引言
阿里云,这个国内最大的云计算平台,服务着万亿企业的数据和业务。它所代表的云计算能力已经像水、电一样成为了互联网国度的基础设施。
难以想象如果一个城市的水源干涸、电力枯竭,将引发怎样的灾难。对阿里云来说,安全是巨大的云城邦脚下的基石。而肖力,作为2005年就加入阿里巴巴的第一个安全工程师、阿里云安全团队的缔造者,正承担着这份守土之责。
肖力是为数不多站在技术和战略十字路口的人,他无时无刻不在寻找世界上最先进的武器和部队来守卫阿里云计算。于是,他对于未来一年、五年、十年网络安全趋势的洞见,也许会深切地影响中国互联网安全的发展脉络。
每年,肖力都会出现在各大世界顶级安全会议的现场,感受最新安全技术形势的变化。RSA 大会,是全球安全厂商一年一度的聚会,被视为全球安全行业的风向标。每年全球 Top 500 的安全厂商都会积极参与 RSA 的技术分享,并借此机会为自己的最新技术找到“用武之地”。
客观地说,全球安全技术仍然以美国为中心,RSA 上的无数公司拼凑出了一幅安全界的清明上河图,这番图景,对于安全产业发展较美国有“代沟”的中国,有着极强的借鉴意义。
刚刚从旧金山 RSA 现场归来的肖力,带回了从互联网安全高地绘制的最新趋势图。雷锋网(公众号:雷锋网)宅客频道在第一时间采访到肖力,让他展示了这份最新的“作战地图”。
【肖力】
以下是肖力访谈实录
(口述/肖力 | 文/史中)
一、安全没有巨头,“合作”才有意思
在描述今年 RSA 所有的具体技术趋势之前,我最愿意分享一个今年的总关键词,那就是“合作”。这个词听上去不性感,却是安全行业发展到现在,一个必然到来的总趋势。
1、安全是“碎片化”的
安全有点不一样。
在互联网的其他领域,通常会出现巨头一家独大,能占领70%-80%的市场。
但我感受到安全这片土地,一定不是巨头霸占的领域。为什么这样说呢?因为安全并不垂直,恰恰相反它涉及到互联网和商业世界的所有领域,可谓安全无处不在。这些领域太广泛了,所以不可能有一个巨头说:我的产品在所有领域都是最好的。
就算是我们耳熟能详的安全大咖:McAfee、赛门铁克,他们的收入在整个安全市场的占比还是很少的。我看到的是,安全的每个细分领域都有“头牌公司”。
对于一个企业来说,它的安全需求是“碎片化”的,这意味着企业要搞定各个方向可能存在的安全问题,就一定会选用多个领域的安全产品。根据我的观察,每个公司都需要5-10个领域的安全产品。例如:
内网安全:企业员工的PC、移动端设备安全;
数据中心安全:企业的核心业务数据可靠性安全;
系统安全:企业各大 OA、CRM 等办公系统的安全;
Web 安全:企业对外服务的网络安全;
等等。。。
千里之堤溃于蚁穴。对于企业来说,所有的维度一旦出现任何一个短板,它的安全性都会破碎。这个特性就要求各个方向的安全产品之间的联动合作,它们只有拼成一个整体,才能为企业提供最安全的服务。
2、打通日志和API是合作的重要一步
今年的 RSA,我感受到了一个关键词:合作。这说明安全行业也已经意识到了,合作是至关重要的。
但实际上目前安全厂商的合作现状并不好。
以数据日志为例,网络、系统、主机都会产生数据日志,把这些日志汇总分析,才能得到整体的安全态势。但是,目前诸多安全厂商的日志格式、标准都不同。甚至在安全领域专门出现了一个领域:安全日志的横向管理分析。产生了安全大数据产品——SIEM,SIEM 第一个核心竞争力就是翻译各个安全产品的日志。
由于日志的碎片化和不统一,翻译的做法,一定不如原生的统一格式日志。云是一个非常好的机会,消除不同日志之间隔阂的机会。在这种统一的 API 接口基础上,安全产品的联合才能变得更容易。
作为云计算的服务商,我们最希望看到各大安全产品能够在我们的平台上实现数据、日志、接口的联合。这样才能让我们平台上的用户更加坚不可摧。
二、安全产品全面转转向公共云 SaaS 服务
1、SaaS 安全服务元年
在 RSA 上观察各大厂商主推的产品,就可以清晰地看出安全产业的发展趋势。
以前,全球的安全厂商都在卖“盒子”;
从去年开始,有一些厂商推出了基于 API 接口提供的云化服务;
今年,大部分安全厂商都在提供基于公共云(即一些人理解的公有云)的云安全 SaaS 服务。
这说明 SaaS 安全服务已经成为了一个不可逆的主流趋势。举两个例子:
Fastly 是一家 CDN 厂商,在今年他们开始提供云安全产品;
