html模版阿裡巴巴安全第一人肖力:網絡安全的五個洞見
導語:肖力是為數不多站在技術和戰略十字路口的人,他身處阿裡巴巴和阿裡雲的安全前沿,對於一年、五年、十年網絡安全趨勢的洞見,也許會深切影響中國互聯網安全的發展脈絡。


雷鋒網宅客頻道按:肖力,阿裡巴巴第一個安全工程師,阿裡雲安全團隊創始人。

引言阿裡雲,這個國內最大的雲計算平臺,服務著萬億企業的數據和業務。它所代表的雲計算能力已經像水、電一樣成為瞭互聯網國度的基礎設施。

難以想象如果一個城市的水源幹涸、電力枯竭,將引發怎樣的災難。對阿裡雲來說,安全是巨大的雲城邦腳下的基石。而肖力,作為2005年就加入阿裡巴巴的第一個安全工程師、阿裡雲安全團隊的締造者,正承擔著這份守土之責。

肖力是為數不多站在技術和戰略十字路口的人,他無時無刻不在尋找世界上最先進的武器和部隊來守衛阿裡雲計算。於是,他對於未來一年、五年、十年網絡安全趨勢的洞見,也許會深切地影響中國互聯網安全的發展脈絡。

每年,肖力都會出現在各大世界頂級安全會議的現場,感受最新安全技術形勢的變化。RSA 大會,是全球安全廠商一年一度的聚會,被視為全球安全行業的風向標。每年全球 Top 500 的安全廠商都會積極參與 RSA 的技術分享,並借此機會為自己的最新技術找到“用武之地”。

客觀地說,全球安全技術仍然以美國為中心,RSA 上的無數公司拼湊出瞭一幅安全界的清明上河圖,這番圖景,對於安全產業發展較美國有“代溝”的中國,有著極強的借鑒意義。

剛剛從舊金山 RSA 現場歸來的肖力,帶回瞭從互聯網安全高地繪制的最新趨勢圖。雷鋒網宅客頻道在第一時間采訪到肖力,讓他展示瞭這份最新的“作戰地圖”。

【肖力】

以下是肖力訪談實錄(口述/肖力 | 文/史中)一、安全沒有巨頭,“合作”才有意思在描述今年 RSA 所有的具體技術趨勢之前,我最願意分享一個今年的總關鍵詞,那就是“合作”。這個詞聽上去不性感,卻是安全行業發展到現在,一個必然到來的總趨勢。

1、安全是“碎片化”的安全有點不一樣。

在互聯網的其他領域,通常會出現巨頭一傢獨大,能占領70%-80%的市場。

但我感受到安全這片土地,一定不是巨頭霸占的領域。為什麼這樣說呢?因為安全並不垂直,恰恰相反它涉及到互聯網和商業世界的所有領域,可謂安全無處不在。這些領域太廣泛瞭,所以不可能有一個巨頭說:我的產品在所有領域都是最好的。

就算是我們耳熟能詳的安全大咖:McAfee、賽門鐵克,他們的收入在整個安全市場的占比還是很少的。我看到的是,安全的每個細分領域都有“頭牌公司”。

對於一個企業來說,它的安全需求是“碎片化”的,這意味著企業要搞定各個方向可能存在的安全問題,就一定會選用多個領域的安全產品。根據我的觀察,每個公司都需要5-10個領域的安全產品。例如:

內網安全:企業員工的PC、移動端設備安全;

數據中心安全:企業的核心業務數據可靠性安全;

系統安全:企業各大 OA、CRM 等辦公系統的安全;

Web 安全:企業對外服務的網絡安全;

等等。。。

千裡之堤潰於蟻穴。對於企業來說,所有的維度一旦出現任何一個短板,它的安全性都會破碎。這個特性就要求各個方向的安全產品之間的聯動合作,它們隻有拼成一個整體,才能為企業提供最安全的服務。

