王盈

當前網(wǎng)絡安全形勢日益嚴峻復雜，網(wǎng)絡攻擊已經成為了國與國、企業(yè)與企業(yè)之間的主戰(zhàn)場。進入大數(shù)據(jù)時代，一旦發(fā)生網(wǎng)絡攻擊或者泄密事件，產生的后果將不堪設想。同時，未來大數(shù)據(jù)應用能否迅速地推廣，取決于安全。如果不安全，數(shù)據(jù)的開放程度會大打折扣。

北京網(wǎng)思科平科技有限公司CEO仇新梁認為，大數(shù)據(jù)的安全問題至關重要。如何充分利用好外部的大數(shù)據(jù)，讓大數(shù)據(jù)在安全上產生價值，是我國亟待解決的重要問題。

用黑客的思維思考安全

“經常有人問我，我們跟殺毒有什么關系？”仇新梁回答道，“我們會使用一些組件殺毒，但我們最關心的是，病毒不是單純地存在，還會被人利用做非法的操作。”

數(shù)據(jù)為什么不安全？被入侵、異常訪問、系統(tǒng)內部問題，甚至是正常訪問都可能導致數(shù)據(jù)不安全。仇新梁表示，“網(wǎng)思科平優(yōu)先解決的是被入侵和異常訪問這些‘非法的操作，而非系統(tǒng)內部問題。系統(tǒng)內部采用的解決方案涉及權限管理和訪問控制。而入侵則可以繞過這套體系，找到系統(tǒng)的漏洞，即不管系統(tǒng)是否設置了權限控制，入侵都能獲取系統(tǒng)不具備的權限?！?/p>

知己知彼，百戰(zhàn)不殆?！胺雷o的基礎是要先了解攻擊者。如果你都不了解別人，防護就是一個玩笑?！背鹦铝赫f道。因此，網(wǎng)思科平傳感器的立足點和關注點，不在于搭建安全體系，而是在于用黑客和攻擊者的思維去思考安全，并把這種思維引入傳感器中?！盀榇?，我們采集和入析與黑客的攻擊思維和入侵思維相關的數(shù)據(jù)，從中提取更多有價值的數(shù)據(jù)，或許這些數(shù)據(jù)才是最有價值的！”仇新梁一語中的。

仇新梁解釋道，“入侵者關注的是入侵方法，這只能解決20%～30%的問題，剩下的70%～80%的問題，就要依靠木馬。木馬的一些行為是一般的入侵檢測設備所不能識別的，這就需要我們逐步地補充和解決。事實上，木馬并不能繞過所有的系統(tǒng)，因而即使面對從未見過的木馬，我們也有能力把它分析出來?！?/p>

在仇新梁看來，識別和解決木馬的這些行為，也是一種革命，這將成為未來攻擊檢測的趨勢之一。

分析和挖掘能力—安全的題中之義

數(shù)據(jù)量的不斷增大，對數(shù)據(jù)分析能力提出了越來越高的要求。從無線檢測到安全分析，再到近幾年大數(shù)據(jù)分析開始受到熱捧，數(shù)據(jù)分析能力無疑已成為大數(shù)據(jù)公司的重要支撐之一。

作為當前硅谷估值最高的大數(shù)據(jù)公司，Palantir聲名在外。Palantir成立后默默無聞了十年，而在2014年后，Palantir在短時間內神秘崛起。從鮮為人知到而今的被人津津樂道，重要原因之一就在于其大數(shù)據(jù)分析平臺、分析工具在各行業(yè)很好的應用。

網(wǎng)思科平的強項也在于安全分析。仇新梁指出，“在傳統(tǒng)意義上，安全對用戶來說是固化的。我們首先想做的是降低成本—用普通的服務器搭建數(shù)據(jù)中心，基本采用分布式處理架構，同時支持信息擴展。用戶只需要迭代一些普通的計算單元，就可以完成過去難以想象的運算，從而對數(shù)據(jù)進行處理分析?！?/p>

要分析數(shù)據(jù)，我們需要充分地挖掘數(shù)據(jù)?！霸趯?shù)據(jù)進行挖掘的過程中，我們與很多國外頂尖的數(shù)據(jù)公司不謀而合。在這些公司中，一部分前期知名度并不高，甚至默默無聞。但似乎在一夜之間，因為優(yōu)秀的解決方案或‘意外的收效，就得到了眾多認可?！背鹦铝喝缡钦f。

不同于“養(yǎng)兵千日，用兵一時”，在仇新梁看來，用“養(yǎng)兵千日，用兵千日”形容打贏安全這場持久戰(zhàn)更為貼切?！鞍踩且粋€對抗科學。是在實施的過程中，產生對抗應急來持續(xù)優(yōu)化系統(tǒng)。原因在于，傳感器采用的緯度特別多，需要在各種緯度中找到更多的隱藏點，將能識別的數(shù)據(jù)挖掘出來。”

