国产精品一区二区在线观看视频,久久久草在线观看

大家晚上好，我們今天談的主題就是《企業(yè)信息安全的過去與現(xiàn)在和將來》。我會簡單說一下，企業(yè)信息安全主要驅(qū)動力來自哪些方面，這些驅(qū)動力在2010年之前是怎么保證企業(yè)安全發(fā)展的。重點是談最近七年企業(yè)信息安全的各種產(chǎn)品形態(tài)，最后我會簡單總結(jié)一下將來三年會有什么樣的變化。

企業(yè)信息安全技術(shù)發(fā)展的驅(qū)動力

我們一般講的企業(yè)信息安全，解決的問題就是滿足企業(yè)合規(guī)方面、防御方面的需求。涉及的不是只有技術(shù)因素，還會有其他方面的因素，比如合規(guī)方面的留存需求，也會涉及到人員怎么按照組織，怎么編排預算。但是我們這些從業(yè)人員知道，企業(yè)安全的預算總是有限的，不可能防御100%的攻擊，所以怎么能在有限的預算經(jīng)費下達到一個安全的效果和平衡？這是我們面對的一個主要的難題。

想解決好企業(yè)安全要考慮到它所在的大背景，也就是企業(yè)，這就涉及到三個主要的因素——人員、流程和技術(shù)。這三個因素都要配合好，不是說只用一個好技術(shù)就能把企業(yè)安全做得很好。這方面也有很多比較復雜的管理框架，我們把這個框架叫ESA（Enterprise Security Architecture），也就是企業(yè)信息安全架構(gòu)。這塊大家可以參考一些書籍去研究，本次的分享我們主要精力先全部放在各種技術(shù)對企業(yè)安全的影響方面。

企業(yè)信息安全技術(shù)的發(fā)展，驅(qū)動力主要有三個：

但是長久以來，我們的從業(yè)人員比較關(guān)心第一點，比如說我們經(jīng)?？梢钥吹叫侣剤蟮罆v哪些新的攻擊方法，其次會關(guān)心一下基礎(chǔ)技術(shù)的改善，把最新的技術(shù)放到企業(yè)安全里面做，基本上很少談及到管理的技術(shù)，這點尤其在中國是比較嚴重的現(xiàn)象。

2010年之前的安全技術(shù)發(fā)展

防御理念：被動式技術(shù)導向思維

談具體安全技術(shù)的發(fā)展方向就離不開回顧。我們先來看一下2010年之前安全技術(shù)發(fā)展是什么樣子。

首先我們看這張圖，其實整個企業(yè)安全市場從第一款殺毒軟件到現(xiàn)在時間并不長，大概從1987年開始，我們有了第一款殺毒軟件。兩年之后有了第一個蠕蟲，所以一直到兩年之后，才有病毒的變形就是蠕蟲。到1992年我們才有第一款商業(yè)防火墻，同時也是我們發(fā)現(xiàn)第一個代碼變形病毒，代碼變形病毒屬于水平比較高的病毒。

所以大家可以看，基本上這個時期的信息安全是一個被動的應對姿態(tài)，有新的安全威脅基本上要過一段時間之后，短則幾個月，長則好幾年，我們才會推出相應的產(chǎn)品。而且有些產(chǎn)品之間會有一些重疊。比如說IDS和防火墻其實最初開始就有一部分重疊，有一部分原因是因為某些廠商可能覺得，原來那個防火墻的方案不能覆蓋所有的攻擊情況，所以他要推出一個新的產(chǎn)品，在新的一個網(wǎng)絡(luò)層次里面做新防御，也就是說他們兩個立足于不同的網(wǎng)絡(luò)層次結(jié)構(gòu)。

這邊有個很特別的產(chǎn)品，2005年有個SIEM產(chǎn)品，大概是應對四年之前薩班斯法案一些合規(guī)要求推出來的，以往所有的產(chǎn)品比如說WAF或者防火墻，它們面向的用戶都是安全運維人員，只有SIEM有一部分面向的對象是屬于管理人員，所以我認為它是第一款把安全產(chǎn)品的角色做轉(zhuǎn)向的產(chǎn)品線。2006年，我們可以把它看成是大數(shù)據(jù)和云計算的元年，當年是亞馬遜和AWS、Hadoop是第一次面世，2007年開始Iphone面世，這樣我們就進入移動計算時代。

