阿裡雲,這個國内最大的雲計算平台,服務着萬億企業的資料和業務。它所代表的雲計算能力已經像水、電一樣成為了網際網路國度的基礎設施。
難以想象如果一個城市的水源幹涸、電力枯竭,将引發怎樣的災難。對阿裡雲來說,安全是巨大的雲城邦腳下的基石。而肖力,作為2005年就加入阿裡巴巴的第一個安全工程師、阿裡雲安全團隊的締造者,正承擔着這份守土之責。
肖力是為數不多站在技術和戰略十字路口的人,他無時無刻不在尋找世界上最先進的武器和部隊來守衛阿裡雲計算。于是,他對于未來一年、五年、十年網絡安全趨勢的洞見,也許會深切地影響中國網際網路安全的發展脈絡。
每年,肖力都會出現在各大世界頂級安全會議的現場,感受最新安全技術形勢的變化。rsa 大會,是全球安全廠商一年一度的聚會,被視為全球安全行業的風向标。每年全球 top 500 的安全廠商都會積極參與 rsa 的技術分享,并借此機會為自己的最新技術找到“用武之地”。
客觀地說,全球安全技術仍然以美國為中心,rsa 上的無數公司拼湊出了一幅安全界的清明上河圖,這番圖景,對于安全産業發展較美國有“代溝”的中國,有着極強的借鑒意義。
剛剛從舊金山 rsa 現場歸來的肖力,帶回了從網際網路安全高地繪制的最新趨勢圖。雷鋒網(公衆号:雷鋒網)宅客頻道在第一時間采訪到肖力,讓他展示了這份最新的“作戰地圖”。
【肖力】
在描述今年 rsa 所有的具體技術趨勢之前,我最願意分享一個今年的總關鍵詞,那就是“合作”。這個詞聽上去不性感,卻是安全行業發展到現在,一個必然到來的總趨勢。
安全有點不一樣。
在網際網路的其他領域,通常會出現巨頭一家獨大,能占領70%-80%的市場。
但我感受到安全這片土地,一定不是巨頭霸占的領域。為什麼這樣說呢?因為安全并不垂直,恰恰相反它涉及到網際網路和商業世界的所有領域,可謂安全無處不在。這些領域太廣泛了,是以不可能有一個巨頭說:我的産品在所有領域都是最好的。
就算是我們耳熟能詳的安全大咖:mcafee、賽門鐵克,他們的收入在整個安全市場的占比還是很少的。我看到的是,安全的每個細分領域都有“頭牌公司”。
對于一個企業來說,它的安全需求是“碎片化”的,這意味着企業要搞定各個方向可能存在的安全問題,就一定會選用多個領域的安全産品。根據我的觀察,每個公司都需要5-10個領域的安全産品。例如:
内網安全:企業員工的pc、移動端裝置安全; 資料中心安全:企業的核心業務資料可靠性安全; 系統安全:企業各大 oa、crm 等辦公系統的安全; web 安全:企業對外服務的網絡安全; 等等。。。
千裡之堤潰于蟻穴。對于企業來說,所有的次元一旦出現任何一個短闆,它的安全性都會破碎。這個特性就要求各個方向的安全産品之間的關聯合作,它們隻有拼成一個整體,才能為企業提供最安全的服務。
今年的 rsa,我感受到了一個關鍵詞:合作。這說明安全行業也已經意識到了,合作是至關重要的。
但實際上目前安全廠商的合作現狀并不好。
以資料日志為例,網絡、系統、主機都會産生資料日志,把這些日志彙總分析,才能得到整體的安全态勢。但是,目前諸多安全廠商的日志格式、标準都不同。甚至在安全領域專門出現了一個領域:安全日志的橫向管理分析。産生了安全大資料産品——siem,siem 第一個核心競争力就是翻譯各個安全産品的日志。
由于日志的碎片化和不統一,翻譯的做法,一定不如原生的統一格式日志。雲是一個非常好的機會,消除不同日志之間隔閡的機會。在這種統一的 api 接口基礎上,安全産品的聯合才能變得更容易。
作為雲計算的服務商,我們最希望看到各大安全産品能夠在我們的平台上實作資料、日志、接口的聯合。這樣才能讓我們平台上的使用者更加堅不可摧。
在 rsa 上觀察各大廠商主推的産品,就可以清晰地看出安全産業的發展趨勢。
以前,全球的安全廠商都在賣“盒子”; 從去年開始,有一些廠商推出了基于 api 接口提供的雲化服務; 今年,大部分安全廠商都在提供基于公共雲(即一些人了解的公有雲)的雲安全 saas 服務。
這說明 saas 安全服務已經成為了一個不可逆的主流趨勢。舉兩個例子:
fastly 是一家 cdn 廠商,在今年他們開始提供雲安全産品; quantil 也是一家 cdn 廠商,今年同樣推出了雲安全産品。
