长亭科技眼中的未来云安全运营
本篇是GoUpSec&长亭科技访谈的下篇,上篇为《长亭科技郭世超:网络安全回归免疫疗法》,没看过的小伙伴请点击链接进入。
长亭科技认为,安全的未来在云端,所有的安全产品包括全悉也是基于云场景进行研发的,长亭科技的产品在云场景是如何规划的?对于未来云安全又有哪些看法?未来云场景的安全运营又有哪些不同特点?本次访谈进行了一些探讨,希望对读者有所启发。
郭世超,长亭科技首席安全产品专家、产品总监,毕业于国防科大计算机与中科院人工智能专业,曾是战斗在国家网络安全前线的指挥员,拥有多年安全建设、安全管理和攻防实战经验;也是Tea Deliverers战队成员、hackerone白帽子,曾获hackerone季度全球第92名、年度中国区第9名、Airlock Hall-of-Fame第1名,为Alibaba、Starbucks、TikTok等知名厂商提交过安全漏洞,多次参加国家级沙盘推演、强网杯、DEFCON CTF等活动。
由聊全悉-云场景理念和能力过渡到聊云安全
GoUpSec
长亭倡导云安全的标准化开放生态,全悉在云安全场景下有什么规划?是否支持对接主流云厂商?以及对其他产品的对接和包容是如何考虑的?
郭世超
长亭倡导云安全标准化的开放生态,有两个关键点,一是标准化,二是开放。首先混合云的思想技术贯穿长亭所有产品,我们在产品设计之初就全面拥抱上云,全产线均采用容器化技术架构,将云战略的长线思路贯穿于产品设计。当然全悉也不例外,包括混合云、多云的场景部署,容器化流量解析分析能力,云场景流量威胁检测,云端威胁狩猎研判等。我们在设计产品时,就已经把开放和标准化定义下来,就是为了去拥抱混合云、拥抱上云的理念,这个就是标准化。
全悉与云的对接考虑的是深度耦合,是代码级的耦合,是云原生的对接,与云产生这种化学反应。目前全悉正在和云厂商开展对接工作,真正去解决云内流量威胁检测的一些盲点和痛点,比如云内东西向跨VPC流量、VPC内流量的威胁检测、云上挖矿识别等。当然,无论是私有云、公有云还是混合云,不同的场景用户对NDR的需求、问题求解条件也是不一样的,我们会从云用户视角出发,推进产品的演进。
回归到第二个关键点——开放,标准化的产品设计让长亭产品在云生态中可以更好融合,也更好的部署在客户架构中,我们会开放出OpenAPI,提供标准化的接口,同时对于其他云服务商我们也会进一步推进深度的云原生对接,这种对接深度也会触达云原生层面,而非采取半挂式的、外接式的对接方式。
GoUpSec
长亭认为云安全将是安全领域最大的赛道,作为安全厂商看云安全会有什么不同的视角和观点?
郭世超
这个观点是去年长亭OneNode新品发布会上由CEO肖力提出来的。长亭目前已经加入了云原生计算基金会CNCF,来携手共建云原生安全。我们非常坚定地认为云安全将是安全领域最大的赛道,并且一定是伴随着技术创新驱动的。
聊到不同的视角,我分享几个自己的观点:
第一点,我觉得国内未来的云安全场景一定是混合云安全的场景。我们怎么定义混合云,是私有云、公有云和多云组成的这类相对复杂的企业IT基础建设。
第二点,随着企业数化转型与业务上云的发展,会沿着单点能力的被动安全,向纵深防御体系的主动安全,最后会向着“云原生安全3.0时代”演进。
我认为,“云原生安全3.0时代”会有以下几个特点:一是,安全将面临更加混合、更加异构、更加复杂的基础架构。二是,业务上云会带来更多的可被利用的攻击路径,攻击面会更广、攻击迅速高频、自动化程度更高,复杂与不可预测性进一步加剧。三是,安全的一体化运营、安全服务云上全托管以及所谓的安全服务化的按需调用。四是,安全能力融合于云基础设施、云产品组件之上的系统,也就是云原生的深度耦合、容器级的安全控制、分布式和弹性高可用,具备原子化的能力。
第三点,我认为云原生的安全模式是更优解。为了适配云的中心化架构(云内/云外)是削足适履般的逻辑倒退,比如旁挂、云内中心池,当线下努力尝试硬件集群实现分布式,而云上却又回归中心化架构,是安全逻辑复杂化体现。
第四点,针对云安全,原生产品是手段,安全运营才是目标。为什么这么说?一是因为云上安全运营的体系建设大于单一安全产品能力;二是现阶段大量安全产品没有用好、不可运营,没有达到预期的防护效果;三是云安全运营更加关注身份识别、风险评估和运营安全验证、合规性评估、威胁防范和风险发现、运营监控等等。
GoUpSec
长亭科技强调重视“风险覆盖率”这一新指标,在混合云时代,企业的安全预算和运营最佳实践如何再平衡预防与检测响应的权重?