QUANTIL 也是一家 CDN 厂商,今年同样推出了云安全产品。
从这一点上看,可以看出美国和中国安全发展的最大不同:
根据我的观察,美国云计算发展要领先中国两年。之所以得出这样的判断,是参考了 SaaS服务的成熟度。在美国,基于公共云的 SaaS 服务已经成为了企业服务的主要形式;而在中国 SaaS 服务本身都还没起来,所以 SaaS 安全服务也同样不成熟。
但是,我坚信公共云计算服务是未来互联网的趋势。我可以举一个例子:
前两年我曾经和 Gartner 的分析师交流,我询问他怎么看未来云计算市场上“公共云”和“私有云”的比例。他的判断是50%-50%,也就是公共云和基于 Spark 或 Hadoop 的私有云各占一半。
今年我又去询问了安全界的同行,所有人都给出了公共云超过80%,20%私有云的判断。从厂商展示的云解决方案来看也印证了这样的说法。之前有的厂商把“支持私有云部署”作为卖点,但是今年,已经很少有人讲这一点了。
虽然一些厂商还在私有云方面发力,但是我认为在美国这个趋势已经很明显了。
波音公司,全球顶尖的大飞机制造公司,所有的核心系统都跑在微软的云计算上。
当高等级安全需求的大型企业、银行、政府系统都上了公共云,他们经过严格的评估,认可在公共云上划出的“逻辑隔离区”的安全性。良好的示范效应会使得其他行业迅速跟进,拥抱公共云。
2、公共云安全产品的“天然优势”越来越明显
从我的角度来看,公共云至少有三点优势:
1)弹性扩展。公共云可以提供无限的算力和存储空间。
2)快速迭代。公共云可以做到每天更新,快速迭代。如果大企业选择私有云,就没有办法享受到最新的技术红利,有“被干掉”的风险。
3)数据打通。数据智能是未来的趋势,初期大家都玩自己的数据,未来更多企业需要数据共享分析。而私有云很难和外界打通数据。例如阿里云正在做的城市大脑,需要同时分析十几个数据源的数据,这只在公共云上有可能实现。
说了这么多公共云的优势,不仅仅因为我们所做的是公共云计算,而是因为当公共云计算成为趋势的时候,基于公共云的安全产品才能真正被人认可,从技术上和易用性上成为首选。
根据我的观察,国内大的安全公司,已经把产品云化,说明他们也非常认可这个趋势。
三、不说“数据智能”,不好意思和别人打招呼
数据智能是我在今年 RSA 上看到的最明显的趋势。数据智能在交通、金融等等方面都已经有大量的案例,安全的数据智能也成为人人争抢的高地。
我理解的数据智能,包括了基于数据的机器学习和人工智能。
以前,如果你的产品不叫“下一代防火墙”“下一代终端安全”,都不好意思和人打招呼;
今年,如果你不说自家的产品是基于大数据、人工智能,也不好意思和人打招呼。
举例来说:
Logtrust,可以实时收集企业各个方面的数据,并且利用数据智能分析实时给出安全状况分析;
Splunk,可以为来自任何应用、服务器或网络设备的数据实时建立索引,让企业可以搜索;
LogRhythm,通过数据智能分析,帮助企业监测、分析和抵抗网络威胁;
Cloudera,通过数据分析的手段,帮助用户保护自己的核心资产。
【Splunk将用户数据同一导入大数据平台/图片来自官网】
客观来说,数据智能也是技术发展的必然归宿:
一家企业的访问量达到数亿,如果靠人工来判断每一个请求是否安全,显然不可能做到。以前大部分人的方法是使用“规则”,把经验写成规则来“过滤”非法请求。但是,随着攻击者的“玩法”越来越高级,传统的过滤方法可以被轻易绕过,安全研究员们必须找到一种“新的”“自动化”的方法来发现风险和攻击者。
这就必然是数据智能。
例如,知名的数据智能公司 Splunk,他们将用户的各方面数据(包括主机、系统、Web日志等等)统一导入大数据平台,制造出可以分析威胁的引擎,这已经成为了行业的最佳实践模型包。
再例如,RSA 今年的初创公司评比——“创新沙盒”大赛上,拔得头筹的“UnifyID”,核心就是把来自 IoT 设备的海量数居上传到云端,通过机器学习的方法判定:哪些设备是可信的,从而识别设备背后的人的身份,保护系统、数据安全。
整个行业的趋势就是:越是顶级的安全公司,越是重视数据智能在安全领域的应用。
四、安全的“未来边疆”和“明日黄花”
除了 RSA 上人人都在喊的方向,还有一些只有少数前瞻性公司涉猎的安全方向,这些方向一方面有可能在未来会是安全的新边疆,但显然在今年还没有进入爆发期;一方面可能是一个并不正确或者尚未探明模式的方向。我试着对这些技术趋势给出自己的判断。
