王盈

當(dāng)前網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻復(fù)雜，網(wǎng)絡(luò)攻擊已經(jīng)成為了國(guó)與國(guó)、企業(yè)與企業(yè)之間的主戰(zhàn)場(chǎng)。進(jìn)入大數(shù)據(jù)時(shí)代，一旦發(fā)生網(wǎng)絡(luò)攻擊或者泄密事件，產(chǎn)生的后果將不堪設(shè)想。同時(shí)，未來大數(shù)據(jù)應(yīng)用能否迅速地推廣，取決于安全。如果不安全，數(shù)據(jù)的開放程度會(huì)大打折扣。

北京網(wǎng)思科平科技有限公司CEO仇新梁認(rèn)為，大數(shù)據(jù)的安全問題至關(guān)重要。如何充分利用好外部的大數(shù)據(jù)，讓大數(shù)據(jù)在安全上產(chǎn)生價(jià)值，是我國(guó)亟待解決的重要問題。

用黑客的思維思考安全

“經(jīng)常有人問我，我們跟殺毒有什么關(guān)系？”仇新梁回答道，“我們會(huì)使用一些組件殺毒，但我們最關(guān)心的是，病毒不是單純地存在，還會(huì)被人利用做非法的操作?！?/p>

數(shù)據(jù)為什么不安全？被入侵、異常訪問、系統(tǒng)內(nèi)部問題，甚至是正常訪問都可能導(dǎo)致數(shù)據(jù)不安全。仇新梁表示，“網(wǎng)思科平優(yōu)先解決的是被入侵和異常訪問這些‘非法的操作，而非系統(tǒng)內(nèi)部問題。系統(tǒng)內(nèi)部采用的解決方案涉及權(quán)限管理和訪問控制。而入侵則可以繞過這套體系，找到系統(tǒng)的漏洞，即不管系統(tǒng)是否設(shè)置了權(quán)限控制，入侵都能獲取系統(tǒng)不具備的權(quán)限?！?/p>

知己知彼，百戰(zhàn)不殆?！胺雷o(hù)的基礎(chǔ)是要先了解攻擊者。如果你都不了解別人，防護(hù)就是一個(gè)玩笑。”仇新梁說道。因此，網(wǎng)思科平傳感器的立足點(diǎn)和關(guān)注點(diǎn)，不在于搭建安全體系，而是在于用黑客和攻擊者的思維去思考安全，并把這種思維引入傳感器中?！盀榇?，我們采集和入析與黑客的攻擊思維和入侵思維相關(guān)的數(shù)據(jù)，從中提取更多有價(jià)值的數(shù)據(jù)，或許這些數(shù)據(jù)才是最有價(jià)值的！”仇新梁一語(yǔ)中的。

仇新梁解釋道，“入侵者關(guān)注的是入侵方法，這只能解決20%～30%的問題，剩下的70%～80%的問題，就要依靠木馬。木馬的一些行為是一般的入侵檢測(cè)設(shè)備所不能識(shí)別的，這就需要我們逐步地補(bǔ)充和解決。事實(shí)上，木馬并不能繞過所有的系統(tǒng)，因而即使面對(duì)從未見過的木馬，我們也有能力把它分析出來?！?/p>

在仇新梁看來，識(shí)別和解決木馬的這些行為，也是一種革命，這將成為未來攻擊檢測(cè)的趨勢(shì)之一。

分析和挖掘能力—安全的題中之義

數(shù)據(jù)量的不斷增大，對(duì)數(shù)據(jù)分析能力提出了越來越高的要求。從無線檢測(cè)到安全分析，再到近幾年大數(shù)據(jù)分析開始受到熱捧，數(shù)據(jù)分析能力無疑已成為大數(shù)據(jù)公司的重要支撐之一。

