编者按:本文来自微信微信官方账号“云天使”的“云家燕”栏目。
看过《环太平洋》的童鞋都会对频繁重启的战钟印象深刻。在经历了重大安全事故频发的2017年,似乎也有一个无形的战钟在提醒我们,下一次安全事故随时可能发生。随着数字时代的到来,来自网络的安全威胁比以往更加强大。它们不仅威胁我们的财产,甚至影响我们的生活。
“现在很重要”——作为网络安全行业的风向标,RSA 2018以这样一句铿锵有力的话开场,旨在告诉所有参与者,必须立即行动。
为了更近距离的了解RSA,在大会的最后,我们邀请了云天使家族的两位成员,也是今年国内RSA参展企业的代表——青腾云安全CEO张福和微步在线CEO冯雪,与brew tea一起探讨,现场交流RSA的参展经验、最新的行业观察和战略思考。
嘉宾:青藤云安全CEO张福,曾任盛大技术总监,MochiMedia中国CTO,昆仑万伟游戏与移动互联网事业部技术总监。青腾云安全是一家自适应安全服务提供商,成立于2014年8月。2017年两次入选Gartner报告,2017年完成红杉资本领投的B轮融资。
微步在线CEO冯雪,曾任亚马逊中国首席安全官、微软中国互联网安全战略总监、Blackhat欧洲安全大会和微软Bluehat大会首位中国演讲嘉宾。微步在线是一家成立于2015年6月的安全公司,专注于威胁情报。入选Gartner报告和全球网络安全500强。2017年完成由高瓴资本领投的B轮融资。
主持人:云天使基金副总裁cutie。
2018 RSA的安全理论回归
主持人:今年RSA整体感觉如何?
张富:RSA实际上是美国安全厂商和其他国家安全厂商的交易会。今年主要分为网络安全和终端安全两大主题。行业内有很多新的人才,也有很多结合当前形势推出的安全产品,比如GDPR合规支持。
冯雪:总的感觉是人很多。来自国内的厂商会比以前多,创业公司的比例会增加,这也反映了一定的行业趋势。
主持人:与以往相比,今年的主题“现在很重要”——2017年的“机遇的力量”和2016年的“连接保护”,光环明显不同。一方面有着更强烈的时代感和使命感,另一方面也有着深深的忧患意识。你怎么想呢?
冯雪:2017年发生了很多安全事件,比如NotPetya、WannaCry等等。但其实这些只是冰山一角,还有很多未被发现的安全漏洞或隐患。有人说,世界上只有两种企业,知道自己被黑了的,和被黑了还不知道的。这似乎是一个笑话,但不幸的是,这是一个预言。随着信息技术的发展,越来越多的数据将暴露在互联网环境中——数据安全也是今年的热点。仅仅建一堵墙或填一个洞是不够的。需要优化流程,同时尽可能获取和分析外部情况,追踪安全威胁来源。
张富:近年来安全防护措施有所提升,但安全威胁会更加多样化。我其实很赞同两年前的提法。安全需要综合考虑,需要“大安全”的理念。单看某一点可能不行。今年的主题挺有意思的。虽然没有指名明确的方向,但表明了一种态度。不可否认,这两年网络安全的重要性确实有了很大的提升。
主持人:刚才提到NotPetya和WannaCry都是勒索病毒,都有与信息泄露、IOT僵尸网络、挖矿木马等相关的安全事件。RSA对2018年可能发生的安全事件有什么判断和展望吗?
冯雪:今年参加的安全公司,无论是网络设备厂商还是终端安全厂商,都强调了对勒索软件的检测和防范。这只是开始。哪里应用了新技术,哪里就会出现新的安全问题。有人说,随便找个新技术,后面加上安全二字,就能成为热点。未来的IOT安全和数字货币安全是非常新的方向。随着数字货币的升温,它可能会让勒索软件更加舒适。一定要提前注意。
张富:在这一点上,我非常同意冯雪的观点。这次RSA大会虽然菜鸟很多,但并没有太多特别的技术突破,而是很多之前的热点,比如威胁情报,终端安全,他们在冯雪做的IOT安全逐渐成熟。
主持人:说到技术突破,就不能不提“创新沙盒大赛”。今年的大赛有哪些值得注意的点?你认为BigID如何赢得比赛?
冯雪:比格德的胜利出乎意料,也在情理之中。没想到,据说这家公司成立才16年,在今年的创新沙盒大赛中被妥妥的视为新秀,而BigID正好踩在了风口浪尖上,也在情理之中。欧盟将从今年5月25日起正式实施GDPR,BigID的口号是重新定义用户隐私数据保护,这也正是GDPR的方向。
张富:我同意。本次会议的一个重要议题是讨论GDPR带来的主要挑战,企业如何满足合规要求,以及个人如何使用GDPR进行隐私保护。所以BigID能一举拿下“创新沙盒”奖还是时代的问题。它的确沾有GDPR的光。
冯雪:另外,脸书数据泄露的问题也给各行各业上了一堂急救课。所以说BigID面临的市场走势突然好转一点都不为过。除此之外,BigID的产品具有更好的变现能力,我认为清晰的商业模式也是其能够赢得创新沙盒竞赛的主要原因。
主持人:从Phantom到UnifyID,再到BigID,你怎么看沙盒冠军这几年的变化?
