X

APT愈演愈烈新加坡中招 青藤云安全做“安全领域的安卓”能否破题

7月20日,新加坡一保健集团健康数据遭黑客攻击,150万人的个人信息被非法获取,其中包括新加坡总理李显龙。媒体称之为“新加坡遭遇的最大规模网络安全攻击”。新加坡网络安全局负责人表示,黑客的攻击行动是蓄意和精密筹划的,并且,“这不是业余黑客干的”。

显然,这是一起典型的高级定向攻击(APT)事件。当前,全球范围内的高级定向攻击越来越频繁,其目标横跨政府及能源、金融等众多关键行业。由于黑客窃取的是数据资产,因此安全事件发生后,没有人能准确评估其潜在损失有多大。

尽管已经过去近四年,但公司成立前发生的一件事,让青藤云安全创始人兼CEO张福迄今记忆犹新。

2014年6的一天,青藤云安全产品合伙人胡俊风风火火地来找张福,激动地说:“张福,Gartner刚刚发布了一个报告,里面提出的一个全新的安全理念和我们设想的几乎一模一样!”

“我特别吃惊,就把报告抓过来看,是一份Gartner的英文报告,很多页,里面的一个提法和我们想的几乎完全一样。”7月2日,在北京上地群英科技园新办公室,张福回忆起这段历程,依然难抑情绪。

这个报告,就是Gartner于2014年6月发布的自适应安全架构(Adaptive Security)。不难想象,几个年轻人,在多年安全产品研发实践中总结出来的产品理念,居然被国际知名咨询公司所验证,这是怎样的一种自豪?更何况,这个新的产品理念,是他们筹备中的创业公司的产品方向。

两个月后,拿着真格基金、云天使基金、丰厚资本等天使投资人的投资,青藤云安全正式成立;一年后的2015年12月,公司获得宽带资本、红点创投6000万元人民币A轮融资。2018年2月,青藤云安全完成由红杉资本中国基金领投的2亿人民币B轮融资。A轮和B轮,青藤云安全相继创下安全行业单笔融资新高。

今天,基于自适应安全理念,青藤云安全核心平台以资产清点、风险分析、入侵检测和快速任务四大功能,通过对用户业务系统内安全指标的持续监控和分析,快速识别异常行为,启动应急模式,激活平台实现联动,由内向外地解决安全问题,成为国内首家实现该理念的安全公司。

“从创业开始到现在,四年时间,这个产品一直在打磨,”CEO张福感慨万千,“青藤云安全的终极目标是做‘安全领域的安卓’,其背后就是自适应安全理念。我们希望以一种开放的方式,为这个行业做出自己的贡献。”

然而,信息安全已经是一个相当成熟的产业,知名公司与产品各领风骚,青藤云安全志存高远完全没问题,但以自适应安全理念为基打造的“安全领域的安卓”是什么?又能否梦想成真呢?

这仍然要从“自适应安全”理念说起。

2014年6月,Gartner发布《应对高级定向攻击而设计的下一代安全防护平台——自适应安全架构》报告,分析师Neil MacDonald、Peter Firstbrook在报告概述中指出:

  • 当前拦截及防护功能已难以应对更高级的定向攻击。
  • 大多数机构还在持续对纯防御措施进行过度投入。
  • 来自不同安全供应商的监控、预防、响应及预测的服务能力以一种分离的方式单独工作,导致安全防护效能持续下降,费用上涨。
  • 信息安全对来自高级攻击的防护需求并不一直明显。
  • 由于企业系统受到的是持续攻击,并缺乏持续防御力,面向“应急响应”的处置方式已不再是正确的思维模式。

显然,面对越来越多的高级定向攻击,传统安全“捉襟见肘”。基于此,Gartner提出包括预测->防御->监控->响应在内的自适应防御系统,每个部分由一系列策略、产品和服务组成。(更多信息,读者可以查阅《Gartner:用自适应安全架构来应对高级定向攻击》一文)