作為當(dāng)前硅谷估值最高的大數(shù)據(jù)公司，Palantir聲名在外。Palantir成立后默默無聞了十年，而在2014年后，Palantir在短時(shí)間內(nèi)神秘崛起。從鮮為人知到而今的被人津津樂道，重要原因之一就在于其大數(shù)據(jù)分析平臺(tái)、分析工具在各行業(yè)很好的應(yīng)用。

網(wǎng)思科平的強(qiáng)項(xiàng)也在于安全分析。仇新梁指出，“在傳統(tǒng)意義上，安全對(duì)用戶來說是固化的。我們首先想做的是降低成本—用普通的服務(wù)器搭建數(shù)據(jù)中心，基本采用分布式處理架構(gòu)，同時(shí)支持信息擴(kuò)展。用戶只需要迭代一些普通的計(jì)算單元，就可以完成過去難以想象的運(yùn)算，從而對(duì)數(shù)據(jù)進(jìn)行處理分析?！?/p>

要分析數(shù)據(jù)，我們需要充分地挖掘數(shù)據(jù)?！霸趯?duì)數(shù)據(jù)進(jìn)行挖掘的過程中，我們與很多國(guó)外頂尖的數(shù)據(jù)公司不謀而合。在這些公司中，一部分前期知名度并不高，甚至默默無聞。但似乎在一夜之間，因?yàn)閮?yōu)秀的解決方案或‘意外的收效，就得到了眾多認(rèn)可。”仇新梁如是說。

不同于“養(yǎng)兵千日，用兵一時(shí)”，在仇新梁看來，用“養(yǎng)兵千日，用兵千日”形容打贏安全這場(chǎng)持久戰(zhàn)更為貼切?！鞍踩且粋€(gè)對(duì)抗科學(xué)。是在實(shí)施的過程中，產(chǎn)生對(duì)抗應(yīng)急來持續(xù)優(yōu)化系統(tǒng)。原因在于，傳感器采用的緯度特別多，需要在各種緯度中找到更多的隱藏點(diǎn)，將能識(shí)別的數(shù)據(jù)挖掘出來?！?/p>

“攻擊者只要干壞事，我就能把他抓出來?！痹谶@點(diǎn)上，仇新梁信心滿滿。

傳感器+平臺(tái)：解決用戶痛點(diǎn)

相比傳統(tǒng)的安全防護(hù)系統(tǒng)，網(wǎng)思科平的系統(tǒng)有了一些顛覆性的變化：第一個(gè)變化，體現(xiàn)在用戶體驗(yàn)?！耙?yàn)橛脩魪膩頉]有見過這樣的傳感器，不知道傳感器能夠收集和提供這么豐富的數(shù)據(jù)?！背鹦铝航忉尩?。

第二個(gè)變化，體現(xiàn)在為用戶提供深度挖掘數(shù)據(jù)的平臺(tái)。當(dāng)用戶想要知道自己是否被攻擊，但因?yàn)闄z測(cè)病毒的軟件可能已經(jīng)被病毒軟件殺掉，而苦于沒有相應(yīng)的解決途徑和方法時(shí)，就可以借助網(wǎng)思科平的平臺(tái)解決這個(gè)痛點(diǎn)。

第三個(gè)變化，體現(xiàn)在傳統(tǒng)的檢測(cè)單元是各自獨(dú)立、不成體系的，因而檢測(cè)能力有限，不具備二次分析的能力。由于這種弊端，檢測(cè)軟件雖然告知用戶受到入侵了，但沒有提示任何信息，用戶無法準(zhǔn)確判斷是否受到入侵。同時(shí)，系統(tǒng)管理員管理系統(tǒng)的時(shí)間有限。仇新梁表示，網(wǎng)思科平所采用的檢測(cè)方法和傳統(tǒng)的方法大不相同，“系統(tǒng)管理員通過設(shè)備檢測(cè)的頻率可以按分鐘級(jí)來計(jì)算。另外，我們自己內(nèi)部做了大量的木馬演練，運(yùn)用模型發(fā)現(xiàn)了很多未知的木馬入侵，再通過大量相關(guān)的工作，為最終的判斷提供了充分的數(shù)據(jù)依據(jù)。未來，管理員僅依靠這個(gè)檢測(cè)平臺(tái)就能處理這些問題，因此在平臺(tái)上停留的時(shí)間將更長(zhǎng)?！?/p>

