對話亞信安全：網絡加密流量增多，企業數字化轉型加速，終端正在成為網絡安全的新邊界｜36氪專訪

文｜沈筱

編輯｜真梓

“30年前守護PC，20年前守護網絡，10年前守護雲，今天守護5G、IOT、大資料，未來将守護人工智能、大模型”。這是亞信安全首席研發官吳湘甯，在近期舉辦的C3安全大會上，對公司終端安全業務演化曆程的回顧。

實際上，這一演化曆程也正是過去三十年，網際網路資訊技術變革下，網絡環境不斷變化、網絡安全需求場景不斷拓展的真實寫照。新技術的誕生，一方面為企業帶來了創新和發展的新機遇；另一方面，也為企業提出了如何應對創新業務場景、新興業務模式下，新型安全威脅的挑戰。

在會議上，亞信安全将網絡環境的新變化總結為兩點。一是，網絡加密流量增多，導緻大量惡意代碼、惡意攻擊隐藏在加密流量中，網絡側很難看清危險，隻有在終端增強後才能看清和處理。據Zscaler釋出的《2022年加密攻擊狀況報告》，2022年有85%以上的網絡攻擊使用加密通道；二是，随着大陸企業數字化轉型，終端已經成為員工通路各類數字化系統的重要工具，保障業務運作的連續性成為了終端安全産品需要具備的基本能力。

在這樣的背景下，亞信安全認為，終端正在成為網絡安全的新邊界，而具體到客戶的業務營運場景中，要想做到有效防護，還需解決客戶面臨的三大痛點：

一是，終端種類繁雜，涵蓋了人、數、網、物四個方面，包括操作人員使用的終端、業務系統資訊流傳的數端、臨時伺服器或雲主機等網絡端，以及手機、筆記本電腦等傳統移動端點和車聯網、物聯網等新型物聯網裝置端點。同時終端承載的業務和應用種類不斷增加，導緻終端卡慢等問題；

二是，随之而來的企業安全運維工作繁雜度和複雜度的增加。任意終端出現的潛在安全問題都會由員工送出到運維端；

三是，攻防不對稱導緻針對威脅的防護失效。一方面，現有終端安全産品的割裂；另一方面，企業的IT安全團隊和黑客團隊在人員、使用的工具、主被動性方面都存在很強的不對等。

亞信安全表示，解決上述需求痛點也是其釋出終端安全新品牌TrustOne的初衷。而要解決上述三個痛點，亞信安全認為，挑戰首先在于為了提升安全防護效率，提升防護效果，需要将攻擊面管理、關聯分析、已知未知攻擊的檢測和響應、EDR（Endpoint Detection and Response，終端響應與檢測）等各類能力融入到産品中；其次，是在實作能力整合以滿足多樣化需求的同時，要将産品變得輕量化，将備援的代碼變成原始能力，減輕客戶運維負擔，防止資源的過度消耗。

那麼，亞信安全的TrustOne是否解決了上述難點？又是如何解決的？TrustOne如何展現亞信安全對目前網絡安全新形勢的了解？以及，生成式人工智能技術的發展又為網絡安全産業帶來了哪些新的挑戰，如何應對？

圍繞上述問題，會後，36氪與其他媒體與亞信安全首席研發官吳湘甯、首席安全官徐業禮和終端安全産品總經理汪晨進行了交流。

徐業禮表示，TrustOne目前已具備輕量化、極簡化、智能化三個特征。而談及這三大特征如何與現有網絡安全形勢相耦合，汪晨認為，安全數字化和管理連續性是TrustOne強調的兩個關鍵。亞信安全一方面，通過關聯分析、将威脅情報量化、名額化，為客戶提供運維支援；另一方面，通過風險洞察、風險評估并将相應的響應舉措固化到産品中，拉通終端安全能力。但汪晨也表示，未來要進一步強化管理的連續性，實作終端安全能力的一體化，難點在于生态合作。這是由于，和國外不同，國内市場存在定制化需求，缺乏固化的标準，廠商在日志格式、API等方面都有自己的方法，難以拉通。

另外，吳湘甯指出，TrustOne能夠相容Windows、Linux、Mac，以及國産系統。他認為，目前大量企業仍處于信建立設的過渡期，既有信創的系統，也有非信創的系統，是以，關鍵在于采用同樣的安全政策，實作統一管理。

關于生成式AI技術帶來的新的安全挑戰，徐業禮指出，一是AI大模型本身涉及的資料污染、AI投毒、模型篡改，以及邊界防護、端點防護問題；二是，可能會被不法分子利用來産生誤導資訊或實施詐騙；同時，可能還涉及使用境外大模型的資料洩露問題。但他也表示，有了生成式AI技術，企業能夠更容易地複制安全專家的能力，加速系統的自動化營運。