一直到2010年之前，安全防御技術(shù)相對來講都是很固定的，說不好聽點就是屬于見招拆招，有什么樣的攻擊出什么樣的防御方案，所有的廠商里面都拼產(chǎn)品線的齊全程度。比如說防火墻做防火墻的事情，IDS做IDS，有些廠商只做防火墻，但是更大的廠商，比如Symantec或者McAfee所有的產(chǎn)品線都有，既提供防火墻，也提供IDS，還提供終端殺毒。他會說企業(yè)各個環(huán)節(jié)都有可能成為安全出問題的地方，所以要在各個環(huán)節(jié)、各個層次里面部署相應的安全產(chǎn)品線，對于小廠商來講，傳統(tǒng)的老三樣，或者是老四樣——防火墻、IDS、WAF、終端殺毒，對于大企業(yè)來講會買DLP和SIEM。

當然大企業(yè)由于資金和人員配比的情況，所以他使用的產(chǎn)品相對來說定制度比較高，功能也會比較齊全，比如說SIEM或者一些更復雜的自己配的IDS，當初很多大企業(yè)里面已經(jīng)有自己的IDS配備人員。除了這些安全技術(shù)的應用之外，他其實還有一些涉及到管理和流程方面，比如說當年大家就很重視對員工進行防釣魚、防點惡意網(wǎng)站這些普及教育，這屬于安全教育的基礎(chǔ)部分，但是效果怎么樣就看企業(yè)自己具體的管理能力怎么樣了。

2010年——APT之年

防御理念：分析而不是單純檢測、非實時、用戶參與

2010年被稱為是APT元年，是很有趣的一年。過去我們喊了很多年狼來了，覺得以前常規(guī)安全防御手法都是基于特征碼的，防火墻里面有規(guī)則，然后又各種網(wǎng)絡(luò)包里面匹配特征碼，終端殺毒里面有各種病毒的特征碼，行業(yè)內(nèi)的人都覺得這個方法不能持久。一直到2010年接連兩起APT的事情爆發(fā)之后，大家覺得這個事情徹底不能維持下去了。年初的話是曝了谷歌退出中國相應的APT。中旬曝了一個有更大影響面，對大家來講更像惡夢般的APT，就是Stuxnet美國和以色列他們通過U盤傳播病毒，導致伊朗當時正在做的鈾的核心分離機誤操作并把相關(guān)的設(shè)備全部燒毀。一年之前，我們都以為這個事情還比較遙遠，這只是大家拍腦袋想的東西，只有2010年這個事情被捅出來之后，大家沒想到國家機構(gòu)里面已經(jīng)做到了這個程度。

國家機構(gòu)已經(jīng)直接通過U盤這種看起來比較普通的媒介影響到核心的設(shè)備，所以這是直接證明，對于比較大的重要的企業(yè)來講，常規(guī)所有的防御方法，不管是IDS、IPS還是更傳統(tǒng)的終端殺毒軟件都完全抵御不了國家級的選手。所以基本上那一年開始，很多廠商，我以前在趨勢科技的時候很多廠商已經(jīng)找到我們聊，說我們以前賣殺毒軟件賣這么長時間肯定是不頂用了，有沒有其他方案。我們也沒有其他方案，那個時候FireEye是唯一一家對外講擁有防御APT攻擊的方案，那年開始他的銷售額也是大漲，這家公司大家都覺得很新，他們是屬于2004年成立的，直到2010年才開始爆漲。

其實將2010年說成APT元年并不代表是從2010年才開始有APT的，事后大家反查最早的APT可能是2004年開始就有，這個事情一直在水面下，圈子里面只有軍方或者比較大的企業(yè)才能知道，很多小的殺毒軟件廠商都不知道APT的存在。所以這個事情捅出來之后，各家安全廠商，尤其是卡巴斯基，因為他們的研究能力比較強，所以他們就會持續(xù)的跟蹤各種APT組織和攻擊的變化情況。當時這種新聞熱點基本上都是各種各樣的新的APT，各種攻擊，哪兒的數(shù)據(jù)泄露，導致APT的新聞熱點程度持續(xù)上漲，業(yè)界造成一種恐慌，就覺得常規(guī)的病毒沒人寫了，大家可能都走比較復雜的APT，因為APT的影響面和經(jīng)濟收益都比較大。