第四個(gè)變化，體現(xiàn)在做了一些世界頂尖的技術(shù)。“比如自主研發(fā)的傳感器，可以檢測(cè)低層硬件中的惡意入侵，這在目前來說全球唯一一家，終端產(chǎn)品在業(yè)界也是頂尖的。目前，我們正在彌補(bǔ)實(shí)施性方面的差距。”仇新梁如是說。

人是傳感器的根本

現(xiàn)在，國(guó)家在建的很多大型工程都與大數(shù)據(jù)相關(guān)。但大數(shù)據(jù)到底該怎么用呢？仇新梁認(rèn)為，大數(shù)據(jù)和數(shù)據(jù)大是兩個(gè)概念。數(shù)據(jù)量大了之后，如果處理能力跟不上，這些數(shù)據(jù)就是死的。大數(shù)據(jù)本身既是一種新的數(shù)據(jù)運(yùn)用模式，又可以用之構(gòu)建新的數(shù)據(jù)應(yīng)用模式。這就意味著，我們既可以用大數(shù)據(jù)架構(gòu)處理一些東西，也可以對(duì)數(shù)據(jù)重新進(jìn)行深度挖掘。

為此，網(wǎng)思科平開發(fā)了很多傳感器，能從多點(diǎn)采集數(shù)據(jù)，且采集的深度比傳統(tǒng)更深。“采集數(shù)據(jù)結(jié)合大數(shù)據(jù)要做到準(zhǔn)確性。開始是我能夠提供什么數(shù)據(jù)，后面是客戶需要什么數(shù)據(jù)，我就提供相應(yīng)的數(shù)據(jù)?！背鹦铝赫J(rèn)為，這樣傳感器與大數(shù)據(jù)中心就產(chǎn)生互動(dòng)了—在提供數(shù)據(jù)源的同時(shí)，大數(shù)據(jù)平臺(tái)也提供一些基于學(xué)習(xí)和引導(dǎo)的決策算法。

網(wǎng)思科平的數(shù)據(jù)都是來自于傳感器。仇新梁表示，其傳感器在幾個(gè)方面實(shí)現(xiàn)了突破：第一，知道要獲取什么數(shù)據(jù)；第二，擁有獲取數(shù)據(jù)的能力；第三，具有一定的分析能力，如管控、分析原生態(tài)的數(shù)據(jù)，完成指令、響應(yīng)等。

“在網(wǎng)絡(luò)上，我們每個(gè)人都是傳感器?！泵總€(gè)人都把自己的喜好、習(xí)慣和行為等信息，通過鍵盤傳輸?shù)皆贫?，系統(tǒng)再把這些數(shù)據(jù)傳出來?？梢哉f是“取之于人，用之于人”。仇新梁認(rèn)為：人才是傳感器的核心和根本，人產(chǎn)生數(shù)據(jù)，通過傳感器分析和反饋數(shù)據(jù)，讓數(shù)據(jù)為人所用。

在這個(gè)過程中，用戶最大的顧慮是如何保護(hù)隱私？仇新梁強(qiáng)調(diào)，“我們傳感器收集的信息不會(huì)暴露用戶的數(shù)據(jù)隱私，這是我們的根本區(qū)別。第一，沒有人比我們更重視隱私，因?yàn)槲覀儽Ｗo(hù)的就是用戶的隱私數(shù)據(jù)；第二，我們所有的數(shù)據(jù)是放在私有云上，我們不建議用戶放在公有云；第三，我們采集的數(shù)據(jù)都是無感數(shù)據(jù)，都在用戶能夠接受的范圍之內(nèi)，沒有任何跟隱私相關(guān)的敏感數(shù)據(jù)，都是可以公開的?！?/p>