2、打通日志和API是合作的重要一步今年的 RSA,我感受到瞭一個關鍵詞:合作。這說明安全行業也已經意識到瞭,合作是至關重要的。

但實際上目前安全廠商的合作現狀並不好。

以數據日志為例,網絡、系統、主機都會產生數據日志,把這些日志匯總分析,才能得到整體的安全態勢。但是,目前諸多安全廠商的日志格式、標準都不同。甚至在安全領域專門出現瞭一個領域:安全日志的橫向管理分析。產生瞭安全大數據產品——SIEM,SIEM 第一個核心競爭力就是翻譯各個安全產品的日志。

由於日志的碎片化和不統一,翻譯的做法,一定不如原生的統一格式日志。雲是一個非常好的機會,消除不同日志之間隔閡的機會。在這種統一的 API 接口基礎上,安全產品的聯合才能變得更容易。

作為雲計算的服務商,我們最希望看到各大安全產品能夠在我們的平臺上實現數據、日志、接口的聯合。這樣才能讓我們平臺上的用戶更加堅不可摧。

二、安全產品全面轉轉向公共雲SaaS 服務1、SaaS 安全服務元年在 RSA 上觀察各大廠商主推的產品,就可以清晰地看出安全產業的發展趨勢。

以前,全球的安全廠商都在賣“盒子”;

從去年開始,有一些廠商推出瞭基於 API 接口提供的雲化服務;

今年,大部分安全廠商都在提供基於公共雲(即一些人理解的公有雲)的雲安全 SaaS 服務。

這說明 SaaS 安全服務已經成為瞭一個不可逆的主流趨勢。舉兩個例子:

Fastly 是一傢 CDN 廠商,在今年他們開始提供雲安全產品;

QUANTIL 也是一傢 CDN 廠商,今年同樣推出瞭雲安全產品。

從這一點上看,可以看出美國和中國安全發展的最大不同:

根據我的觀察,美國雲計算發展要領先中國兩年。之所以得出這樣的判斷,是參考瞭 SaaS服務的成熟度。在美國,基於公共雲的 SaaS 服務已經成為瞭企業服務的主要形式;而在中國 SaaS 服務本身都還沒起來,所以 SaaS 安全服務也同樣不成熟。

但是,我堅信公共雲計算服務是未來互聯網的趨勢。我可以舉一個例子:

前兩年我曾經和 Gartner 的分析師交流,我詢問他怎麼看未來雲計算市場上“公共雲”和“私有雲”的比例。他的判斷是50%-50%,也就是公共雲和基於 Spark 或 Hadoop 的私有雲各占一半。

今年我又去詢問瞭安全界的同行,所有人都給出瞭公共雲超過80%,20wish音響改裝%私有雲的判斷。從廠商展示的雲解決方案來看也印證瞭這樣的說法。之前有的廠商把“支持私有雲部署”作為賣點,但是今年,已經很少有人講這一點瞭。

雖然一些廠商還在私有雲方面發力,但是我認為在美國這個趨勢已經很明顯瞭。

波音公司,全球頂尖的大飛機制造公司,所有的核心系統都跑在微軟的雲計算上。

當高等級安全需求的大型企業、銀行、政府系統都上瞭公共雲,他們經過嚴格的評估,認可在公共雲上劃出的“邏輯隔離區”的安全性。良好的示范效應會使得其他行業迅速跟進,擁抱公共雲。

2、公共雲安全產品的“天然優勢”越來越明顯從我的角度來看,公共雲至少有三點優勢:

1)彈性擴展。公共雲可以提供無限的算力和存儲空間。

2)快速迭代。公共雲可以做到每天更新,快速迭代。如果大企業選擇私有雲,就沒有辦法享受到最新的技術紅利,有“被幹掉”的風險。

3)數據打通。數據智能是未來的趨勢,初期大傢都玩自己的數據,未來更多企業需要數據共享分析。而私有雲很難和外界打通數據。例如阿裡雲正在做的城市大腦,需要同時分析十幾個數據源的數據,這隻在公共雲上有可能實現。

說瞭這麼多公共雲的優勢,不僅僅因為我們所做的是公共雲計算,而是因為當公共雲計算成為趨勢的時候,基於公共雲的安全產品才能真正被人認可,從技術上和易用性上成為首選。

根據我的觀察,國內大的安全公司,已經把產品雲化,說明他們也非常認可這個趨勢。

三、不說“數據智能”,不好意思和別人打招呼數據智能是我在今年 RSA 上看到的最明顯的趨勢。數據智能在交通、金融等等方面都已經有大量的案例,安全的數據智能也成為人人爭搶的高地。