报告同时着重指出,在持续攻击时代,企业需要完成对安全思维的根本性切换,这就是从“应急响应”到“持续响应”,因此,持续监控和分析成为自适应安全架构的核心。为实现全面的自适应安全防护架构,实现对攻击的拦截、预防、检测和响应,如下12 个特别的功能非常必要:

我们必然会问,为什么Gartner会在此时,发布一个新的安全理念呢?事实上,这与彼时全球发生的众多重大安全事件有关。

2014年前后,索尼、洛克希德·马丁等大型企业,从工业到军事、娱乐、金融等行业,以及一些国家的政府部门,先后遭到了非常多的APT高级定向攻击。这些安全事件有两个共同的特点,一是遭受黑客入侵的企业都非常大,二是攻击针对性强,损失难以估量。

我们很迷惑,大型企业财大气粗,安全建设已经持续了好多年,投入非常大,自身也有非常好的安全团队,为什么在这种攻击面前依然“像纸一样的被打穿了”,几乎没有企业挡得住?

“反思的结果,就是自适应安全架构的诞生。这是由客户和行业、分析师共同总结提炼出来的,提出这个理念就是为了解决一个问题:企业业务越来越数字化,环境越来越开放,如何在开放和日益复杂、动态的环境下,面对越来越厉害的黑客攻击。”张福说。

过去,企业的业务都是在线下的,是封闭的,这就带来比较好的安全性,但是当企业走到线上,业务面临的第一个问题就是安全,这就使得企业安全的挑战比以前更大。

这个“大”,体现在两个方面,第一,遭受攻击事件的概率更大,因为业务在线,更开放。第二,业务数字化的特点,就是核心业务的运转依托于数据、算法,虽然提升了业务效率,但一旦遭受攻击,带来的损失会放大,因为会迅速扩散。

举例来说,金融业的竞争已经不是线下的竞争而是线上的竞争了,金融机构首先是通过线上高效率、低成本、高质量获客,在此之后,比拼的将是数据和算法,这是未来金融运转的核心。一旦出现安全事故,不仅带来损失,黑客还可以窃取这些核心的数据和算法,从而复制竞争力,这样带来的危害就会更大。

这意味着一个深刻的时代背景,这就是随着科技互联网的发展,新业态、新模式不断涌现,传统企业数字化转型加速,企业运营越来越数字化,永远在线使企业更开放——传统企业安全的内外部环境发生了根本性的变化,导致安全工具失灵。

可是,为什么会失灵?

多年来,安全行业稳步发展,从物理安全、网络安全、主机安全到应用安全,从防火墙、UTM、安全网关、入侵检测、VPN等等,十几个大类上百种产品,已经非常成熟。安全产业数百家公司,每个细分领域都活跃着一批知名企业。尽管大中型企业不断在安全建设上加码,但依然挡不住新的黑客攻击,尤其是当前企业内外部环境发生重大改变的时候。

问题还是出在理念层面。

传统的安全是基于特征匹配的拦截思路,形象地说,就是盖房子的理念,造围墙、穿铠甲,把企业“层层围住”。企业在关键的通道侧(IDC的出入口)添加设备,对进出流量进行分析,基于已知的黑客行为规则匹配流量数据,有问题的流量将其拦截,反之放过。

显然,这种安全理念,决定了防御和拦截能力取决于对黑客的认知,如果知道黑客的方法越多,规则就越多,效果就越好。这也是为什么每家安全公司都有一个安全团队和一个黑客团队的原因,因为需要研究黑客的攻击思路与方法。

但是张福对此予以否定,“这样的理念是不靠谱的。”为什么,两个原因:

1.黑客攻击方式层出不穷,基于已知攻击写出的规则无法抵御快速变化的、未知的攻击;

2.流量加密和私有化是趋势,在这种情况下,用设备去解密流量内容难度越来越大,一些大科技企业已经对通讯信息进行加密和私有化,https使用率越来越高,比如百度,几年前已经在全站开始使用https协议了。

在这其中,尤其是把目标对准那些重要的企业、大型企业以及拥有核心技术企业的黑客,它们并非泛泛之辈,他们的方式和攻击手法既不为企业受害者所知,也不为安全公司所知,当他们发起攻击的时候,别说防御了,连感知都成问题。