仇新梁堅(jiān)信，安全傳感器將來會(huì)被大家所接受。“因?yàn)橐鉀Q安全問題，必須要接受傳感器，并把每個(gè)終端都當(dāng)作一個(gè)傳感器，來幫助系統(tǒng)采集信息?！?/p>

利用專業(yè)的威脅情報(bào) 打造全生態(tài)系統(tǒng)

美國(guó)等發(fā)達(dá)國(guó)家，網(wǎng)絡(luò)威脅情報(bào)服務(wù)已經(jīng)非常發(fā)達(dá)，購(gòu)買威脅情報(bào)服務(wù)和安全服務(wù)非常流行，幾乎沒有任何一家企業(yè)不購(gòu)買多家企業(yè)的安全服務(wù)。而我國(guó)在這方面還非常欠缺。

我國(guó)現(xiàn)在最大的問題是，沒有落地的威脅情報(bào)產(chǎn)品能與數(shù)據(jù)平臺(tái)結(jié)合。仇新梁分析道，“過去，安全的表現(xiàn)形式就是報(bào)警?，F(xiàn)在，更多的是用信息支撐和完善報(bào)警，用多種數(shù)據(jù)平臺(tái)支撐報(bào)警決策，讓報(bào)警越來越準(zhǔn)確。數(shù)據(jù)平臺(tái)有很多威脅、木馬、情報(bào)等不安全因素或行為，我們都將之實(shí)時(shí)地記錄下來，隨時(shí)掌控其所存在的位置?！?/p>

“現(xiàn)在，我們的威脅情報(bào)是網(wǎng)絡(luò)數(shù)據(jù)和文件數(shù)據(jù)。未來，我們將打造一個(gè)全生態(tài)系統(tǒng)，網(wǎng)絡(luò)攻擊樣本或方法一旦進(jìn)入系統(tǒng)，它所執(zhí)行的每個(gè)動(dòng)作，產(chǎn)生的每個(gè)數(shù)據(jù)，都可以作為未來威脅情報(bào)的一個(gè)點(diǎn)，并且能夠得到很好的運(yùn)用?！背鹦铝喝缡钦f。

網(wǎng)思科平目前主要做威脅情報(bào)的應(yīng)用。未來，當(dāng)移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的應(yīng)用擴(kuò)展以后，傳感器將不需要存儲(chǔ)。在這種情況下，只有提供安全數(shù)據(jù)，才能進(jìn)行分析。這樣就能保證，未來在對(duì)系統(tǒng)整合時(shí)，不至于以犧牲傳感器的安全為代價(jià)—在傳感器上加傳感器?！斑@是非常不科學(xué)的！”仇新梁強(qiáng)調(diào)。

事實(shí)上，攻擊者的路徑、屬性，甚至用的工具都無法改變?！耙虼?，我們采用的方法是，在傳感器中嵌入一個(gè)小型軟件模塊，用戶需要做的僅僅是把數(shù)據(jù)提供給我們，我們只在后端分析數(shù)據(jù)，不會(huì)干擾前端。未來這種做法將得到更多的認(rèn)可。可以試想一下，宇宙飛船的構(gòu)造非常復(fù)雜，帶有大量傳感器，但通過這種方式，它本身要處理的單元就能大大減少?！背鹦铝航榻B說。

仇新梁表示，網(wǎng)思科平采用專業(yè)性較強(qiáng)的“安全運(yùn)維+產(chǎn)品模式”，并擁有專業(yè)的運(yùn)營(yíng)人員和安全服務(wù)人員，能更好地保證產(chǎn)品的可靠性。通過這種方式，能夠?qū)鹘y(tǒng)的應(yīng)用模式和未來的應(yīng)用模式結(jié)合起來，從而最大程度地保證安全?！?/p>