但客戶這種認為APT是一切的認知也不能說錯，因為有個好處就是說，客戶有這種要求就逼著安全廠商反思他們自己以往基于特征碼的防御方法是不是遠遠落后于時代。從負面上來講，也會導致企業(yè)重點沒有放在他應該關(guān)注的地方。比如說企業(yè)本身可能連市場管理也沒做好，就一天到晚就想怎么防御國家級別的APT，這是本末倒置，所以我覺得APT有個負面作用就是說會導致客戶對安全產(chǎn)品效果的期望會產(chǎn)生一些不切實際的幻想。

當然APT引人注目地方除了他的目的跟常規(guī)攻擊有差異之外，還有個主要因素就是這個攻擊跟以往的單一一次病毒感染文件的做法是完全不一樣的。它相對來說手法比較復雜，周期也會很長。它可能會早期掃描你的網(wǎng)絡(luò)設(shè)備的脆弱點，通過它們來選擇比較合適的進入方法。之后它會有比較長的潛伏期，潛伏期后會找到你相應的敏感數(shù)據(jù)，然后再通過這種遠程控制端的控制指令，定期把敏感的數(shù)據(jù)送回去，所以這會有一個比較長的攻擊鏈模型。這張圖我們貼的就是攻擊鏈的模型，一般來講我們的威脅情報里面會有各種最新APT的總結(jié)。

對于最新的APT，我們有個詞叫TTP（Tactics，Techniques and Procedures）。以往來講我們把APT做了很多細分，除了防御目的以外，還有一個主要目的是通過TTP能夠識別APT后面來自哪些組織、哪些國家。而其實最近幾年TTP各家已經(jīng)開始做的很類似，這不管是有意還是無意，都導致通過TTP來分辨APT組織越來越難做。

APT除了對客戶的防御產(chǎn)品的預算和產(chǎn)品定位造成變化之外，其實還造成了理念上的變化，因為2010年的時候只有一家FireEye查這種APT攻擊，當時他的方法一點都不新，是屬于各家安全廠商里面都懂的技術(shù)——沙箱，只是以往我們將沙箱放在后臺做分析，從來不把分析結(jié)果和部署放在用戶企業(yè)環(huán)境里面。

他的思路和其他的不太一樣，他覺得當時這些企業(yè)運維人員技能已經(jīng)有了很大的變化，不像以前使用殺毒軟件的小白用戶，這些運維人員懂安全，甚至看得明白這種威脅病毒的分析報告。所以他覺得既然用戶能看得懂，不如我把整個產(chǎn)品的決策權(quán)下放給用戶，不用什么事情都走以前的流程。比如說我必須把一個APT樣本送回我的總部，總部再來分析。這有個客觀原因就是由于企業(yè)處于敏感考慮，他可能不允許把這些樣本送回總部，所以導致了新的產(chǎn)品思路，就是說我可以讓用戶做安全運維安全的判斷，來作為一個安全防御的主要協(xié)作方，不是什么事情都由安全廠商來做，而是有很大一部分我可以讓給用戶來做。

而且一旦按照這種思路往下走，就意味著這個產(chǎn)品能開放出很多新的功能點：1，我會加很多分析能力在里面；2，非實時；3，需要用戶更多精力投入。

當然這有個核心問題就是：如果讓用戶來花精力投入，我該讓他每天花多少個小時，花多少人員投入？這個對于我來說是比較微妙的度的問題。

這方面有很多極端不計成本的例子，比如這張圖里面是NSA2007年暴露出來的防御系統(tǒng)，他們對于簡單的攻擊手法還是用商業(yè)的軟件，就是黃色那一圈。對于比較復雜一點的方法他們可能會由他們自己花錢建立一個系統(tǒng)，最右上方里面是他們基于威脅情報，他們叫sigint。其實這是他們自己的威脅情報跟分析系統(tǒng)結(jié)合的一個例子，我們現(xiàn)在很多新的系統(tǒng)也在往這方向靠，當時這套系統(tǒng)的開發(fā)成本是非常高昂的，只有NSA這種不缺錢的單位才能用，如果我們一些企業(yè)里面要花這么多成本，肯定沒法跟董事會交代。