事实上,世界上最好的安全公司能够匹配的方法都是整体方法中很小的一部分,这意味着80%的攻击都是挡不住的。所以,对于安全,首先需要一个客观的认识和态度,要承认有大量的攻击是根本挡不住。用一个完美的盾牌挡住所有的攻击只是一个幻想。

因此,新一代安全必须采取新的方法——自适应安全架构从理念上改变了“围城”的思路,其核心理念是不再看黑客,而是看自己。青藤认为,不论黑客使用什么方法入侵,都会引起系统内部变化,只要监控这些变化,就能发现异常行为从而识别黑客攻击。

基于这种理念,感知能力成为体系最核心的能力。只要能够做到精确地实时发现,加上快速的分析和处理,只要这个过程足够敏捷,就不会造成太严重的问题。

实际上,安全领域的这种变化,与IT产业各个领域的发展完全一致,比如云计算,就是计算模式向弹性高效、迅速迭代发展的结果,还有运维向DevOps发展。自适应安全,就是传统业务在线、数字化对安全基础设施提出的敏捷、高效的要求。

基于对弹性、敏捷安全的深刻判断,2014年6月,当发现Gartner“自适应安全架构”更完整更系统,但与自身确定的产品方向不谋而合时,青藤团队“非常兴奋,也很开心”,由此奠定了青藤云安全的产品路线。

我们知道,所有千变万化的黑客攻击,目的只有一个,就是发现企业的核心资产并进行窃取,比如重要的数据、核心算法、关键信息等等,并且,还要能长期潜伏,持续不断地获取利益。这也是主机安全如此重要的原因所在。

相比传统防御只关注外部黑客攻击方式的做法,这种自适应的监控防护能让企业更快、更准确地检测并响应快速变化和未知威胁。“这是自内而外的防护,是自适应安全的核心,也是未来的趋势。”张福强调说。

与传统安全盯住外围不同,自内而外需要对企业的核心系统进行监控,因此,如何监控成为解决问题的症结所在。

青藤的方法是,首先根据业务的运行情况,生成细粒度的监控指标,自适应安全体系再对这些微小指标进行持续的监控和分析,一旦指标发生变化,便能第一时间识别攻击并迅速响应。

一般而言,用户的核心资产都存储在workload即工作负载中——工作负载成为生成指标的最佳选择。通过工作负载指标来拦截、检测、抵御黑客,是实现自适应安全的关键。

工作负载的体现是数据,而数据绝大部分在服务器上,因此,青藤云安全的第一步,就是通过埋在核心服务器上的Agent(探针),实现对工作负载指标的监控。由此开始,历经四年,30多次迭代,青藤最终形成主机自适应安全平台。

青藤主机自适应安全平台,通过对主机信息和行为进行持续监控和分析,快速精准地发现安全威胁和入侵事件,并提供灵活高效的问题解决能力,将自适应安全理念真正落地,为用户提供下一代安全检测和响应能力。

张福介绍,青藤产品体系采用模块化的组织形式,实现了各功能的智能集成和协同联动。“风险发现”可主动、精准发现系统中存在的安全风险,提供持续的风险监测和分析能力;“入侵检测”可实时发现入侵事件,提供快速防御和响应能力;“资产清点”可主动识别系统内部资产情况,并与风险和入侵事件自动关联,提供灵活高效的回溯能力。

运行在底层的青藤核心平台架构,是下一代主机安全能力引擎。其插件化的构建方式,不仅具备灵活的扩展能力, 同时能实现各功能模块之间无缝联动;其分布式的部署方式,能够应对客户大量任务下发和大型攻击来临的海量数据分析处理,并始终保持稳固的性能。

我们可以看出,“资产清点”是青藤云安全的一大创新,也是青藤云安全落地自适应安全框架的切入点。问题在于,创新的主机自适应安全平台,与青藤云安全要做的“安全领域的安卓”有什么关系呢?

