RSA大会进入第三天,牛君再次远程接驳大洋彼岸,通过特约记者联系到360企业安全集团总裁吴云坤。
吴云坤
之前见到过几次吴总,感觉为人低调,话语不多,但言之有物。自从360于去年5月宣布成立企业安全集团之后,牛君就一直想深入了解它的发展状况和战略方向,以及高层主管对安全行业的看法和观点,再加上听说这是吴总担任集团总裁后首次正式接受媒体采访,牛君即感到兴奋又略带忐忑。
在抛出一个个精心准备的问题之后,吴云坤侃侃而谈,快速且不失条理的一一答复,满满的都是真知灼见。采访完之后牛君连夜赶稿以跟上今天的发布,现飨读者:
如何看待威胁情报的应用和落地
首先我们需要了解威胁情报,认同它的价值。起初有许多人觉得,威胁情报只不过又是一个类似于“下一代”、“统一管理”之类的新名词,忽悠的成份居多。从国外的实际应用来看,它的价值和作用还是很大。但想要理解威胁情报的价值,还需要深入理解其在检测、分析和响应中所起到的作用。
关于落地的难点,首当其冲的是数据。数据可以来源于业务关系交换,也可以来源于对基础数据的分析,以及从战术级上升到战略级威胁情报的提炼等,而这些都对数据分析能力和威胁情报理解方面有着较高的要求,从基础数据积累到攻防实力,都是一个挑战。而拥有大数据的互联网公司和大量样本的防病毒厂商,则相对容易些。
第二个落地难点是设备。威胁情报的应用需要与本地的原始流量、用户行为和终端数据相结合,才能发现问题并进行响应和溯源分析。这都需要本地设备的支撑,因此出现了一些新的终端行为采集设备甚至是全流量的采集设备。
第三个难点是价值评估,就是威胁情报产品值多少钱、服务如何进行量化的问题。这一点往往可以通过结合设备,用数据即服务的方式来提供,也可以作为设备当中规则升级的形式来提供。这样也许会更容易衡量威胁情报的价值。
然后谈一下数据来源的特性问题。仅BAT3这四家互联网公司所拥有的数据就已经超过所有传统安全厂商,但互联网公司的领域不一样,其数据来源也不一样。比如阿里主要是电商,百度是搜索,而360的数据主要来自于安全终端、DNS系统和第三方平台收集的数据。
接着谈应用。这些数据包括了威胁、漏洞和信息资产等,基于这些基础数据之上产生的威胁情报,有着极强的指向性和应用性,比如解决APT、DDoS、伪基站等安全问题。此外,相同的数据根据不同的使用方,其应用也不同。如给了金融机构可用于业务反欺诈,给了运营商可以抗DDoS、阻击僵尸网络,政府方面则主要是防APT。与其他互联网公司主要将数据用于保护自己的平台或用户不同,360是把数据提供给各行各业的应用,共享性更强。
最后谈服务的落地和变现。威胁情报有三个典型应用:检测、分析和响应。检测,意味着需要检测设备、检测规则或情报的升级。分析,目前主要是高端用户在大系统背后使用的分析工具,是DaaS(数据即服务)。响应,则需要终端或网络防护设备,以上这些应用都具备直接的变现能力。
威胁情报的商业应用中,检测和响应必需要有本地设备来实现,分析则可放到云端。
落地方面,360威胁情报中心在去年年底发布了威胁情报产品,这是以数据提供服务的形式。但其实早在去年6月份,我们的天眼就以规则升级的方式提供给了客户。无论是天眼APT产品,还是12月份发布的SaaS类服务都已经实现了落地,在国内APT领域,360是首家发布基于威胁情报硬件产品的厂商,同时也是首家发布SaaS类威胁情报产品的公司。
360企业安全的技术战略发展方向
360已经是全球最大的互联网安全公司,因此360企业安全不仅想做到中国企业安全市场上最大的公司,在未来也会更多的考虑国际化。
我们的整个技术发展的核心理念还是以大数据、威胁情报、攻防技术为主要方向,在商业模式上除了覆盖原来的软硬件产品,更重要的还是以提供数据类或SaaS等新的服务为主要战略发展方向。
互联网公司与传统安全公司的合作与竞争