所以大家來退而求其次，企業(yè)會說我接受數(shù)據(jù)可能會被泄露的一部分風險，并把風險量化，是可能虧100萬還是虧1000萬？而且會針對量化的風險來決定投多少錢下去，所以按這種思路我們也有些比較類似的產(chǎn)品在往這個方向走。當然我覺得目前所有的產(chǎn)品形態(tài)和功能離做得很完善還有比較大的距離。

我們最近可以看到安全分值這個概念，包括微軟Azure里面也有一個量化的管理，他可以告訴你現(xiàn)在的安全分值是多少，你行業(yè)里面平均的安全分值是多少，你應該做什么事情可以把你的安全分值提高，降低威脅度，這對我來說都在把思路往管理層靠齊。

而大家還需要做的事情就是要得到管理層額外的支持，發(fā)生APT之后，有一個好處就是管理層現(xiàn)在知道了這個東西，而且如果APT事情弄得比較大，像索尼、Target，他要賠錢，CSO會被迫辭職，大家覺得這會影響到我整個企業(yè)的名聲、職位，那肯定要加大精力和預算來投入。

當然這個東西有兩面的效果，同時來講也是個機遇，企業(yè)安全的運維人員會有更多的預算，可以挑選更多的產(chǎn)品，也會有更長的產(chǎn)品評測周期。壞處的話，我現(xiàn)在可以給你更多的錢，那你怎么證明這個花錢買的東西能更多更好達到我們的要求呢？

而且企業(yè)高層人員始終的思維點是看業(yè)務(wù)的可持續(xù)性，他肯定不會關(guān)心你的報告里面攔了多少漏洞，他會關(guān)心如果漏洞沒有攔住的話對業(yè)務(wù)運轉(zhuǎn)會有什么樣的影響，所以這塊他需要企業(yè)運維人員對于業(yè)務(wù)有個比較直觀的解釋，甚至他希望能用“對我的業(yè)務(wù)會有多少美元影響”這種直觀的方法來解釋。所以我們在圈子里面討論的一個方向就是說：我能否做完完全全是面向高層的安全產(chǎn)品？當然這個事情沒有完全的定論，后面我會講到一些原因。

新領(lǐng)域與新技術(shù)對信息安全行業(yè)的影響

從2010年左右開始，移動互聯(lián)網(wǎng)就處于爆發(fā)式的擴展，興起之后企業(yè)很多用戶可能是拿自己的iphone、iPad或者安卓手機進到企業(yè)里面使用，所以這種邊界就變得很模糊，以往企業(yè)可以明確的定義出應該信任哪些設(shè)備，因為設(shè)備都在我的管控之下，里面裝什么軟件都一清二楚。而現(xiàn)在一旦開放，企業(yè)可以帶各種各樣自己的移動設(shè)備，這個邊界就很不清楚，我也沒有辦法控制用戶里面Ipad裝哪些東西。

所以最初我們整個安全圈里面的應對方法就是說要不要把企業(yè)內(nèi)部的以往的管理方法原封不動復制一份到移動互聯(lián)網(wǎng)上去？產(chǎn)品形態(tài)就是我在你的移動設(shè)備里面裝一套殺毒軟件，當然這到后來被證明是完全失敗。第一，我們都知道iPhone的App市場管得非常嚴。他的感染率遠不如像移動端感染率那么高。第二，他對你的權(quán)限有很多限制，不是你想殺什么病毒，你想監(jiān)控什么病毒就能夠做。

所以這個方向后來被慢慢往其他的一些功能合并。比如說管理功能MDM，就是設(shè)備管理，會引入很多管理上的功能。然后還有很多特色需求，比如說App加固。最近來講我們有很多設(shè)備指紋專門給電商、銀行這種App來做。設(shè)備指紋技術(shù)可能就會自然而然地會擴展到反欺詐。比如說他看你的設(shè)備里面跟用戶是怎么一個對應關(guān)系，是否借了別人的機器或者是虛擬機器，這也是目前國內(nèi)比較熱門的領(lǐng)域，很多的反欺詐一開始都是從設(shè)備指紋開始的，我們知道新的領(lǐng)域擴展不代表總是老的領(lǐng)域把方法照搬，他會導致一些新的產(chǎn)品形態(tài)。