以下是交流實錄，經編輯：

媒體：亞信安全提出TrustOne新一代終端安全，如何了解“新一代”的定義？

徐業禮：事實上，現在新的時代和老的時代本身并不是革命性的。以前存在的仍然會繼續存在，但是會增加其他的元素。

終端簡單來分，可以分為幾類。首先是人端，給員工包括給操作人員使用的終端；其次，是一個重要的資料的端點，包括本身員工的資料，以及使用業務系統流轉的資訊，我們叫數端。接下來還有網絡的端點，網絡上最終工作的節點還是以端點作為臨時伺服器，或者雲主機；另外一個就是有人操作的終端；另外，随着這幾年物聯網、車聯網、IOT出來以後，它也是一個物聯網裝置的端點，也是一個移動的端點。移動不僅限于手機，現在絕大部分的員工配的都是筆記本電腦，大部分時間要求随時随地能辦公。這種移動早就不像過去，要在内網裡安全地使用。

對于不管是人、數、網、物，都有很多的要求存在。因為場景的變化，員工需求的變化，導緻安全能力就是要不停增強。人端要正确識别人的身份、防止盜号，包括網絡的準入、接入，包括SDP（Software Defined Perimeter，軟體定義邊界）。資料的終端，資料安全是一切安全的本源，資料不能洩露，員工的資訊、員工的自有資料、員工郵件等。網絡終端，漏洞是必須要做的，第二網絡的接入，包括老舊的系統必須要防護，就得虛拟更新檔，包括實體更新檔也得做。另外，網際網路終端包括移動網際網路終端，都是随着形勢而變，5G、智能工廠出來了，包括車輛網，智能化的車，其實就是一個終端，都必須要有對應的防護能力。

媒體：這些場景多樣性和複雜度的增加對終端能力提出了什麼新要求？

汪晨：簡單來講，就是要輕量化、智能化、極簡化，這也诠釋了我們對TrustOne新一代終端的定義。

在這樣的場景裡，各種各樣的能力都要求存在。但是，是不是每來一個要求，我就增加一個新的agent？這肯定是使用者不可接受的。是以我們必須要輕量化。

另外，黑客、網絡的犯罪組織越來越狡猾，會使用各種手段。是以我們的檢測手段要泛化，盡量能夠發現同類型的變種威脅，甚至新型威脅，甚至做關聯分析，是以要把智能化做強做實。

最後，随着終端的要求越來越高，運維能力對企業來講也是巨大的挑戰。如何能夠讓我們在存在大量終端的情況下，提升運維的效率，使運維工作極簡化。

媒體：做到這三點需要什麼樣的新技術加持？

徐業禮：比如AI 1.0的技術，以及現在的AI 2.0技術，用人機共治的方式加強運維能力。輕量化，我們會用動态環境的計算，對不同的安全場景，加載不同的檢測能力，動态地縮放，包括插件化的組織，不要讓所有的終端再重做一份。最後，極簡化營運，我們肯定要用資料湖的能力、關聯分析的能力，甚至精密編排SOAR的能力，來做到簡單、快速地處置。包括攻擊面管理，讓企業的管理人員了解自己現在的狀況，跟同行業比如何，和同類公司相比處在哪個位置。這都是極簡主義現在的發展。

媒體：關基保護也是接下來政府或者未來市場發展的重點，亞信安全TrustOne，從技術上對關保有沒有提供支撐作用？

汪晨：我們在銀行和電網這些細分市場中的占比是比較大的。我們在3年前就釋出了信創系統，現在都在做信創的替換，包括工商銀行、農業銀行都在使用我們的産品。是以，我們其實在幫助很多關基機關在做這件事。

另外，我們釋出TrustOne的時候有強調一點，是信創和非信創合二為一。因為我們發現現在大量客戶處于信建立設的過渡期，既有信創的系統，也有非信創的系統，難點在于怎麼踐行同樣的安全政策，怎麼實作統一的管理。

TrustOne有一個根本的能力，就是可以将這些所有的系統融合在一起進行統一管理，執行一樣的企業安全的政策。比如企業今天換了一百台的信創的系統，就可以無縫切入到我們的安全管理體系，這樣也是幫助使用者來實作重點關基機關的安全防護。

吳湘甯：提到信創，實際上就是國産化替代的過程，就是一個終端作業系統形态。作為終端的産品就是要适應不同的作業系統，從Windows、Linux、Mac，包括國産系統，我們的産品本身就應該是一體化的。我們不要認為把它割裂成信創和非信創，這是我們在做TrustOne一開始的認知和思考。

