Gartner最早在2014年就提出了自适应安全的概念。而在同一年,我们国家有那么一批安全从业者在自己多年的工作经验当中累积出了自己的安全思想,发现和Gartner的自适应安全概念不谋而合——这就是青藤云安全,一家专注于自安全架构的安全公司。近日,青藤云安全创始人张福接受了媒体的群访。

传统防御的弱点

传统的防御方式是通过分析攻击者的攻击方式来制定规则,通过规则来判断是否受到进攻——也就是通过了解对手的方式来进行防御。然而,这个模式在如今的环境下有两大问题。首先,尽管思想上要了解对手来针对性防御,可事实上,由于技术的不断迭代以及新的攻击方式层出不穷。

针对性的防御难以做到全面覆盖所有攻击点;而攻击者只要攻破一点,却可以达到自己的攻击目的。而另一方面,即使在理论上了解了攻击者的攻击模式,忽略了对自身环境和系统的研究了解,会对自己保护的目标不明确,难以检测自己是否遭受攻击,因此事倍功半。

探知的核心–黑客本质行为与关系

青藤云安全解决方案的第一步,就是对企业的虚拟资产进行清点、逐层分级,创建一个资产数据库,从而可以明确自己需要保护的对象。在部署完引擎后,对已知的危险做到更准确的发现——从而避免因误报产生的业务滞后。而对未知攻击,做到快速检测,确保伤害最小化,在事后进行溯源。

资产清点,到深度的风险发现,再到入侵检测,青藤云安全形成了完整的安全链条。与传统安全基于问题库的防御不同,青藤云安全的自适应安全引擎,则是基于防御方本身——通过对防御方自身的理解,来探知未知的攻击。而探知的核心则分为两方面——黑客本质行为和关系模型。业务运转过程中产生的指标进行分析,能发现对于一个稳定运营的业务,正常情况下,每天数据指标的走势是几乎一致的。而对于攻击者而言,无论使用哪种攻击方式,一般情况下,最终目的都是通过较低的付出,获取较大的回报——而这一行为的结果,就会导致数据指标产生异常。因此,青藤云安全的自适应引擎,在对攻击方式零认知的情况下,依然能够通过对数据指标的比对,快速发现攻击,从而采取相对应的响应,减少损害。这也是此文题目“以不变应万变”的蕴意所在。

同时,对于一家稳定的业务公司,其不同角色或者设备之间的关系是稳定固定的。比如对于一家企业,业务是先到负载区,再到web服务器,最后到数据库。然而一旦黑客对负载器发起攻击,通过负载器直接连接到数据库,就会破坏这种关系的稳定性——因为没有正常的操作会产生这样的关系。通过这类异常关系,青藤云安全就能感知到攻击。在一起案例中,青藤云安全的系统感知到了一次攻击——尽管当下无法知道黑客具体是谁,具体的攻击方式是什么,但是经过溯源后发现了相关漏洞,而该漏洞则是不久才被披露。也就是说,该攻击者已经在漏洞被披露之前已经掌握了利用漏洞的方式——从而对于任何传统的防护方案,是没有针对这种攻击方式进行规则的描述。而青藤云安全的自适应安全系统,则通过了对指标的监测,察觉了攻击。

自动化响应

青藤云安全系统并不是只有当攻击发生时才能进行检测与响应。事实上,在资产清点以及风险发现的这两个环节本身就是在事前做缓解和攻击面收缩,使攻击者的攻击面变小。大部分黑客的攻击都是出于利益获取考虑,所以必然会遵循收获大于付出的规律。一旦攻击面缩小,黑客的攻击手段相对就会减少,而如果企业对攻击面进行针对性防御,也会增加黑客的攻击成本,对企业的安全进行了保护。

在响应这方面,青藤云安全将响应行为以专家经验的方式成沉淀到平台上,在时机合适的时候就可以成为全自动化的响应。然而,在如今这个阶段,由于数据涉及客户隐私等问题,张福认为在人工的监督下会更安全,因此不推荐采用全自动的响应方式。而青藤云安全系统能进行自动化响应的功能,只需要用户开启即可。

张福相信,只有agent与业务零距离,才能真正明白业务流程,看清问题所在。但是,对于传统的处理方法而言,最大的问题在于会造成的系统的不稳定,从而会引起业务的中断。尤其对于金融行业,对业务的连续性有着极其严苛的要求。然而,青藤云安全却到了在金融行业系统内agent的部署,其稳定性得到了金融行业的认可。

打造安全领域的“安卓生态”

对于青藤云安全未来的发展方向,张福也提到了自己的看法。

感知、溯源和处置这方面,张福表示青藤云安全系统还需要不断发展。如今的青藤云安全系统已经能对客户的规模以及业务的变化做到自适应——针对客户的设备规模进行无论体量的自适应以及针对客户业务变化产生的设备部署变化自动适应。然而,现在青藤云安全系统都是根据业务为客户定制的,各个指标与关系都是人为地去调整做到更加精确。青藤云安全的目标是将系统能够完全自主地根据客户自身的系统变得更加精确,并且能够通过自身对系统的分析和了解,自身选取指标,做到完全的自适应。

而对于整个自适应安全的概念,张福认为这是一个非常大的体系。在国外,尽管有大量的公司在做自适应安全,而他们事实上做的是自适应安全中的一部分。而自适应安全需要各个产品,包括防火墙、IPS等产品的联动才能达成。青藤云安全的目标是打造一个安全领域的“安卓生态”体系,通过开放的方式,和行业里的其他公司合作互动、情报共享,一同协作为企业打造一个完整的安全体系。

安全牛评

自适应安全市场有着相当高的壁垒,由于其资金投入高,研发周期长,使得很多创业者望而却步。而青藤云安全则在四年中不断前进,并且在去年得到Gartner的认可,成为入选CWPP市场的cool vendor之一。在今年年初,又获得红杉领投的2亿人民币B轮融资,继2015年后,再次创下国内安全行业单笔融资新高。

相关阅读

青藤云安全B轮融资2亿元

CS论坛|网络安全为什么需要自适应?