国产精品欧美动漫一区二区三区,久久国产精品桃花一区二区,亚洲一区无码电影

大家晚上好，我們今天談的主題就是《企業(yè)信息安全的過(guò)去與現(xiàn)在和將來(lái)》。我會(huì)簡(jiǎn)單說(shuō)一下，企業(yè)信息安全主要驅(qū)動(dòng)力來(lái)自哪些方面，這些驅(qū)動(dòng)力在2010年之前是怎么保證企業(yè)安全發(fā)展的。重點(diǎn)是談最近七年企業(yè)信息安全的各種產(chǎn)品形態(tài)，最后我會(huì)簡(jiǎn)單總結(jié)一下將來(lái)三年會(huì)有什么樣的變化。

企業(yè)信息安全技術(shù)發(fā)展的驅(qū)動(dòng)力

我們一般講的企業(yè)信息安全，解決的問(wèn)題就是滿足企業(yè)合規(guī)方面、防御方面的需求。涉及的不是只有技術(shù)因素，還會(huì)有其他方面的因素，比如合規(guī)方面的留存需求，也會(huì)涉及到人員怎么按照組織，怎么編排預(yù)算。但是我們這些從業(yè)人員知道，企業(yè)安全的預(yù)算總是有限的，不可能防御100%的攻擊，所以怎么能在有限的預(yù)算經(jīng)費(fèi)下達(dá)到一個(gè)安全的效果和平衡？這是我們面對(duì)的一個(gè)主要的難題。

想解決好企業(yè)安全要考慮到它所在的大背景，也就是企業(yè)，這就涉及到三個(gè)主要的因素——人員、流程和技術(shù)。這三個(gè)因素都要配合好，不是說(shuō)只用一個(gè)好技術(shù)就能把企業(yè)安全做得很好。這方面也有很多比較復(fù)雜的管理框架，我們把這個(gè)框架叫ESA（Enterprise Security Architecture），也就是企業(yè)信息安全架構(gòu)。這塊大家可以參考一些書(shū)籍去研究，本次的分享我們主要精力先全部放在各種技術(shù)對(duì)企業(yè)安全的影響方面。

企業(yè)信息安全技術(shù)的發(fā)展，驅(qū)動(dòng)力主要有三個(gè)：

但是長(zhǎng)久以來(lái)，我們的從業(yè)人員比較關(guān)心第一點(diǎn)，比如說(shuō)我們經(jīng)?？梢钥吹叫侣剤?bào)道會(huì)講哪些新的攻擊方法，其次會(huì)關(guān)心一下基礎(chǔ)技術(shù)的改善，把最新的技術(shù)放到企業(yè)安全里面做，基本上很少談及到管理的技術(shù)，這點(diǎn)尤其在中國(guó)是比較嚴(yán)重的現(xiàn)象。

2010年之前的安全技術(shù)發(fā)展

防御理念：被動(dòng)式技術(shù)導(dǎo)向思維

談具體安全技術(shù)的發(fā)展方向就離不開(kāi)回顧。我們先來(lái)看一下2010年之前安全技術(shù)發(fā)展是什么樣子。

首先我們看這張圖，其實(shí)整個(gè)企業(yè)安全市場(chǎng)從第一款殺毒軟件到現(xiàn)在時(shí)間并不長(zhǎng)，大概從1987年開(kāi)始，我們有了第一款殺毒軟件。兩年之后有了第一個(gè)蠕蟲(chóng)，所以一直到兩年之后，才有病毒的變形就是蠕蟲(chóng)。到1992年我們才有第一款商業(yè)防火墻，同時(shí)也是我們發(fā)現(xiàn)第一個(gè)代碼變形病毒，代碼變形病毒屬于水平比較高的病毒。

所以大家可以看，基本上這個(gè)時(shí)期的信息安全是一個(gè)被動(dòng)的應(yīng)對(duì)姿態(tài)，有新的安全威脅基本上要過(guò)一段時(shí)間之后，短則幾個(gè)月，長(zhǎng)則好幾年，我們才會(huì)推出相應(yīng)的產(chǎn)品。而且有些產(chǎn)品之間會(huì)有一些重疊。比如說(shuō)IDS和防火墻其實(shí)最初開(kāi)始就有一部分重疊，有一部分原因是因?yàn)槟承S商可能覺(jué)得，原來(lái)那個(gè)防火墻的方案不能覆蓋所有的攻擊情況，所以他要推出一個(gè)新的產(chǎn)品，在新的一個(gè)網(wǎng)絡(luò)層次里面做新防御，也就是說(shuō)他們兩個(gè)立足于不同的網(wǎng)絡(luò)層次結(jié)構(gòu)。

這邊有個(gè)很特別的產(chǎn)品，2005年有個(gè)SIEM產(chǎn)品，大概是應(yīng)對(duì)四年之前薩班斯法案一些合規(guī)要求推出來(lái)的，以往所有的產(chǎn)品比如說(shuō)WAF或者防火墻，它們面向的用戶都是安全運(yùn)維人員，只有SIEM有一部分面向的對(duì)象是屬于管理人員，所以我認(rèn)為它是第一款把安全產(chǎn)品的角色做轉(zhuǎn)向的產(chǎn)品線。2006年，我們可以把它看成是大數(shù)據(jù)和云計(jì)算的元年，當(dāng)年是亞馬遜和AWS、Hadoop是第一次面世，2007年開(kāi)始Iphone面世，這樣我們就進(jìn)入移動(dòng)計(jì)算時(shí)代。