第二，現在講的關基、合規，其實我認為，未來合規和安全建設會區分開來。合規是中國在安全建設過程中，需要從國家監管角度不斷加強，這是國家的政策要求。但是現在随着業務的發展，使用者會自驅地為了數字化業務，建設他的一套安全理念，是以這兩個我覺得會越來越同時發展。原來可能還是受監管要求的，未來這兩個應該是同時的。因為國外也是的，兩個車道都跑，我認為反而會更加增大安全市場的需求。

媒體：吳總剛剛提到合規和安全建設是需要分開來發展或者同步進展的事情。目前網絡安全市場增長也是從合規驅動逐漸在向需求拉動轉變。那麼從企業端來看，有意識和采取行動之間Gap有多深，要跨過Gap的難點是什麼？亞信作為終端安全服務商又會做什麼來彌合Gap？

吳湘甯：首先，安全建設大部分都是從合規開始，這麼多年實際上是培養習慣的過程。習慣養成後，其實會發現習慣可以帶來很多好處，會越用越順。

企業什麼時候覺得應該更主動做這件事情的時候，就是說他的整個數字化、業務不斷追求高效、高速、快速發展，同時確定業務連續的時候，就會自發做這個事情。當業務越來越依賴數字化的時候，會發現合規隻是最基本的需求。

剛剛跟一位客戶聊，談到SaaS。他說國内的SaaS你怎麼看？我說一個道理，當他的業務在追求快速疊代、持續更新的時候，會發現唯有SaaS可以滿足這樣的快速疊代過程。

一個傳統的安全産品，現在在國内疊代周期怎麼也得三個月，但是SaaS可以做到一周，可以适應它的業務發展，這就是效率。當企業在追求效率的時候，自然而然就會用SaaS，今天可能會說資料是不是出去了。主要還是因為還沒有碰到追求的效率能夠給他帶來更大的好處的時候。

媒體：從現在的情況來看，數字化轉型的程序對于各行業或者行業裡不同階段的企業來說，是不一樣的。處于不同階段的企業，對終端安全需求有什麼樣的共性或者差異化的需求？

汪晨：舉一個例子，其實可以發現，TrustOne有點像積木，其實是通過不同的能力組合應對不同的場景。比如，我們在電力行業，行業有一個強合規的需求，如果發現終端有違規會被總部檢測到，所有的負責人要不就是會被扣績效或者是扣獎金，變成了監管需求是不允許違規外聯、出終端。正因為如此，我們就基于TrustOne自身的能力，打磨出一個我們叫做DNS白名單，但是目的就是為了幫助電網解決這樣的痛點。這樣的場景，在其他的行業也非常多。雖然我們今天隻是介紹了TrustOne底層的邏輯，但是最後還是要完成客戶的工作任務。

媒體：TrustOne有一個特點是輕量化，我的了解是将來可能更多是簡化終端一些agent的功能，把很多資料分析檢測能力放到雲端。很多其他廠商也是這樣的想法，但是會涉及它的資料可能要出來，客戶會不會不接受？

汪晨：分享一個案例，有一個客戶是一個非常有名的制造業，中了勒索，當時找了三家廠商。我們做了一個測試，如果完全依賴雲端，一旦不能聯網，檢測能力就會急劇下降。但是很多，尤其金融、電網不允許到雲端的計算，那我們怎麼做呢？我們會把一些技術能力放在TrustOne平台上，本地的計算資源，把一些agent的計算能力，尤其是EDR這樣的産品更多是采集資料，然後在我的管理端進行相應的關聯分析和計算。這樣也可以做輕。

媒體：未來使用者對終端可能會産生更多能力需求，我的了解是亞信安全的産品也希望實作體系化的融合。那麼未來想要新增能力點，TrustOne是打算完全靠自己的能力實作還是也能接入第三方的能力？

汪晨：從終端的次元，确實也有這樣的需求。尤其是one agent，有一些客戶提出來能不能把準入的能力和DRP（Disaster Recovery Planning）的能力融進來。通過提供一個終端，給員工的感覺是一個agent，但背後是幾個廠商。我們也在響應一些需求，因為有這樣的技術。但是最後可能又落入到商業的領域中。因為這個賽道存在一定的定制化，要跟不同的廠商拉通。而且中國對于安全不像國外有很多固化的标準，尤其是日志格式、API，很多廠商自己有自己的方法，在形成生态合作夥伴的時候就會陷入到研發的過度投入。是以這一塊我們也在判斷。

同時，我們會發現其實TrustOne未來的路線，會從TrustOne到LinkOne。我們現在本身已經把TrustOne放在了LinkOne平台上了。我們其他的産品，比如說防毒牆、TDA網絡側的APP檢測裝置，包括雲端相關的裝置，都可以在LinkOne上面做深度的拉通。因為至少這是亞信安全自己家的東西，是以日志格式，API的标準是可以拉齊的。是以回到一個問題，生态怎麼合作？也是我們當下面臨的問題。