安全和應(yīng)用：魚和熊掌如何兼得？

安全和應(yīng)用一直難兩全。“要把安全寫入傳統(tǒng)的軟件特別難，在終端寫完后就無法使用了。因此，很多公司采用的方法是犧牲安全性以保證應(yīng)用性，這是非常不可取的?！?/p>

仇新梁認(rèn)為平衡點(diǎn)在于：既然大數(shù)據(jù)擁有強(qiáng)大的分析能力和靈活的架構(gòu)，我們或許可以把大數(shù)據(jù)變成未來驅(qū)動(dòng)安全發(fā)展的大腦。因?yàn)橥{往往來源于很普通的數(shù)據(jù)，通過大數(shù)據(jù)的計(jì)算和分析，就可以處理這些威脅。“以前，面對(duì)海量數(shù)據(jù)，一個(gè)行為到底是否異常，這個(gè)異常行為的協(xié)同性還有哪些人？是無法發(fā)現(xiàn)的，因?yàn)閿?shù)據(jù)量太大了，或者根本就沒有這個(gè)數(shù)據(jù)?，F(xiàn)在，我們通過把數(shù)據(jù)提煉出來，能夠讓結(jié)果更加精確?！背鹦铝喝缡钦f。

目前，國(guó)外很多安全企業(yè)提供SaaS服務(wù)，但SaaS與實(shí)時(shí)性二者是矛盾的。而大數(shù)據(jù)的重要優(yōu)勢(shì)就是實(shí)時(shí)性，可以快速辨認(rèn)所有的防御單元。比如千萬(wàn)級(jí)是一個(gè)單元，能用動(dòng)作識(shí)別它是否存在問題。在傳統(tǒng)意義上太難做了，除非制定一個(gè)死規(guī)則，每個(gè)產(chǎn)品都引用這個(gè)規(guī)則。而現(xiàn)在攻擊的維度和攻擊的復(fù)雜性，則需要規(guī)則的寫法和定義也特別復(fù)雜和靈活。

可以說，目前只有大數(shù)據(jù)才能解決其性能和應(yīng)用問題。就此，仇新梁指出：“未來，我們可以在平臺(tái)中加入更多靈活的規(guī)則，這聽起來和傳統(tǒng)意義是悖論。舉個(gè)最簡(jiǎn)單的例子，正因?yàn)椴话踩男袨槭且粋€(gè)連續(xù)動(dòng)作，平臺(tái)才能據(jù)此識(shí)別是否存在威脅?！?/p>

在新的安全應(yīng)用方面，過去我們只能了解一個(gè)惡意代碼是否存在?，F(xiàn)在我們更需要知道的是，這個(gè)惡意代碼到底造成了多大的傷害。很多方法都無法解答這個(gè)問題?！拔覀兿葘⒆约旱南到y(tǒng)作為一個(gè)平臺(tái)，用以解決數(shù)據(jù)的儲(chǔ)存、處理、分析問題，再逐步吸納更多的數(shù)據(jù)。比如兼容更多的圖形檢測(cè)、防火墻、殺毒軟件，以及各種規(guī)則或數(shù)據(jù)，通過我們的處理，再引導(dǎo)防火墻適當(dāng)?shù)胤烙；蛘咴谟脩粼O(shè)定一個(gè)默認(rèn)的規(guī)則后，我們?cè)僦悄艿靥砑右恍┮?guī)則，來幫助防御和檢測(cè)病毒，引導(dǎo)它屏蔽用戶不愿意看到的信息?！背鹦铝悍治龅?。

數(shù)據(jù)安全將智能地發(fā)展

安全威脅無時(shí)不在。我們現(xiàn)在面對(duì)的不是一個(gè)簡(jiǎn)單的黑客，更有可能是帶有其它目的的攻擊，這些攻擊甚至?xí)＜皣?guó)家的經(jīng)濟(jì)和政治安全。這并非聳人聽聞。假設(shè)國(guó)家的安全防護(hù)體系被攻擊操控，那么國(guó)家所有的安全防護(hù)體系將即刻全部崩潰。飛機(jī)隨便轟炸坦克，防空雷達(dá)全部失靈了……后果不敢想象。所以安全無小事！

