NSC2014网康科技创始人CEO袁沈钢

互联网时代下的企业安全变革

过去10几年的时间中国互联网已经开始做到世界顶尖级的水平了,而且在有些领域,在创新性方面已经开始世界领先了。但是从B2B的角度来讲,中国还是在这方面发展的速度相对来说慢。我们的B2C企业,或者是BAT这样的企业,或者是其他的第二层的互联网企业,大概现在是几百亿美金的市值或者上千亿的,已经比较多了。但是在B2B的企业,1Billion美金的公司还是相对来说比较少的。就B2B行业里面说到企业安全,应该说在过去的10年当中的发展同样是落后于B2C的行业。我们可以看到,过去在安全领域,B2C行业当中有很多杀毒的公司,过去有瑞星,后来有奇虎、腾讯、百度都在做杀毒,而且B2C的安全和杀毒相对来说做得都是不错的。但是我们在企业安全方面,远远落后于互联网时代对整个社会企业,包括国家在这个层面的要求。我今天的演讲想从这个方面来跟大家稍微做一些自己个人体会的分享。

20141023122905317

中国的安全投入,可以看到这个数据,跟日本和美国比,我们的差距还是非常大的。中国的安全在整个IT的投入大概只占我们IT投入的1%。目前美国能达到4%,而日本大概能达到6%。不好的情况是什么?我们安全的市场还是太小了,而且投入程度太低。好的情况是什么?就是跟非洲没有穿鞋一样,就是说我们未来的安全增长空间还是比较大的。你可以大家,要达到美国的水平,要有4倍的增长空间,要达到日本的水平,要有6倍的增长空间,所以说空间还是很大的。

我们可以看到,中国整个IT市场的规模大概在2千多亿美金,而我们整个安全市场是18亿美金,100亿多一点,整个比例还是很大的。但是由于我们互联网蓬勃的发展,国家的需求,包括企业个人的安全需求,未来这种增长空间还是比较大的。从IDC的预测角度来讲,到2018年,我们可能会出现从现在16亿、18亿美金的增长到100亿美金的增长空间,所以说安全市场对于我们在座的诸位很多从事安全行业的市场来说,我觉得还是一个蓬勃向上发展的非常朝阳的行业。这既代表着国家的重视,也代表着我们整个行业从事人员的一个机会。

我们看一看,同时在美国,除了个人安全的企业,反倒是个人安全的企业并不是非常急剧的发展。因为我原来在赛门铁克工作,赛门铁克、McAfee,这样的安全企业并不是急剧的快速发展,而在美国,反倒是B2B的安全企业在高速、快速的发展。这个发展已经延伸到了整个互联网的这种基础设施,而它的这个解决角度并不是完全是从消费的角度解决,而是大量的从企业的安全角度解决,从企业对社会责任的角度来解决这个事情,而不仅仅是从个人安全来解决这个事情。所以说这种效率和结构跟我们目前在国内解决企业安全的这种方式、方法和结构还是有不同的。可以看到,他们从CDN的角度,或者是Web防护的角度,有CloudFlare,白名单技术有Bit9,从网络层面有Paloalto,沙核技术有FirEye。还有就是大数据技术,就是Splunk,可以看到整个技术沿着三个方向,第一个方向就是走到网络应用层上去,不再仅仅局限于三层到四层的网络安全,开始到网络应用层的安全,主要的代表是Paloalto还有一个代表就是已经开始向云或者是中心的安全在移动,而不仅仅是做终端和边界的东西。

我觉得过去我们做安全,特别是在McAfee或者赛门铁克做安全,大量的是用的汇编语言,或者是逆向工程,我们经常说的案件就是大量的做逆向工程,然后看整个的黑客攻击、病毒传播或者是逆向怎么做这个东西。我们手工作坊式的技术,跟不上黑客的道高一尺,魔高一丈的攻击发展和变化。除了我们继续要提供很大的关键技术的挖洞、保护或者是防止人的攻击,我们可以看到,他们在用大数据的技术、应用层的技术,来解决整个互联网大规模的安全的攻击,而不仅仅是防一两个洞。在今天的这个社会,到处都是动,而最重要的东西是对安全的攻击的洞察力,感知力和探测能力,而不仅仅局限于怎么来发现一个洞和探知一个洞。