以物聯(lián)網(wǎng)來說，他這個產(chǎn)品形態(tài)更加特殊。我們知道物聯(lián)網(wǎng)雖然是一個名詞，但是其實包含很多概念，比如說自動駕駛聯(lián)網(wǎng)的車，它其實也算是物聯(lián)網(wǎng)的一個例子，小到能聯(lián)網(wǎng)你的藍牙音箱、路由器和電視機頂盒，大到工控機系統(tǒng)。正是因為物聯(lián)網(wǎng)多樣化，所以目前來講他沒有一個比較通用的方案，基本是不同小領(lǐng)域里面的方案都不太一樣。

比較大的企業(yè)他關(guān)心制造業(yè)的物聯(lián)網(wǎng)，是防御APT，當然APT的防御方法也不完全是布沙箱，有些地方還會使用硬件上的一些方案，比如說單向通訊的光纖網(wǎng)絡(luò)，需要的時候才把雙向通訊打開，平時允許單向通訊，這樣可以避免惡意的病毒進入控制端傳入到實際的終端。而且因為物聯(lián)網(wǎng)設(shè)備會非常多，一個大型的城市里面攝象頭可能就會上百萬之多，所以你要控制巨多的攝象頭或者其他的物聯(lián)網(wǎng)設(shè)備，就需要比較大的大數(shù)據(jù)處理能力，這方面我們也會看到很多非安全廠商是先有大數(shù)據(jù)處理的方案，然后再額外在這之上并入一些安全方案，這也是因為借了大數(shù)據(jù)處理能力，有些其他廠商能夠進入到我們這個安全行業(yè)。

同樣借新領(lǐng)域擴大進入安全行業(yè)的不光只有物聯(lián)網(wǎng)這種創(chuàng)業(yè)公司，其實很大一部分都是云計算公司。比如說我們知道國內(nèi)的阿里云他就有比較龐大的安全部門，甚至比很多小的安全廠商的安全人員還要多。而云計算本身也能夠為安全廠商的方案提供新的一些技術(shù)思路，比如說你的安全產(chǎn)品里面是否跟云計算的框架做一個深度整合？而不像以往一樣，把云計算的每臺虛擬機里面布一臺設(shè)備就行了。并且還有新的一個市場，我們管這個東西叫云計算的守門員，這個產(chǎn)品線叫CASB，同時他還帶動了另外一個比較大的領(lǐng)域，我們管這個領(lǐng)域叫自適應安全。

自適應安全簡單說就是企業(yè)在上云之后，他的網(wǎng)絡(luò)機器虛擬機的數(shù)量比以前更多，計算資源可能屬于動態(tài)釋放，動態(tài)申請的，所以他這個網(wǎng)絡(luò)拓撲變化程度和速度也會非?？欤慊趥鹘y(tǒng)防火墻的策略會顯得過于死板或過于僵硬跟不上狀態(tài)。所以他們采用自適應安全，把整個網(wǎng)絡(luò)拓撲做更細小的劃分，每個劃分里面會監(jiān)控區(qū)域里面的行為怎么樣，跟這些行為動態(tài)調(diào)整應該部署的一些規(guī)則，同時審核根據(jù)規(guī)則之后劃分里面他所有的網(wǎng)絡(luò)資源的互相交流的行為狀況。

同時云計算興起意味著我們企業(yè)會把自己服務(wù)做SaaS化，這一點在美國更比較流行，因為他們那邊云計算的帶寬價格比我們這邊更低，我們這邊，阿里云跨地域機房里面可能要額外收費，在美國那邊可以直接把網(wǎng)絡(luò)流里面實時傳播到云里面來做分析，他甚至可以把整個像SIEM這種復雜的業(yè)務(wù)都整個外包到云服務(wù)商來做實現(xiàn)，這塊幾年之后在國內(nèi)有比較大的市場，意味著企業(yè)里面可以把自己的服務(wù)外包到云里面去。

