所谓DDoS攻击,通俗来讲就是一种网络僵尸攻击,把被攻击者同化为黑客的傀儡,对新的目标进行攻击。这个过程中,被黑的企业很可能都不知道自己正在助纣为虐。
张福
黑客的灰色产业链一直被认为是比地产行业还暴利的营生。他们盗取游戏服务器上有价值的虚拟货币,或者黑进有价值的企业盗取企业信息进行贩卖。正如现实世界的犯罪一样,总有人经不住巨大的诱惑,铤而走险。很多互联网创业企业,全部的财富和估值都集中在服务器的资料上,所以更是让黑客磨刀霍霍。
“整个黑客的产业链要比安全产业链庞大数倍。”这句话更像是张福对于安全行业的反讽。不过身处安全行业,他有理由比旁人见识更多的“血雨腥风”。“我非常痛心,很多创业企业一夜之间变得一无所有。而且和传统犯罪不同,法律无法界定,犯罪过程很难追溯。”
张福的话有没有言过其实呢?不是有一种东西叫做防火墙吗?
形象地讲,这些年中国的安全企业逐渐形成了正规军和绿林好汉两派。正规军兴盛于政府采购或者国企银行,就是所谓的2G(to government)。随着互联网创业成为全民运动,创业公司的成立速度远超想象,针对互联网公司的安全,武林中涌现了各派大侠,他们各有独门绝技。刚刚被阿里收购的安全公司瀚海源采取了通过分析网络数据通道,实时检测漏洞和隐藏在文档中的恶意代码;被腾讯投资的安全公司知道创宇推出了代码审计、漏洞评估和 Web 应用防火墙产品。张福所推崇的“自适应云安全”也成为武林中的一派。
日漫《进击的巨人》中表现了堡垒攻防的状态
云安全是一场城堡攻防战
“一种技术如果做了二十年,还是不成功,那我们就要思考这究竟是技术问题还是道路问题。”张福为雷锋网列举了一些近年来轰动全球的黑客攻击事件。
2014年索尼影业遭遇黑客攻击,几部未发行的影片和大量内部数据遭到泄露,给索尼造成了重大的损失。索尼被迫宣布满足黑客的要求,取消电影《刺杀金正恩》的公映。
美国通过侵入伊朗一位科学家的U盘,使之携带 Stunex 震网病毒侵入位于 Natanz 的伊朗核设施,致使离心机异常过载,离心机在被摧毁之前,数据会显示一切正常。分析认为,Stunex拖慢了伊朗核进程数年之久。
2014年3月,当时最大的比特币交易平台Mt.Gox遭受黑客攻击,丢失了用户大约75万枚比特币,按照当时的汇率计算约合3.65亿美元。
2011年4月美国EMC公司的安全部门RSA遭遇黑客攻击,种子秘钥被窃取,理论上黑客可利用种子破解上千万个安全令牌,这些令牌服务于包括军工企业在内的大批美国企业和政府网络。
上图是2008年,当时的总统艾哈迈迪.内贾德在Natanz的控制室观看SCADA的场景。面向摄影师的屏幕显示两个离心机已经被隔离,但这并没有影响整个工艺流程的持续运行。
不可否认,以上的几个例子都发生在防火墙安全等级极高的公司和组织身上。但是,攻击就是真实地发生了。
所谓道高一尺魔高一丈,在互联网行业时常被验证。张福力图给记者描绘一幅黑客和防御者的攻防史诗,他把这个数字战场比作一座城池。“过去20年里黑客的攻击还是比较传统,所以传统的办法——在外层树立城墙(防火墙)——就是一个可行的办法。但是现在的公司内部生态复杂,对外交互越来越多。这就像你的城门有很多,需要进出贸易的人也很多,这就使得你被攻破的通路增多了。再加上你城墙内的财富很多,诱使外面的攻击火力不断升级,过去主要依靠IPS、防火墙的城墙式防御就显得越来越落后。”
自适应云安全,是张福个人认为最为根本的安全方案。自适应云安全的说法并不来自中国。从2014年开始,美国兴起了一种新的安全理念,通过业务层面量身定做主动地防御系统,被一些安全领域的公司广泛认可。通俗地来说,就是为卖炊饼的武大、卖脆梨的郓哥和搞婚姻介绍的王妈妈根据日常商业行为各自生成一套安全机制。
2014年6月,美国安全公司Gartner发布了一个年度报告,把这种新的理论总结为“自适应的访问控制”。而张福所做的云安全指导思想正和这个理念不谋而合,当他看到了对这种理论详细阐述的报告时,非常兴奋。此时,他已经研发了青藤云安全体系,由于Gartner提出的理论更加细致和完善,于是他用这套体系改进了自己的产品,形成了现在的青藤云安全服务。
让机器来判断靠谱吗?
