我的位置 首页  >  新闻动态  >  国内新闻

行业 | Gartner提出的自适应安全,这家公司志在必得

来源:科技成果转化中心时间:2018-07-09
      
点击上方“中国信息安全” 可订阅

青藤云安全创始人&CEO 张福


什么是自适应安全?

自Gartner在2014年提出自适应安全(Adaptive Protection Architecture)以来,这种面向下一代的安全体系已经得到一定的发展。

Gartner认为大多数企业在安全防护上,会优先集中在拦截和防御以及基于策略的控制,例如防火墙、反病毒等,目的是拒敌于门外。但事实上不可能有百分百的防御,这种防护对高级定向攻击(APT)几乎形同虚设。

现在普遍认为,企业其实是一直处在一个随时可能被持续攻击的风险状态。Gartnert将自适应安全划分为四个阶段:预测、防御、监控、响应,核心是持续监控和分析。通过提高攻击者的成本,无所不在的检测和分析,对攻击行为及时进行锁定和处置,来降低网络攻击所带来的安全风险,甚至防患于未然。

国外被归在此类的公司比较活跃的有Tanium,世界500强公司很多都使用了这家公司的产品。Tanium偏重于PC的终端侧,而国内有一家公司青藤云安全从服务器侧入手,搭建企业的自适应安全体系。


青藤云安全的自适应安全怎么做?

顺应了2014年网络安全的大好形势,张福认为这是把他思考了多年的安全理念落地的最佳时刻。2014年8月,在几家基金的大力支持下,张福成立了青藤云安全,以自适应安全的理念去做服务器核心系统上的安全产品。

虽然自适应安全是一个门槛很高的创业方向,技术和资金都需要长期的投入,但张福坚定地选择了这个细分领域。很快,产品就开始在一些大企业用户开始部署,并在2015年拿到了A轮融资,在2018年进行了B轮融资,公司规模不断壮大。

自适应安全也是在2014年被首次提出。2014年前后,大的网络攻击、数据泄露事件不断发生,业界在痛定思痛之余,开始对现有的网络安全防护体系进行思考。为什么投入了这么多的资金来建设一层又一层的安全壁垒,建立了专门的安全队伍,仍旧防不住这些针对性的攻击?

这个问题对于已经发展多年,已成熟的安全产业来说,是一个尴尬又不容回避的现实。反思的结果催生了自适应安全理念的诞生,重在解决当前开放性网络环境下企业核心资产的安全。

张福认为,相对以前线下封闭的业务环境,现在企业的业务越来越数字化、环境也越来越开放,这是互联网时代必然的要求,例如金融科技的蓬勃发展。但业务在线上运行,遭受攻击的风险必然增加,作为企业竞争力的数据被破坏、窃取的可能性也大大增加。

既然业务在线已经是不可避免的趋势,那就必须有更好的方法来保障安全。

在张福以前的从业经历中,他深切地感觉到,传统安全产品只能解决一小部分问题,大部分问题还得靠人来解决。此外,安全和业务天然存在矛盾,要保障安全,就得牺牲一部分效率,导致很多安全措施实际上难以落地。

张福表示,以前大家都在研究攻击者的攻击方式,希望能把攻击拦截在外面,重在规则、特征的匹配,不关心企业的业务。这类防御理念取决于对攻击者的认知和其技术水平上,对付漫天撒网的一般攻击尚能奏效,碰到盯着不放的高级攻击就任人宰割。那些被曝光的重大安全事件莫不如此。对现在已经商业化、组织化行为的攻击,传统的防御根本防不住,甚至都感知不到。

张福认为,要解决这些问题,需要核心理念的转变,安全要由外而内,自适应安全是最佳选择,是整个安全行业未来的道路。自适应安全是一个全新的理念,该怎么走这条道路,张福选择了逐步迈进、开放合作的方式,以主机安全为切入点,做agent形态的态势感知。