一直到2010年之前，安全防御技術(shù)相對(duì)來(lái)講都是很固定的，說(shuō)不好聽(tīng)點(diǎn)就是屬于見(jiàn)招拆招，有什么樣的攻擊出什么樣的防御方案，所有的廠商里面都拼產(chǎn)品線的齊全程度。比如說(shuō)防火墻做防火墻的事情，IDS做IDS，有些廠商只做防火墻，但是更大的廠商，比如Symantec或者M(jìn)cAfee所有的產(chǎn)品線都有，既提供防火墻，也提供IDS，還提供終端殺毒。他會(huì)說(shuō)企業(yè)各個(gè)環(huán)節(jié)都有可能成為安全出問(wèn)題的地方，所以要在各個(gè)環(huán)節(jié)、各個(gè)層次里面部署相應(yīng)的安全產(chǎn)品線，對(duì)于小廠商來(lái)講，傳統(tǒng)的老三樣，或者是老四樣——防火墻、IDS、WAF、終端殺毒，對(duì)于大企業(yè)來(lái)講會(huì)買DLP和SIEM。

當(dāng)然大企業(yè)由于資金和人員配比的情況，所以他使用的產(chǎn)品相對(duì)來(lái)說(shuō)定制度比較高，功能也會(huì)比較齊全，比如說(shuō)SIEM或者一些更復(fù)雜的自己配的IDS，當(dāng)初很多大企業(yè)里面已經(jīng)有自己的IDS配備人員。除了這些安全技術(shù)的應(yīng)用之外，他其實(shí)還有一些涉及到管理和流程方面，比如說(shuō)當(dāng)年大家就很重視對(duì)員工進(jìn)行防釣魚(yú)、防點(diǎn)惡意網(wǎng)站這些普及教育，這屬于安全教育的基礎(chǔ)部分，但是效果怎么樣就看企業(yè)自己具體的管理能力怎么樣了。

2010年——APT之年

防御理念：分析而不是單純檢測(cè)、非實(shí)時(shí)、用戶參與

2010年被稱為是APT元年，是很有趣的一年。過(guò)去我們喊了很多年狼來(lái)了，覺(jué)得以前常規(guī)安全防御手法都是基于特征碼的，防火墻里面有規(guī)則，然后又各種網(wǎng)絡(luò)包里面匹配特征碼，終端殺毒里面有各種病毒的特征碼，行業(yè)內(nèi)的人都覺(jué)得這個(gè)方法不能持久。一直到2010年接連兩起APT的事情爆發(fā)之后，大家覺(jué)得這個(gè)事情徹底不能維持下去了。年初的話是曝了谷歌退出中國(guó)相應(yīng)的APT。中旬曝了一個(gè)有更大影響面，對(duì)大家來(lái)講更像惡夢(mèng)般的APT，就是Stuxnet美國(guó)和以色列他們通過(guò)U盤傳播病毒，導(dǎo)致伊朗當(dāng)時(shí)正在做的鈾的核心分離機(jī)誤操作并把相關(guān)的設(shè)備全部燒毀。一年之前，我們都以為這個(gè)事情還比較遙遠(yuǎn)，這只是大家拍腦袋想的東西，只有2010年這個(gè)事情被捅出來(lái)之后，大家沒(méi)想到國(guó)家機(jī)構(gòu)里面已經(jīng)做到了這個(gè)程度。

國(guó)家機(jī)構(gòu)已經(jīng)直接通過(guò)U盤這種看起來(lái)比較普通的媒介影響到核心的設(shè)備，所以這是直接證明，對(duì)于比較大的重要的企業(yè)來(lái)講，常規(guī)所有的防御方法，不管是IDS、IPS還是更傳統(tǒng)的終端殺毒軟件都完全抵御不了國(guó)家級(jí)的選手。所以基本上那一年開(kāi)始，很多廠商，我以前在趨勢(shì)科技的時(shí)候很多廠商已經(jīng)找到我們聊，說(shuō)我們以前賣殺毒軟件賣這么長(zhǎng)時(shí)間肯定是不頂用了，有沒(méi)有其他方案。我們也沒(méi)有其他方案，那個(gè)時(shí)候FireEye是唯一一家對(duì)外講擁有防御APT攻擊的方案，那年開(kāi)始他的銷售額也是大漲，這家公司大家都覺(jué)得很新，他們是屬于2004年成立的，直到2010年才開(kāi)始爆漲。

其實(shí)將2010年說(shuō)成APT元年并不代表是從2010年才開(kāi)始有APT的，事后大家反查最早的APT可能是2004年開(kāi)始就有，這個(gè)事情一直在水面下，圈子里面只有軍方或者比較大的企業(yè)才能知道，很多小的殺毒軟件廠商都不知道APT的存在。所以這個(gè)事情捅出來(lái)之后，各家安全廠商，尤其是卡巴斯基，因?yàn)樗麄兊难芯磕芰Ρ容^強(qiáng)，所以他們就會(huì)持續(xù)的跟蹤各種APT組織和攻擊的變化情況。當(dāng)時(shí)這種新聞熱點(diǎn)基本上都是各種各樣的新的APT，各種攻擊，哪兒的數(shù)據(jù)泄露，導(dǎo)致APT的新聞熱點(diǎn)程度持續(xù)上漲，業(yè)界造成一種恐慌，就覺(jué)得常規(guī)的病毒沒(méi)人寫了，大家可能都走比較復(fù)雜的APT，因?yàn)锳PT的影響面和經(jīng)濟(jì)收益都比較大。

