编者按:真正的勇敢就是,在你还没开始的时候就知道自己会遇到重重挑战,但依然义无反顾地去做,并且不管发生什么都坚持到底。
近年来,随着新基建对网络安全提出了新的要求,攻防实战覆盖范围也日益广泛,网络安全的发展日益得到重视。而承载着企业核心数据的主机领域,竞争异常激烈,已经到了白炽化的地步。但就是在这样的市场环境下,青藤作为一个后来居上的新起之秀,连续4年实现业绩翻番,成为主机安全行业的领军者。究其原因就在于青藤做事非常纯粹。就像青藤CEO张福常说的:“青藤的核心落脚点是去解决行业里面那些很难解决的,又很重要的,而且没有被解决好的问题……”
01开创主机安全,零距离守护
在年创业前,张福曾在盛大、昆仑万维等游戏公司负责业务安全。在安全行业摸爬滚打的十几年时间里,他经常遇到一个问题:公司采用了很多安全产品,但主要是流量安全产品、边界安全产品。在发生安全事件后,他们只能通过流量数据进行分析,但由于没有主机侧数据,难以完成高质量的溯源分析。而黑客的最终目的就是主机上的数据,核心落脚点也都在业务系统上。如何解决安全最后一公里的问题,似乎成了安全行业发展的一个瓶颈。
那时候,张福就暗自琢磨:“如果在主机上安装一个探针,清晰明确地提供主机侧的细粒度数据,那就太好了。”在张福看来,主机就是整个安全体系保护对象里的皇冠珍珠,主机安全是安全行业发展的必然趋势。但那时候,大部分甲方企业还未完全接受在主机上安装Agent这样模式,这也导致很少有安全厂商敢在这一领域进行投入(真的有可能颗粒无收)。虽然张福也太确定会遇到怎样的挫折,能不能成功做好,但他坚信,如果在主机上安装了Agent,与黑客活动的最终场所保持零距离,与需要保护的对象保持零距离,就一定会有很好的作用。
说干就干,他放弃了半年后就能兑现的价值千万的股票期权,卖掉了上海的房子,在北京上地佳园的民居里创立了青藤云安全。
时光不语,却回答了我们所有问题。面对客户的质疑与挑战,面对竞争对手的鄙夷,青藤用实际行动证明了自己。最近几年来,主机安全越来越受到重视,很多老牌的安全厂商也开始跟随青藤的脚步,进军主机安全领域。
张福在给同事讲“我为什么要做这家公司”
02攻克安全顽疾——Webshell检测难题
自成立以来,青藤就以匠心精神打磨主机安全产品,获得了一大批客户的认可与信赖。但即使是功能再强大的产品,也不可能十全十美,而青藤一直在精益求精的路上逐梦前行。在青藤为甲方公司提供安全服务的这几年里,张福发现,安全行业里存在一个安全顽疾——Webshell。
Webshell脚本语言灵活、利用姿势多变、隐秘性强,是备受黑客青睐的攻击后门之一。企业即便是堆了几百万的安全设备,也很难将Webshell精准地检测出来。因为Webshell语言灵活,动态性强,同时,由于客户的网站文件特别多,动辄几百万个,Webshell后门可能隐藏在其中一个文件中。怎样从海量的文件里把隐藏了Webshell的文件找出来,存在很大的困难。而且,由于Webshell写法多种多样,每种技术都有非常大的短板,很难有效地将Webshell检测出来,导致Webshell成为一个安全顽疾。
虽然存在这样一个巨大挑战,但是想在这个方面进行研究的人很少。主要是因为在这个领域做得非常好或者不好,不会导致营收上的大差别。如果有顶尖的技术团队,大多数公司会让团队去研究产品。一款好的产品一年可以实现几千万,甚至破亿的收入,而去研究这样一个安全顽疾,是存在很大的不确定性的。在客户方面,他们也理解这个问题很难解决,对此没有特别高的要求。做还是不做,虽然张福并不确定是否能够成功,但他还是那句话:“我只想解决那些很难解决,又很重要的问题……”。他觉得他投身于安全行业,并不是为了赚钱,他早已实现了财富自由,他要做的是切切实实解决安全问题。现在有这样一个安全问题摆在他的眼前,如果他不去解决这个问题,会让他坐立难安。