自适应,表示安全系统会自查自纠,自我进步。这自然涉及到机器学习和大数据样本。Gartner认为,一个完整的安全体系应该包括“防御、检测、响应和预测服务”这四个方面。现实中大多数企业只优先考虑拦截,就是下图右上角的部分。但这一部分的防御已经越来越容易地被黑客攻破,真正高级的安全是具有智能检测和预测功能的智慧防御,是系统的主动改进和自我进化。
自适应防御系统的四个阶段(预测->防御->监控->回溯)
为了展现出青藤产品的优越性,张福给雷锋网(公众号:雷锋网)举了例子:自适应的云安全更像是一套免疫系统,企业可以自助提交自己的业务模式,由青藤进行分析,生成一套针对企业业务规模和流程的防御机制,企业也可以自行选择不同安全级别的防御模块。青藤云安全的工作机制大体可以描述为:机器通过对人的操作习惯进行深度学习,从而识别非本地管理员的操作。张福说:“这种安全是基于行为模式,而不是基于代码特征。”
基于行为特征的安全防护,确实让人有想象的空间。2014年,美国安全公司FireEye收购Mandian,看中的正是它可以基于情景进行评估、可视化处理,这样一整套安全分析机制。而另一家以自适应为核心特征的美国安全公司illumio在成立短短两年内就获得多轮融资超过1亿美元。
国内一家云计算服务公司Wilddog(野狗)的老大刘之对“自适应云安全”很有兴趣,“这个概念非常棒,一直以来大部分安全策略都采取规则式的,这就存在规则库不够弹性的问题。后来有人引入机器学习,这样规则产生的确会更加容易。”不过刘之同时表示,这个技术在发展过程中也面临很多挑战,因为机器的自我进化技术有相当的难度,“问题在于误判率,根据现有的技术,学习不仅必须要大的样本量和数据,而且误杀率会比较大。”
对于误判的情况,张福表示理论上确实存在这样的可能,他简单阐述了降低误判的方法:一旦潜在问题被检测到,就需要经过多角度的确认。张福还表示:”现在我们的防护机制,是机器无法判断的情况下,交给人来判断。一个好的安全机制,可以自动化产生新特征、规则和模式来应对最新发现的高级攻击。这也正是青藤的努力方向。“
青藤的行为模式识别示意图
安全领域的风口来了
张福判断:安全的风口来了。直接的表现就是在美国硅谷和以色列这些互联网企业高度聚集的地方,云计算的兴起速度前所未有。而最为确凿的证据,就是这两年大规模的安全行业的并购。在张福眼里,国内针对互联网企业的安全公司,只要有技术优势,无论是老牌的还是新生的,从大树到幼苗,最近都被BAT3等大公司收购,如“知道创宇”、“Keen团队”被腾讯战略控股;“安全宝”被百度并购;“瀚海源”被阿里收购等等。这些仅仅是一部分,还有很多的并购未被披露。
根据青藤所掌握的资料,企业在A轮的时点最容易受到对手的攻击。那么是否因为很多企业没有安全意识,所以才会造成如此多的入侵事件呢?张福认为并不是这样,“近些年很多企业也逐步认识到安全是一个必须要做的事情。只是很多时候门槛比较高,限制比较多,价格比较贵。市场在期待好的产品。”青藤就在挑选对安全有需求且愿意以开放的姿态接纳安全服务的企业作为服务对象。由于青藤的产品还在逐步优化中,尚未公开推广,所以青藤所服务的企业都是种子用户。对于具体有哪些企业接受青藤的服务,张福表示暂时不能透露,不过“服务的企业很广泛,从营收20亿的大块头到只有一台服务器的小企业,我们都在服务。”
张福特意强调,实验证明这种防御机制低成本高效率,因为服务器在云端,所以企业几乎不用投入任何硬件成本,小企业也有机会保护自己的资料安全。
在和雷锋网交流的过程中,张福不断提到国内安全企业的并购,以及安全领域的大牛跳槽进入大公司。难道张福也准备把自己的公司卖个好价钱吗?对于这个疑问,张福看起来早有准备,“很多人想来投资我们,但是从我的初衷来讲,我想把这件事做大。因为做安全,最好是有独立干净的资金背景,所以我们只接受了一些纯财务的风险投资。如果接受战略投资,可能会遇到掣肘。”他坦言不接受巨头的战略投资,并且表示“在竞争中我们宁可被干死,也不愿格局受限。”
从技术牛到创业狗,张福强调他从不为自己的选择后悔,他说:”我不断把自己变得更自由。有了自由之后,才有能力选择自己的道路。”