但客戶這種認(rèn)為APT是一切的認(rèn)知也不能說(shuō)錯(cuò)，因?yàn)橛袀€(gè)好處就是說(shuō)，客戶有這種要求就逼著安全廠商反思他們自己以往基于特征碼的防御方法是不是遠(yuǎn)遠(yuǎn)落后于時(shí)代。從負(fù)面上來(lái)講，也會(huì)導(dǎo)致企業(yè)重點(diǎn)沒(méi)有放在他應(yīng)該關(guān)注的地方。比如說(shuō)企業(yè)本身可能連市場(chǎng)管理也沒(méi)做好，就一天到晚就想怎么防御國(guó)家級(jí)別的APT，這是本末倒置，所以我覺(jué)得APT有個(gè)負(fù)面作用就是說(shuō)會(huì)導(dǎo)致客戶對(duì)安全產(chǎn)品效果的期望會(huì)產(chǎn)生一些不切實(shí)際的幻想。

當(dāng)然APT引人注目地方除了他的目的跟常規(guī)攻擊有差異之外，還有個(gè)主要因素就是這個(gè)攻擊跟以往的單一一次病毒感染文件的做法是完全不一樣的。它相對(duì)來(lái)說(shuō)手法比較復(fù)雜，周期也會(huì)很長(zhǎng)。它可能會(huì)早期掃描你的網(wǎng)絡(luò)設(shè)備的脆弱點(diǎn)，通過(guò)它們來(lái)選擇比較合適的進(jìn)入方法。之后它會(huì)有比較長(zhǎng)的潛伏期，潛伏期后會(huì)找到你相應(yīng)的敏感數(shù)據(jù)，然后再通過(guò)這種遠(yuǎn)程控制端的控制指令，定期把敏感的數(shù)據(jù)送回去，所以這會(huì)有一個(gè)比較長(zhǎng)的攻擊鏈模型。這張圖我們貼的就是攻擊鏈的模型，一般來(lái)講我們的威脅情報(bào)里面會(huì)有各種最新APT的總結(jié)。

對(duì)于最新的APT，我們有個(gè)詞叫TTP（Tactics，Techniques and Procedures）。以往來(lái)講我們把APT做了很多細(xì)分，除了防御目的以外，還有一個(gè)主要目的是通過(guò)TTP能夠識(shí)別APT后面來(lái)自哪些組織、哪些國(guó)家。而其實(shí)最近幾年TTP各家已經(jīng)開(kāi)始做的很類似，這不管是有意還是無(wú)意，都導(dǎo)致通過(guò)TTP來(lái)分辨APT組織越來(lái)越難做。

APT除了對(duì)客戶的防御產(chǎn)品的預(yù)算和產(chǎn)品定位造成變化之外，其實(shí)還造成了理念上的變化，因?yàn)?010年的時(shí)候只有一家FireEye查這種APT攻擊，當(dāng)時(shí)他的方法一點(diǎn)都不新，是屬于各家安全廠商里面都懂的技術(shù)——沙箱，只是以往我們將沙箱放在后臺(tái)做分析，從來(lái)不把分析結(jié)果和部署放在用戶企業(yè)環(huán)境里面。

他的思路和其他的不太一樣，他覺(jué)得當(dāng)時(shí)這些企業(yè)運(yùn)維人員技能已經(jīng)有了很大的變化，不像以前使用殺毒軟件的小白用戶，這些運(yùn)維人員懂安全，甚至看得明白這種威脅病毒的分析報(bào)告。所以他覺(jué)得既然用戶能看得懂，不如我把整個(gè)產(chǎn)品的決策權(quán)下放給用戶，不用什么事情都走以前的流程。比如說(shuō)我必須把一個(gè)APT樣本送回我的總部，總部再來(lái)分析。這有個(gè)客觀原因就是由于企業(yè)處于敏感考慮，他可能不允許把這些樣本送回總部，所以導(dǎo)致了新的產(chǎn)品思路，就是說(shuō)我可以讓用戶做安全運(yùn)維安全的判斷，來(lái)作為一個(gè)安全防御的主要協(xié)作方，不是什么事情都由安全廠商來(lái)做，而是有很大一部分我可以讓給用戶來(lái)做。

而且一旦按照這種思路往下走，就意味著這個(gè)產(chǎn)品能開(kāi)放出很多新的功能點(diǎn)：1，我會(huì)加很多分析能力在里面；2，非實(shí)時(shí)；3，需要用戶更多精力投入。

當(dāng)然這有個(gè)核心問(wèn)題就是：如果讓用戶來(lái)花精力投入，我該讓他每天花多少個(gè)小時(shí)，花多少人員投入？這個(gè)對(duì)于我來(lái)說(shuō)是比較微妙的度的問(wèn)題。

這方面有很多極端不計(jì)成本的例子，比如這張圖里面是NSA2007年暴露出來(lái)的防御系統(tǒng)，他們對(duì)于簡(jiǎn)單的攻擊手法還是用商業(yè)的軟件，就是黃色那一圈。對(duì)于比較復(fù)雜一點(diǎn)的方法他們可能會(huì)由他們自己花錢建立一個(gè)系統(tǒng)，最右上方里面是他們基于威脅情報(bào)，他們叫sigint。其實(shí)這是他們自己的威脅情報(bào)跟分析系統(tǒng)結(jié)合的一個(gè)例子，我們現(xiàn)在很多新的系統(tǒng)也在往這方向靠，當(dāng)時(shí)這套系統(tǒng)的開(kāi)發(fā)成本是非常高昂的，只有NSA這種不缺錢的單位才能用，如果我們一些企業(yè)里面要花這么多成本，肯定沒(méi)法跟董事會(huì)交代。

