访谈|青藤云安全的安全观:持续监控与开放平台

时间:2018-10-11 06:00 来源:www.downabc.com

青藤云安全上周在北京发布了其主机自适应安全平台,青藤万相·主机自适应安全平台。青藤云安全在市场方面的声音一向不大,四年来一直潜心打磨产品。但作为一家代表着新兴网络安全技术方向的,同时作为安全领域首家B轮融资2亿元的初创企业,其扎实的技术和创始人张福的低调务实,很早就受到了安全牛的关注。在其新品发布之际,张福再次接受了安全牛的采访,从公司创始人的角度,清晰的阐述了他对企业的发展理念和对安全的深度思考。

访谈|青藤云安全的安全观:持续监控与开放平台

青藤云安全创始人&CEO

一、由外及内 安全走向精细化

安全牛:自适应安全的概念是你们首先在国内提倡的,前几年我只是大概了解青藤的产品,很少在市场上听到你们的声音,现在是否能谈谈你的技术理念和对安全的看法?

张福:之前的确市场上很少发声,因为这几年集中了所有的资源和人,主要心思在打磨产品上。如今已经积累了不少的客户,反馈也普遍很好。倒是可以静下心来聊一聊了。

谈到看法,首先我认为,目前的很多安全品类在未来会慢慢消失或者淡化,最主要的原因是保护对象产生了变化。国外这几年一直在讲去硬件化,其本质反映的是一种敏捷的理念。因为产业互联网化,业务数字化之后,在云环境下讲的是DevSecOps(敏捷开发与运维),因此安全也要相应变得更加敏捷和高效。

再者,全球安全的大趋势,是从边界往内部走的。比如,最近几年很火的微隔离。从服务器到虚拟机再到容器,甚至是业务单元。安全变得更加精细,效果也变得更好。再比如,谷歌提出的零信任网络,本质上也是一种细粒度的安全。不再以网络区域划分,而是细化到以实体为单位划分。一个人在一家公司能访问哪些资源,能有哪些权限,不管是从他是从哪里来的,安全体系认证的是实体,而不是笼统地把办公网和业务网一分,互联网和本地网简单的隔离开。所以,未来安全的核心位置会从网络挪到服务器,云化后就是虚拟机、容器、工作负载或业务单元。

【引用】“安全一要软件化,二要平台化。客户最希望采购的不是安全产品,而是安全能力。”

各行各业都在数字化,因为业务运转效率是核心竞争力。比如银行,以前更多拼网点,现在拼谁的数据更完整,谁基于数据的算法更好,数据+算法形成新的生产力。这些数字化的资产,核心的业务系统的正常运转,才是最重要的保护对象。

所以在国内不论是做SOC还是做态势感知的厂商,谁跟我们公司合作,他们的产品就会成为国内最好的产品,因为这些网络安全的产品,不管是抗D、WAF,还是防火墙、IDS/IPS,大家的能力都差不多。但我们能够提供核心的识别能力,则是网络安全(编者注:指Network Security)厂商所不具备的,两者一旦融合之后效果一定会出类拔萃。比如,Palo Alto这个防火墙厂商的都要做Agent,思科也不例外。没有Agent,安全能力就会落后别人一个层次,因此一定是未来的主流,这应该已是业内的共识。

二、Agent的优势:敏捷、高效

安全牛:这就又回到技术上来了,我们知道你们要在服务器上或虚拟机上装Agent,因此资产盘点会非常方便,尤其是在服务器非常多的场景。能否进一步讲述一下Agent在资产方面的优势所在?

张福:举例来说吧,假设某用户有一万台机器,上面跑了哪些应用系统,这些系统是什么样的版本,有没有漏洞,有没有引用第三方代码,配置管理又可能存在什么样的问题,等等这些信息资产的清点是最痛苦的事。人工填报,程序排查,扫描器扫,不仅费时费力,效果也不会很好。但上了Agent之后,整个过程可以完全自动化,反向生成信息资产库,再也不需要依靠传统的靠人做配置管理的CMDB(配置管理数据库),无论云主机、云应用再怎么弹性扩张缩减,都可以做到自动梳理、一清二楚。

安全牛:除了资产的自动化管理,风险发现更是安全产品的重中之重,相比于传统的漏洞扫描,Agent的优势又有哪些?

张福:传统的扫描器最大的问题就是误报,因为扫描器依赖扫描banner进行版本的比对。很多情况下,已经打补丁的系统Banner的版本号是不变的。还有一些更复杂的问题,如开源软件,在被各发行厂商修改发布后,各种版本纷繁复杂,因此根据版本判断漏洞误差太大了。

安全牛:较新的扫描器已经集成了POC(漏洞验证)和EXP(漏洞利用)来减少误报。

张福:是的,但很多漏洞是POC不了的,即使国内最好的漏扫, POC的数量也就几千个,与漏洞数量不成比例。而且POC有风险,EXP就更加危险了。如果装上Agent之后,不管是什么系统、版本,还是补丁、配置,判断就准确很多。另外,与资产清点同理,范围越大优势越明显。当机器到上万量级,用扫描器一遍一遍的扫,先不说占用多大资源,只是扫完这些资产,会花多少时间?而利用Agent分析十台服务器和分析一万台服务器耗的时间没什么差别,几分钟即可,即敏捷又高效。

还有一种情况,某些种类的漏洞扫描器很难扫描出来,比如ImageMatch漏洞,上传图片服务器就会执行代码。这样的漏洞扫描器是根本扫不到的,只能检查是否安装了这个软件包,然后敲个命令看看能不能执行,这种验证操作非常粗糙,有时也不可靠。

三、基于攻防为主的安全理念已经落后

安全牛:之前听你谈过,有些想法可能与传统的攻防思路不一样。其实业内许多资深人士也已经认识到,没有攻不破的系统,未来的趋势是注重检测、分析与响应,从基于规则走向基于行为。你是怎么看的呢?

张福:是的。以前主流的安全理念特别强调防御和控制,强调对攻击方或黑客的认知。典型的说法就是“不知攻,焉知防”,比如最典型的IPS、WAF,其识别和拦截能力取决于对黑客的认知。但这种方法并不靠谱,任何一家公司不管是安全公司还是企业,对黑客的认知永远是有限的、被动的,是去拿有限的规则和资源去对抗未知的无限的攻击手段,在方法论上就已经注定是落后的,被动的。

如何改变这种情况呢?需要对自身系统的透彻的认知,达到了透彻认知的适度,就无需担心黑客,不需要了解他利用什么样的漏洞,也不需要了解他使用什么样的工具。

安全牛:达到这个地步恐怕很难吧?

张福:这里面其实有一个本质上的思考。安全一定是从产品售卖走向持续的运营服务,即持续的监控和分析,响应,不再是卖一个产品,不再是替客户运维这些产品。而是一种主动的、根据各种指标做持续监控,一旦有问题快速处理,这样可以改善以前传统安全领域巨大的问题。

热门排行

青藤文学网的部分内容收集于互联网,如有侵犯您的权利请联系我们及时删除
Copyright © 2015-2017 www.downabc.com.青藤文学网版权所有

北京赛车微信群青藤在线文学网