猎云注:随着数字化时代的来临,来自网络的安全威胁比以往更加强大,它们不只会威胁到人类的财产,甚至会波及到人身安全。在2018年美国旧金山的RSA大会上,青藤云安全CEO张福和微步在线CEO薛锋,以及云天使基金副总裁张舒峣就对此次参加RSA的最新感受、行业观察进行了分享。本文转载自微信公众号云天使(ID:cloudangelfund),作者公子青衿。
看过《环太平洋》的童鞋们,一定会对频频重启的战事钟印象深刻。经历了重大安全事件频发的2017年,好像也有一台无形的战事钟在提醒我们,下一起安全事件随时可能发生。随着数字化时代的来临,来自网络的安全威胁比以往更加强大,它们不只会威胁到我们的财产,甚至会波及我们的生命。
“Now Matters”——作为网络安全行业的风向标,RSA 2018以这样强有力的短语开篇明义,旨在告诉全体参会人员,必须立刻行动起来。
为了更“近距离”的感受RSA,大会结束的第一时间,请来了两位云天使家族成员,也是本年度RSA国内参展企业的代表——青藤云安全CEO张福和微步在线CEO薛锋,一起烹茶论道,现场交流RSA的参展体验、最新的行业观察与战略思考。
主持人(张舒峣):今年RSA有什么整体的感觉?
张福:RSA其实是一场美国安全厂商和其他各国的安全厂商的展销会,今年主要分为网络安全类和终端安全类两大主题,行业新秀有很多,有很多结合当今时代的情况推出的安全产品,比如GDPR合规类的支持等。
薛锋:整体感觉,就是人很多(笑)。来自国内的厂家会比以往多起来,创业公司比例变大,也反应出一定的行业趋势。
主持人:今年的主题“Now Matters”,与以往相比——2017年的“Power of OpportUNITY”以及2016年的“Connect to Protect”,气场明显不一样,一方面时代感和使命感更强,另一方面也有着一种深深的焦虑感。两位怎么看?
薛锋:2017年确实爆发出很多的安全事件,比如NotPetya、WannaCry等等。但其实这些只是冰山一角,还有很多没有被发现的安全漏洞或者安全隐患。有人说世界上只有两种企业,知道自己被黑的,和已经被黑了自己还不知道的。这看似是一句玩笑话,但不幸却一语成谶。随着信息技术的发展,越来越多的数据会暴露在互联网环境中——数据安全也是今年的热点,单纯靠“造墙”或者“补洞”是不够的,需要在流程上优化,同时尽可能的对外部情况进行获取和分析,对安全威胁追根溯源。
张福:这几年安全防护手段在提升,但安全威胁也会更加多元化。之前两年的提法我其实很认可,安全需要通盘考虑,需要由“大安全”的概念,单看某个点可能不行。今年的主题比较有意思,虽然没指名一个明确的方向,但是表现出了一个态度,不可否认网络安全的重要性确实在这两年有了巨大的提升。
主持人:刚提到了NotPetya和WannaCry都是勒索类的病毒,还有跟信息泄露、IOT僵尸网络、挖矿木马等相关的安全事件,本次RSA对2018年可能发生的安全事件有什么判断和展望么?
薛锋:今年参会的安全企业,无论是网络设备厂商还是终端安全厂商,都强调了对勒索软件的检测和防范。这还只是个开端。哪里有新的技术应用,哪里就有新的安全问题。有人说随便找个新技术,后面加上安全二字都可以成为热点方向。未来IOT安全、数字货币安全都是很新的方向。而随着数字货币的升温,可能会使得勒索软件更如鱼得水。必须要提前提起重视。
张福:在这点上我很同意薛锋的观点。这次RSA大会上虽然新秀很多,但是没太看到那种特别牛的技术突破,倒是很多之前的热点,比如薛锋他们在做的威胁情报、终端安全、IOT安全逐步成熟起来。
主持人:说到技术突破,就不能不提“创新沙盒大赛”,今年大赛有哪些值得关注的点? 如何看待BigID在大赛中夺冠?
薛锋:BigID夺冠其实是意料之外,情理之中。意料之外是说这是一家16年才成立的公司,在今年的创新沙盒大赛中妥妥算是新秀,而情理之中则是BigID正好踩在风口上。欧盟要在今年的5月25号起正式推行GDPR,而BigID的Slogan是重新定义用户隐私&数据保护,正好是GDPR要考察的方向。
张福:同意。本次大会的一大重要议题就是探讨GDPR带来的主要挑战,企业如何满足合规性要求,个人如何利用GDPR进行隐私保护等。所以说BigID能一举摘得“创新沙盒”大奖,还是个时势问题,确实是沾了GDPR的光。
薛锋:另外,Facebook数据泄露问题也给各行业上了一堂急救课。所以说BigID面临的市场风向突然变好,一点都不夸张。此外,BigID的产品相比之下有更好的变现力,我想商业模式清晰也是它能够在创新沙盒大赛夺冠的主要原因。
主持人:从Phantom到UnifyID,再到BigID,二位怎么看最近几年沙盒冠军的变迁?