所以大家來(lái)退而求其次，企業(yè)會(huì)說(shuō)我接受數(shù)據(jù)可能會(huì)被泄露的一部分風(fēng)險(xiǎn)，并把風(fēng)險(xiǎn)量化，是可能虧100萬(wàn)還是虧1000萬(wàn)？而且會(huì)針對(duì)量化的風(fēng)險(xiǎn)來(lái)決定投多少錢下去，所以按這種思路我們也有些比較類似的產(chǎn)品在往這個(gè)方向走。當(dāng)然我覺(jué)得目前所有的產(chǎn)品形態(tài)和功能離做得很完善還有比較大的距離。

我們最近可以看到安全分值這個(gè)概念，包括微軟Azure里面也有一個(gè)量化的管理，他可以告訴你現(xiàn)在的安全分值是多少，你行業(yè)里面平均的安全分值是多少，你應(yīng)該做什么事情可以把你的安全分值提高，降低威脅度，這對(duì)我來(lái)說(shuō)都在把思路往管理層靠齊。

而大家還需要做的事情就是要得到管理層額外的支持，發(fā)生APT之后，有一個(gè)好處就是管理層現(xiàn)在知道了這個(gè)東西，而且如果APT事情弄得比較大，像索尼、Target，他要賠錢，CSO會(huì)被迫辭職，大家覺(jué)得這會(huì)影響到我整個(gè)企業(yè)的名聲、職位，那肯定要加大精力和預(yù)算來(lái)投入。

當(dāng)然這個(gè)東西有兩面的效果，同時(shí)來(lái)講也是個(gè)機(jī)遇，企業(yè)安全的運(yùn)維人員會(huì)有更多的預(yù)算，可以挑選更多的產(chǎn)品，也會(huì)有更長(zhǎng)的產(chǎn)品評(píng)測(cè)周期。壞處的話，我現(xiàn)在可以給你更多的錢，那你怎么證明這個(gè)花錢買的東西能更多更好達(dá)到我們的要求呢？

而且企業(yè)高層人員始終的思維點(diǎn)是看業(yè)務(wù)的可持續(xù)性，他肯定不會(huì)關(guān)心你的報(bào)告里面攔了多少漏洞，他會(huì)關(guān)心如果漏洞沒(méi)有攔住的話對(duì)業(yè)務(wù)運(yùn)轉(zhuǎn)會(huì)有什么樣的影響，所以這塊他需要企業(yè)運(yùn)維人員對(duì)于業(yè)務(wù)有個(gè)比較直觀的解釋，甚至他希望能用“對(duì)我的業(yè)務(wù)會(huì)有多少美元影響”這種直觀的方法來(lái)解釋。所以我們?cè)谌ψ永锩嬗懻摰囊粋€(gè)方向就是說(shuō)：我能否做完完全全是面向高層的安全產(chǎn)品？當(dāng)然這個(gè)事情沒(méi)有完全的定論，后面我會(huì)講到一些原因。

新領(lǐng)域與新技術(shù)對(duì)信息安全行業(yè)的影響

從2010年左右開(kāi)始，移動(dòng)互聯(lián)網(wǎng)就處于爆發(fā)式的擴(kuò)展，興起之后企業(yè)很多用戶可能是拿自己的iphone、iPad或者安卓手機(jī)進(jìn)到企業(yè)里面使用，所以這種邊界就變得很模糊，以往企業(yè)可以明確的定義出應(yīng)該信任哪些設(shè)備，因?yàn)樵O(shè)備都在我的管控之下，里面裝什么軟件都一清二楚。而現(xiàn)在一旦開(kāi)放，企業(yè)可以帶各種各樣自己的移動(dòng)設(shè)備，這個(gè)邊界就很不清楚，我也沒(méi)有辦法控制用戶里面Ipad裝哪些東西。

所以最初我們整個(gè)安全圈里面的應(yīng)對(duì)方法就是說(shuō)要不要把企業(yè)內(nèi)部的以往的管理方法原封不動(dòng)復(fù)制一份到移動(dòng)互聯(lián)網(wǎng)上去？產(chǎn)品形態(tài)就是我在你的移動(dòng)設(shè)備里面裝一套殺毒軟件，當(dāng)然這到后來(lái)被證明是完全失敗。第一，我們都知道iPhone的App市場(chǎng)管得非常嚴(yán)。他的感染率遠(yuǎn)不如像移動(dòng)端感染率那么高。第二，他對(duì)你的權(quán)限有很多限制，不是你想殺什么病毒，你想監(jiān)控什么病毒就能夠做。

所以這個(gè)方向后來(lái)被慢慢往其他的一些功能合并。比如說(shuō)管理功能MDM，就是設(shè)備管理，會(huì)引入很多管理上的功能。然后還有很多特色需求，比如說(shuō)App加固。最近來(lái)講我們有很多設(shè)備指紋專門給電商、銀行這種App來(lái)做。設(shè)備指紋技術(shù)可能就會(huì)自然而然地會(huì)擴(kuò)展到反欺詐。比如說(shuō)他看你的設(shè)備里面跟用戶是怎么一個(gè)對(duì)應(yīng)關(guān)系，是否借了別人的機(jī)器或者是虛擬機(jī)器，這也是目前國(guó)內(nèi)比較熱門的領(lǐng)域，很多的反欺詐一開(kāi)始都是從設(shè)備指紋開(kāi)始的，我們知道新的領(lǐng)域擴(kuò)展不代表總是老的領(lǐng)域把方法照搬，他會(huì)導(dǎo)致一些新的產(chǎn)品形態(tài)。