“攻擊者只要干壞事，我就能把他抓出來?！痹谶@點上，仇新梁信心滿滿。

傳感器+平臺：解決用戶痛點

相比傳統(tǒng)的安全防護系統(tǒng)，網(wǎng)思科平的系統(tǒng)有了一些顛覆性的變化：第一個變化，體現(xiàn)在用戶體驗。“因為用戶從來沒有見過這樣的傳感器，不知道傳感器能夠收集和提供這么豐富的數(shù)據(jù)?！背鹦铝航忉尩?。

第二個變化，體現(xiàn)在為用戶提供深度挖掘數(shù)據(jù)的平臺。當用戶想要知道自己是否被攻擊，但因為檢測病毒的軟件可能已經被病毒軟件殺掉，而苦于沒有相應的解決途徑和方法時，就可以借助網(wǎng)思科平的平臺解決這個痛點。

第三個變化，體現(xiàn)在傳統(tǒng)的檢測單元是各自獨立、不成體系的，因而檢測能力有限，不具備二次分析的能力。由于這種弊端，檢測軟件雖然告知用戶受到入侵了，但沒有提示任何信息，用戶無法準確判斷是否受到入侵。同時，系統(tǒng)管理員管理系統(tǒng)的時間有限。仇新梁表示，網(wǎng)思科平所采用的檢測方法和傳統(tǒng)的方法大不相同，“系統(tǒng)管理員通過設備檢測的頻率可以按分鐘級來計算。另外，我們自己內部做了大量的木馬演練，運用模型發(fā)現(xiàn)了很多未知的木馬入侵，再通過大量相關的工作，為最終的判斷提供了充分的數(shù)據(jù)依據(jù)。未來，管理員僅依靠這個檢測平臺就能處理這些問題，因此在平臺上停留的時間將更長。”

第四個變化，體現(xiàn)在做了一些世界頂尖的技術?！氨热缱灾餮邪l(fā)的傳感器，可以檢測低層硬件中的惡意入侵，這在目前來說全球唯一一家，終端產品在業(yè)界也是頂尖的。目前，我們正在彌補實施性方面的差距。”仇新梁如是說。

人是傳感器的根本

現(xiàn)在，國家在建的很多大型工程都與大數(shù)據(jù)相關。但大數(shù)據(jù)到底該怎么用呢？仇新梁認為，大數(shù)據(jù)和數(shù)據(jù)大是兩個概念。數(shù)據(jù)量大了之后，如果處理能力跟不上，這些數(shù)據(jù)就是死的。大數(shù)據(jù)本身既是一種新的數(shù)據(jù)運用模式，又可以用之構建新的數(shù)據(jù)應用模式。這就意味著，我們既可以用大數(shù)據(jù)架構處理一些東西，也可以對數(shù)據(jù)重新進行深度挖掘。

為此，網(wǎng)思科平開發(fā)了很多傳感器，能從多點采集數(shù)據(jù)，且采集的深度比傳統(tǒng)更深?！安杉瘮?shù)據(jù)結合大數(shù)據(jù)要做到準確性。開始是我能夠提供什么數(shù)據(jù)，后面是客戶需要什么數(shù)據(jù)，我就提供相應的數(shù)據(jù)?！背鹦铝赫J為，這樣傳感器與大數(shù)據(jù)中心就產生互動了—在提供數(shù)據(jù)源的同時，大數(shù)據(jù)平臺也提供一些基于學習和引導的決策算法。

網(wǎng)思科平的數(shù)據(jù)都是來自于傳感器。仇新梁表示，其傳感器在幾個方面實現(xiàn)了突破：第一，知道要獲取什么數(shù)據(jù)；第二，擁有獲取數(shù)據(jù)的能力；第三，具有一定的分析能力，如管控、分析原生態(tài)的數(shù)據(jù)，完成指令、響應等。

“在網(wǎng)絡上，我們每個人都是傳感器?！泵總€人都把自己的喜好、習慣和行為等信息，通過鍵盤傳輸?shù)皆贫?，系統(tǒng)再把這些數(shù)據(jù)傳出來?？梢哉f是“取之于人，用之于人”。仇新梁認為：人才是傳感器的核心和根本，人產生數(shù)據(jù)，通過傳感器分析和反饋數(shù)據(jù)，讓數(shù)據(jù)為人所用。