于是,他聘请了之前在IBM做机器学习算法的团队领导人作为主要负责人,用了将近三年的时间,经过了多次的推导重来,最终形成了青藤雷火·Webshell检测引擎。为了切实验证雷火引擎的检测能力,去年5月,青藤举办了盛大的公测活动,邀请安全圈的顶尖白帽来测试雷火引擎的检测能力。在20个日夜,+名顶尖白帽,32,+份高质量Webshell样本激烈对抗后,青藤雷火引擎检测率取得了99.54%的绝对突破,把强对抗下Webshell的检测能力提升到了一个新的水准。
《Webshell检测方案探索与实践》入选中文核心期刊《信息网络安全》
03从被动到主动,做永远的创新者
随着网络强国战略的提出,以及国家对网络安全的日益重视,各大企业已经在网络安全意识方面有了很大的改进,也采用了诸多安全产品来完善网络防御体系。但张福通过长期在一线与客户的沟通交流中发现,企业目前主要面临三个安全问题:
第1个问题:未知威胁如何检测?
张福表示,这个问题就是个悖论。通常,企业购买了各种安全产品,但能够检测的都是已知威胁。对于已知的黑客行为,企业会将其制定成为规则,在黑客再次攻击时根据规则进行匹配。而未知威胁是根本不知道黑客是怎么入侵的。在这种情况下,该怎么去检测黑客入侵呢?在最近几年的攻防实战活动中,最终出局的企业都是静悄悄出局的,没有人是轰轰烈烈出局的。而让这些企业静悄悄出局的,就是未知威胁。
第2个问题:告警如何确认和分析?
现在,很多企业都采购了各种各样的安全设备来提高安全防御,但随之而来的是产生了大量的告警。对此,企业需要确定以下几个问题:第一,这些告警是真的还是假的?怎么确认呢?第二,黑客在机器上的权限驻留通常是多点驻留,命中其中一个规则,他还能通过其他驻留点随时回来,这在攻防实战中非常常见。第三,在安全设备发出告警时,黑客可能已经做了很多事情,比如窃取凭据、留下更多后门等等,怎么从一条告警知道这些情况?
第3个问题:怎么找到攻击者在内网里留下的其他控制点?
企业某台机器发生一条告警时,攻击者可能已经在内网入侵了几十台机器。但企业会怎么处理这个告警呢?他们可以确认这个告警是真实木马或真实攻击,但因为攻击者往往会清除自己的痕迹,所以安全人员也不知道他们是从哪来的,只好先把这个后门删了,或者把机器下线了。负责任的安全人员可能会找很多人,找不同的部门,去各种设备上去调查日志进行分析。但是绝大部分客户最后调查不个所以然,就不了了之了,其实他们不知道攻击者还在很多台机器上留了后门。如何从一条线索、一条告警还原网络攻击的“案发现场”,追溯到攻击者在内网的其他节点?
这三个问题是很多企业现在没有解决好、也很难解决的问题。在当前网络攻防实战化水平不断提高的情况下,这三个是企业面临的最大困难。对此,企业应该怎样补齐自己安全体系中缺失的部分呢?张福认为,核心在于变被动响应为主动防御,用威胁狩猎去弥补在这些方面的短板。
(网络图片)
首先,威胁狩猎是观点上的转变。攻防从来不是对等的,防守方该怎么用有限的资源去对抗无穷无尽的黑客及其不断更新的攻击方式呢?这是显然做不到的。威胁狩猎的核心在于不要看黑客怎么干,而是要
本文编辑:佚名
转载请注明出地址 http://www.yizhijiana.com/yzjgj/16096.html