1、IoT 安全是一个巨大的未来
有一个趋势大家都可以看到:
过去,人们面对的终端是PC,
目前,人们面对一个新的端:移动端,就是我们的 Android 和 iPhone。
未来,人们将会面对 IoT 和万物互联。
虽然大家都看好 IoT 领域的安全市场,但是由于 IoT 本身刚刚开始,所以在 RSA 上自认为是 IoT方向安全厂商的人还很少。所以我认为 IoT 安全的市场还没有起来,因为 IoT 本身的市场还没办法养活依附其上的安全市场。
但是我坚信一个判断:
IoT市场和安全市场本身类似,都是碎片化的领域。没有一个厂商的安全方案可以把所有的 IoT 安全都搞定。
举个例子:
“汽车”这个 IoT领域最大的端,可能有专门的安全厂商只做汽车安全,由于面对的风险不同,它的方案很难完全复制到其他领域。智能家居安全、工控机安全、医疗设备安全都是未来不同的安全领域。
这些领域非常细分,所有的方案都无法通用,另外对于同一个 IoT设备来说,还存在不同类型的安全需求。例如:端本身的安全、传输过程中的认证和加密安全、云端安全。这就造成了一个复杂的安全局面:
可能有十个 IoT 安全的细分领域,每个领域又需要不同的端口和传输安全。每一种排列组合都需要一个细分安全公司来进行服务。
例如一些比较前沿的公司:
Covisint Corporation,可以提供多个物联网设备之间安全的信息交流平台。
CyberOwl,提供 IoT 设备早期警报和威胁情报系统。
可见,这其中会孕育出超出想象的机会。
【Covisint Corporation 提供的安全接入能力/图片来自官网】
2、移动安全市场并不美好
所谓移动安全市场,就是我刚才说到的以 Android 和 iPhone 手机端为主的安全市场。虽然移动终端已经非常普及,但是我认为,这个市场和 IoT 市场恰恰相反,并没有很大的安全需求。
从今年 RSA 的参展商来看,做移动安全的公司非常少,总数500家企业中,移动安全公司只有个位数。这也支持了我的判断。
我相信 99% 的 iPhone 都没有装安全软件,而 Android 手机上的杀毒软件重要性也在下降。这个现象背后有其原理:
当年之所以 PC 杀毒软件、安全软件可以做起来,是因为 PC 端的安全自身做得不够好,有很多病毒。但是反观移动端,目前已经进入了成熟期。iPhone 的安全性一直水准很高,而 Android 经过几年的演进,安全性也比较高。可以说,归根结底是因为移动安全市场没有那么多需求。
移动安全这个市场一度火爆,很多企业都准备大展拳脚,但是现在看来,很多企业都已经“死”了。根据我的判断,这个市场也许并不会迎来新的发展机会。
3、CASB(Cloud Access Security Broker 云安全接入代理)将会开拓新边疆
CASB 是前年和去年刚刚兴起的领域,意思是云化的 SaaS 服务中的数据安全。简单来说,就是企业在接入 SaaS 服务的过程中,可能产生数据、隐私方面的问题。
举几个例子:
Salesforece 是全球最大的 CRM(客户管理)SaaS 服务提供商,全球很多企业都接入它的系统来管理客户资源;
人力管理方面也有很多 SaaS 服务提供商,比如之前在美国上市的 Workday,微软的几十万人管理都是通过 SaaS 服务实现的;
个人工作也会接入 SaaS 服务,例如 Office 365、各类网盘。
原来全球企业只用本地软件,现在纷纷接入云端 SaaS,所以接入的过程本身产生了新的威胁。例如:SaaS 服务本身安全性如何、敏感信息是否越界上传、接入身份是否合法等等。
面对这种威胁,一些安全厂商投身于此,例如:
CipherCloud,提供全套的云端加密、监控、秘钥管理服务。
Skyhigh,提供对 Office 365,Salesforece 等知名 SaaS系统进行安全保护的产品。
CloudLock,可以对所有购买和自建的云端应用实施安全保护。
【Skyhigh 产品适配的部分软件】
就国内厂商来说,360 今年也发布了 CASB 方面的产品,意在提前布局市场。CASB 的市场将会很广阔,但是根据我的观察,国内 SaaS 服务的市场不超过 10亿,很多公司还没有使用 SaaS 服务,所以在国内现阶段推出 CASB 产品,也许有些为时过早。