我们可以看到,国外安全技术很大的一个特点就是全面的开始向软化、应用服务平台,包括大数据上进行转移。国内在过去10年左右的时间主要集中在硬件方面,而且集中在硬件盒子上面,我们可以看到,现在硬件盒子性能越来越高,盒子越来越大,而且这个盒子我们国内的用户或者是一些客户感知的一个事情,买了盒子总是觉得很之前,很方向的,实际上现在的安全防护大量的是软件、服务和能力的事情,而不仅仅是一个性能的事情。如果这个盒子做得比网线还快,比整个网络出口的带宽还快,但是不能够防护,不能够让你感知攻击,不能解决这种攻击的话,那么你这个盒子买了是不起作用的一个事情。在技术层面,这是带来了一个很大的变化。

网康在2012年开始做下一代防火墙,主要在应用层面、数据关联性层面、用户洞察力层面来解决过去安全无法感知的问题。从预测的角度来讲,5年的负荷增长率会超过40%,而且在国外也开始全面的替代传统的防火墙,特别在企业网出口、校园网出口,用来感知应用的这些地方,来全面的替代传统防火墙和UTM。

第一代防火墙过去是包过滤的东西,在三层、四层上进行防护,最后开始做应用代理,包括状态防火墙。在这个发展的过程中,他发现仅仅是做包过滤或者是状态防火墙,检测TCPIP的状态还是不能够解决问题。到了后来,就发展到UTM这个状态,就是说除了防火墙在ACL的控制方面,在网络三层、四层的控制方面开始加IBS入侵检测。但是这里面UTM所带来的问题,一个问题就是数据的这种关联性的问题,就是安全数据是有各个模块的,数据的关联性解决不了。还有就是整个的网络引擎都是一个个模块,像串糖葫芦的方式。所以说在早期的UTM,它的性能衰减是非常大的。2009年,包括Paloalto,他们提出了解决关联问题和事件回溯性的问题,还有就是启动一个一体化引擎,来解决性能和通过率的问题,这就是整个到了第七代的下一代防火墙,这是整个防火墙的发展历史。可以看到防火墙的发展,我们过去强调的还是在数据通讯方面,主要是在三层、四层,弥补原来路由器这方面的路由协议安全上控制不能解决的问题。另外防火墙很核心的一个功能就是访问控制,网端隔离的事情。最后在UTM上,后来开始加上一些特征匹配,然后进行一些安全防护。

下一代防火墙除了在这方面提供一个特征之外,很大程度上想去解决原来传统防火墙和UTM很大程度上的问题,大量的网络数据,IP地址、目的地址,包括端口号,实际上对于一般的技术人员看不清这个问题。你看到的都是协议,实际上在现在这个互联网时代,我们有几千种PC机的应用,大概能够到十万级的移动应用,整个都是应用的时代,你仅仅看到STTP,仅仅看到DNS,仅仅看到FTP的东西还是不解决问题,你还是要解决这些基础协议之上到底是什么样的应用,这个应用是可信任的吗?是在你的白名单里面还是在黑名单里面,是跟你的企业环境相关的还是不相关的?到了这个层次。

防火墙有防火墙的日志,IPS有IPS的日志,杀毒有杀毒的日志,URL过滤有URL的日志,所有的安全模块必须一个个去看,还不知道它们之间每一个发生事件的关联性,这是过去我们说传统防火墙和UTM很大程度上解决不了的一些难题。我们在下一步防火墙做了这么一个尝试,开始向现在的杀毒厂商,像腾讯、百度、360这样的厂商,我们也可以给企业的安全评等级、评分。如果你的安全在一级、二级的时候相对来说你是比较安全的,如果到了四级、五级的时候,可能要采取一些措施,我们也可以自动化的帮助你采取这些措施,来降低你的安全风险,使你这个企业安全能够有一定程度的提高,我们叫安全风险评估。我们所有展示的这些流量都是跟应用相关的,都是跟用户相关的,而不再是简简单单的一个协议层面的东西。