冯雪:从趋势上看,云计算、物联网、威胁检测和响应、用户隐私和数据保护、身份认证等。仍然是热点,与去年的技术趋势相比变化不大。2016年RSA的主题是“连接保护”,沙盒冠军是Phantom。主要产品价值是安全产品联动,通过自动化提高安全运营效率;2017年的主题是机遇的力量,强调团结、联盟、联动。当年的冠军是UnifyID。通过识别设备的行为特征,还喊出了无密码的口号,利用人在使用设备时独有的特征来识别一个人,这无疑扩大了机器识别的外延。今年是BigID,击中了用户隐私和数据保护的要害,通过反复发现和关联,保证数据最小化。这直接呼应了即将到来的GDPR和脸书事件。通过使用数据沙盒技术,根据业务需求提取敏感数据进行脱敏,形成敏感数据脱敏数据库,促进数据最小化。这就弥补了大数据时代的行业空小白。另一方面,国内各大业务场景还在争夺业务数据有多大,获得用户尽可能多的授权。至于涉及到多大的噪音,多大的隐私,没人提过。
张富:还有一点。2016年的冠军Phantom找到了一个巧妙的安全自动化和排列的切入点,这与美国相对开放的安全产品有关,在国内复制这种模式的可行性较低。2017年的冠军UnifyID提供了一个隐藏的ID识别平台,可以离线使用,ID识别仍然是本次RSA大会的主要议题之一。重点讨论了多因素认证和软件定义的边界,也讨论了认证在人工智能和物联网中的具体应用。UnifyID的IAM领域本来就是安防四大支柱产业之一,有很多创新点,在2B和2C市场都有广泛应用。
主持人:的确,GDPR的出现将数据安全和身份识别带到了一个新的高度。在很多情况下,我们看到安全企业都在利用人工智能进行数据分析和识别。人工智能对未来网络安全行业有什么影响?今年您在RSA上看到过这样的技术和应用吗?
冯雪:在最近的RSA会议上,可以看到许多使用人工智能技术的安全产品。机器学习已经成为一种显而易见的底层技术,而不仅仅是一个噱头。
张富:其实从2016年开始,RSA大会就一直有人工智能相关的议题。人工智能作为现在的热门技术,已经在很多美国网络安全公司实现。以威胁情报公司Cylance为例,Cylance已经基本淘汰了之前杀毒软件的做法,完全采用机器学习的模型来筛选威胁情报。专业评估机构和客户对此反应良好。机器学习在检测领域的优越性有目共睹。传统的检测形式,如特征码、启发式、主防御、MD5黑客等,已经不适应未来复杂多变的网络安全环境。因此,我认为机器学习模型的广泛应用将是未来网络安全和架构安全的主流趋势。
冯雪:归根结底,安全问题是数据问题,网络安全是人工智能的最佳场景之一。网络安全行业接触到大量数据,这些数据和垂直应用场景正好为AI落地提供了条件。微步在线本质上是一家安防行业的大数据公司。做好威胁情报离不开大数据和机器学习,既包括外部数据,也包括日志、流量等内部数据。我们认为数据的安全要靠数据解决,靠数据解决,用数据解决,为数据解决,由数据驱动,与数据同行,最后为数据服务。
主持人:RSA 2018有多少中国网络安全厂商入围,有多少是创业公司?有哪些亮点值得关注?
冯雪:有27家中国制造商参加了RSA会议。除去阿里巴巴、360、华为、绿色联盟等在安全领域深耕多年的公司,创业公司也取得了相当不错的成绩。比如,微步有幸被国际权威网络安全媒体《网络防御》杂志收录,入围InfoSec Awards 2018获奖名单。
张富:中国的网络安全厂商大部分都是作为中关村整体参展的,大部分都是这个领域的创业公司。虽然中国已经成为仅次于主办国美国的第二大参展商,但从本质上来说,国内大部分创业公司还处于追求和模仿美国理念的阶段,技术和产品水平的差距还是比较大的。
主持人:所以,RSA和国外厂商对国内厂商的领先效应是很明显的吧?
张福:总体来看,RSA大会上安全厂商的技术领先优势依然存在,但是国内市场不同了,或者说国内安全市场并没有完全靠产品技术取胜。
冯雪:同意。引领效应确实存在,但只能说国外已经验证的技术方向和商业模式在国内会有一定的成长空,但不代表复制就是创业的真理,本土化和创新更重要。
主持人:那么,中美两国网络安全环境和市场的主要区别是什么,比如客户关注点、解决方案、商业模式等?