就全球来说,CASB 也在成熟过程中。有一点可以作证这个观点,那就是 CASB 产品的形态还在一直变化。
目前大量的 CASB 都是基于 SaaS 服务商(财务、客户、办公)提供的 API 接口来做的,根据 SaaS 服务商的数据来做分析,这种方法严重依赖 API 的成熟度和完整度。如果 SaaS 服务商本身提供的数据就不完整,CASB 的监控能力就会很差。
基于此,今年有一些安全厂商选择通过流量分析的方法来获取数据。因为企业员工上网一定会通过网络接口,实际上在接口处的流量相对更加全面,所以最新的产品形态是:CASB 厂商通过网络接口流量进行威胁分析,试图更完整地解决问题。
4、威胁情报、UBA、安全运维自动化
除了以上比较明朗的技术趋势外,还有一些更加细分的领域。但是在我看来,这些细分领域并不是产品的最终形态,而更像是面对安全厂商的技术。
1)威胁情报
威胁情报不应该面对最终用户,应该面对安全厂商。我认为终端用户用不了威胁情报的数据,这些数据应该由具体的安全服务厂商进行分析之后,落实到具体的产品中,才可以为用户所用。
例如,威胁情报可以用在大数据分析平台、WAF、终端安全、数据安全等等产品上。
据此,我认为直接面向终端用户的威胁情报可能走不通。
2)UBA
UBA 全称是用户行为分析(user behavior analytics),简单来说就是从企业用户的角度来入手,通过分析用户的一般行为,对用户的安全等级进行标注,一旦感知到异常行为,就可以进行预警。这种技术同样可以应用在安全产品之中。
3)安全运维自动化
安全运维自动化,是一个更激进的安全管理形态。顾名思义,这种技术想要实现在无人值守的情况下进行自动安全运维,目前这种技术仍然处在初期阶段。同样,这也不是一个产品形态,目前,有一些运维自动化的方案已经出来,但是在后期可能会和具体的产品相结合。
五、冷清的中国展台,我们长路漫漫
今年的 RSA,有来自中国的 30家安全厂商,包括华为、360 在内的大厂商,还有很多中小厂商。但是一个普遍的感觉就是:中国展台很冷清。
我觉得原因在于,中国的安全企业业务没有全球化。简单来说就是,安全产品没有卖给国外的用户。
这其中又反映出中美安全厂商的不同点:
美国的安全厂商,一个公司通常只做一个领域的产品。例如美国厂商 Rapid 7,它只做“漏洞管理”这一项业务,非常专一;例如 Palo Alto Networks,就是防火墙做得最好,它的核心能力就是“流量解析”。
中国的安全厂商,一般会覆盖很多安全领域。国内的 Top 安全厂商,没有二三十个产品都不敢和别人打招呼。
究其原因的话,很重要的一点应该是:中国市场还没有形成足以养活“专一”安全企业的规模。受限于目前的市场规模,所以国内的安全市场是“销售主导”。也就是说本来客户就这么多,但是企业要多收钱,所以只好开发出更多的产品。
当然,市场最终拼的是能力,而不是销售。如果一家厂商未来要做到百亿美金的安全公司,至少有一点要做到“全球最好”。而在一点上做到最好,显然就不会有更多的资源和精力去做其他领域。
以阿里云安全为例,我们的核心任务就是把平台的稳定性做到最好,据此我们最需要的底层能力就是“抗 DDoS”,所以在抗 DDoS 方面,我们的能力就要做到全球最好。至于其他业务,我们会和全世界最好的 IoT 安全公司合作,和最好的数据安全公司合作,和最好的 Docker 安全公司合作,和最好的威胁情报公司合作等等。
对于中国安全企业来说,做到某一个点的全球最好,仍然前路漫漫。中国企业展位门庭若市的那一天,仍然需要我们共同的努力。
小结·采访手记
中国顶级安全公司纷纷出海,但是肖力却冷静地看到了我们某种程度的“自说自话”。这种冷静可以解读为一个安全研究员的职业直觉;从另一个角度来说,认清我们的优势和劣势,正是攻城略地前的寂静。
公共云 SaaS 安全服务、安全数据智能、IoT 安全、CASB,是肖力热情赞颂的四座高地。这四个领域有着一个共同点,那就是在现有基础上,赛博世界的元素(服务、数据、终端)更加密集、频繁、安全地连接。
几十年前,从全世界第一台电脑接入互联网开始,我们就在期待每一个新的赛博世界的子民。而当亿万设备裹挟着重若泰山的数据向我们的互联网点头致意的时候,我们需要有足够的自信,给它们安全的承诺。据此,肖力的洞见,值得玩味。