媒體：提到整合，如果隻是把很多東西拼湊在一起是比較容易的，但實際上可能還是割裂的，比如資料層沒有拉通，真正對終端威脅的可見性并沒有太大幫助。那麼整合完了以後怎麼做到不是割裂，而是真正把能力點形成體系化？

汪晨：我們在去年也在思考這個問題。在今天的介紹裡面有幾個關鍵内容，第一，安全數字化，通過關聯分析，各個次元的資料，有資産的資料、持續攻擊的資料，再通過威脅情報來真正地名額化、量化，提供給客戶，作為運維的判斷。第二，管理的連續性。首先通過風險洞察來識别目前網絡的整體态勢，再通過風險評估判斷今天發生了什麼樣的事情，同時又固化了很多的組織手段在TrustOne裡面。有可能這是過去桌管單獨會做的事情。但我們今天是因為，比如，它是一個弱密碼，可能我就啟動對應的桌管能力，形成了閉環，把原先割裂的管理拉齊了。是以通過風險洞察、風險評估和響應舉措，實作很多終端安全的能力真正拉通。

媒體：針對不同行業的不同業務需求，亞信安全如何調整自己的研發或者是産品開發的模式，來滿足這些需求？

汪晨：對産品經理來說，做什麼不做什麼是非常有挑戰的問題。我很難給出一個模式化的回答。我們在内部強調，怎麼有利怎麼做。一種方式是我會看訂單的大小，确實錢蠻多的，有的時候可能真的要去幫助做。有的時候會判斷這是不是共性需求，是不是站在客戶的角度，它其實幫助你在創新一些新的産品的能力，這些可能會放到主版本的開發裡。

媒體：盡管會存在共性需求，不同行業也可能有不同的判斷标準，比如安全度量的分值，如何解決這樣的問題？

汪晨：我認為TrustOne已經實作了基礎能力。現階段，度量方面，使用者可以通過在背景配置，根據自己所在行業的要求來設計不同的分值。當然，未來，我們也會在後期資料積累到足夠提煉不同行業特點的時候，向使用者提供行業适配的一些标準和服務。

媒體：現在人工智能技術尤其是大模型發展非常快，會對安全帶來哪些新的挑戰和問題？

徐業禮：大模型的确是一個比較革命性的改變。随着ChatGPT出現，以前說人工智能無法通過圖靈測試，但目前，雖然很多機構沒有明确說ChatGPT是什麼水準，事實上，我認為其已經過了圖靈測試的中級階段了，達到了一般人的智能。

大模型之是以和原來的小模型有差别，就是參數太大，以前一般情況下卷積神經網絡有10萬維，非常高了，但是大模型起步就是億級十億級百億級，現在千億級的都不成問題了。

這樣的情況下，AI安全談得越來越多。

第一，AI系統越來越大，其本身的安全就是關鍵，但這個今天不做太多讨論，因為涉及到AI投毒，模型被篡改，包括AI系統本身邊界防護、端點防護的能力；

第二，AI做壞事，我們怎麼辦？壞人用AI學得更好，包括AI可能生成一些比較誤導的資訊我們怎麼辦？

第三，大量使用AI，特别是境外的AI可以導緻資料的洩露，這都是非常大的風險和問題。

媒體：那麼AI技術能不能進一步賦能我們來解決安全的問題？亞信有沒有做一些這方面的嘗試？

徐業禮：首先，我們幾年前就已經開始采用人工智能的機器學習技術。利用AI增強網絡安全的能力，AI 1.0時代持續在做，不會到了AI 2.0時代不再做了，而是會持續使用，同時提升其功能特性。

在AI 1.0時代，我們更多可以用AI技術來做判斷，做聚類、分類，做聚合。我們有很多的産品，包括産品的很多引擎都在大量使用這樣的技術，比如早期的SVM，中期的XGBoost。包括到2018年，我們對卷積神經網絡的使用就已經很頻繁了。

舉個具體例子，基于有監督學習，我們可以通過大量樣本訓練出能夠甄别病毒DNA的模型。也就是無論他的表現形式是什麼，我們都可以對其進行判斷。

但是，新的生成式AI技術能夠幫助我們更容易地複制安全專家的能力，加速系統的自動化營運。

目前，亞信安全已經研發了類ChatGPT的産品——AISGPT。我們内部也已經排上了産品的釋出計劃，會在LinkOne平台，我們的态勢感覺的平台，包括ImmunityOne平台陸續把AISGPT的能力，與産品本身的安全以及掌握的危險情況的背景的知識配合，讓安全防護更簡單、更智能、更友善。