以物聯(lián)網(wǎng)來(lái)說(shuō)，他這個(gè)產(chǎn)品形態(tài)更加特殊。我們知道物聯(lián)網(wǎng)雖然是一個(gè)名詞，但是其實(shí)包含很多概念，比如說(shuō)自動(dòng)駕駛聯(lián)網(wǎng)的車，它其實(shí)也算是物聯(lián)網(wǎng)的一個(gè)例子，小到能聯(lián)網(wǎng)你的藍(lán)牙音箱、路由器和電視機(jī)頂盒，大到工控機(jī)系統(tǒng)。正是因?yàn)槲锫?lián)網(wǎng)多樣化，所以目前來(lái)講他沒(méi)有一個(gè)比較通用的方案，基本是不同小領(lǐng)域里面的方案都不太一樣。

比較大的企業(yè)他關(guān)心制造業(yè)的物聯(lián)網(wǎng)，是防御APT，當(dāng)然APT的防御方法也不完全是布沙箱，有些地方還會(huì)使用硬件上的一些方案，比如說(shuō)單向通訊的光纖網(wǎng)絡(luò)，需要的時(shí)候才把雙向通訊打開(kāi)，平時(shí)允許單向通訊，這樣可以避免惡意的病毒進(jìn)入控制端傳入到實(shí)際的終端。而且因?yàn)槲锫?lián)網(wǎng)設(shè)備會(huì)非常多，一個(gè)大型的城市里面攝象頭可能就會(huì)上百萬(wàn)之多，所以你要控制巨多的攝象頭或者其他的物聯(lián)網(wǎng)設(shè)備，就需要比較大的大數(shù)據(jù)處理能力，這方面我們也會(huì)看到很多非安全廠商是先有大數(shù)據(jù)處理的方案，然后再額外在這之上并入一些安全方案，這也是因?yàn)榻枇舜髷?shù)據(jù)處理能力，有些其他廠商能夠進(jìn)入到我們這個(gè)安全行業(yè)。

同樣借新領(lǐng)域擴(kuò)大進(jìn)入安全行業(yè)的不光只有物聯(lián)網(wǎng)這種創(chuàng)業(yè)公司，其實(shí)很大一部分都是云計(jì)算公司。比如說(shuō)我們知道國(guó)內(nèi)的阿里云他就有比較龐大的安全部門，甚至比很多小的安全廠商的安全人員還要多。而云計(jì)算本身也能夠?yàn)榘踩珡S商的方案提供新的一些技術(shù)思路，比如說(shuō)你的安全產(chǎn)品里面是否跟云計(jì)算的框架做一個(gè)深度整合？而不像以往一樣，把云計(jì)算的每臺(tái)虛擬機(jī)里面布一臺(tái)設(shè)備就行了。并且還有新的一個(gè)市場(chǎng)，我們管這個(gè)東西叫云計(jì)算的守門員，這個(gè)產(chǎn)品線叫CASB，同時(shí)他還帶動(dòng)了另外一個(gè)比較大的領(lǐng)域，我們管這個(gè)領(lǐng)域叫自適應(yīng)安全。

自適應(yīng)安全簡(jiǎn)單說(shuō)就是企業(yè)在上云之后，他的網(wǎng)絡(luò)機(jī)器虛擬機(jī)的數(shù)量比以前更多，計(jì)算資源可能屬于動(dòng)態(tài)釋放，動(dòng)態(tài)申請(qǐng)的，所以他這個(gè)網(wǎng)絡(luò)拓?fù)渥兓潭群退俣纫矔?huì)非?？?，你基于傳統(tǒng)防火墻的策略會(huì)顯得過(guò)于死板或過(guò)于僵硬跟不上狀態(tài)。所以他們采用自適應(yīng)安全，把整個(gè)網(wǎng)絡(luò)拓?fù)渥龈?xì)小的劃分，每個(gè)劃分里面會(huì)監(jiān)控區(qū)域里面的行為怎么樣，跟這些行為動(dòng)態(tài)調(diào)整應(yīng)該部署的一些規(guī)則，同時(shí)審核根據(jù)規(guī)則之后劃分里面他所有的網(wǎng)絡(luò)資源的互相交流的行為狀況。

同時(shí)云計(jì)算興起意味著我們企業(yè)會(huì)把自己服務(wù)做SaaS化，這一點(diǎn)在美國(guó)更比較流行，因?yàn)樗麄兡沁呍朴?jì)算的帶寬價(jià)格比我們這邊更低，我們這邊，阿里云跨地域機(jī)房里面可能要額外收費(fèi)，在美國(guó)那邊可以直接把網(wǎng)絡(luò)流里面實(shí)時(shí)傳播到云里面來(lái)做分析，他甚至可以把整個(gè)像SIEM這種復(fù)雜的業(yè)務(wù)都整個(gè)外包到云服務(wù)商來(lái)做實(shí)現(xiàn)，這塊幾年之后在國(guó)內(nèi)有比較大的市場(chǎng)，意味著企業(yè)里面可以把自己的服務(wù)外包到云里面去。

云計(jì)算是一個(gè)比較大的轉(zhuǎn)折的技術(shù)，他會(huì)深刻的影響到企業(yè)安全這種產(chǎn)品方案的具體實(shí)施方案。

