疾風(fēng)知?jiǎng)挪?，烈火出真金?/p>

2018年4月下旬，中美貿(mào)易戰(zhàn)終于打到核心區(qū)，所有人這才幡然意識(shí)到之前的鋼鐵戰(zhàn)和大豆戰(zhàn)都只是演習(xí)，美國人終于祭出了真正的底牌，網(wǎng)絡(luò)安全與信息化領(lǐng)域才是這場戰(zhàn)役的主戰(zhàn)場。而幾乎同時(shí)，中美兩場高端的網(wǎng)絡(luò)安全大秀也不約而同在兩地上演，舊金山RSA和北京429首都網(wǎng)絡(luò)安全日的展會(huì)現(xiàn)場似乎更多了一些火藥味兒。本著“比較研究與自我批判”的態(tài)度，筆者通過窺探兩場風(fēng)格截然不同的展會(huì)，淺顯談一談中美網(wǎng)絡(luò)安全產(chǎn)品與思維模式的異同，希望對(duì)國內(nèi)同行有所啟發(fā)。

[[232597]]

計(jì)算機(jī)發(fā)明于美國，互聯(lián)網(wǎng)起源于美國，第一家網(wǎng)絡(luò)安全公司也誕生于美國。我們當(dāng)今所從事的幾乎所有網(wǎng)安產(chǎn)品與服務(wù)，遠(yuǎn)到防火墻、VPN、身份認(rèn)證，近到APT、威脅情報(bào)、態(tài)勢感知，無一例外都是西方最先提出并實(shí)踐。硅谷的神奇就在于無數(shù)個(gè)概念被創(chuàng)造、被實(shí)現(xiàn)、被顛覆、又被重構(gòu)，而一代代產(chǎn)品升級(jí)迭代的背后是數(shù)十年巨大的資本、人才與思想的驚人積累。美國很多偉大的公司脫胎于“實(shí)驗(yàn)室”或者“車庫房”，正是因?yàn)槟切┢髽I(yè)或者產(chǎn)品創(chuàng)始人最初心懷的只是非常樸素的“任務(wù)感”，或去解決某個(gè)實(shí)際問題，或是帶來某種過程便利，或者替代某個(gè)老舊裝置，通過這個(gè)原點(diǎn)慢慢發(fā)展和擴(kuò)大，最終形成龐大系統(tǒng)。中國網(wǎng)絡(luò)安全產(chǎn)業(yè)起步較晚，幾乎都是基于美國已經(jīng)建立好的規(guī)范和基礎(chǔ)之上發(fā)展而來，或者是拿來主義，或者是本土優(yōu)化，或者是局部創(chuàng)新，缺乏常年的工程思維積淀。與汽車、飛機(jī)、金融、芯片等領(lǐng)域一樣，國人真的不能輕易說領(lǐng)先，更不敢妄談超越，我們就應(yīng)當(dāng)老老實(shí)實(shí)承認(rèn)自己只是個(gè)學(xué)習(xí)者和追隨者。都說做人要上善若水，謹(jǐn)慎謙虛的態(tài)度對(duì)產(chǎn)業(yè)發(fā)展絕對(duì)有利無害。反觀國內(nèi)近幾年火熱的政策導(dǎo)向，在資本追捧之下，網(wǎng)絡(luò)安全從業(yè)工程師們似乎早已離原點(diǎn)越走越遠(yuǎn)。

客戶需要“藥品”還是“保健品”?