从现状来看,大型互联网公司在大数据、机器学习、威胁情报、移动终端等方面都有很强的优势,而传统安全企业则在客户交付与安全服务方面有着自己的深厚积累,从企业基因上来说二者是不一样的。只有两者互相结合,才能真正解决目前许多传统安全手段无法解决的难题。
另一方面,从竞争角度来看,市场一定会向具有双重基因性质的公司倾斜。即使是一些传统安全厂商,如果具备了大数据等资源基础,也会脱颖而出。而互联网公司如果能拥把传统企业在产品销售和交付方面的实力增加进来,则会如虎添翼,并带来很好的收益。而且,从整体市场本身的角度来看,也需要出现结合了两种基因优势的公司出现,才能真正改变中国网络安全行业生态的现状。
360与网康、网神结合就是在结合两种基因,对于双方来说,均其利大于弊。
本届RSA大会的感受:国内外网络安全环境的差异
每年RSA都会提出一些新的概念,比如去年的威胁情报。国外厂商可以很快得把这些概念转化成新的产品,但国内把新概念转成产品的能力则比较弱,许多公司大都只是借助新概念进行炒作。
而国外安全企业多年来一直在持续的,联合与协作去解决面临的诸多挑战,包括与黑客产业链进行对抗。而国内安全行业的生态链则较为差强人意,表现出来的一个主要问题就是每家企业的产品线都很长,由于缺乏协作而导致精力的分散和资源的浪费,因而在对抗已经发展的非常完善的黑客产业链上力不从心。
此外,值得注意的是,国外最近兴起了许多工控领域方面的创新型公司。主要原因为影响重大的工控安全事件时有出现。国外的安全公司披露了伊朗震网,披露了乌克兰断电等事件。国内的安全公司发现了什么?即使发现了,是否又能披露出来?无论是监管机构还是用户,缺乏有效的披露机制,对于事件驱动的安全产业来说,很难象国外公司那样蓬勃的发展。尤其是近几年崛起的大批以色列安全公司,我们应该从产业和监管的角度去探究其崛起的原因,包括它对人才的培养,它的全球视野和吸引到的资本力量。
国外厂商的技术水平较高,可以很快的把新概念商业化。新概念谁都喜欢,但国内厂商的问题在于概念的落地,新的概念一出来谁都在跟、在讲,但拿不出真正的产品来。
而对于国内的厂商和用户来说,如何对待一个新概念或亮点的出现往往是一个辩证的问题。对于用户来说,虽然关注前沿没有错,但并不是只要有亮点出来就一定要跟,没有应用基础的话,盲目跟从是没有实际意义的。对厂商来说,则要看这是个概念还是产品,仅仅围绕着前者做文章的话,是一件很别扭的事。
安全生态圈
安全生态圈的基础是协作与开放。两者之间是存在递进关系的,是相互依赖的。如设备与设备之前,设备与数据之间,数据与数据之间,甚至于厂商与客户之间的分享和交换。没有协作这些分享便无从谈起。但同样,没有开放,协作也无法实现。国外在这一点上做的很好,建立联盟,互通有无,各家专注做自己擅长的领域。但国内的情况却是自己什么都做,即便与其他厂商合作,也是在自己的业务线内,并没有做到真正的协作开放。希望本届RSA的主题“Connect to Protect”,以及国外安全厂商的成功原因,会给国内安全行业现状和思维方式带来一定的影响和冲击。
最后,谈一谈360在协作开放体系方面的做法和计划。
首先是数据类或说技术层面的开放。360威胁情报中心对全球开放,各类企业都可以登录上来查看数据。谷歌、脸谱等科技公司都很愿意采用360的数据,因为他们认为情报中心采集的数据非常准确。
第二是设备级或说产品层面的开放。如终端设备、网络设备和边际设备,上面的日志、记录等可以开放给客户或合作伙伴,用我们提供的标准接口做更多的事情。
第三是产业链层面的开放。360准备建立一个平台,让许多行业都可以使用自己的专业厂商在平台上面去开发自己的应用,而不是我们自己一个人把所有事情都做了。未来的发展是增值代理商,不仅可用平台粘住用户,还可带来更多的收益,因为产业链或说生态圈的形成基础就是共同的经济利益。
我们计划今年年底开发出支持标准开放接口的产品,在明年的RSA大会上就可以看到。