從這一點上看,可以看出美國和中國安全發展的最大不同:
根據我的觀察,美國雲計算發展要領先中國兩年。之是以得出這樣的判斷,是參考了 saas服務的成熟度。在美國,基于公共雲的 saas 服務已經成為了企業服務的主要形式;而在中國 saas 服務本身都還沒起來,是以 saas 安全服務也同樣不成熟。
但是,我堅信公共雲計算服務是未來網際網路的趨勢。我可以舉一個例子:
前兩年我曾經和 gartner 的分析師交流,我詢問他怎麼看未來雲計算市場上“公共雲”和“私有雲”的比例。他的判斷是50%-50%,也就是公共雲和基于 spark 或 hadoop 的私有雲各占一半。 今年我又去詢問了安全界的同行,所有人都給出了公共雲超過80%,20%私有雲的判斷。從廠商展示的雲解決方案來看也印證了這樣的說法。之前有的廠商把“支援私有雲部署”作為賣點,但是今年,已經很少有人講這一點了。
雖然一些廠商還在私有雲方面發力,但是我認為在美國這個趨勢已經很明顯了。
波音公司,全球頂尖的大飛機制造公司,所有的核心系統都跑在微軟的雲計算上。
當高等級安全需求的大型企業、銀行、政府系統都上了公共雲,他們經過嚴格的評估,認可在公共雲上劃出的“邏輯隔離區”的安全性。良好的示範效應會使得其他行業迅速跟進,擁抱公共雲。
從我的角度來看,公共雲至少有三點優勢:
1)彈性擴充。公共雲可以提供無限的算力和存儲空間。 2)快速疊代。公共雲可以做到每天更新,快速疊代。如果大企業選擇私有雲,就沒有辦法享受到最新的技術紅利,有“被幹掉”的風險。 3)資料打通。資料智能是未來的趨勢,初期大家都玩自己的資料,未來更多企業需要資料共享分析。而私有雲很難和外界打通資料。例如阿裡雲正在做的城市大腦,需要同時分析十幾個資料源的資料,這隻在公共雲上有可能實作。
說了這麼多公共雲的優勢,不僅僅因為我們所做的是公共雲計算,而是因為當公共雲計算成為趨勢的時候,基于公共雲的安全産品才能真正被人認可,從技術上和易用性上成為首選。
根據我的觀察,國内大的安全公司,已經把産品雲化,說明他們也非常認可這個趨勢。
資料智能是我在今年 rsa 上看到的最明顯的趨勢。資料智能在交通、金融等等方面都已經有大量的案例,安全的資料智能也成為人人争搶的高地。
我了解的資料智能,包括了基于資料的機器學習和人工智能。
以前,如果你的産品不叫“下一代防火牆”“下一代終端安全”,都不好意思和人打招呼; 今年,如果你不說自家的産品是基于大資料、人工智能,也不好意思和人打招呼。
舉例來說:
logtrust,可以實時收集企業各個方面的資料,并且利用資料智能分析實時給出安全狀況分析; splunk,可以為來自任何應用、伺服器或網絡裝置的資料實時建立索引,讓企業可以搜尋; logrhythm,通過資料智能分析,幫助企業監測、分析和抵抗網絡威脅; cloudera,通過資料分析的手段,幫助使用者保護自己的核心資産。
【splunk将使用者資料同一導入大資料平台/圖檔來自官網】
客觀來說,資料智能也是技術發展的必然歸宿:
一家企業的通路量達到數億,如果靠人工來判斷每一個請求是否安全,顯然不可能做到。以前大部分人的方法是使用“規則”,把經驗寫成規則來“過濾”非法請求。但是,随着攻擊者的“玩法”越來越進階,傳統的過濾方法可以被輕易繞過,安全研究員們必須找到一種“新的”“自動化”的方法來發現風險和攻擊者。
這就必然是資料智能。
例如,知名的資料智能公司 splunk,他們将使用者的各方面資料(包括主機、系統、web日志等等)統一導入大資料平台,制造出可以分析威脅的引擎,這已經成為了行業的最佳實踐模型包。 再例如,rsa 今年的初創公司評比——“創新沙盒”大賽上,拔得頭籌的“unifyid”,核心就是把來自 iot 裝置的海量數居上傳到雲端,通過機器學習的方法判定:哪些裝置是可信的,進而識别裝置背後的人的身份,保護系統、資料安全。
整個行業的趨勢就是:越是頂級的安全公司,越是重視資料智能在安全領域的應用。
除了 rsa 上人人都在喊的方向,還有一些隻有少數前瞻性公司涉獵的安全方向,這些方向一方面有可能在未來會是安全的新邊疆,但顯然在今年還沒有進入爆發期;一方面可能是一個并不正确或者尚未探明模式的方向。我試着對這些技術趨勢給出自己的判斷。