某品牌藥酒最近走上了輿論的風(fēng)口浪尖，給喜歡各種“補(bǔ)腎”和“養(yǎng)生”的國人敲了一記警鐘。往往消費(fèi)者的心態(tài)和知識(shí)不夠成熟時(shí)，才容易輕信“十全大補(bǔ)”這類方法，而從科學(xué)和辯證的角度看一定不會(huì)存在普適性的解決方案，最有效的路線一定是準(zhǔn)確找到病灶并精準(zhǔn)打擊。RSA公司的總裁Rohit Ghai在今年RSA2018開場的主題演講中提到：“面對(duì)現(xiàn)今愈演愈烈的安全威脅，越來越多的人已經(jīng)放棄“銀彈”思維，并不期望什么靈丹妙藥可以解決所有安全問題，而是非常務(wù)實(shí)地‘每天進(jìn)步1%’，并不幻想在某一天突然達(dá)到完美的狀態(tài)。通過擁抱行為分析和網(wǎng)絡(luò)安全可視化等新技術(shù)，通過安全從業(yè)者之間的協(xié)同，持續(xù)改進(jìn)和優(yōu)化我們的安全產(chǎn)品與技術(shù)，應(yīng)對(duì)每一個(gè)具體的安全威脅。””從RSA現(xiàn)場看，專業(yè)安全廠商確實(shí)也越來越專注，各家展臺(tái)上少了華而不實(shí)的概念，多了成熟產(chǎn)品和技術(shù)的展示，多了成功案例的介紹。而不得不說，429首都網(wǎng)絡(luò)安全日展會(huì)的現(xiàn)場則更像一場面向中老年消費(fèi)者的保健品展銷會(huì)，筆者看到一位曾經(jīng)在大公司低調(diào)務(wù)實(shí)的技術(shù)主管，創(chuàng)業(yè)后竟然也對(duì)著展板歇斯底里的傳銷如何用他的技術(shù)讓使用者一勞永逸，與黑客威脅后會(huì)無期，讓人領(lǐng)口陣陣?yán)錃馍细Z。而同樣在RSA期間，筆者與一位老友相見，老大哥說他們用幾十位實(shí)戰(zhàn)經(jīng)驗(yàn)豐富的工程師配合全包流量分析技術(shù)，只做精做專了特種木馬追蹤這一件事，國內(nèi)高端行業(yè)客戶把這只團(tuán)隊(duì)稱為“殺馬特”，幾乎所有的政府部委都使用了他們的產(chǎn)品與服務(wù)，這樣的團(tuán)隊(duì)才值得打從心底佩服。

我們到底為了什么而“技術(shù)整合”?

RSA2018上，幾乎所有的大牌安全公司包括CheckPoint、IBM、Fortinet、McAfee，都在談同一個(gè)概念---“技術(shù)整合”。新一代的安全體系早已不依賴于傳統(tǒng)的防御設(shè)備，而是通過整合網(wǎng)絡(luò)、終端、服務(wù)、數(shù)據(jù)等多個(gè)系統(tǒng)，綜合關(guān)聯(lián)分析包括日志、流量、行為、配置、事件等多種來源的數(shù)據(jù)，構(gòu)建更完整的安全監(jiān)測、運(yùn)營、呈現(xiàn)與響應(yīng)系統(tǒng)。而在中國，這套技術(shù)體系則被取上了一個(gè)更富有戰(zhàn)爭色彩的名字---“態(tài)勢感知”，當(dāng)然429展會(huì)上幾乎所有人都需要無限貼近“態(tài)勢感知”這個(gè)名詞，知名大廠商自然當(dāng)仁不讓，而一眾中小企業(yè)竟然也趨之若鶩，從而我們看到了“數(shù)據(jù)庫態(tài)勢感知”、“密碼態(tài)勢感知”、“身份態(tài)勢感知”甚至“機(jī)房態(tài)勢感知”等新鮮名詞。

筆者今年初曾經(jīng)拜訪過一位部委信息中心負(fù)責(zé)人，他用幾乎帶有憤怒的情緒講述，2017年初花2千多萬建了所謂“態(tài)勢感知”平臺(tái)，所有的設(shè)備也都開啟了日志采集，新購的探針都處于運(yùn)行狀態(tài)，一年里系統(tǒng)共產(chǎn)生并存儲(chǔ)了近4億條日志，但沒有觸發(fā)一起所謂事前的預(yù)警，更別提企業(yè)宣稱的未知威脅檢測，所有投標(biāo)標(biāo)書和宣傳冊(cè)里的功能最終都成了一場空。這個(gè)案例，值得我們靜下心來分析。

