青藤云安全張福:云安全落地最需要的是自適應
原創本文是WOT2016互聯網運維與開發者大會的現場干貨,新一屆主題為WOT2016企業安全技術峰會將在2016年6月24日-25日于北京珠三角JW萬豪酒店隆重召開!
云時代的有哪些新挑戰?有哪些老問題?企業對云安全的真實需求是什么?針對這些問題,在WOT2016互聯網運維與開發者大會的運維安全專場中,青藤云安全創始人張福在主題為《面向未來的自適應安全架構》的精彩演講進行了詮釋,并展示了青藤的解決方案——自適應安全架構。他表示:“就像云遷移是一個遞進構成,云安全落地最需要的是自適應。”
【嘉賓簡介】
張福,青藤創始人,自初中起張福就是安全攻防技術的愛好者、研究者,大學畢業后歷任盛大技術總監,MochiMedia中國CTO、昆侖萬維游戲和移動互聯網事業部技術負責人,長期結合互聯網業務和產品,對企業安全需求有深入的理解和實踐。
多年來,張福一直在企業內部做安全相關工作,創業后通過與多位企業運維負責人的溝通,大家都認為企業的安全很難做。因為現在在企業內部沒有自己的安全架構,而且資源和安全人員也很匱乏。在企業內部做安全,缺乏人才,整個IT技術設施的架構管理不是很好。
云計算時代的新挑戰
云計算時代的新挑戰是什么呢?張福表示,主要有兩大挑戰:
第一,IT環境動態變化帶來的挑戰。隨著云計算的興起普及,網絡邊界越來越模糊,業務變得越來越動態。比如:以前部署幾千臺機器上的應用,可能需要規劃很久,然后逐步去部署。但是現在云計算時代,部署非常的快,在短時間內即可把整個都換一遍。這種高動態性,以及越來越復雜的軟件架構,使得安全變得越來越難做。
第二,對于行業來說,黑客攻擊日益隱蔽、專業。黑客攻擊越來越活躍,黑客攻擊越來越偏向商業化。早期的黑客可能僅僅是炫耀自己的技能,而現在的很多黑客要的是實際的經濟利益。而且,黑客賺的錢遠比一個安全從業者賺的要多。在黑客的世界里,黑客既能夠賺錢,有很拽,而安全從業者又苦逼,又不被重視,賺錢還少。這就導致了一家企業的安全難以做好,無論這家企業是大公司還是小公司。即使公司非常有錢,在安全上投入很大,但是也未必能夠把安全做好,因為最大的問題在于人員的匱乏,而且缺乏一種好的理念和技術做事情。
企業對云安全的真實需求是什么?
通過對多個企業的調研,張福發現談到對安全的想法,企業搞不清楚是老問題還是新問題,企業的想法很簡單,就是需要一種方法,能夠把新老問題都解決,徹底解決企業的需求。也就是,企業需要跨越式一舉解決新老問題,既立足于解決當前需求,又能提供適應業務變化,面向未來,可擴展升級。
云安全落地最需要的是自適應
索尼《刺殺金正恩》等安全事件的發生,以及軍工、金融企業遭遇到非常嚴重的定向攻擊,給這些企業帶來了很大損失。因此,整個行業開始反思,安全究竟哪里做的不好?其實并不是安全的產品做的不好,而是整個安全的體系在過去是有缺陷的。為什么這么說呢?是因為過去的安全,過于強調于防御。企業以為購買了防火墻等安全設備,就可以防住一切攻擊。而安全廠商僅僅是滿足客戶的需求。現在企業終于意識到將去太多的投入或太多的期望都放在防御上,是錯誤的。因為對于黑客來講,你的防御措施只能擋住一部分已知的攻擊,有大量的攻擊或者新的方法是你現有的防御體系擋不住的。所以如果假設一家企業不能擋住所有的攻擊,那他應該怎么辦呢?假設黑客如果成功攻擊了一家企業,你能在第一時間發現并且采取快速的有效的處理,其實他也不會遭遇很大的損失。盡管防不住,但是能夠第一時間發現,其實損失還是能夠控制在很小的范圍內的。所以這就是自適應安全的第二個象限,叫監測。因為監測的能力,使得我防不住,但是我能夠即使處理。所以在近幾年,就是美國或者全球的安全市場上,監測能力是被大家尤其強調的。做好防御和監測體系是不是就沒問題了呢?其實也不是不能的。其實我們可以想像一下,比如說公司里管理的服務器,有一臺突然產生了報警,他告訴你監測到了黑客活動的跡象,接下來你會怎么辦?你肯定心里很緊張,但是有三個東西你一定會想了解。第一個問題,企業的防御很強,監測也到位,黑客是怎么進來的呢?因為他穿透了你的防御體系,而你的監測只能知道他存在,但是你不知道他是怎么存在的。第二個問題,黑客在個業務系統范圍里到底干了些什么,這也是不知道的。第三個,除了已發現的,他究竟還潛伏在了哪些地方。這三個問題回答不了其實對于一家企業來講是致命的。