冯雪:此行最令人印象深刻的是美国企业用户接受了SaaS的安全产品和解决方案。例如,端点EDR和威胁情报领域的独角兽Crowd Strike都不提供任何私有化解决方案。所有端点数据都必须上传到云端,并使用机器学习、威胁情报和大数据等技术进行分析。SaaS是趋势和方向,但目前在中国的知名度并不高。考虑到中美企业在能力、需求和文化上的差异,可能需要几年时间才能被广泛接受。
张富:从中美两国的市场差异来看,美国的网络安全市场基本上是一个开放的市场,产品技术有特色,所以总会有适用的场景。中国可能是因为技术和客户本身的滞后,考虑的还是相对比较的基础,或者是合规的驱动。整体解决方案更容易被用户接受,或许和整体购买策略有关。
主持人:刚才我们讲了这么多宏观层面的问题。说点和你们俩直接相关的吧。威胁和自适应安全都是近两年非常热门的安全方向。各自领域的发展现状如何?
冯雪:威胁情报领域已经从模糊的理论逐渐转变为基于场景的、可操作的产品或平台。这一领域也引起了各大巨头、老牌安全厂商和新兴初创公司的关注。谷歌一口气投资了三家威胁情报公司Crowd Strike、Anomali和Recorded Future。目前,在三家公司都融资到D轮之后,谷歌还收购了一家威胁情报公司Virus Total。在中国,微步在线是威胁情报的领先企业,已于去年年中完成1.2亿元的B轮融资。此外,360、绿色联盟等国内安全企业也在开发威胁情报。
2017年在美国RSA期间,微步在线推出了威胁检测分析平台TDP。客户可以使用我们基于私有化部署的产品。2017年以来,客户的需求逐渐专业化,因此我们也发布了TIP多源威胁情报管理平台产品。2018年,我们推出了安全DNS服务、云沙盒和TDP-S服务器版本,以及高级威胁检测和应急响应服务,并开始让我们的产品更加场景化。
张富:传统的安全公司过于强调防御和控制,但防御和控制很难,应对变化的能力不足,导致无法产生预期的效果。在开放和复杂的环境中,面对高级别的黑客攻击,尤其是来自商业组织和一些国家的攻击,需要适应安全。
绿云安全基本上是按照Gartner的自适应安全架构来组织产品的演进。我们开发的自适应安全平台可以有效解决传统安全侧重防御的被动局面,为系统增加强大的实时监控和响应能力,确保企业安全的最后一公里。我们的产品可以适应基础环境,无论是传统的IDC+服务、公有云、私有云、混合云等形式,都可以适配和搭建。同时青腾的安全平台可以生成最符合业务形态的安全策略,安全系统可以随着架构的迁移而迁移。
整体来看,青藤云安全比国外自适应安全厂商功能更多,但深度空还是有很大提升。
主持人:威胁情报侧重于外部,但如何帮助企业构建内外结合的完整安全能力?薛总,你怎么看这个问题?
冯雪:威胁情报已被证明是下一代安全系统的主导地位。无论是威胁探测和应对,还是与其他设备的联动和快速处置,都是威胁情报的主战场。目前,威胁情报已经成功地在大型金融机构、能源公司和其他组织的安全运营中发挥了重要作用。众所周知,在企业内部安全体系中,威胁情报可以起到“知己知彼”的作用,为企业内部数据提供对比、验证、修正的维度,实现最重要威胁的最小化和精准预警。同时为决策提供依据。因此,企业要想构建一个内外一体化的完整安全体系,就必须引入威胁信息,而威胁信息是多源的、持续的。
此外,威胁情报在网络安全产业链中的地位也非常重要。在一个开放互联的网络安全生态系统中,威胁情报接口在北方向,向其他合作伙伴提供和分发威胁情报数据,与其他安全厂商合作,为企业提供整体安全解决方案。由于威胁情报是一个新兴行业,创业门槛高,竞争激烈,处于行业头部的公司不仅可以获得大量客户,还可以迅速在网络安全行业占据有利地位,打入以巨头为核心的网络安全生态系统,甚至有能力构建自己的生态系统,因此可以快速成长。
主持人:那我们再问问张总。目前青腾在保持原有自适应系统的同时,重点关注主机安全。两者如何结合?
张富:终端安全是架构安全领域最大的一个品类。全球市场的年复合增长率一直保持在10%左右。明年,该领域的市场规模将达到40亿美元左右。终端类的安全厂商可以分为三种,第一种是专注于办公环境的终端领域,第二种是专注于服务器领域,即保护云工作的工作量;最后一种是混合场景,既能保护办公环境,又能保护云工作负载。纵观国外终端安全厂商,大多专注于防护、检测、响应三个领域,这也证明了大部分厂商都是按照适配系统来打造自己的产品。所以我认为终端安全和自适应系统是两者的自然结合。适配系统是方法论,主机安全是落地的产品形态。
主持人:随着网络环境的变化和安全对象的日益多样化,未来网络安全细分领域会越来越多。初创企业需要注意哪些方面?
冯雪:网络安全是人们智慧的对抗和较量。但是,网络安全已经走过了冷兵器时代。我比较看好可以利用大数据、云计算、AI等新技术的安全细分领域。
张富:初创企业应该关注新兴技术,如物联网,或新的合规要求,如GDPR和国内网络安全法。
