地方,资产数据有脚本,自己会梳理。

男:资产的,日志的,终端行为的东西。

廖:对。

男:还有吗?反欺诈方面有没有可能?

廖:反欺诈主要是风控层面,两回事,偏业务,特别底层数据支撑,可能为攻击欺诈行为提供数据支持,应用层接不着了。

陈:性质不一样。

男:是做业务逻辑的,这个是系统。

陈:从技术角度是可以往这方面走,但是其实反欺诈关注的点不是这种硬的攻击,是这种业务逻辑上的,是绕。
廖:要绕道风控系统,要薅羊毛,太底层了。

男:够不到。

廖:对。GS层,应有层估计好一点。

男:再往上走就可以了,Docker往上做就是Workload工作流,这个时候是否有可能?

廖:工作流还有偏底层,如果是Rasp层更偏业务,Java数据阶层就接壤了,有一些Rasp就提供自写的GS,看到行为是爬虫或者机器…会发GS或者指纹识别。

男:用RASP?

廖:还在测试,一年多,因为特别稳重,我们先测再上,有计划,大概今年底明年初。我们用了open ,在测百度的,因为他做的,性能和压力测试挺满意的,这方面,其他开元的测过,商业的没有测过。

男:按License还是按年。

廖:年和License都有。

陈:我倒推荐你们去参加11月16日金融科技大会,在上海,全部都是金融科技行业的CTO,银行,保险,证券,互联网公司,互联网金融行业。因为都是搞技术的,不是讨论业务的,讨论技术的。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章