云計算是一個比較大的轉(zhuǎn)折的技術(shù)，他會深刻的影響到企業(yè)安全這種產(chǎn)品方案的具體實施方案。

我們知道一個比較熱的跟云計算差不多同時出來的名詞，就是大數(shù)據(jù)。這個詞其實對于安全領(lǐng)域影響面倒沒有那么大，因為安全領(lǐng)域很早開始就是大數(shù)據(jù)收集了，比如說我們2004年左右做垃圾郵件的話已經(jīng)是屬于一天上百萬封。只不過以前的技術(shù)有限制，可能我們只能處理比較單一的數(shù)據(jù)，比如說我要做垃圾郵件處理我寫個系統(tǒng)，我要做病毒樣本處理另寫個系統(tǒng)，基本上不會用通用的方案。

而隨著Hadoop的方案比較成熟，一直到最近更好的Spark的方案成熟之后，我們就有了比較強的各種數(shù)據(jù)多樣性數(shù)據(jù)的方案。包括我會在大數(shù)據(jù)方面我可以跑類似于Spark做BI類型的分析，可以跑算法做多樣性數(shù)據(jù)的整合，從里面抽出比較重要的威脅情報。在企業(yè)內(nèi)部部署的數(shù)據(jù)可以做攻擊鏈分析，這些都是由于大數(shù)據(jù)可以讓我們做更復雜的多樣性數(shù)據(jù)分析的典型例子。

真正對企業(yè)安全會造成比較大的改變的，我們認為是人工智能的技術(shù)，因為企業(yè)安全里面他們對人工智能的技術(shù)采用的時間也并不是特別短。比如說最早在2000年左右的時候，我們就已經(jīng)開始用人工智能來處理垃圾郵件了。但是那個時候因為算法的限制，只能處理單一的數(shù)據(jù)。然后從2010年左右開始，我們那時候有了第一版的GPU能用一個性能很好的深度學習網(wǎng)絡(luò)，我們管這個網(wǎng)絡(luò)叫卷積神經(jīng)網(wǎng)絡(luò)。從那時候我們可以用比較復雜的方案，可以用深度的學習做病毒樣本的分類，這個方案紅到什么程度呢？基本上所有的硅谷創(chuàng)業(yè)公司只要是安全的都會說他用人工智能。

從實際的效果來看，因為我們知道VirusTotal基本上是所有比較有名廠家的病毒引擎，殺毒引擎都放在他們上面，從2016年開始有三家，而從今年上半年開始集成四家算法引擎，他們是完全基于人工智能有監(jiān)督算法做病毒樣本分類的，所以我們可以看，在病毒樣本分類里這個算法有多么的普及。然后再另外一些領(lǐng)域里面，比如靠行為分析里面，我們可以用無監(jiān)督學習算法或者一些統(tǒng)計類的算法，比如大家聽得多的用戶行為分析或者反欺詐，里面都會用統(tǒng)計類的算法。

所有這些新的一些技術(shù)能導致我們這邊可以更快的開發(fā)出更復雜的一些產(chǎn)品，有個明顯趨勢就是很多的產(chǎn)品被綜合了。比如說以往防火墻可能只是在IP那一層、UDP那一層或者HTTP那一層做一些事情。后來我們就會聽到Palo Alto Networks他們會推薦NGFW，在一個防火墻里面把什么事情都做了，把IDS的事情也做了，把沙箱的事情也做了，能做這么多功能，他能完成事前預測事中檢測加上復雜事后分析的一些復雜的產(chǎn)品。

所有的產(chǎn)品因為管理層的需求來講都比以前更加重視管理上的需要，比如說我們以前提的MDM直接管理移動設(shè)備，云計算安全設(shè)備里面CASB負責哪些用戶能使用哪些云計算資源，哪些資源不能亂用，EDR里面也會管理終端安全。自適應安全更是典型的管理場景，所以這些功能堆在一起比較多，他必然會用一些比較復雜的大數(shù)據(jù)算法，并基于大數(shù)據(jù)算法再往上堆各種復雜的比如人工智能算法來幫他實現(xiàn)更高一步的自動化。某些比較有錢或者比較重安全的高級用戶他可以用更復雜的一些方案，比如可以變形的WAF或者動態(tài)的虛擬蜜罐，這都是以前我們認為不會有市場的產(chǎn)品也開始普及開來。