我們知道一個(gè)比較熱的跟云計(jì)算差不多同時(shí)出來(lái)的名詞，就是大數(shù)據(jù)。這個(gè)詞其實(shí)對(duì)于安全領(lǐng)域影響面倒沒(méi)有那么大，因?yàn)榘踩I(lǐng)域很早開(kāi)始就是大數(shù)據(jù)收集了，比如說(shuō)我們2004年左右做垃圾郵件的話已經(jīng)是屬于一天上百萬(wàn)封。只不過(guò)以前的技術(shù)有限制，可能我們只能處理比較單一的數(shù)據(jù)，比如說(shuō)我要做垃圾郵件處理我寫個(gè)系統(tǒng)，我要做病毒樣本處理另寫個(gè)系統(tǒng)，基本上不會(huì)用通用的方案。

而隨著Hadoop的方案比較成熟，一直到最近更好的Spark的方案成熟之后，我們就有了比較強(qiáng)的各種數(shù)據(jù)多樣性數(shù)據(jù)的方案。包括我會(huì)在大數(shù)據(jù)方面我可以跑類似于Spark做BI類型的分析，可以跑算法做多樣性數(shù)據(jù)的整合，從里面抽出比較重要的威脅情報(bào)。在企業(yè)內(nèi)部部署的數(shù)據(jù)可以做攻擊鏈分析，這些都是由于大數(shù)據(jù)可以讓我們做更復(fù)雜的多樣性數(shù)據(jù)分析的典型例子。

真正對(duì)企業(yè)安全會(huì)造成比較大的改變的，我們認(rèn)為是人工智能的技術(shù)，因?yàn)槠髽I(yè)安全里面他們對(duì)人工智能的技術(shù)采用的時(shí)間也并不是特別短。比如說(shuō)最早在2000年左右的時(shí)候，我們就已經(jīng)開(kāi)始用人工智能來(lái)處理垃圾郵件了。但是那個(gè)時(shí)候因?yàn)樗惴ǖ南拗?，只能處理單一的?shù)據(jù)。然后從2010年左右開(kāi)始，我們那時(shí)候有了第一版的GPU能用一個(gè)性能很好的深度學(xué)習(xí)網(wǎng)絡(luò)，我們管這個(gè)網(wǎng)絡(luò)叫卷積神經(jīng)網(wǎng)絡(luò)。從那時(shí)候我們可以用比較復(fù)雜的方案，可以用深度的學(xué)習(xí)做病毒樣本的分類，這個(gè)方案紅到什么程度呢？基本上所有的硅谷創(chuàng)業(yè)公司只要是安全的都會(huì)說(shuō)他用人工智能。

從實(shí)際的效果來(lái)看，因?yàn)槲覀冎繴irusTotal基本上是所有比較有名廠家的病毒引擎，殺毒引擎都放在他們上面，從2016年開(kāi)始有三家，而從今年上半年開(kāi)始集成四家算法引擎，他們是完全基于人工智能有監(jiān)督算法做病毒樣本分類的，所以我們可以看，在病毒樣本分類里這個(gè)算法有多么的普及。然后再另外一些領(lǐng)域里面，比如靠行為分析里面，我們可以用無(wú)監(jiān)督學(xué)習(xí)算法或者一些統(tǒng)計(jì)類的算法，比如大家聽(tīng)得多的用戶行為分析或者反欺詐，里面都會(huì)用統(tǒng)計(jì)類的算法。

所有這些新的一些技術(shù)能導(dǎo)致我們這邊可以更快的開(kāi)發(fā)出更復(fù)雜的一些產(chǎn)品，有個(gè)明顯趨勢(shì)就是很多的產(chǎn)品被綜合了。比如說(shuō)以往防火墻可能只是在IP那一層、UDP那一層或者HTTP那一層做一些事情。后來(lái)我們就會(huì)聽(tīng)到Palo Alto Networks他們會(huì)推薦NGFW，在一個(gè)防火墻里面把什么事情都做了，把IDS的事情也做了，把沙箱的事情也做了，能做這么多功能，他能完成事前預(yù)測(cè)事中檢測(cè)加上復(fù)雜事后分析的一些復(fù)雜的產(chǎn)品。

所有的產(chǎn)品因?yàn)楣芾韺拥男枨髞?lái)講都比以前更加重視管理上的需要，比如說(shuō)我們以前提的MDM直接管理移動(dòng)設(shè)備，云計(jì)算安全設(shè)備里面CASB負(fù)責(zé)哪些用戶能使用哪些云計(jì)算資源，哪些資源不能亂用，EDR里面也會(huì)管理終端安全。自適應(yīng)安全更是典型的管理場(chǎng)景，所以這些功能堆在一起比較多，他必然會(huì)用一些比較復(fù)雜的大數(shù)據(jù)算法，并基于大數(shù)據(jù)算法再往上堆各種復(fù)雜的比如人工智能算法來(lái)幫他實(shí)現(xiàn)更高一步的自動(dòng)化。某些比較有錢或者比較重安全的高級(jí)用戶他可以用更復(fù)雜的一些方案，比如可以變形的WAF或者動(dòng)態(tài)的虛擬蜜罐，這都是以前我們認(rèn)為不會(huì)有市場(chǎng)的產(chǎn)品也開(kāi)始普及開(kāi)來(lái)。

最直觀的例子就是說(shuō)這么多功能疊加的組合，會(huì)直接導(dǎo)致這個(gè)市場(chǎng)高度碎片化，所以這張圖大家可以簡(jiǎn)單看一下有多少個(gè)大的產(chǎn)品細(xì)分市場(chǎng)，像有些市場(chǎng)比如說(shuō)反欺詐或者工控市場(chǎng)還有安全自動(dòng)相應(yīng)化相對(duì)來(lái)說(shuō)比較新興的一些市場(chǎng)，大家可以看這個(gè)市場(chǎng)的碎片化程度會(huì)有多高。