青藤云安全通过搭建一个自适应安全的框架,以引擎式的产品作为框架的核心部分,框架上层的防御、检测、分析、响应的能力,未来会以开放的方式来提供给整个行业,最终做成安全领域中类似安卓的系统。

这种自适应安全框架的一大特点是不再盯着攻击者,从传统的盯着边界,盯着外围,转向“内视”,看清自身业务运转中的重要资产,生成相对应的指标,对这些指标进行持续监测和分析。不管攻击者千变万化,用了什么方法,一旦指标出现微小的异常,就能发现安全风险。

基于对现在迅速迭代更新的企业在线业务环境,自适应安全无疑是一种友好、温和的实现方式。张福介绍,目前青藤云安全的产品形态是软件化的,有独立部署和SaaS模式两种实现方式,不管是哪一种,对企业的业务都没有任何影响,有别于以前一些杀敌一万,自损三千的安全产品做法,青藤云安全的agent产品表现得稳定可靠,这是很多金融客户所看重的。


关心行为的态势感知体系

青藤云安全主机安全态势感知的核心理念由两部分组成:本质行为和关系模型。

首先是针对黑客本质行为的检测。张福认为,攻击者不会无所事事,也不甘空手而归,他们的目的一定要获取利益,永远是获取的比给予的多,不管是数据还是其他信息。现在很多企业由于业务的庞杂,系统的不断增加更替,自身都是一团乱麻。所以,这里首先要对企业的业务资产做一个发现、梳理,哪些数据是重要的,哪些算法是机密的,哪些业务流程是不可复制的,不断地“三省吾身”,围绕这些核心对象来建立保护体系,不管攻击者如何小心隐秘,只要一露出不轨意图,行为稍有不端,就能被迅速发现。

其次是关系模型,企业业务系统里各个角色的构成关系、之间的联系,有着一定的稳定型。攻击者不管利用了什么样的漏洞,想窃取哪部分的数据,其行为一定会违背正常的业务关系,露出蛛丝马迹。这种情况下不需要去匹配漏洞或者是规则,通过发现这种异常的联系就能揪出黑客的动向。

张福举例道,泛滥一时的Apache Struts 2的漏洞,还没有正式披露时,部署在客户那里的agent就感知到了利用这个漏洞的攻击。还有一个隐藏在图片里的漏洞,也是通过行为的监测及时发现。

对产品的工作模式,张福做了一个总结:事前在做收敛,帮助用户进行资产清点和风险分析,进行收口;事中事后的感知,则帮助用户快速发现实际风险,迅速做出响应和处置;最后通过回溯分析,防止此类事件的再次发生,真正做到标本兼治。

国家这两年开始提态势感知,说明已经认识到对很多攻击是防不住的,需要第一时间感知到,做到发现、预警、快速分析和处置,形成一个敏捷的闭环,将损失降到最小。张福认为,态势感知是自适应安全体系中的重要部分,加上响应和处置,才能构成一个较为完整的安全体系。


开放能力行业共赢

四年时间,聚焦于一个产品,张福有信心能做出世界级的产品,给安全行业带来真正的价值。他认为,不管未来行业聚焦于态势感知,还是大数据安全分析平台,这种注重内在感知的核心能力是不可或缺的。

张福表示,青藤云安全安全致力于成为安全产业链上的重要环节,但和其他安全公司不是一种竞争关系,而是相互合作。因为主机安全态势感知是一个门槛较高的领域,当青藤云安全在这个核心能力上做到足够深,足够好,行业就会发现合作能带来更大的利益。

通过合作将安全能力延伸出来,使得安全行业的成本大幅降低,落地变得更加容易,让更多的企业可以建立自己的安全体系。张福强调,这是青藤云安全的最终愿景,“让安全之光照亮互联网的每一个角落”。


更多信息安全资讯

请关注公众号!

       (科技成果转化中心供稿)