最直觀的例子就是說這么多功能疊加的組合，會直接導致這個市場高度碎片化，所以這張圖大家可以簡單看一下有多少個大的產(chǎn)品細分市場，像有些市場比如說反欺詐或者工控市場還有安全自動相應化相對來說比較新興的一些市場，大家可以看這個市場的碎片化程度會有多高。

老的一些產(chǎn)品，有些是作為演化，有些是加一些功能重新包裝。以前我們講過防火墻會變成新一代的防火墻，終端殺毒會變成EDR軟件。而EDR最開始定位只是一個管理上的功能，他甚至不殺毒，只是被動的看有哪些病毒感染哪些終端。后來傳統(tǒng)殺毒軟件廠商覺得他們有工程能力能夠直接殺毒，就是直接防御事中防御、事中檢測合到產(chǎn)品形態(tài)里面去，所以我們看紅的EDR產(chǎn)品線里面都有比較復雜的管理功能，他還有比較復雜的基于行為來判斷病毒是否爆發(fā)的一些功能。IDS、IPS會變成NTA也是有一些基于網(wǎng)絡(luò)行為來做分析的，SIEM會變成UEBA基于用戶和實體的行為來分析異常。

總之這些產(chǎn)品演化的共同特點就是：因為大數(shù)據(jù)和其他相關(guān)技術(shù)的開源的成熟，所以會集成更多的功能，也會有更多的產(chǎn)品組合形態(tài)。最后或多或少它都有一些基于人工智能來進行行為分析，而總體來講他會比較重管理的功能，像大的EDR有單獨的管理界面能夠把整個EDR管理用起來，他能讓整個的產(chǎn)品的管理來更靠近這種業(yè)務(wù)形態(tài)。

新產(chǎn)品不是這種產(chǎn)品的演化，而是全新冒出來的。大家常聽說的威脅情報，能做出來后臺有很主要的原因是因為：

第一，大數(shù)據(jù)處理平臺。有很多威脅情報公司可以用開源的方法開發(fā)出自己數(shù)據(jù)分析平臺。

第二，有各種各樣的算法。他們能夠從這些比較多樣的數(shù)據(jù)里面提取出新的分析結(jié)果。

不過我們翰思科技認為威脅情報這個東西不應該作為一個黑白名單來直接使用，他的準確度沒有高到這種地步，我們建議豐富上下文的作用，比如說現(xiàn)在有一個文件的行為看起來比較可疑，你可以根據(jù)威脅情報上下文來判斷這個是不是真的有問題。

還有一個提得比較多的詞就是大數(shù)據(jù)安全分析，其實我們認為嚴格來講他不是一個產(chǎn)品市場，他是一個能力。很多產(chǎn)品都可以有大數(shù)據(jù)安全分析能力，因為畢竟所有的安全產(chǎn)品后端基本都是屬于大數(shù)據(jù)的。每個漏洞的一個普及情況，新的漏洞是誰發(fā)布的，哪些人在用，這也是后端大數(shù)據(jù)分析的例子。防火墻這些殺毒軟件的規(guī)則都會有大數(shù)據(jù)支撐，所以講大數(shù)據(jù)是沒有什么太大意義的。

基本上有分析功能都是安全分析，所有的產(chǎn)品你看跟他原來的產(chǎn)品形態(tài)其實有很大的關(guān)系，比如說防火墻演變成了大數(shù)據(jù)分析，那可能是比較重視TCPIP那種層次。如果你是想做多樣性的大數(shù)據(jù)分析，我們認為可以靠SIEM這種產(chǎn)品線演化出來新的產(chǎn)品。

這邊我簡單講一下大數(shù)據(jù)安全產(chǎn)品會有哪些框架。這張圖是我們自己的產(chǎn)品，他會有比較復雜的多樣性數(shù)據(jù)采集，這個數(shù)據(jù)可能包括日志數(shù)據(jù)和網(wǎng)絡(luò)流量數(shù)據(jù)，數(shù)據(jù)之上還有轉(zhuǎn)換功能，轉(zhuǎn)換功能之上有堆積金字塔型的各種分析方法，最底下是規(guī)則，再往上有機器學習，再往上面可能有用戶行為分析，所有這些分析也要結(jié)合威脅情報來做分析。這些是通用的分析場景，對于某些專有領(lǐng)域的場景比如說帳號或者態(tài)勢感知還有上面要做一些額外的模塊，我們覺得這是比較典型的大數(shù)據(jù)安全分析的一個框架。