老的一些產(chǎn)品，有些是作為演化，有些是加一些功能重新包裝。以前我們講過(guò)防火墻會(huì)變成新一代的防火墻，終端殺毒會(huì)變成EDR軟件。而EDR最開(kāi)始定位只是一個(gè)管理上的功能，他甚至不殺毒，只是被動(dòng)的看有哪些病毒感染哪些終端。后來(lái)傳統(tǒng)殺毒軟件廠商覺(jué)得他們有工程能力能夠直接殺毒，就是直接防御事中防御、事中檢測(cè)合到產(chǎn)品形態(tài)里面去，所以我們看紅的EDR產(chǎn)品線里面都有比較復(fù)雜的管理功能，他還有比較復(fù)雜的基于行為來(lái)判斷病毒是否爆發(fā)的一些功能。IDS、IPS會(huì)變成NTA也是有一些基于網(wǎng)絡(luò)行為來(lái)做分析的，SIEM會(huì)變成UEBA基于用戶和實(shí)體的行為來(lái)分析異常。

總之這些產(chǎn)品演化的共同特點(diǎn)就是：因?yàn)榇髷?shù)據(jù)和其他相關(guān)技術(shù)的開(kāi)源的成熟，所以會(huì)集成更多的功能，也會(huì)有更多的產(chǎn)品組合形態(tài)。最后或多或少它都有一些基于人工智能來(lái)進(jìn)行行為分析，而總體來(lái)講他會(huì)比較重管理的功能，像大的EDR有單獨(dú)的管理界面能夠把整個(gè)EDR管理用起來(lái)，他能讓整個(gè)的產(chǎn)品的管理來(lái)更靠近這種業(yè)務(wù)形態(tài)。

新產(chǎn)品不是這種產(chǎn)品的演化，而是全新冒出來(lái)的。大家常聽(tīng)說(shuō)的威脅情報(bào)，能做出來(lái)后臺(tái)有很主要的原因是因?yàn)椋?/p>

第一，大數(shù)據(jù)處理平臺(tái)。有很多威脅情報(bào)公司可以用開(kāi)源的方法開(kāi)發(fā)出自己數(shù)據(jù)分析平臺(tái)。

第二，有各種各樣的算法。他們能夠從這些比較多樣的數(shù)據(jù)里面提取出新的分析結(jié)果。

不過(guò)我們翰思科技認(rèn)為威脅情報(bào)這個(gè)東西不應(yīng)該作為一個(gè)黑白名單來(lái)直接使用，他的準(zhǔn)確度沒(méi)有高到這種地步，我們建議豐富上下文的作用，比如說(shuō)現(xiàn)在有一個(gè)文件的行為看起來(lái)比較可疑，你可以根據(jù)威脅情報(bào)上下文來(lái)判斷這個(gè)是不是真的有問(wèn)題。

還有一個(gè)提得比較多的詞就是大數(shù)據(jù)安全分析，其實(shí)我們認(rèn)為嚴(yán)格來(lái)講他不是一個(gè)產(chǎn)品市場(chǎng)，他是一個(gè)能力。很多產(chǎn)品都可以有大數(shù)據(jù)安全分析能力，因?yàn)楫吘顾械陌踩a(chǎn)品后端基本都是屬于大數(shù)據(jù)的。每個(gè)漏洞的一個(gè)普及情況，新的漏洞是誰(shuí)發(fā)布的，哪些人在用，這也是后端大數(shù)據(jù)分析的例子。防火墻這些殺毒軟件的規(guī)則都會(huì)有大數(shù)據(jù)支撐，所以講大數(shù)據(jù)是沒(méi)有什么太大意義的。

基本上有分析功能都是安全分析，所有的產(chǎn)品你看跟他原來(lái)的產(chǎn)品形態(tài)其實(shí)有很大的關(guān)系，比如說(shuō)防火墻演變成了大數(shù)據(jù)分析，那可能是比較重視TCPIP那種層次。如果你是想做多樣性的大數(shù)據(jù)分析，我們認(rèn)為可以靠SIEM這種產(chǎn)品線演化出來(lái)新的產(chǎn)品。

這邊我簡(jiǎn)單講一下大數(shù)據(jù)安全產(chǎn)品會(huì)有哪些框架。這張圖是我們自己的產(chǎn)品，他會(huì)有比較復(fù)雜的多樣性數(shù)據(jù)采集，這個(gè)數(shù)據(jù)可能包括日志數(shù)據(jù)和網(wǎng)絡(luò)流量數(shù)據(jù)，數(shù)據(jù)之上還有轉(zhuǎn)換功能，轉(zhuǎn)換功能之上有堆積金字塔型的各種分析方法，最底下是規(guī)則，再往上有機(jī)器學(xué)習(xí)，再往上面可能有用戶行為分析，所有這些分析也要結(jié)合威脅情報(bào)來(lái)做分析。這些是通用的分析場(chǎng)景，對(duì)于某些專有領(lǐng)域的場(chǎng)景比如說(shuō)帳號(hào)或者態(tài)勢(shì)感知還有上面要做一些額外的模塊，我們覺(jué)得這是比較典型的大數(shù)據(jù)安全分析的一個(gè)框架。

所以剛剛談了一大堆各種碎片化和比較新興的安全市場(chǎng)，所以對(duì)于企業(yè)安全運(yùn)維人員，可能第一個(gè)問(wèn)題是說(shuō)，現(xiàn)在產(chǎn)品越來(lái)越多，每個(gè)產(chǎn)品功能也越來(lái)越多，我怎么挑產(chǎn)品？是不是我們挑功能最多的或者是挑價(jià)格最貴的？