有一個趨勢大家都可以看到:
過去,人們面對的終端是pc, 目前,人們面對一個新的端:移動端,就是我們的 android 和 iphone。 未來,人們将會面對 iot 和萬物互聯。
雖然大家都看好 iot 領域的安全市場,但是由于 iot 本身剛剛開始,是以在 rsa 上自認為是 iot方向安全廠商的人還很少。是以我認為 iot 安全的市場還沒有起來,因為 iot 本身的市場還沒辦法養活依附其上的安全市場。
但是我堅信一個判斷:
iot市場和安全市場本身類似,都是碎片化的領域。沒有一個廠商的安全方案可以把所有的 iot 安全都搞定。
舉個例子:
“汽車”這個 iot領域最大的端,可能有專門的安全廠商隻做汽車安全,由于面對的風險不同,它的方案很難完全複制到其他領域。智能家居安全、工控機安全、醫療裝置安全都是未來不同的安全領域。
這些領域非常細分,所有的方案都無法通用,另外對于同一個 iot裝置來說,還存在不同類型的安全需求。例如:端本身的安全、傳輸過程中的認證和加密安全、雲端安全。這就造成了一個複雜的安全局面:
可能有十個 iot 安全的細分領域,每個領域又需要不同的端口和傳輸安全。每一種排列組合都需要一個細分安全公司來進行服務。
例如一些比較前沿的公司:
covisint corporation,可以提供多個物聯網裝置之間安全的資訊交流平台。 cyberowl,提供 iot 裝置早期警報和威脅情報系統。
可見,這其中會孕育出超出想象的機會。
【covisint corporation 提供的安全接入能力/圖檔來自官網】
所謂移動安全市場,就是我剛才說到的以 android 和 iphone 手機端為主的安全市場。雖然移動終端已經非常普及,但是我認為,這個市場和 iot 市場恰恰相反,并沒有很大的安全需求。
從今年 rsa 的參展商來看,做移動安全的公司非常少,總數500家企業中,移動安全公司隻有個位數。這也支援了我的判斷。
我相信 99% 的 iphone 都沒有裝安全軟體,而 android 手機上的防毒軟體重要性也在下降。這個現象背後有其原理:
當年之是以 pc 防毒軟體、安全軟體可以做起來,是因為 pc 端的安全自身做得不夠好,有很多病毒。但是反觀移動端,目前已經進入了成熟期。iphone 的安全性一直水準很高,而 android 經過幾年的演進,安全性也比較高。可以說,歸根結底是因為移動安全市場沒有那麼多需求。
移動安全這個市場一度火爆,很多企業都準備大展拳腳,但是現在看來,很多企業都已經“死”了。根據我的判斷,這個市場也許并不會迎來新的發展機會。
3、casb(cloud access security broker 雲安全接入代理)将會開拓新邊疆
casb 是前年和去年剛剛興起的領域,意思是雲化的 saas 服務中的資料安全。簡單來說,就是企業在接入 saas 服務的過程中,可能産生資料、隐私方面的問題。
舉幾個例子:
salesforece 是全球最大的 crm(客戶管理)saas 服務提供商,全球很多企業都接入它的系統來管理客戶資源; 人力管理方面也有很多 saas 服務提供商,比如之前在美國上市的 workday,微軟的幾十萬人管理都是通過 saas 服務實作的; 個人工作也會接入 saas 服務,例如 office 365、各類網盤。
原來全球企業隻用本地軟體,現在紛紛接入雲端 saas,是以接入的過程本身産生了新的威脅。例如:saas 服務本身安全性如何、敏感資訊是否越界上傳、接入身份是否合法等等。
面對這種威脅,一些安全廠商投身于此,例如:
ciphercloud,提供全套的雲端加密、監控、秘鑰管理服務。 skyhigh,提供對 office 365,salesforece 等知名 saas系統進行安全保護的産品。 cloudlock,可以對所有購買和自建的雲端應用實施安全保護。
【skyhigh 産品适配的部分軟體】
就國内廠商來說,360 今年也釋出了 casb 方面的産品,意在提前布局市場。casb 的市場将會很廣闊,但是根據我的觀察,國内 saas 服務的市場不超過 10億,很多公司還沒有使用 saas 服務,是以在國内現階段推出 casb 産品,也許有些為時過早。