目前客戶的數(shù)據(jù)庫中確實(shí)已經(jīng)收集和存儲(chǔ)了大量的安全數(shù)據(jù)和日志，分布在不同的系統(tǒng)和業(yè)務(wù)中，形成了難以維護(hù)管理的“蜘蛛網(wǎng)”，如果能建立統(tǒng)一的數(shù)據(jù)管理和訪問平臺(tái)，提供“一站式”的數(shù)據(jù)訪問服務(wù)確實(shí)大快人心。然而這個(gè)過程其實(shí)并不簡單，首先將多源數(shù)據(jù)整合必然存在抽取、清洗、轉(zhuǎn)換、合并的過程，大批量的數(shù)據(jù)遷移需要投入的技術(shù)與成本相當(dāng)高。其次要根據(jù)用戶的業(yè)務(wù)和運(yùn)行流程建立安全模型實(shí)際上是非常困難的，需要精通用戶業(yè)務(wù)、深諳安全分析并掌握大數(shù)據(jù)算法的跨三界工程師緊密配合，要投入大量人力服務(wù)，而不是單純靠機(jī)器能夠完成。我想，這正是為什么國外只有大廠家才敢于談“技術(shù)整合”，而專業(yè)廠家只依靠單純數(shù)據(jù)來源做單一安全數(shù)據(jù)分析的原因。國內(nèi)寥寥數(shù)個(gè)人的創(chuàng)業(yè)公司都敢提這么宏大的概念，想必只是為了“技術(shù)整合”而整合吧。

國家需要一輛“概念車”么?

這是一個(gè)知識(shí)獲取成本最低的時(shí)代，從咖啡館到沙縣小吃，到處在談?wù)撋虡I(yè)模式與互聯(lián)網(wǎng)思維，我60多歲的父親每天飯后跟我探討的都是新零售和共享經(jīng)濟(jì)。自從賈兄開了賣概念手機(jī)概念車的先河，網(wǎng)絡(luò)安全企業(yè)創(chuàng)始人們不管對(duì)外宣布融到的資金是實(shí)際到賬的幾倍，必須先“受邀”參加數(shù)十場冠以“全球”至少“中國”的高端會(huì)議，穿上黑色T恤用踱步法娓娓講述一套換了右上角Logo任何公司都適用的充滿國際化設(shè)計(jì)感圖標(biāo)的炫酷黑底PPT，始于伊朗核電站的鬼故事結(jié)尾于天下無賊的童話故事，云計(jì)算大數(shù)據(jù)區(qū)塊鏈人工智能機(jī)器學(xué)習(xí)缺一不可，最后還一定會(huì)毫無懸念地“斬獲”評(píng)委大獎(jiǎng)并受到高度關(guān)注。

鴻茅藥酒樂視車，誤人誤己誤國，營銷過度與泛濫某種層面上扭曲了企業(yè)家們創(chuàng)業(yè)的初衷，而變味的“概念車”終究開不上改革開放的快車道，會(huì)蒙蔽甚至阻礙產(chǎn)業(yè)的發(fā)展，而始作俑者最終也會(huì)付出代價(jià)。正如煉金時(shí)所有的虛假與雜質(zhì)在烈火之中總會(huì)悉數(shù)褪去，無論行業(yè)多么繁榮、技術(shù)如何浮夸、資本怎樣追捧，在赤裸裸的商業(yè)與技術(shù)戰(zhàn)爭面前一切都會(huì)顯出真實(shí)本性。中美之間的角力永不會(huì)停止且一直在升級(jí)，只有堅(jiān)持核心技術(shù)專注度，加大研究與開發(fā)投入，聚焦于用戶需求痛點(diǎn)上不拋棄不放棄，才能在這場戰(zhàn)爭中浴火而生。

