Fireeye前副总裁卜峥 ：不知攻焉知防，打造“3C的安全体系结构”

一年一度的阿里安全峰会创立于 2014 年，今年已是第三届，于7月13-14日在北京国家会议中心举办。峰会旨在促进亚太区信息安全行业发展，为本地区信息安全组织、信息安全专业人士和决策者搭建一个信息交流展示平台，探讨当前安全行业的最佳实践、热点议题、信息安全人才培养、新 兴技术与发展趋势等。2016 阿里安全峰会设立12个分论坛，数十家领军企业参与、国内外顶级安全专家演讲，在电商金融安全，移动安全，威胁情报，人才培养，电子取证等热门安全行业问题进行深入探讨与交流，除此之外大会前一天还进行了顶级电商安全移动安全等方向的专业安全技术培训。

7月13日2016阿里安全峰会上，Fireeye前副总裁卜峥进行了《安全之道》的主题分享，他认为安全行业很大，安全行业又分类复杂，安全时代没有一个垄断者。安全产业的进步来自于攻防，有攻才有防，并且谈到，最好的防守算法必须是能够最大化的呈现进攻的场景。关于网络安全的本质要求，要做到可感、可控，更要做到业务优先。安全的3C体系结构也得到了大量的应用和广泛的认可。

Fireeye前副总裁卜峥

以下为演讲实录：

卜峥：我在安全领域做了很多年，在中国、美国都进行过一些安全方面的探索和实践。安全行业价值非常大，2015年的整个产业的产值有750亿美金，这是什么概念？中国的游戏产业去年也不过是1500亿人民币，安全的盘子是游戏的三倍。但是安全又很小，在安全领域看不到像游戏产业一样的巨头的状态。安全的细分非常严重，一般来讲有企业安全、消费者安全，企业安全有内部安全、外部安全、数据安全和业务安全。在入侵检测这个小的门类里面，又可以细分成网络入侵检测、主机入侵检测、服务器入侵检测，还可以往下细分高级和低级的入侵检测，还有WEB服务器的入侵检测。可以看到很多小公司扎根做一个创新产品，也许是一个细分市场的领头羊，很少大公司能够把所有的安全细分市场都拿下来。

另外，安全的地域划分非常严重，安全是有国界的，每一个国家都有它很独特的、对于安全的需求和安全的战略和策略的政策。这也导致了在安全市场里，很大的份额都是由本国、本土的公司所拿到。

安全时代没有一个垄断者，互联网行业、电商行业、通讯行业都有巨头存在，但安全领域是一个没有王的时代，只有持续创新的安全公司才能够谈到生存。安全行业是一个快鱼吃慢鱼的行业，无论你有多大，无论你有多强，这些都不重要，重要的是你是不是在做对的事情，解决真正的问题。

Fireeye译为火焰， Fireeye公司把虚拟技术和威胁检测技术放在一起在网络上做成一个设备。大家用虚拟技术来解决恶意软件分析的问题，实际上这种技术很早以前在老牌的防病毒公司、安全公司里就已经在用了。而在Fireeye做这件事的时候，很少有大公司认可这么一个先进技术，质疑者认为老的攻击、老的威胁一定会被新的攻击、新的更高的威胁所取代。所以在Fireeye上市成功的时候，老牌的公司也都被打得措手不及。

安全产业的进步来自于攻防，有攻才有防。防守是因为进攻的存在而存在，但是另外一个方面，其实攻防之间有一个转换。如果用一个太极图来表示，白色的是防，黑色的是攻，攻击一定会打在最薄弱的地方，无一例外，任何的时刻，攻击的点都是防守最弱的点。有很多聪明人、很多的创业公司会想尽一切办法来解决新的攻击点，大量的资源涌进来解决这个攻击以后，白色会变强，黑色变弱，因此黑色会寻找下一个攻击点。

不知攻焉知防。从攻防互利和共体的角度来讲，一定是进攻技术决定了防守技术。不懂得进攻技术的防守技术一定是无的放矢。

最好的防守算法必须是能够最大化的呈现进攻的场景。如果能够尽可能的没有偏差的复制进攻的场景，你的防守和检测算法才是最有生命力的算法，因为它最难被攻破。

那么，什么是网络安全的本质要求？很多人一谈到安全的时候，马上想到它有很多的分类，很多的思路。当我们谈安全的时候，我们是一个安全提供商还是一个安全的用户，还是从大的平台商、运营商角度来谈呢？我认为，第一，安全要可感；第二，安全要可控；最后是业务优先。安全是毛，业务是皮，皮之不存，毛将焉附，安全永远是为业务服务的。

大家设计安全产品的时候，有一些结构我们认为很有生命力，把它叫做“3C的安全体系结构”。

• 第一个“C”是Cloud，是云，做攻防，终端是不可信的，网络设备也是不可信的，任何一个能够做到别人手里的东西都是不可信的。所以你的逻辑，你的真正的判定，不能够落在敌人手里的东西上，应该在自己的智慧云里，游戏产业对此有很深刻的认识，游戏的反作弊和很多反欺诈，以及我们现在所讲的3C体系结构之间是共通的，就是要把这个逻辑放在云里面去做。

• 第二个“C”是Content，是内容，当你设计一个安全产品的时候，应该尽可能的想这个产品如何让你的安全运维部门用最小的代价、最高效的去使用。如果你每加一个新功能，都需要去找你的开发部门去改代码，重新编译，发布一个新的内容，这个解决方案一定是一个非常昂贵的解决方案，一定要能够最大化的使你的安全的运维团队很迅速的去做可感和可控，Content是大势所趋。

• 最后一个“C”是Context，是上下文，当有一个点有疑问的时候，你需要知道这个文件到底是怎么进来的，是异构进来还是WEB进来的，很多的软件会对机器上的文档进行加密，加密操作本身是合理合法的。但是你可以知道这个文件是从外来的电子邮件发来一个Word文档，用宏执行，去外面下载可执行文件来加密文档的话就非常合理，所以不同的协议，不同的文件格式和整个系统和网络层面上的上下文的关联应该做一个很好的安全体系上的一个要点。

安全体系结构的三个“C”，在最近的美国的先进安全中都得到了大量的应用和广泛的认可。

安全行业真的是一个有趣的行业，它永远是一个草根逆袭权威的行业，适合创业、创新，每一个做安全的人，也许会很寂寞，可能一开始的时候会很落后，可能没有做黑产赚得多，但是没有关系，坚定你的使命，我相信光明会照耀你的。