Gartner最早在2014年就提出了自適應安全 的概念。而在同一年,我們國家有那麼一批安全從業者在自己多年的工作經驗當中累積出了自己的安全思想,發現和Gartner的自適應安全概念不謀而合——這就是青藤雲安全,一家專注於自安全架構的安全公司。近日,青藤雲安全創始人張福接受了媒體的群訪。
傳統防禦的弱點
傳統的防禦方式是通過分析攻擊者的攻擊方式來制定規則,通過規則來判斷是否受到進攻——也就是通過了解對手的方式來進行防禦。然而,這個模式在如今的環境下有兩大問題。首先,儘管思想上要了解對手來針對性防禦,可事實上,由於技術的不斷迭代以及新的攻擊方式層出不窮。
針對性的防禦難以做到全面覆蓋所有攻擊點;而攻擊者只要攻破一點,卻可以達到自己的攻擊目的。而另一方面,即使在理論上了解了攻擊者的攻擊模式,忽略了對自身環境和系統的研究瞭解,會對自己保護的目標不明確,難以檢測自己是否遭受攻擊,因此事倍功半。
探知的核心--黑客本質行為與關係
青藤雲安全解決方案的第一步,就是對企業的虛擬資產進行清點、逐層分級,創建一個資產數據庫,從而可以明確自己需要保護的對象。在部署完引擎後,對已知的危險做到更準確的發現——從而避免因誤報產生的業務滯後。而對未知攻擊,做到快速檢測,確保傷害最小化,在事後進行溯源。
從資產清點,到深度的風險發現,再到入侵檢測,青藤雲安全形成了完整的安全鏈條。與傳統安全基於問題庫的防禦不同,青藤雲安全的自適應安全引擎,則是基於防禦方本身——通過對防禦方自身的理解,來探知未知的攻擊。而探知的核心則分為兩方面——黑客本質行為和關係模型。業務運轉過程中產生的指標進行分析,能發現對於一個穩定運營的業務,正常情況下,每天數據指標的走勢是幾乎一致的。而對於攻擊者而言,無論使用哪種攻擊方式,一般情況下,最終目的都是通過較低的付出,獲取較大的回報——而這一行為的結果,就會導致數據指標產生異常。因此,青藤雲安全的自適應引擎,在對攻擊方式零認知的情況下,依然能夠通過對數據指標的比對,快速發現攻擊,從而採取相對應的響應,減少損害。這也是此文題目“以不變應萬變”的蘊意所在。
同時,對於一家穩定的業務公司,其不同角色或者設備之間的關係是穩定固定的。比如對於一家企業,業務是先到負載區,再到web服務器,最後到數據庫。然而一旦黑客對負載器發起攻擊,通過負載器直接連接到數據庫,就會破壞這種關係的穩定性——因為沒有正常的操作會產生這樣的關係。通過這類異常關係,青藤雲安全就能感知到攻擊。在一起案例中,青藤雲安全的系統感知到了一次攻擊——儘管當下無法知道黑客具體是誰,具體的攻擊方式是什麼,但是經過溯源後發現了相關漏洞,而該漏洞則是不久才被披露。也就是說,該攻擊者已經在漏洞被披露之前已經掌握了利用漏洞的方式——從而對於任何傳統的防護方案,是沒有針對這種攻擊方式進行規則的描述。而青藤雲安全的自適應安全系統,則通過了對指標的監測,察覺了攻擊。
自動化響應
青藤雲安全系統並不是只有當攻擊發生時才能進行檢測與響應。事實上,在資產清點以及風險發現的這兩個環節本身就是在事前做緩解和攻擊面收縮,使攻擊者的攻擊面變小。大部分黑客的攻擊都是出於利益獲取考慮,所以必然會遵循收穫大於付出的規律。一旦攻擊面縮小,黑客的攻擊手段相對就會減少,而如果企業對攻擊面進行針對性防禦,也會增加黑客的攻擊成本,對企業的安全進行了保護。
在響應這方面,青藤雲安全將響應行為以專家經驗的方式成沉澱到平臺上,在時機合適的時候就可以成為全自動化的響應。然而,在如今這個階段,由於數據涉及客戶隱私等問題,張福認為在人工的監督下會更安全,因此不推薦採用全自動的響應方式。而青藤雲安全系統能進行自動化響應的功能,只需要用戶開啟即可。
張福相信,只有agent與業務零距離,才能真正明白業務流程,看清問題所在。但是,對於傳統的處理方法而言,最大的問題在於會造成的系統的不穩定,從而會引起業務的中斷。尤其對於金融行業,對業務的連續性有著極其嚴苛的要求。然而,青藤雲安全卻到了在金融行業系統內agent的部署,其穩定性得到了金融行業的認可。
打造安全領域的“安卓生態”
對於青藤雲安全未來的發展方向,張福也提到了自己的看法。
在感知、溯源和處置這方面,張福表示青藤雲安全系統還需要不斷髮展。如今的青藤雲安全系統已經能對客戶的規模以及業務的變化做到自適應——針對客戶的設備規模進行無論體量的自適應以及針對客戶業務變化產生的設備部署變化自動適應。然而,現在青藤雲安全系統都是根據業務為客戶定製的,各個指標與關係都是人為地去調整做到更加精確。青藤雲安全的目標是將系統能夠完全自主地根據客戶自身的系統變得更加精確,並且能夠通過自身對系統的分析和了解,自身選取指標,做到完全的自適應。
而對於整個自適應安全的概念,張福認為這是一個非常大的體系。在國外,儘管有大量的公司在做自適應安全,而他們事實上做的是自適應安全中的一部分。而自適應安全需要各個產品,包括防火牆、IPS等產品的聯動才能達成。青藤雲安全的目標是打造一個安全領域的“
安卓生態”體系,通過開放的方式,和行業裡的其他公司合作互動、情報共享,一同協作為企業打造一個完整的安全體系。安全牛評
自適應安全市場有著相當高的壁壘,由於其資金投入高,研發週期長,使得很多創業者望而卻步。而青藤雲安全則在四年中不斷前進,並且在去年得到Gartner的認可,成為入選CWPP市場的cool vendor之一。在今年年初,又獲得紅杉領投的2億人民幣B輪融資,繼2015年後,再次創下國內安全行業單筆融資新高。
閱讀更多 安全牛 的文章