要准确理解这一点,我们先看看以下几个维度。

首先,自适应安全是一个框架,它的特征是联动、生态。也就是说,企业传统安全防护在面对高级攻击时,是铁路警察各管一段,新的自适应安全框架打破了孤岛的概念,而是把安全防护看成一个整体。

第二,如前所述,自适应安全包括四块,第一是防御和控制,第二是检测,第三是回溯和分析,第四是响应和预测,每一块又有更细分的安全能力。现实情况中,前三个部分及其细分,分别有不同的品牌产品担纲,也可能有某一品牌的产品贯穿其中几个细分或部分,但在响应和预测也就是处置这个环节,是一种叫“抢救服务”的安全服务。

第三,防御、检测和分析,安全公司扎堆,但安全服务——当出现安全事故,企业要么自救,要么购买厂商的抢救服务——但它是人工的方式,而人工的方式有两个问题,第一,效率太低,不能满足及时响应需求;第二,人才匮乏,尤其是在客户侧。

事实上,大部分的处置场景,往往都是客户自己来完成,因为同样的一个安全攻击,不同客户的处置是完全不一样的,这是因为每个企业都不相同,系统也不相同,安全的位置也不同。比如,一个非常危险的漏洞落在测试环境和落在核心业务系统,处置方式都是不一样的。

根据Gartner自适应安全框架理念,防御和控制、检测、回溯和分析、响应和预测四个环节,其逻辑是整合不同厂商安全工具与产品,其次,四个环节最终需要形成一个自动化闭环。而事实上,目前的安全公司,还没有形成闭环。

针对这一问题,青藤将致力于打造一个处置响应的开放平台,“它是一个引擎,它可以把专家的处置能力、安全人员对安全事件的处置方法和套路沉淀在这个平台上,通过机器学习,形成一个自动化的链条。并且,实现行业、用户的低成本的能力复制。”张福介绍。

也就是说,未来的青藤主机自适应安全平台,将打造两大核心能力,一是基于资产清点的监控体系,一是处置响应的开放能力平台。青藤的策略,是在最核心的Agent能力上做到足够深,然后以开放的平台跟所有做安全的人合作,不断降低安全建设的成本,使安全加速落地。

这就是青藤云安全的安卓梦想,也是其实现路径。

然而,难道只有青藤云安全看到“类自适应安全理念”这条路吗?显然不是。

过去20年,安全行业不断有安全公司尝试做相似的产品,但遗憾的是压根没起来过,原因是太难。这个难体现在哪里呢?最核心的,就是在客户核心服务器上部署安全产品,如何达到稳定性可靠性的平衡。

要在核心业务上部署产品,产品一定要有很强的安全能力,能解决问题,客户才愿意冒风险。但功能强大和稳定可靠之间永远相互违背,他们的平衡很难做到,做不到的原因,不是技术不行,而在于以前这种对抗为核心的理念诞生不了这样的产品,

张福说:“资本为什么看好我们?这是一个核心逻辑。我们的能力就体现在打造这个平衡点上,我们的功能很强大,Agent极其稳定可靠。青藤云安全的客户像平安集团、陆金所等等,过去这么多年来从来没有人能够在他们的核心业务系统上装安全产品,就是因为那个平衡点达不到。但是我们做到了。”

尽管如此,这并不意味着青藤云安全的发展之路会一马平川。

首先,要做安全领域的安卓,必须是开放的战略,对青藤云安全来说,这一点是必须的。青藤云安全的开放体现在两个地方,一个是做整个事情的方式是开放的,比如技术、规则这些核心的模块都是开源共享的;第二,在商业上也是开放的,在产业链上,青藤云安全跟别的安全公司不是竞争关系,而是合作伙伴。

前文提到,传统安全基于对黑客的认知匹配规则,这也是安全公司的竞争力之所在,因此传统安全是封闭的。他们会向青藤云反向开放吗?以及需要开放到什么程度?