在這個過程中，用戶最大的顧慮是如何保護隱私？仇新梁強調，“我們傳感器收集的信息不會暴露用戶的數(shù)據(jù)隱私，這是我們的根本區(qū)別。第一，沒有人比我們更重視隱私，因為我們保護的就是用戶的隱私數(shù)據(jù)；第二，我們所有的數(shù)據(jù)是放在私有云上，我們不建議用戶放在公有云；第三，我們采集的數(shù)據(jù)都是無感數(shù)據(jù)，都在用戶能夠接受的范圍之內，沒有任何跟隱私相關的敏感數(shù)據(jù)，都是可以公開的。”

仇新梁堅信，安全傳感器將來會被大家所接受?！耙驗橐鉀Q安全問題，必須要接受傳感器，并把每個終端都當作一個傳感器，來幫助系統(tǒng)采集信息。”

利用專業(yè)的威脅情報 打造全生態(tài)系統(tǒng)

美國等發(fā)達國家，網(wǎng)絡威脅情報服務已經非常發(fā)達，購買威脅情報服務和安全服務非常流行，幾乎沒有任何一家企業(yè)不購買多家企業(yè)的安全服務。而我國在這方面還非常欠缺。

我國現(xiàn)在最大的問題是，沒有落地的威脅情報產品能與數(shù)據(jù)平臺結合。仇新梁分析道，“過去，安全的表現(xiàn)形式就是報警。現(xiàn)在，更多的是用信息支撐和完善報警，用多種數(shù)據(jù)平臺支撐報警決策，讓報警越來越準確。數(shù)據(jù)平臺有很多威脅、木馬、情報等不安全因素或行為，我們都將之實時地記錄下來，隨時掌控其所存在的位置?！?/p>

“現(xiàn)在，我們的威脅情報是網(wǎng)絡數(shù)據(jù)和文件數(shù)據(jù)。未來，我們將打造一個全生態(tài)系統(tǒng)，網(wǎng)絡攻擊樣本或方法一旦進入系統(tǒng)，它所執(zhí)行的每個動作，產生的每個數(shù)據(jù)，都可以作為未來威脅情報的一個點，并且能夠得到很好的運用?！背鹦铝喝缡钦f。

網(wǎng)思科平目前主要做威脅情報的應用。未來，當移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的應用擴展以后，傳感器將不需要存儲。在這種情況下，只有提供安全數(shù)據(jù)，才能進行分析。這樣就能保證，未來在對系統(tǒng)整合時，不至于以犧牲傳感器的安全為代價—在傳感器上加傳感器?！斑@是非常不科學的！”仇新梁強調。

事實上，攻擊者的路徑、屬性，甚至用的工具都無法改變?！耙虼?，我們采用的方法是，在傳感器中嵌入一個小型軟件模塊，用戶需要做的僅僅是把數(shù)據(jù)提供給我們，我們只在后端分析數(shù)據(jù)，不會干擾前端。未來這種做法將得到更多的認可?？梢栽囅胍幌?，宇宙飛船的構造非常復雜，帶有大量傳感器，但通過這種方式，它本身要處理的單元就能大大減少?！背鹦铝航榻B說。

仇新梁表示，網(wǎng)思科平采用專業(yè)性較強的“安全運維+產品模式”，并擁有專業(yè)的運營人員和安全服務人員，能更好地保證產品的可靠性。通過這種方式，能夠將傳統(tǒng)的應用模式和未來的應用模式結合起來，從而最大程度地保證安全?！?/p>

安全和應用：魚和熊掌如何兼得？

安全和應用一直難兩全?！耙寻踩珜懭雮鹘y(tǒng)的軟件特別難，在終端寫完后就無法使用了。因此，很多公司采用的方法是犧牲安全性以保證應用性，這是非常不可取的?！?/p>

仇新梁認為平衡點在于：既然大數(shù)據(jù)擁有強大的分析能力和靈活的架構，我們或許可以把大數(shù)據(jù)變成未來驅動安全發(fā)展的大腦。因為威脅往往來源于很普通的數(shù)據(jù)，通過大數(shù)據(jù)的計算和分析，就可以處理這些威脅?！耙郧?，面對海量數(shù)據(jù)，一個行為到底是否異常，這個異常行為的協(xié)同性還有哪些人？是無法發(fā)現(xiàn)的，因為數(shù)據(jù)量太大了，或者根本就沒有這個數(shù)據(jù)?，F(xiàn)在，我們通過把數(shù)據(jù)提煉出來，能夠讓結果更加精確?！背鹦铝喝缡钦f。

目前，國外很多安全企業(yè)提供SaaS服務，但SaaS與實時性二者是矛盾的。而大數(shù)據(jù)的重要優(yōu)勢就是實時性，可以快速辨認所有的防御單元。比如千萬級是一個單元，能用動作識別它是否存在問題。在傳統(tǒng)意義上太難做了，除非制定一個死規(guī)則，每個產品都引用這個規(guī)則。而現(xiàn)在攻擊的維度和攻擊的復雜性，則需要規(guī)則的寫法和定義也特別復雜和靈活。