仇新梁坦言，事實(shí)上大家都是重視安全的?！耙?yàn)榇蠹叶加胁辉腹_的隱私，沒有一家企業(yè)愿意被入侵，也沒有人在得知電腦中了病毒后會(huì)無動(dòng)于衷。只是目前用戶的安全防護(hù)意識(shí)和習(xí)慣還沒有建立。就跟反恐一樣，明知道很恐怖，但是自己沒有真正經(jīng)歷就不會(huì)有防護(hù)意識(shí)。一旦受到攻擊，就會(huì)變成受害者甚至是幫兇。”

那么，未來到底什么樣的安全產(chǎn)品，才能夠解決用戶的痛點(diǎn)，而不僅僅是一個(gè)簡(jiǎn)單的產(chǎn)品呢？仇新梁認(rèn)為，未來大數(shù)據(jù)，包括數(shù)據(jù)安全將智能地發(fā)展?！拔覀儗⒖梢赃\(yùn)用機(jī)器學(xué)習(xí)和決策算法，去引導(dǎo)系統(tǒng)發(fā)現(xiàn)威脅，并智能地作出判斷，解決即時(shí)獲知入侵者、入侵時(shí)間、資產(chǎn)是否丟失等一系列問題?！?/p>

安全公司應(yīng)相互包容

令我們匪夷所思也深感憂慮的是，威脅發(fā)展的速度已遠(yuǎn)遠(yuǎn)超乎人們對(duì)傳統(tǒng)安全設(shè)備的理解。今天的安全設(shè)備與威脅，存在十年的技術(shù)差距，因此，可能到十年之后我們都不一定能解決這個(gè)問題。

雖然國(guó)家目前在對(duì)信息安全大力投入的同時(shí)，對(duì)網(wǎng)絡(luò)安全的投入也不小，但還遠(yuǎn)遠(yuǎn)未達(dá)到能夠應(yīng)對(duì)最新威脅的需要。“拿病毒入侵來說，目前病毒在入侵時(shí)，很容易就能繞過系統(tǒng)的很多地方。因此，在入侵檢測(cè)中，后門的檢測(cè)大都不甚可靠，目前幾乎沒有木馬是靠入侵檢測(cè)出來的。”仇新梁舉例說。

仇新梁認(rèn)為，中國(guó)用戶所需要的安全，不是單憑一個(gè)軟件或一家公司就能解決的。各安全公司各有所長(zhǎng)，應(yīng)該給對(duì)方留有發(fā)展空間。如果把空間壓縮、排擠對(duì)手，就接收不到更多的思維。而且單靠自己做好的安全系統(tǒng)容易出現(xiàn)更多的問題，未來更易遭到攻擊。

安全是相互包容、共同發(fā)揮作用的過程。仇新梁堅(jiān)定地指出，只有通過合作，我們才有能力應(yīng)對(duì)層出不窮的新威脅?！白罱?，我們正在與業(yè)內(nèi)同行洽談合作，希望與同行們成為合作伙伴，而不是競(jìng)爭(zhēng)對(duì)手。最重要的一點(diǎn)是，我們擁有數(shù)據(jù)資產(chǎn)，讓更多做大數(shù)據(jù)分析的企業(yè)接觸到安全領(lǐng)域，將安全企業(yè)的質(zhì)量和數(shù)量大幅度的提高。”

“安全不僅僅是為了經(jīng)濟(jì)利益，其實(shí)社會(huì)效益比經(jīng)濟(jì)效益更大?！币徽Z(yǔ)道出一份社會(huì)責(zé)任，或許這才是安全真正的出發(fā)點(diǎn)和應(yīng)有的歸宿。