就全球來說,casb 也在成熟過程中。有一點可以作證這個觀點,那就是 casb 産品的形态還在一直變化。
目前大量的 casb 都是基于 saas 服務商(财務、客戶、辦公)提供的 api 接口來做的,根據 saas 服務商的資料來做分析,這種方法嚴重依賴 api 的成熟度和完整度。如果 saas 服務商本身提供的資料就不完整,casb 的監控能力就會很差。
基于此,今年有一些安全廠商選擇通過流量分析的方法來擷取資料。因為企業員工上網一定會通過網絡接口,實際上在接口處的流量相對更加全面,是以最新的産品形态是:casb 廠商通過網絡接口流量進行威脅分析,試圖更完整地解決問題。
除了以上比較明朗的技術趨勢外,還有一些更加細分的領域。但是在我看來,這些細分領域并不是産品的最終形态,而更像是面對安全廠商的技術。
威脅情報不應該面對最終使用者,應該面對安全廠商。我認為終端使用者用不了威脅情報的資料,這些資料應該由具體的安全服務廠商進行分析之後,落實到具體的産品中,才可以為使用者所用。
例如,威脅情報可以用在大資料分析平台、waf、終端安全、資料安全等等産品上。
據此,我認為直接面向終端使用者的威脅情報可能走不通。
uba 全稱是使用者行為分析(user behavior analytics),簡單來說就是從企業使用者的角度來入手,通過分析使用者的一般行為,對使用者的安全等級進行标注,一旦感覺到異常行為,就可以進行預警。這種技術同樣可以應用在安全産品之中。
安全運維自動化,是一個更激進的安全管理形态。顧名思義,這種技術想要實作在無人值守的情況下進行自動安全運維,目前這種技術仍然處在初期階段。同樣,這也不是一個産品形态,目前,有一些運維自動化的方案已經出來,但是在後期可能會和具體的産品相結合。
今年的 rsa,有來自中國的 30家安全廠商,包括華為、360 在内的大廠商,還有很多中小廠商。但是一個普遍的感覺就是:中國展台很冷清。
我覺得原因在于,中國的安全企業業務沒有全球化。簡單來說就是,安全産品沒有賣給國外的使用者。
這其中又反映出中美安全廠商的不同點:
美國的安全廠商,一個公司通常隻做一個領域的産品。例如美國廠商 rapid 7,它隻做“漏洞管理”這一項業務,非常專一;例如 palo alto networks,就是防火牆做得最好,它的核心能力就是“流量解析”。 中國的安全廠商,一般會覆寫很多安全領域。國内的 top 安全廠商,沒有二三十個産品都不敢和别人打招呼。
究其原因的話,很重要的一點應該是:中國市場還沒有形成足以養活“專一”安全企業的規模。受限于目前的市場規模,是以國内的安全市場是“銷售主導”。也就是說本來客戶就這麼多,但是企業要多收錢,是以隻好開發出更多的産品。
當然,市場最終拼的是能力,而不是銷售。如果一家廠商未來要做到百億美金的安全公司,至少有一點要做到“全球最好”。而在一點上做到最好,顯然就不會有更多的資源和精力去做其他領域。
以阿裡雲安全為例,我們的核心任務就是把平台的穩定性做到最好,據此我們最需要的底層能力就是“抗 ddos”,是以在抗 ddos 方面,我們的能力就要做到全球最好。至于其他業務,我們會和全世界最好的 iot 安全公司合作,和最好的資料安全公司合作,和最好的 docker 安全公司合作,和最好的威脅情報公司合作等等。
對于中國安全企業來說,做到某一個點的全球最好,仍然前路漫漫。中國企業展位門庭若市的那一天,仍然需要我們共同的努力。
中國頂級安全公司紛紛出海,但是肖力卻冷靜地看到了我們某種程度的“自說自話”。這種冷靜可以解讀為一個安全研究員的職業直覺;從另一個角度來說,認清我們的優勢和劣勢,正是攻城略地前的寂靜。
公共雲 saas 安全服務、安全資料智能、iot 安全、casb,是肖力熱情贊頌的四座高地。這四個領域有着一個共同點,那就是在現有基礎上,賽博世界的元素(服務、資料、終端)更加密集、頻繁、安全地連接配接。
幾十年前,從全世界第一台電腦接入網際網路開始,我們就在期待每一個新的賽博世界的子民。而當億萬裝置裹挾着重若泰山的資料向我們的網際網路點頭緻意的時候,我們需要有足夠的自信,給它們安全的承諾。據此,肖力的洞見,值得玩味。