所以剛剛談了一大堆各種碎片化和比較新興的安全市場，所以對于企業(yè)安全運維人員，可能第一個問題是說，現(xiàn)在產(chǎn)品越來越多，每個產(chǎn)品功能也越來越多，我怎么挑產(chǎn)品？是不是我們挑功能最多的或者是挑價格最貴的？

我們其實有個比較現(xiàn)實一點的依據(jù)，就是說企業(yè)要根據(jù)他們自己所處的行業(yè)，來判斷這個風險會是什么樣子，比如說我發(fā)生被DDOS的概率會有多少？發(fā)生之后對我業(yè)務(wù)有多少影響？還是我現(xiàn)在抗D已經(jīng)做得很好，而有發(fā)生數(shù)據(jù)泄露或者更高層次APT攻擊的這種威脅，所以企業(yè)先要判斷一下什么樣的威脅是發(fā)生起來概率最高的，而且一旦發(fā)生他的后果也是最嚴重的，優(yōu)先對這種風險挑選比較適合的產(chǎn)品。

這張圖里是行動矩陣，可以判斷病毒每個階段用什么樣的產(chǎn)品做防御，想防御怎么做？你想欺騙怎么做？相應來講你需要哪些產(chǎn)品？你根據(jù)這個表可以來判斷應該挑選什么樣的產(chǎn)品。

2017——2020年：消失的邊界

我們知道谷歌很多方面在業(yè)界比較領(lǐng)先，他們前一陣推了自己的一個網(wǎng)絡(luò)安全框架，這個網(wǎng)絡(luò)叫零信任企業(yè)安全架構(gòu)。簡單來講他基本上是不怎么依賴于這種防火墻的，不是說你進了防火墻之后，用戶一點問題都沒有。他在各個服務(wù)器、各個資產(chǎn)甚至到各個企業(yè)里面調(diào)用的API里面做防御，要做多重驗證，驗證之后還會做監(jiān)控，看你用戶的行為跟以往的行為是否發(fā)生偏離，所以他是個比較復雜的網(wǎng)絡(luò)防御的一個拓撲架構(gòu)，當然這個架構(gòu)會很新，并且部署成本也很高，但是我們覺得可能將來隨著產(chǎn)品部署成本降低很多企業(yè)會采用這種架構(gòu)。

因為我們知道網(wǎng)絡(luò)安全法里面談的事情比較多，這方面在美國會比較明顯，因為美國有很多合規(guī)要求，所以我們預計將來在國內(nèi)隨著《安全法》的細化，還有具體的懲罰案例的出來，企業(yè)會更多重視他的合規(guī)要求?？赡芄芾韺雍桶踩\維人員直接會問“我們現(xiàn)在有這么多法規(guī)，你到底符合程度是多少，沒符合的話我們應該用什么樣的安全產(chǎn)品來補齊這種合規(guī)要求？”然后隨著這種合規(guī)要求比例的增大，可能更多企業(yè)里面會設(shè)立首席風險官這種角色。

這方面目前看下來正方反方的依據(jù)都有，因為我們看到統(tǒng)一市場后，就有更大的產(chǎn)品企業(yè)越做越大，但有比較大的產(chǎn)品企業(yè)，像Intel Security還有Symantec他們的市值相對來說在萎縮，而新的創(chuàng)業(yè)公司會有更高的估值，所以這方面我們自己的估計是將來應該會是一個更統(tǒng)一的市場。像云廠商，他會把自己的安全業(yè)務(wù)做得非常大，甚至會覆蓋很多傳統(tǒng)安全企業(yè)里面做的一些功能，比如云上的WAF、云上的IDS，新的安全廠商會對老的安全廠商完成一些洗牌，他們會成為更新的一些巨無霸型的企業(yè)。（本文獨家首發(fā)鈦媒體，根據(jù)瀚思科技聯(lián)合創(chuàng)始人、首席科學家萬曉川在鈦坦白上的分享整理）

鈦坦白第50期：上升為國家戰(zhàn)略的信息安全，企業(yè)要如何應對?

快報