其次,产品层面,青藤云安全响应处置引擎已经初步成型,这种处置能力基于客户的场景提炼出的不同功能模块,再通过青藤云安全产品形成链条,然后形成处置的过程。也就是说,防御和控制、检测、回溯和分析、响应和预测,闭环基本形成。

当前阶段,青藤云安全已能做到一部分的自适应,第一能自适应客户的规模,是一个可以自我学习自己扩充的系统;第二能适应客户的变化,有一些发展快的客户,业务不停地开发,不停地上线,系统能够自动追踪这些变化,自动更新资产,更新策略,不需要人工处理。

但是,作为初创公司,客户量还不大,场景有限,青藤云安全对业务系统的学习和理解要做到完全的自适应,越来越精准,这个迭代的过程对公司是一个考验。

在行业中,2014年被称为中国的信息安全元年,主要原因之一,是在这一年的2月27日成立了中央网络安全和信息化领导小组(2018年3月改为中央网络安全和信息化委员会),这是一个标志性的事件,它开启了安全行业新的发展机遇。

我们能看到,自适应安全的产品门槛和壁垒非常高,因此,正常的创业公司不会选择一个难以达到的目标,即使到现在,自适应安全也只有腾讯、阿里等少数企业在跟进。安全产品有很多细分领域,青藤云选择了一个资金投入非常大和周期非常长的分支。

但是,在张福看来,业务数字化与在线的发展,以及基于越来越多的高级攻击而产生的自适应安全理念,更将是安全行业大变革的核心推动力量,它将对安全产业形态、商业模式、市场需求、产业规模等等各个方面来带重大影响。

第一,产品形态的改变。以前安全都是硬件的盒子,未来安全将会基于一个核心的平台,基于数据产生各种各样的指标,在持续分析的基础上发现问题,最大的好处是不论什么等级的黑客攻击,都能够发现并且及时处置。也就是说,安全产品一定是从硬件走向软件,是持续迭代的、跟业务结合越来越紧的,不是固化的、一成不变的。

第二,以后单独的安全产品都不重要,一定是被整合起来形成一个统一的体系,工作模式就是监控、分析、响应处理。

第三,是产业规模的改变。过去在封闭的环境下,企业安全更多地是面向合规的要求,特别是关键行业,同时,企业因为业务封闭,看不到安全有那么强的必要性,带来的结果就是过去20年中国的安全产业比较小,200多亿到300亿的规模,而且又是高度碎片化的。 现在,业务数字化带动了真实的安全需求,也使安全行业开始飞速发展,目前,安全行业每年的增长超过30%,而且根本就没有减缓的趋势。这意味着安全行业每三年就翻一番。

2017年3月22日,Gartner发布全球云安全市场指南,青藤云安全作为唯一的中国安全公司,与Symantec、McAfee等国际知名安全公司并列,正式进入Gartner世界代表公司名录。

至此,青藤成为十年来第一家也是唯一一家入选Gartner全球安全指南的中国初创公司。从创业到今天的四年中,青藤云安全得到中国地震局、中国移动、中国联通、光大银行、吉林银行、泰康资产、小米科技、平安科技,以及借贷宝、宜信公司、映客、斗鱼等客户的认可。

未来,青藤云将通过机器学习与安全场景的融合,使功能越来越强大,并且对人的要求越来越低。而在功能的扩展上,会沿着感知,分析,响应处置的道路前进,也就是纵向的深度和横向的功能延伸。

张福说:“当真正的安全需求被激发出来后,以前那种关系型销售导向的安全公司,将会逐渐的没落,而能力型的、真正能给客户带来价值的公司会成长起来,这是一个大的趋势。未来的15年,中国的安全行业会保持一个很好的增长,整体规模会从两三百亿成长为两三千亿规模,这是毫无疑问的。

“我们看到这个行业改变的契机,所以站出来,顺应时代潮流,带领这个行业产生改变,这是我们的初衷。青藤云安全是一家有使命的公司,希望通过技术的深度追求和创新,使得安全的能力上一个大台阶,同时使得安全能够以更低的成本,更高的效率普及到更多的企业,哪怕没有太多钱也能够得到很好的安全保护。这是我们想要走的道路。”