我們其實(shí)有個(gè)比較現(xiàn)實(shí)一點(diǎn)的依據(jù)，就是說(shuō)企業(yè)要根據(jù)他們自己所處的行業(yè)，來(lái)判斷這個(gè)風(fēng)險(xiǎn)會(huì)是什么樣子，比如說(shuō)我發(fā)生被DDOS的概率會(huì)有多少？發(fā)生之后對(duì)我業(yè)務(wù)有多少影響？還是我現(xiàn)在抗D已經(jīng)做得很好，而有發(fā)生數(shù)據(jù)泄露或者更高層次APT攻擊的這種威脅，所以企業(yè)先要判斷一下什么樣的威脅是發(fā)生起來(lái)概率最高的，而且一旦發(fā)生他的后果也是最嚴(yán)重的，優(yōu)先對(duì)這種風(fēng)險(xiǎn)挑選比較適合的產(chǎn)品。

這張圖里是行動(dòng)矩陣，可以判斷病毒每個(gè)階段用什么樣的產(chǎn)品做防御，想防御怎么做？你想欺騙怎么做？相應(yīng)來(lái)講你需要哪些產(chǎn)品？你根據(jù)這個(gè)表可以來(lái)判斷應(yīng)該挑選什么樣的產(chǎn)品。

2017——2020年：消失的邊界

我們簡(jiǎn)單說(shuō)一下將來(lái)產(chǎn)品形態(tài)會(huì)是什么樣的。

我們知道谷歌很多方面在業(yè)界比較領(lǐng)先，他們前一陣推了自己的一個(gè)網(wǎng)絡(luò)安全框架，這個(gè)網(wǎng)絡(luò)叫零信任企業(yè)安全架構(gòu)。簡(jiǎn)單來(lái)講他基本上是不怎么依賴于這種防火墻的，不是說(shuō)你進(jìn)了防火墻之后，用戶一點(diǎn)問(wèn)題都沒(méi)有。他在各個(gè)服務(wù)器、各個(gè)資產(chǎn)甚至到各個(gè)企業(yè)里面調(diào)用的API里面做防御，要做多重驗(yàn)證，驗(yàn)證之后還會(huì)做監(jiān)控，看你用戶的行為跟以往的行為是否發(fā)生偏離，所以他是個(gè)比較復(fù)雜的網(wǎng)絡(luò)防御的一個(gè)拓?fù)浼軜?gòu)，當(dāng)然這個(gè)架構(gòu)會(huì)很新，并且部署成本也很高，但是我們覺(jué)得可能將來(lái)隨著產(chǎn)品部署成本降低很多企業(yè)會(huì)采用這種架構(gòu)。

因?yàn)槲覀冎谰W(wǎng)絡(luò)安全法里面談的事情比較多，這方面在美國(guó)會(huì)比較明顯，因?yàn)槊绹?guó)有很多合規(guī)要求，所以我們預(yù)計(jì)將來(lái)在國(guó)內(nèi)隨著《安全法》的細(xì)化，還有具體的懲罰案例的出來(lái)，企業(yè)會(huì)更多重視他的合規(guī)要求?？赡芄芾韺雍桶踩\(yùn)維人員直接會(huì)問(wèn)“我們現(xiàn)在有這么多法規(guī)，你到底符合程度是多少，沒(méi)符合的話我們應(yīng)該用什么樣的安全產(chǎn)品來(lái)補(bǔ)齊這種合規(guī)要求？”然后隨著這種合規(guī)要求比例的增大，可能更多企業(yè)里面會(huì)設(shè)立首席風(fēng)險(xiǎn)官這種角色。

這方面目前看下來(lái)正方反方的依據(jù)都有，因?yàn)槲覀兛吹浇y(tǒng)一市場(chǎng)后，就有更大的產(chǎn)品企業(yè)越做越大，但有比較大的產(chǎn)品企業(yè)，像Intel Security還有Symantec他們的市值相對(duì)來(lái)說(shuō)在萎縮，而新的創(chuàng)業(yè)公司會(huì)有更高的估值，所以這方面我們自己的估計(jì)是將來(lái)應(yīng)該會(huì)是一個(gè)更統(tǒng)一的市場(chǎng)。像云廠商，他會(huì)把自己的安全業(yè)務(wù)做得非常大，甚至?xí)采w很多傳統(tǒng)安全企業(yè)里面做的一些功能，比如云上的WAF、云上的IDS，新的安全廠商會(huì)對(duì)老的安全廠商完成一些洗牌，他們會(huì)成為更新的一些巨無(wú)霸型的企業(yè)。（本文獨(dú)家首發(fā)鈦媒體，根據(jù)瀚思科技聯(lián)合創(chuàng)始人、首席科學(xué)家萬(wàn)曉川在鈦坦白上的分享整理）

鈦坦白第50期：上升為國(guó)家戰(zhàn)略的信息安全，企業(yè)要如何應(yīng)對(duì)?

本文系作者葛佳音授權(quán)鈦媒體發(fā)表，并經(jīng)鈦媒體編輯，轉(zhuǎn)載請(qǐng)注明出處、作者和本文鏈接。
本內(nèi)容來(lái)源于鈦媒體鈦度號(hào)，文章內(nèi)容僅供參考、交流、學(xué)習(xí)，不構(gòu)成投資建議。
想和千萬(wàn)鈦媒體用戶分享你的新奇觀點(diǎn)和發(fā)現(xiàn)，點(diǎn)擊這里投稿。創(chuàng)業(yè)或融資尋求報(bào)道，點(diǎn)擊這里。

快報(bào)