可以說，目前只有大數(shù)據(jù)才能解決其性能和應用問題。就此，仇新梁指出：“未來，我們可以在平臺中加入更多靈活的規(guī)則，這聽起來和傳統(tǒng)意義是悖論。舉個最簡單的例子，正因為不安全的行為是一個連續(xù)動作，平臺才能據(jù)此識別是否存在威脅?！?/p>

在新的安全應用方面，過去我們只能了解一個惡意代碼是否存在?，F(xiàn)在我們更需要知道的是，這個惡意代碼到底造成了多大的傷害。很多方法都無法解答這個問題?！拔覀兿葘⒆约旱南到y(tǒng)作為一個平臺，用以解決數(shù)據(jù)的儲存、處理、分析問題，再逐步吸納更多的數(shù)據(jù)。比如兼容更多的圖形檢測、防火墻、殺毒軟件，以及各種規(guī)則或數(shù)據(jù)，通過我們的處理，再引導防火墻適當?shù)胤烙?。或者在用戶設定一個默認的規(guī)則后，我們再智能地添加一些規(guī)則，來幫助防御和檢測病毒，引導它屏蔽用戶不愿意看到的信息?！背鹦铝悍治龅?。

數(shù)據(jù)安全將智能地發(fā)展

安全威脅無時不在。我們現(xiàn)在面對的不是一個簡單的黑客，更有可能是帶有其它目的的攻擊，這些攻擊甚至會危及國家的經濟和政治安全。這并非聳人聽聞。假設國家的安全防護體系被攻擊操控，那么國家所有的安全防護體系將即刻全部崩潰。飛機隨便轟炸坦克，防空雷達全部失靈了……后果不敢想象。所以安全無小事！

仇新梁坦言，事實上大家都是重視安全的?！耙驗榇蠹叶加胁辉腹_的隱私，沒有一家企業(yè)愿意被入侵，也沒有人在得知電腦中了病毒后會無動于衷。只是目前用戶的安全防護意識和習慣還沒有建立。就跟反恐一樣，明知道很恐怖，但是自己沒有真正經歷就不會有防護意識。一旦受到攻擊，就會變成受害者甚至是幫兇?！?/p>

那么，未來到底什么樣的安全產品，才能夠解決用戶的痛點，而不僅僅是一個簡單的產品呢？仇新梁認為，未來大數(shù)據(jù)，包括數(shù)據(jù)安全將智能地發(fā)展?！拔覀儗⒖梢赃\用機器學習和決策算法，去引導系統(tǒng)發(fā)現(xiàn)威脅，并智能地作出判斷，解決即時獲知入侵者、入侵時間、資產是否丟失等一系列問題。”

安全公司應相互包容

令我們匪夷所思也深感憂慮的是，威脅發(fā)展的速度已遠遠超乎人們對傳統(tǒng)安全設備的理解。今天的安全設備與威脅，存在十年的技術差距，因此，可能到十年之后我們都不一定能解決這個問題。

雖然國家目前在對信息安全大力投入的同時，對網(wǎng)絡安全的投入也不小，但還遠遠未達到能夠應對最新威脅的需要?！澳貌《救肭謥碚f，目前病毒在入侵時，很容易就能繞過系統(tǒng)的很多地方。因此，在入侵檢測中，后門的檢測大都不甚可靠，目前幾乎沒有木馬是靠入侵檢測出來的?！背鹦铝号e例說。

仇新梁認為，中國用戶所需要的安全，不是單憑一個軟件或一家公司就能解決的。各安全公司各有所長，應該給對方留有發(fā)展空間。如果把空間壓縮、排擠對手，就接收不到更多的思維。而且單靠自己做好的安全系統(tǒng)容易出現(xiàn)更多的問題，未來更易遭到攻擊。

安全是相互包容、共同發(fā)揮作用的過程。仇新梁堅定地指出，只有通過合作，我們才有能力應對層出不窮的新威脅?！白罱覀冋谂c業(yè)內同行洽談合作，希望與同行們成為合作伙伴，而不是競爭對手。最重要的一點是，我們擁有數(shù)據(jù)資產，讓更多做大數(shù)據(jù)分析的企業(yè)接觸到安全領域，將安全企業(yè)的質量和數(shù)量大幅度的提高?！?/p>

“安全不僅僅是為了經濟利益，其實社會效益比經濟效益更大?！币徽Z道出一份社會責任，或許這才是安全真正的出發(fā)點和應有的歸宿。