所以對于一家大企業來講,他一定想把這個東西搞清楚。所以整個大數據,在安全領域的應用,主要是集中在這個方向。這就需要自適應安全的最重要的能力,就是做回溯分析。通過回溯分析了解黑客是怎么進來的,做了什么,干了什么,將整個場景還原,然后反過來加強企業的防御和監測體系。所以這樣就使得安全成了一個閉環,它不再是一個孤立的東西,而是一個可以持續改進的東西。
假設青藤盡可能去建立防御體系,發現被穿透的后立刻做分析,從而再改進企業的防御和監測體系。當這個閉環形成后,一家企業安全的系統,它就不是一個死的東西了,而是一個有生命力、有活力的東西,它會一直跟隨你的變化而不停的演進。那這個系統的核心是什么?是人,正是由于人的持續對業務的監控和分析,使得這個體系是活躍的。所以在未來,大家看安全的時候,一定會發現人在安全里面是不可替代的,在最新的安全體系里面,人的作用是更加重要的。所以以人為核心的持續監控和分析,來驅動這套體系,就形成了自適應安全。
然而在一家企業內部,這樣的一個循環迭代,這種改進是很慢的。因為第一,你必須得發現你防不住的攻擊才能去改進它,但是如果這種攻擊本身就是發現不了的,那你也沒有辦法去改進。所以就有了第四象限,就叫威脅聯動。現在講的比較活的威脅情報,其實是放在第四象限的。為什么會有這個東西呢?就是假設如果能夠把千千萬萬的企業聯結在一起,一家企業產生的問題能夠進行有效的分析之后,然后同步給其他企業,那我作為其他企業來講,并沒有被黑客攻擊,但是我能夠知道這種黑客攻擊的方法,在我的業務系統里面,是不是能夠繞開我的防御系統,是不是能夠逃避我的監測能力?所以我就能夠有針對性的在我自己體系內去修改,去加強我的防御和監測。所以使得這個圈就不再是每家公司孤立的轉,而是整個行業的公司,有一家在轉這一個圈的時候,其他的企業也跟著轉一圈,這樣對于每家企業來講安全體系的進化就會變得非常快速,而且能夠很好的跟進最新的情況。所以這個就是第四象限,那防御、監測、回溯、分析和威脅聯動,就構成了自適應的安全體系,它的核心就是人的持續監控和分析。
自2014年6月Gartner提出這個體系后,整個安全行業特別是美國的和以色列的,都在往這個體系上走。如果大家會硅谷看一下的話,就會發現各個公司都在做自適應安全。在未來越來越動態和復雜的環境下,如何把安全做好,如何抵御哪怕是最專業的黑客的攻擊,設計這個自適應的安全體系就是為了解決這個問題。
自適應安全體系
因為自適應安全的體系,在國外是由眾多硬件構成的,但是由硬件構成的體系有一個問題。第一,各個廠商的設備之間沒法很好的做溝通協作。第二,它的成本也會非常的高。第三,即便你有很多產品來構成這個體系,但其實還是需要去做一個管理系統的,就是把這些零散的產品能夠整合在一起,變成一個統一的、完整的東西,所以在國外雖然自適應安全提出來之后,大家都看到是一個未來的方向,但是事實上他的落地是非常慢的,可能就是真的需要比如說五年到十年的時間,才能慢慢落地,但是在中國情況不一樣。因為中國的安全廠商數量其實也比較少,細分也沒那么高,相比美國來講,中國安全的行業,還是一個比較狹窄,并且就是比較傳統和保守的行業。
所以,構建這個體系時青藤云安全選擇從底層做起,先做了一個最基本的架構,這個架構是一個軟件的架構,它是由三種Agent加sever構成的。這三種Agent,第一種是需要裝在每臺服務器上的。它可以裝在虛擬機里面,也可以裝在物理機,可以裝在阿里云上,也可以裝在UCloud和AWS上,所以它是跟基礎架構無關的。第二種Agent,能夠把任意一臺虛擬機或者物理機變成一個流量分析的設備,只要你把流量丟給它,它就能夠從流量中分析出東西來。那這兩個東西最大的特點是什么呢?就是它是相互聯動和配合的,它是一個整體,而不是零散的東西,而且它們干的事情跟傳統的安全IPS、IDS、防火墻都是截然不同的。第三個Agent是一個分布式的外部系統。它能夠站在外部來看待問題,所以這三種Agent其實代表了看待問題的三個角度,第一個角度就是一家企業內部的角度,因為在每臺機器上都有Agent,所以它能夠像人一樣的站在內部來看待問題。第二個角度就是站在網絡和邊界的角度,也就是站在業務內部和業務外部的邊界處,來感知你很多的信息。第三個角度,就是站在一個獨立第三方的角度,就是作為一個獨立第三方,我是怎么來看待這些資產和問題的?所以這三種角度,就帶來了一個非常完整的視角。
演講視頻:http://edu.51cto.com/lesson/id-100718.html