筆者也很欣喜地看到，在信息安全領(lǐng)域，涌現(xiàn)出了一批優(yōu)秀的堅(jiān)持自主創(chuàng)新的企業(yè)，比如安博通、青藤云安全、科來、恒揚(yáng)數(shù)據(jù)等(后面會(huì)做出它們的技術(shù)優(yōu)勢分析)，都在通過不斷的技術(shù)創(chuàng)新，持續(xù)為國家網(wǎng)絡(luò)安全事業(yè)的發(fā)展貢獻(xiàn)力量。希望這場貿(mào)易戰(zhàn)，帶給我們的，不僅是美國封殺中興的血淚教訓(xùn)，更應(yīng)成為國人必須在信息安全領(lǐng)域掌握核心技術(shù)的決心與行動(dòng)!

安博通：在今年RSA大會(huì)上，安博通全新推出的“攻擊面可視化“解決方案引起了不小的關(guān)注。自推出可視化產(chǎn)品以來，安博通以安全策略為切入點(diǎn)，雖然產(chǎn)品一直在不斷疊加流量威脅分析、安全事件分析、主機(jī)安全防護(hù)等元素，但始終緊緊圍繞安全策略這個(gè)核心元素在發(fā)展產(chǎn)品。在防御體系視角上，安博通聚焦于縮小攻擊面、延長攻擊時(shí)間、及時(shí)發(fā)現(xiàn)及時(shí)告警、提高攻擊的門檻，通過對(duì)安全防御系統(tǒng)進(jìn)行“免疫力提升”的方式增加抗風(fēng)險(xiǎn)能力，這種踏實(shí)穩(wěn)健的思路讓客戶更易接受，也得到眾多業(yè)界專家認(rèn)可。

青藤云安全：在RSA大會(huì)上，青藤云安全的主推產(chǎn)品“云工作負(fù)載安全態(tài)勢感知平臺(tái)”英文版首次亮相，包含資產(chǎn)清點(diǎn)、風(fēng)險(xiǎn)發(fā)現(xiàn)及入侵檢測三大功能模塊，為云工作負(fù)載安全需求提供一套完整的解決方案，在大會(huì)上獲得參觀者的廣泛關(guān)注。在多云環(huán)境下，對(duì)跨平臺(tái)的云工作負(fù)載資產(chǎn)變化及實(shí)時(shí)威脅動(dòng)態(tài)感知，并對(duì)其配置作統(tǒng)一管理，已成為安全管理者的痛點(diǎn)，這也需要廠商們以開放的姿態(tài)共同努力(Circle the Wagons)。青藤云安全作為亞洲主機(jī)安全的新銳和代表廠商，也正為擁抱這一趨勢而努力。

科來：作為做精做專一件事的代表，科來雖然沒有在RSA大會(huì)上參展，卻也派出強(qiáng)大的陣容到會(huì)學(xué)習(xí)。在與科來工程師的交流中，筆者深切地感覺到這家公司專注、踏實(shí)、穩(wěn)健的技術(shù)范作風(fēng)，目前科來正致力于將人工智能的技術(shù)應(yīng)用于流量分析和網(wǎng)絡(luò)安全，我們對(duì)科來的創(chuàng)新方案拭目以待。

恒揚(yáng)數(shù)據(jù)：作為業(yè)界領(lǐng)先的基于機(jī)器學(xué)習(xí)的大數(shù)據(jù)基礎(chǔ)設(shè)施及應(yīng)用解決方案提供商，此次參加RSA2018大會(huì)，恒揚(yáng)主推的產(chǎn)品及解決方案包括FPGA云服務(wù)(FaaS)解決方案、固網(wǎng)網(wǎng)絡(luò)可視化基礎(chǔ)設(shè)施及移動(dòng)網(wǎng)絡(luò)可視化基礎(chǔ)設(shè)施解決方案。iNext加速卡是一款基于Xilinx公司FPGA芯片開發(fā)的PCIe卡，可以為云計(jì)算等應(yīng)用領(lǐng)域提供高性能的計(jì)算能力，其方案中數(shù)據(jù)采集、數(shù)據(jù)分析、數(shù)據(jù)應(yīng)用的思路清晰而全面。