我理解的數據智能,包括瞭基於數據的機器學習和人工智能。

以前,如果你的產品不叫“下一代防火墻”“下一代終端安全”,都不好意思和人打招呼;

今年,如果你不說自傢的產品是基於大數據、人工智能,也不好意思和人打招呼。

舉例來說:

Logtrust,可以實時收集企業各個方面的數據,並且利用數據智能分析實時給出安全狀況分析;

Splunk,可以為來自任何應用、服務器或網絡設備的數據實時建立索引,讓企業可以搜索;

LogRhythm,通過數據智能分析,幫助企業監測、分析和抵抗網絡威脅;

Cloudera,通過數據分析的手段,幫助用戶保護自己的核心資產。

【Spsony汽車喇叭lunk將用戶數據同一導入大數據平臺/圖片來自官網】

客觀來說,數據智能也是技術發展的必然歸宿:

一傢企業的訪問量達到數億,如果靠人工來判斷每一個請求是否安全,顯然不可能做到。以前大部分人的方法是使用“規則”,把經驗寫成規則來“過濾”非法請求。但是,隨著攻擊者的“玩法”越來越高級,傳統的過濾方法可以被輕易繞過,安全研究員們必須找到一種“新的”“自動化”的方法來發現風險和攻擊者。

這就必然是數據智能。

例如,知名的數據智能公司 Splunk,他們將用戶的各方面數據(包括主機、系統、Web日志等等)統一導入大數據平臺,制造出可以分析威脅的引擎,這已經成為瞭行業的最佳實踐模型包。

再例如,RSA 今年的初創公司評比——“創新沙盒”大賽上,拔得頭籌的“UnifyID”,核心就是把來自 IoT 設備的海量數居上傳到雲端,通過機器學習的方法判定:哪些設備是可信的,從而識別設備背後的人的身份,保護系統、數據安全。

整個行業的趨勢就是:越是頂級的安全公司,越是重視數據智能在安全領域的應用。

四、安全的“未來邊疆”和“明日黃花”除瞭 RSA 上人人都在喊的方向,還有一些隻有少數前瞻性公司涉獵的安全方向,這些方向一方面有可能在未來會是安全的新邊疆,但顯然在今年還沒有進入爆發期;一方面可能是一個並不正確或者尚未探明模式的方向。我試著對這些技術趨勢給出自己的判斷。

1、IoT 安全是一個巨大的未來有一個趨勢大傢都可以看到:

過去,人們面對的終端是PC,

目前,人們面對一個新的端:移動端,就是我們的 Android 和 iPhone。

未來,人們將會面對 IoT 和萬物互聯。

雖然大傢都看好 IoT 領域的安全市場,但是由於 IoT 本身剛剛開始,所以在 RSA 上自認為是 IoT方向安全廠商的人還很少。所以我認為 IoT 安全的市場還沒有起來,因為 IoT 本身的市場還沒辦法養活依附其上的安全市場。

但是我堅信一個判斷:

IoT市場和安全市場本身類似,都是碎片化的領域。沒有一個廠商的安全方案可以把所有的 IoT 安全都搞定。

舉個例子:

“汽車”這個 IoT領域最大的端,可能有專門的安全廠商隻做汽車安全,由於面對的風險不同,它的方案很難完全復制到其他領域。智能傢居安全、工控機安全、醫療設備安全都是未來不同的安全領域。

這些領域非常細分,所有的方案都無法通用,另外對於同一個 IoT設備來說,還存在不同類型的安全需求。例如:端本身的安全、傳輸過程中的認證和加密安全、雲端安全。這就造成瞭一個復雜的安全局面:

可能有十個 IoT 安全的細分領域,每個領域又需要不同的端口和傳輸安全。每一種排列組合都需要一個細分安全公司來進行服務。

例如一些比較前沿的公司:

Covisint Corporation,可以提供多個物聯網設備之間安全的信息交流平臺。

CyberOwl,提供 IoT 設備早期警報和威脅情報系統。

可見,這其中會孕育出超出想象的機會。

【Covisint Corporation 提供的安全接入能力/圖片來自官網】

2、移動安全市場並不美好所謂移動安全市場,就是我剛才說到的以 Android 和 iPhone 手機端為主的安全市場。雖然移動終端已經非常普及,但是我認為,這個市場和 IoT 市場恰恰相反,並沒有很大的安全需求。

從今年 RSA 的參展商來看,做移動安全的公司非常少,總數500傢企業中,移動安全公司隻有個位數。這也支持瞭我的判斷。

我相信 99% 的 iPhone 都沒有裝安全軟件,而 Android 手機上的殺毒軟件重要性也在下降。這個現象背後有其原理:

當年之所以 PC 殺毒軟件、安全軟件可以做起來,是因為 PC 端的安全自身做得不夠好,有很多病毒。但是反觀移動端,目前已經進入瞭成熟期。iPhone 的安全性一直水準很高,而 Android 經過幾年的演進,安全性也比較高。可以說,歸根結底是因為移動安全市場沒有那麼多需求。

移動安全這個市場一度火爆,很多企業都準備大展拳腳,但是現在看來,很多企業都已經“死”瞭。根據我的判斷,這個市場也許並不會迎來新的發展機會。

3、CASB(Cloud Access Security Broker 雲安全接入代理)將會開拓新邊疆

CASB 是前年和去年剛剛興起的領域,意思是雲化的 SaaS 服務中的數據安全。簡單來說,就是企業在接入 SaaS 服務的過程中,可能產生數據、隱私方面的問題。

舉幾個例子:

Salesforece 是全球最大的 CRM(客戶管理)SaaS 服務提供商,全球很多企業都接入它的系統來管理客戶資源;

人力管理方面也有很多 SaaS 服務提供商,比如之前在美國上市的Workday,微軟的幾十萬人管理都是通過 SaaS 服務實現的;

個人工作也會接入 SaaS 服務,例如 Office 365、各類網盤。

原來全球企業隻用本地軟件,現在紛紛接入雲端 SaaS,所以接入的過程本身產生瞭新的威脅。例如:SaaS 服務本身安全性如何、敏感信息是否越界上傳、接入身份是否合法等等。

面對這種威脅,一些安全廠商投身於此,例如:

CipherCloud,提供全套的雲端加密、監控、秘鑰管理服務。

Skyhigh,提供對 Office 365,Salesforece 等知名 SaaS系統進行安全保護的產品。

CloudLock,可以對所有購買和自建的雲端應用實施安全保護。

【Skyhigh 產品適配的部分軟件】

就國內廠商來說,360 今年也發佈瞭 CASB 方面的產品,意在提前佈局市場。CASB 的市場將會很廣闊,但是根據我的觀察,國內 SaaS 服務的市場不超過 10億,很多公司還沒有使用 SaaS 服務,所以在國內現階段推出 CASB 產品,也許有些為時過早。

就全球來說,CASB 也在成熟過程中。有一點可以作證這個觀點,那就是 CASB 產品的形態還在一直變化。

目前大量的 CASB 都是基於 SaaS 服務商(財務、客戶、辦公)提供的 API 接口來做的,根據 SaaS 服務商的數據來做分析,這種方法嚴重依賴 API 的成熟度和完整度。如果 SaaS 服務商本身提供的數據就不完整,CASB 的監控能力就會很差。

基於此,今年有一些安全廠商選擇通過流量分析的方法來獲取數據。因為企業員工上網一定會通過網絡接口,實際上在接口處的流量相對更加全面,所以最新的產品形態是:CASB 廠商通過網絡接口流量進行威脅分析,試圖更完整地解決問題。

4、威脅情報、UBA、安全運維自動化除瞭以上比較明朗的技術趨勢外,還有一些更加細分的領域。但是在我看來,這些細分領域並不是產品的最終形態,而更像是面對安全廠商的技術。