郭世超
预防与检测响应是企业做安全防御的主要手段,但是发现攻击威胁后,再去找到威胁,有点类似于骨折之后再去止血、打绷带一样。混合云时代下,需要去实现安全风险防御的“步态左移”。针对这个“步态”,我们需要的是量化步态、高频小跑。这里其实包含三个关键词:
第一个关键词是转变。核心就是从“被打骨折后止血包扎”的传统“外科式”的事后防御的思路,向“免疫式”的持续运营理念去转变。在混合云时代下,需要安全能力、安全运营在日常强身健体,让事后响应尽量少的发生或者不发生。企业最好的防御体系是减少事后防御的动作,防患于未然。风险覆盖率,就是想要做到预防层面,把它做得更前置。
第二个关键词是高频。核心就是高频且持续的减少风险暴露面的安全指标,工作做在日常,而这是安全运营团队的首要。混合云时代下,看不清的资产、暴露的攻击面、快速的业务迭代,企业会面临着越来越臃肿的复杂性。攻击面的风险不仅在于大量影子资产暴露的漏洞风险,更重要的是攻击者的攻击链路不同于现有安全产品的防护逻辑。所以高频率和高度自动化的安全运营管理才能应对时刻变化的攻击面。那需要高频应对哪些风险呢?比如复杂环境的资产关联,多维的攻击面发现,从攻击者视角出发的高频、自动化的持续安全巡检,高效自动化的风险告警与处置等等,这些都是“高频小跑”需要关注的点。
第三个关键词是量化。就是“量化步态”,核心是以攻量防,突出的是对安全体系框架的衡量或度量,突出量化指导、量化对比、量化迭代、量化进步,包括对企业攻防能力成熟度的量化,对安全能力、运营能力的量化,对交互式防御内在功力的量化,对安全运营健康度的量化。
GoUpSec
类似国外SaaS化安全服务、安全监控和分析云服务模式,在成本和效能是否可以支持国内中小用户的需求?长亭会采用哪些策略来帮助中小用户降低云安全成本?
郭世超
SaaS化在国际上或者欧美市场是通用方向,国外对公有云或者SaaS的接受程度更加开放、思维更加靠前,已经得到大量的实践案例和落地扎根,服务了大量中小用户的安全需求。我们首先认可和吸收国际先进的经验,同时,我们也清晰认识到国内有其国情和业务的特殊性。中小企业客户自身体量较小,或者业务覆盖度上较小,也有其自身的特殊性。我们目前还处于思维认知的碰撞期,发展迭代的过渡期。长亭不会去照搬照抄国外思路,我们会探索一条符合中国国情的、具备长亭特色的思路,即考虑师夷长技,也寻求国情与自身特色的有机融合。长亭当前也正在探索这条路子,构建MSS安全托管平台、百川SaaS产品服务平台等等。
我们坚定的认为,中小用户是值得拥有安全服务的。他们安全服务需求的满足,一定是标准化的、远程主导,一定是统一的、按需的、基线式的模式。我们作为安全服务商,也会考虑从相对较低的总体成本来服务到中小用户的需求。但低成本不代表低效能、低效果,无论是客户投入的经费成本,还是安全服务商提供人力、技术成本,需要双方在时间、空间、投入这三个对应维度上,实现中小客户需求与安全厂商服务模式之间的平衡,这也是我们正在探索的一个路子。
聊聊其他问题
GoUpSec
如今网络安全产品的同质化严重,客户通常需要大量运维和操作,长亭对于服务捆绑和打包上有什么考虑?
郭世超
首先我不否认对同质化竞争的现象,确实也能感受到当前行业内卷的存在,这当然会对安全行业的技术发展和产品孵化带去不利的影响。不过我相信随着中长期市场的理性发展,成熟度和健康度的提升,以及技术创新的深化,这个现象会得到优化和消解。
长亭的理念一直以来都是“以技术创新为立身之本”,我们核心在于打造自身的创新力,构建差异化的竞争力,迭代单点压强的极致力,不会去卷所谓的产品数量,参与这种低维度、低层次的同质化竞争。站在长期主义我坚信,未来的市场一定是特色驱动、技术驱动、创新驱动的。这就是我对当下行业赛道同质化现象的一些看法和思考。
回归到公司自身,未来长亭能够更好的面向客户的痛点需求所提供的安全能力,一定是产品加服务的整合模式。我认为为优质的安全能力一定等于产品加服务的整合,其中服务一定是占相对主导位置的。产品做得好不好是一个层面,客户能不能用得好是更重要的层面,如果产品不会用、用不好,那安全能力的发挥基本就等于零。客户的目的不是为了买几个铁盒子或者一堆软件代码。这就好比城市道路的摄像头建设,目的不是架设更多的摄像头,而是将摄像头用起来、连起来才能保障交通安全是一个道理。
同时,服务之于安全能力落地起的是转化和增效的作用。产品的安全能力模型化、能力迭代验证化、安全资源体系化、效果产出精尖化、能力落地运营化,这些种种能不能在客户侧体现,能不能让客户感知到,这都需要服务去介入、去转化、去增效。
此外,服务也是“产品视角看安全,安全视角看产品”的闭环中的关键,更是安全产品从“我说好”到“真的好”的关键,经常起到打通了“产品安全能力至客户业务痛点最后一公里”的作用。所以从长期的角度,我们的产品加服务肯定会做更加深度的融合,并且让客户体验和感知到长亭的安全能力体系是产品和服务“鱼水情深”式的融合体系。