薛锋:从趋势上来看,云计算、IoT、威胁检测与响应、用户隐私和数据保护、身份认证等方向仍然是热点,和去年的技术趋势相比变化不大。2016年RSA的主题是“Connect to Protect”,当年沙盒冠军是Phantom,主要产品价值是安全产品联动,通过自动化提升安全运营的效率;2017年的主题则是Power of OpportUNITY,强调要团结、联合、联动。当年的冠军就是UnifyID,通过对设备行为特征来进行身份识别,也喊出了no password的口号,是利用人使用设备时的独一无二的特征来识别一个人,这无疑又扩充了机器识别的外延。今年则是BigID,恰恰命中用户隐私和数据保护的要害,通过重复发现和相关性确保数据最小化。这与即将生效的GDPR和Facebook事件直接呼应。其通过使用数据沙盒技术,根据业务需求提取敏感数据进行脱敏,形成敏感数据脱敏库,促进数据最小化。这弥补了大数据时代的行业空白。反观国内的各大业务场景,还都在比拼业务数据有多么庞大,尽可能多的得到用户授权,至于有多少噪声,有多少涉及隐私,却无人提及。
张福:再补充一点。2016年的冠军Phantom做安全自动化和编排,可以说是找到了一个很巧妙的切入点,这跟美国各个安全产品比较开放有关,在国内照搬此模式的可行性较低。2017年的冠军UnifyID提供了可离线使用的隐藏式ID识别平台,而ID识别在本次RSA大会上依然是主要议题之一。大家着重探讨了多因素身份验证与软件定义边界,也讨论了身份认证在人工智能、物联网中的具体运用。UnifyID所在的IAM领域本来就是安全四大支柱产业之一,有较多的可创新点,无论是2B还是2C市场都有着广泛应用。
主持人:确实,GDPR的出现将数据安全和身份识别又提到了一个新的高度。在很多时候,我们已经看到安全企业在使用人工智能来进行数据分析和身份识别等工作。未来人工智能还会对网络安全行业带来怎样的影响?今年RSA上是否有看到这类的技术和应用?
薛锋:在最近几届RSA上都能够看到很多利用人工智能技术的安全产品,机器学习已经成为显学和底层技术,而不只是个噱头。
张福:其实从2016年开始,RSA大会一直有着人工智能的相关议题。人工智能作为时下热门的技术,在诸多美国网络安全公司已经完成落地。以威胁情报公司Cylance来说,Cylance已经基本淘汰了之前杀毒软件的做法,完全采用机器学习模型对威胁情报进行甄别,专业评测机构和客户对此的反响都不错。机器学习在检测领域的优越性是大家有目共睹的,传统的检测形式如同,特征码、启发、主防、MD5 拉黑等,已不再适用于未来复杂多变的网络安全环境。因此,我认为,机器学习模型的广泛应用将是未来网络安全及架构安全领域的主流趋势。
薛锋:安全问题归根结底是数据问题,网络安全是人工智能落地最好的场景之一。网络安全行业可以接触到大量数据,而这些数据和垂直的应用场景正好为AI落地提供了条件。微步在线本质上是一家安全行业的大数据公司。做好威胁情报离不开大数据和机器学习,既包括外部的数据,也包括企业内部的日志和流量等数据。我们认为,数据的安全要用数据解决,by the data, with the data , for the data,以数据驱动,和数据同行,最终为数据服务。
主持人:RSA 2018入围的中国网络安全厂商有多少?有多少是创业公司?有哪些亮点值得关注?
薛锋:本次参加RSA大会的中国厂商共有27家,除去阿里巴巴、360、华为、绿盟等在安全领域深耕多年的公司以外,创业公司也取得了颇为不错的成绩。比如微步就有幸被全球权威网络安全媒体Cyber Defense Magazine收录,入围InfoSec Awards 2018 获奖名单。
张福:中国的网络安全厂商大部分都是以中关村整体身份参展,大多为此领域的创业公司。虽然中国已成为仅次于东道主美国的第二大参展国,但从实质上而言,国内的大部分创业公司还是处在追捧、模仿美国概念的阶段,技术和产品水平差距还是比较大的。
主持人:所以,RSA及国外厂商对国内厂商的引领效应还是比较明显的,对吗?
张福:整体而言,RSA会议上的安全厂商的技术引领还是存在的,但是国内市场并不一样,或者说国内安全市场并不完全是以产品技术取胜。
薛锋:同意。引领效应确实存在,但只能说,国外已经验证的技术方向和商业模式在国内会有一定的生长空间,但并不意味着照搬照抄就是创业的真理,本土化和创新更重要。
主持人:所以,中美网络安全环境和市场的主要区别在哪儿?诸如客户关注点,解决方案及商业模式方面有什么不同?