我们现在做的事情就是,我们可以看到有PPTV,有QQ,有360杀毒,有优酷,我们把现在每天所使用的网络应用,包括过去这种基线模型给用户展示出来,然后你基于这些基线模型,让用户看到现在的网络变化的情况,跟昨天,过去的10天、30天有什么不同,实际上大量的这种攻击和各方面的东西,有的时候你也不知道这个洞在哪里。但是你能够看到跟你过去的行为模型、应用模型、数据模型和流量模型的变化。实际上我们管理人员各方面最能够感知到的就是这种快速的变化。但是实际上对于一般的技术人员来讲,或者是缺乏安全知识的人员来讲,你让他深入到某一个细节当中他未必知道,但是他能够知道这种变化,能够知道自己可能暴露在网络威胁当中,暴露在网络攻击当中,这个是现代安全当中很重要的一个东西。你要让他能够感知到威胁,这是安全当中很重要的观点,而不是仅仅说我能帮你找到这个洞,光找到洞不行,因为洞数不清,你必须要让他知道,我什么时间开始暴露在这个威胁当中,暴露到威胁当中的时候,他才能采取一些应对性的措施。比如最简单的,关闭一些应用,把一些用户进行隔离,或者说内网当中由于有僵尸,由于有木马,在进行反向的连接攻击,那我把这些反向的攻击连接排除出去,这是很重要的手段。

我们还在看这种连接的国家,在这个网段当中,什么时间在跟柬埔寨进行连接,什么时间跟台湾进行连接,跟尼泊尔或者荷兰进行连接,所有这些连接的东西都可以跟应用相关,都可以跟用户相关,而且是把所有的这些连接的东西,由于一体化引擎,可以把数据的这种相关性建立起来,都可以深入一层,点击进去来看,我今天所发生的连接为什么开始出现跟尼泊尔的连接,我的这个连接有可能暴露出来我的一种安全风险和漏洞,这也是我们在这方面做的工作。点击进去之后我们还可以告诉你的安全建议是什么,内网网段是什么,外网网段是什么,然后告诉你,这个IP在进行IP扫描,那个是一个阻击的DDoS的攻击。所以我们在做下一代防火墙方面,包括安全事件的回溯,试图给大家提供一个全网安全的洞察力,这是在下一代防火墙方面。

我们传统的防火墙或者UTM,大量的是把这个设备装到网络当中,网管员或者是工程师经常是一个月、两个月、三个月都不去登录,因为给他带来的有用的信息和价值还是太少了。但是下一代防火墙,可以让他天天看到网络的变化,包括发生的这种应用事件和用户行为的回溯,这是让他看到的价值,全网的洞察力。

我们经常说互联网精神,每个人在互联网时代当中对互联网精神都有一个体验,包括用户体验是唯一的标准。就安全设备角度来讲,我觉得很大的一个程度上,我跟大家分享一个体会。我觉得安全产品一个很重要的体会就是要解决两个问题,我们现在的安全产品做完之后用户使用的频度太低了,你这个频度太低的话,实际上也代表着用户的体验不好,我们传统的企业安全或者企业安全设备一定要解决用户使用频度的问题。如果你一个企业安全设备,用户的使用频度在提升,我觉得这个企业安全设备的价值就越来越大,对用户的用处越来越大,代表着用户的体验也越来越好。如果这个用户一天能够到我们下一代防火墙当中登录10次,或者每次都看三四分钟这样的东西,我觉得这个产品就达到了我们的目标效果和价值了。如果这个产品做的十天半个月用户放在那里,基本上不登录,不管,不看,我觉得这个企业安全的产品实际上是没做好,也就是没有适应互联网时代的这种技术变革的需求。在企业安全方面,我们的安全企业要适应这种变革,一定要把这个产品和用户体验做好,把频度做上去。