1)威脅情報威脅情報不應該面對最終用戶,應該面對安全廠商。我認為終端用戶用不瞭威脅情報的數據,這些數據應該由具體的安全服務廠商進行分析之後,落實到具體的產品中,才可以為用戶所用。

例如,威脅情報可以用在大數據分析平臺、WAF、終端安全、數據安全等等產品上。

據此,我認為直接面向終端用戶的威脅情報可能走不通。

2)UBAUBA 全稱是用戶行為分析(user behavior analytics),簡單來說就是從企業用戶的角度來入手,通過分析用戶的一般行為,對用戶的安全等級進行標註,一旦感知到異常行為,就可以進行預警。這種技術同樣可以應用在安全產品之中。

3)安全運維自動化安全運維自動化,是一個更激進的安全管理形態。顧名思義,這種技術想要實現在無人值守的情況下進行自動安全運維,目前這種技術仍然處在初期階段。同樣,這也不是一個產品形態,目前,有一些運維自動化的方案已經出來,但是在後期可能會和具體的產品相結合。

五、冷清的中國展臺,我們長路漫漫今年的 RSA,有來自中國的 30傢安全廠商,包括華為、360 在內的大廠商,還有很多中小廠商。但是一個普遍的感覺就是:中國展臺很冷清。

我覺得原因在於,中國的安全企業業務沒有全球化。簡單來說就是,安全產品沒有賣給國外的用戶。

這其中又反映出中美安全廠商的不同點:

美國的安全廠商,一個公司通常隻做一個領域的產品。例如美國廠商 Rapid 7,它隻做“漏洞管理”這一項業務,非常專一;例如 Palo Alto Networks,就是防火墻做得最好,它的核心能力就是“流量解析”。

中國的安全廠商,一般會覆蓋很多安全領域。國內的 Top 安全廠商,沒有二三十個產品都不敢和別人打招呼。

究其原因的話,很重要的一點應該是:中國市場還沒有形成足以養活“專一”安全企業的規模。受限於目前的市場規模,所以國內的安全市場是“銷售主導”。也就是說本來客戶就這麼多,但是企業要多收錢,所以隻好開發出更多的產品。

當然,市場最終拼的是能力,而不是銷售。如果一傢廠商未來要做到百億美金的安全公司,至少有一點要做到“全球最好”。而在一點上做到最好,顯然就不會有更多的資源和精力去做其他領域。

以阿裡雲安全為例,我們的核心任務就是把平臺的穩定性做到最好,據此我們最需要的底層能力就是“抗 DDoS”,所以在抗 DDoS 方面,我們的能力就要做到全球最好。至於其他業務,我們會和全世界最好的 IoT 安全公司合作,和最好的數據安全公司合作,和最好的 Docker 安全公司合作,和最好的威脅情報公司合作等等。

對於中國安全企業來說,做到某一個點的全球最好,仍然前路漫漫。中國企業展位門庭若市的那一天,仍然需要我們共同的努力。

小結·采訪手記中國頂級安全公司紛紛出海,但是肖力卻冷靜地看到瞭我們某種程度的“自說自話”。這種冷靜可以解讀為一個安全研究員的職業直覺;從另一個角度來說,認清我們的優勢和劣勢,正是攻城略地前的寂靜。

公共雲SaaS 安全服務、安全數據智能、IoT 安全、CASB,是肖力熱情贊頌的四座高地。這四個領域有著一個共同點,那就是在現有基礎上,賽博世界的元素(服務、數據、終端)更加密集、頻繁、安全地連接。

幾十年前,從全世界第一臺電腦接入互聯網開始,我們就在期待每一個新的賽博世界的子民。而當億萬設備裹挾著重若泰山的數據向我們的互聯網點頭致意的時候,我們需要有足夠的自信,給它們安全的承諾。據此,肖力的洞見,值得玩味。

更多安全人物采訪,請關註雷鋒網(公眾號:雷鋒網)宅客頻道(微信搜索:宅客頻道)

雷鋒網原創文章,未推薦汽車音響改裝店經授權禁止轉載。詳情見轉載須知。





60524E94D4D7DA41
, , , ,
創作者介紹

彌補往年

tfkjyna9yf 發表在 痞客邦 PIXNET 留言(0) 人氣()