疾风知劲草,烈火出真金。
2018年4月下旬,中美贸易战终于打到核心区,所有人这才幡然意识到之前的钢铁战和大豆战都只是演习,美国人终于祭出了真正的底牌,网络安全与信息化领域才是这场战役的主战场。而几乎同时,中美两场高端的网络安全大秀也不约而同在两地上演,旧金山RSA和北京429首都网络安全日的展会现场似乎更多了一些火药味儿。本着“比较研究与自我批判”的态度,笔者通过窥探两场风格截然不同的展会,浅显谈一谈中美网络安全产品与思维模式的异同,希望对国内同行有所启发。
计算机发明于美国,互联网起源于美国,第一家网络安全公司也诞生于美国。我们当今所从事的几乎所有网安产品与服务,远到防火墙、VPN、身份认证,近到APT、威胁情报、态势感知,无一例外都是西方最先提出并实践。硅谷的神奇就在于无数个概念被创造、被实现、被颠覆、又被重构,而一代代产品升级迭代的背后是数十年巨大的资本、人才与思想的惊人积累。美国很多伟大的公司脱胎于“实验室”或者“车库房”,正是因为那些企业或者产品创始人最初心怀的只是非常朴素的“任务感”,或去解决某个实际问题,或是带来某种过程便利,或者替代某个老旧装置,通过这个原点慢慢发展和扩大,最终形成庞大系统。中国网络安全产业起步较晚,几乎都是基于美国已经建立好的规范和基础之上发展而来,或者是拿来主义,或者是本土优化,或者是局部创新,缺乏常年的工程思维积淀。与汽车、飞机、金融、芯片等领域一样,国人真的不能轻易说领先,更不敢妄谈超越,我们就应当老老实实承认自己只是个学习者和追随者。都说做人要上善若水,谨慎谦虚的态度对产业发展绝对有利无害。反观国内近几年火热的政策导向,在资本追捧之下,网络安全从业工程师们似乎早已离原点越走越远。
客户需要“药品”还是“保健品”?
某品牌药酒最近走上了舆论的风口浪尖,给喜欢各种“补肾”和“养生”的国人敲了一记警钟。往往消费者的心态和知识不够成熟时,才容易轻信“十全大补”这类方法,而从科学和辩证的角度看一定不会存在普适性的解决方案,最有效的路线一定是准确找到病灶并精准打击。RSA公司的总裁Rohit Ghai在今年RSA2018开场的主题演讲中提到:“面对现今愈演愈烈的安全威胁,越来越多的人已经放弃“银弹”思维,并不期望什么灵丹妙药可以解决所有安全问题,而是非常务实地‘每天进步1%’,并不幻想在某一天突然达到完美的状态。通过拥抱行为分析和网络安全可视化等新技术,通过安全从业者之间的协同,持续改进和优化我们的安全产品与技术,应对每一个具体的安全威胁。””从RSA现场看,专业安全厂商确实也越来越专注,各家展台上少了华而不实的概念,多了成熟产品和技术的展示,多了成功案例的介绍。而不得不说,429首都网络安全日展会的现场则更像一场面向中老年消费者的保健品展销会,笔者看到一位曾经在大公司低调务实的技术主管,创业后竟然也对着展板歇斯底里的传销如何用他的技术让使用者一劳永逸,与黑客威胁后会无期,让人领口阵阵冷气上窜。而同样在RSA期间,笔者与一位老友相见,老大哥说他们用几十位实战经验丰富的工程师配合全包流量分析技术,只做精做专了特种木马追踪这一件事,国内高端行业客户把这只团队称为“杀马特”,几乎所有的政府部委都使用了他们的产品与服务,这样的团队才值得打从心底佩服。
我们到底为了什么而“技术整合”?
RSA2018上,几乎所有的大牌安全公司包括CheckPoint、IBM、Fortinet、McAfee,都在谈同一个概念---“技术整合”。新一代的安全体系早已不依赖于传统的防御设备,而是通过整合网络、终端、服务、数据等多个系统,综合关联分析包括日志、流量、行为、配置、事件等多种来源的数据,构建更完整的安全监测、运营、呈现与响应系统。而在中国,这套技术体系则被取上了一个更富有战争色彩的名字---“态势感知”,当然429展会上几乎所有人都需要无限贴近“态势感知”这个名词,知名大厂商自然当仁不让,而一众中小企业竟然也趋之若鹜,从而我们看到了“数据库态势感知”、“密码态势感知”、“身份态势感知”甚至“机房态势感知”等新鲜名词。
笔者今年初曾经拜访过一位部委信息中心负责人,他用几乎带有愤怒的情绪讲述,2017年初花2千多万建了所谓“态势感知”平台,所有的设备也都开启了日志采集,新购的探针都处于运行状态,一年里系统共产生并存储了近4亿条日志,但没有触发一起所谓事前的预警,更别提企业宣称的未知威胁检测,所有投标标书和宣传册里的功能最终都成了一场空。这个案例,值得我们静下心来分析。
目前客户的数据库中确实已经收集和存储了大量的安全数据和日志,分布在不同的系统和业务中,形成了难以维护管理的“蜘蛛网”,如果能建立统一的数据管理和访问平台,提供“一站式”的数据访问服务确实大快人心。然而这个过程其实并不简单,首先将多源数据整合必然存在抽取、清洗、转换、合并的过程,大批量的数据迁移需要投入的技术与成本相当高。其次要根据用户的业务和运行流程建立安全模型实际上是非常困难的,需要精通用户业务、深谙安全分析并掌握大数据算法的跨三界工程师紧密配合,要投入大量人力服务,而不是单纯靠机器能够完成。我想,这正是为什么国外只有大厂家才敢于谈“技术整合”,而专业厂家只依靠单纯数据来源做单一安全数据分析的原因。国内寥寥数个人的创业公司都敢提这么宏大的概念,想必只是为了“技术整合”而整合吧。
国家需要一辆“概念车”么?