我们企业安全的产品很大程度上做的事情就是仅仅为网管员做。实际上我们希望企业安全这个产品要解决这么一个问题,不仅你要为网管员做,而且要为企业的很多部门、领导,CSO、CIO,甚至是CEO来做,这样才能增加企业安全的价值。否则的话,这个企业安全仅仅就是网管员来使用这个产品的话,它的受众群体太小,受众群体太小的话,也代表着你这个企业安全产品的价值不够大。我们在这方面也是在做改变和尝试,包括我们的上网行为产品也在做这方面的改变和尝试。

互联网产品很大程度上安全产品要形成一个闭环。我们过去是做出了这个Feature,做出了这个功能、性能和速度,但是基本上安全产品缺乏形成闭环的能力。我觉得在杀毒市场,在互联网企业,在B2C企业当中,很大的一个创新就是产品做出了这么一个闭环。由于做到了闭环,用户尝到了甜头,每天还去检查这个闭环,看到这个产品的价值,这个时候这个产品就做得好,用户体验就好。而安全产品,往往是我们做了这个标准,通过了这个检测和各方面。实际上对于用户角度来讲,你通过了这个检测,通过了标准和等级保护,但是你给我带来的价值闭环在哪儿?这个问题没有解决。所以说我们的企业安全产品,过去大量的是靠大量的销售人员,靠项目,靠关系,难以产生这种闭环价值的驱动力,这是我们做企业安全方面很大的一个误区。

我觉得在新的互联网时代,包括企业变革的时代,很大程度上我们要改变这个事情。就是说用互联网的思维来做企业安全,产生对用户价值的闭环。用户用了你这个东西,能够看到这个企业安全效果的提升,能够发现这些问题,包括解决这些问题,让他探知到这种攻击和各种各样的问题。我们并不仅仅是为了通过认证,通过国家标准,我们看到国家在大力支持,网络安全在大力支持,但是我们不是靠着国家说我们要大战安全了,我们就能够兴旺发达起来了,而还是真真切切的,必须给用户带来闭环性的价值,这个产业才能发展起来。光靠国家的号召或者是国家的推动,还是解决不了这个问题。整个互联网的发展并不是靠国家的号召,或者是成立一个小组就能发展起来的,还是靠这个行业自身持续不断的创新和努力发展起来的,这是我的核心观点。

期待着跟行业的各位,包括在整个行业,我们在企业安全方面持续不断的创新。我们过去的企业安全产品做了很多功能性的事情,做了很多性能性的事情,完成了我称之为基本的一个东西,或者是接近及格的一些东西。但是我们企业安全还是远远适应不了这个互联网时代的需求,那么我们就需要变革。变革无外乎就是我刚才所说的这几点,我们要解决用户的操作简单,让更多的人来使用企业安全的互联网设备,让大家参与使用这些东西。原来他装上了,他不懂,很难用,我们要解决易用性和参与性的问题。另外我们要解决的就是用户的黏性问题,一定要使用户更高频度的,更广泛的参与到企业安全设备的使用、管理和价值呈现方面,给用户提供互联网时代的企业安全产品,企业安全市场才能够做大,才能够有小得可怜的16亿美金到18亿美金的市场,我们说现在互联网时代是三十年河东,三十年河西,我们B2C的企业是三十年河东发展得很好了,但是在中国,B2C的安全企业还是一直生存在相对来说挣扎或者是困难的状态。我们希望未来三十年企业安全企业也能够发展起来,大家共同努力,谢谢大家!

上一篇:NSC2014腾讯副总裁丁柯-移动互联网时代的安全新格局

下一篇:沈逸:沉着应对美国网络安全新攻势