薛锋:此行最令人印象深刻的是美国企业用户对SaaS化安全产品和解决方案的拥抱。比如端点EDR和威胁情报领域的独角兽Crowd Strike,不提供任何私有化解决方案,所有端点数据都必须上传至云端,利用机器学习、威胁情报、大数据等技术进行分析。SaaS化是趋势和方向,但目前在国内普及度不高,考虑到中美企业在能力、需求、文化等方面的差异,或许需要若干年才能被广泛接受。
张福:从中美市场差异的角度而言,美国网络安全市场基本是开放市场,产品技术做的有特色,总会有适用场景。中国可能是技术和客户本身的滞后性,考虑的问题还是相对比较基础,还是以合规作为驱动。整体解决方案式的更受用户接受,也许跟整体的采购策略有关。
主持人:刚才聊了这么多宏观层面的问题,下面聊一些与二位直接相关的吧。威胁情报和自适应安全都是这两年非常热门的安全方向,目前各自领域的发展情况如何?
薛锋:威胁情报领域已从模糊的理论逐渐落地成场景化的、可操作的产品或平台,这个领域也引起了各大巨头、老牌安全厂商和新兴创业公司的关注,谷歌一口气投资了3家威胁情报公司Crowd Strike、Anomali和Recorded Future,目前三家公司均融资到D轮后,谷歌还收购了一家威胁情报公司Virus Total。在国内,微步在线是威胁情报的领军企业,在去年年中完成了1.2亿元B轮融资,此外,360、绿盟等国内安全企业也在发展威胁情报。
2017年的美国RSA期间,微步在线推出了TDP,威胁检测分析平台,客户可以基于私有化部署来使用我们的产品。从2017年开始,客户的需求开始逐渐变得专业,因此我们还发布了TIP多源威胁情报管理平台产品。2018年我们推出了安全DNS服务、云沙箱和TDP-S服务器版,以及高级威胁检测与应急响应服务,开始把产品做得更加场景化。
张福:传统的安全公司过于强调防御和控制,但是防御和控制落地很难,应对变化的能力不足,导致无法产生期望的结果,在一个开放又复杂的环境下,面对高等级的黑客攻击,尤其是来自于商业组织和某些国家的攻击,自适应安全是非常必要的。
青藤云安全基本是按照 Gartner自适应安全架构来组织产品的演进,我们研发的自适应安全平台能够有效解决传统安全专注防御的被动处境,为系统添加强大的实时监控和响应能力,保障企业安全的最后一公里。我们的产品可以自适应基础环境,无论是传统的IDC+服务,还是公有云、私有云、混合云等形态,都可以适应并构建。同时,青藤的安全平台能够生成最符合业务形态的安全策略,安全体系还可以伴随着架构的的迁移而一同迁移。
整体而言,青藤云安全在功能数量上较国外自适应安全厂商更多,但是在深度上还有很大的提升空间。
主持人:威胁情报偏重外部,但如何帮助企业构建内外结合的完整安全能力呢?薛总,这个问题您怎么看?
薛锋:威胁情报已经被证明在下一代安全体系中的主导地位,无论是威胁的检测与响应,还是与其他设备联动、快速处置,都是威胁情报的主战场。目前,威胁情报已经成功在大型金融机构、能源公司等组织的安全运营中发挥着重要作用。众所周知,在企业内部的安全体系中,威胁情报能够起到“知彼”的作用,给企业内部的数据提供对比、验证和校正的维度,实现对最重要的威胁最小化精准告警。同时为决策提供依据,因此一家企业如果想构建内外结合的完全安全体系,就必须引入威胁情报,而且是多源的、持续的威胁情报。
此外,威胁情报在网络安全产业链中的位置也十分重要,在一个开放、连接的网络安全生态体系中,威胁情报接口处于北向,向其他合作厂商伙伴提供、分发威胁情报数据,和其他安全厂商一同携手为企业提供整体的安全解决方案。由于威胁情报是新兴行业,创业门槛高,竞争较为激烈,所以处于行业头部的公司不仅能够收获大量客户,还能够在网络安全大行业中快速占据有利地位,打入以巨头为核心的网络安全生态体系,甚至有自建生态体系的能力,因此能够快速成长。
主持人:那我们再问一下张总,目前青藤将重心放在主机安全,同时保持原有的自适应体系,二者如何结合?
张福:终端安全是架构安全领域中最大的门类,全球市场的年复合增长率一直保持在10%左右,明年,此领域的市场规模大约能达到40亿美元。而终端类的安全厂商又可以分为三种类型,第一种是专注于办公环境的终端领域,第二种专注于服务器领域,即,保护云工作的负载;最后一种是混合的场景,既可以保护办公环境也可以保护云工作负载。纵观国外的终端安全厂商,大部分都侧重于保护、检测及响应这三个领域,这也证明了大部分厂商都是按照自适应体系来构架产品的,因此,我认为,终端安全与自适应体系,这两者本身就是天然的结合。自适应体系是方法论,主机安全是落地的产品形态。
主持人:随着网络环境的变迁以及安全对象的日益多元化,未来会有更多的网络安全细分领域,创业企业应该关注哪些领域呢?
薛锋:网络安全是人与人智慧的对抗和较量,但网络安全已经走过了冷兵器时代,我更看好能够借助大数据、云计算、AI等新技术的安全细分领域。
张福:创业企业应该关注新兴的技术,比如物联网,或者说是新的合规需求来考虑,比如GDPR和国内的网络安全法。