这是一个知识获取成本最低的时代,从咖啡馆到沙县小吃,到处在谈论商业模式与互联网思维,我60多岁的父亲每天饭后跟我探讨的都是新零售和共享经济。自从贾兄开了卖概念手机概念车的先河,网络安全企业创始人们不管对外宣布融到的资金是实际到账的几倍,必须先“受邀”参加数十场冠以“全球”至少“中国”的高端会议,穿上黑色T恤用踱步法娓娓讲述一套换了右上角Logo任何公司都适用的充满国际化设计感图标的炫酷黑底PPT,始于伊朗核电站的鬼故事结尾于天下无贼的童话故事,云计算大数据区块链人工智能机器学习缺一不可,最后还一定会毫无悬念地“斩获”评委大奖并受到高度关注。
鸿茅药酒乐视车,误人误己误国,营销过度与泛滥某种层面上扭曲了企业家们创业的初衷,而变味的“概念车”终究开不上改革开放的快车道,会蒙蔽甚至阻碍产业的发展,而始作俑者最终也会付出代价。正如炼金时所有的虚假与杂质在烈火之中总会悉数褪去,无论行业多么繁荣、技术如何浮夸、资本怎样追捧,在赤裸裸的商业与技术战争面前一切都会显出真实本性。中美之间的角力永不会停止且一直在升级,只有坚持核心技术专注度,加大研究与开发投入,聚焦于用户需求痛点上不抛弃不放弃,才能在这场战争中浴火而生。
笔者也很欣喜地看到,在信息安全领域,涌现出了一批优秀的坚持自主创新的企业,比如安博通、青藤云安全、科来、恒扬数据等(后面会做出它们的技术优势分析),都在通过不断的技术创新,持续为国家网络安全事业的发展贡献力量。希望这场贸易战,带给我们的,不仅是美国封杀中兴的血泪教训,更应成为国人必须在信息安全领域掌握核心技术的决心与行动!
安博通:在今年RSA大会上,安博通全新推出的“攻击面可视化“解决方案引起了不小的关注。自推出可视化产品以来,安博通以安全策略为切入点,虽然产品一直在不断叠加流量威胁分析、安全事件分析、主机安全防护等元素,但始终紧紧围绕安全策略这个核心元素在发展产品。在防御体系视角上,安博通聚焦于缩小攻击面、延长攻击时间、及时发现及时告警、提高攻击的门槛,通过对安全防御系统进行“免疫力提升”的方式增加抗风险能力,这种踏实稳健的思路让客户更易接受,也得到众多业界专家认可。
青藤云安全:在RSA大会上,青藤云安全的主推产品“云工作负载安全态势感知平台”英文版首次亮相,包含资产清点、风险发现及入侵检测三大功能模块,为云工作负载安全需求提供一套完整的解决方案,在大会上获得参观者的广泛关注。在多云环境下,对跨平台的云工作负载资产变化及实时威胁动态感知,并对其配置作统一管理,已成为安全管理者的痛点,这也需要厂商们以开放的姿态共同努力(Circle the Wagons)。青藤云安全作为亚洲主机安全的新锐和代表厂商,也正为拥抱这一趋势而努力。
科来:作为做精做专一件事的代表,科来虽然没有在RSA大会上参展,却也派出强大的阵容到会学习。在与科来工程师的交流中,笔者深切地感觉到这家公司专注、踏实、稳健的技术范作风,目前科来正致力于将人工智能的技术应用于流量分析和网络安全,我们对科来的创新方案拭目以待。
恒扬数据:作为业界领先的基于机器学习的大数据基础设施及应用解决方案提供商,此次参加RSA2018大会,恒扬主推的产品及解决方案包括FPGA云服务(FaaS)解决方案、固网网络可视化基础设施及移动网络可视化基础设施解决方案。iNext加速卡是一款基于Xilinx公司FPGA芯片开发的PCIe卡,可以为云计算等应用领域提供高性能的计算能力,其方案中数据采集、数据分析、数据应用的思路清晰而全面。