4月26日,2020默安科技线上发布会成功举办。在发布会的压轴环节,数世咨询创始人李少鹏与默安科技CEO聂万泉进行了一对一的精彩访谈,对话中不仅对本次发布会的主题“X进化”和默安的“下一代企业安全体系”作了解读,还比较详尽地就安全的基础工作——资产管理,以及欺骗防御在国内市场的发展做了深入探讨。
访谈原文
李:
大家好!我是数世咨询创始人李少鹏。非常荣幸能在默安科技成立4周年之际采访到默安CEO聂万泉。从默安16年成立到现在,我参与了每一场重要的发布会,从国内首次提出欺骗防御的理念,到之后的云安全、DevSecOps开发安全,再到今天的资产安全管理,从初期的千万融资,到最近的亿元融资,作为一家初创企业,其实已经获得了不小的成功。
我看你们现在提出了“下一代企业安全体系”,那这个“下一代”具体包含哪些内容?
聂:
我们认为“下一代”包含多个方面。首先是IT架构的“下一代”,如云计算、大数据、物联网等;第二是客户业务的“下一代”,即数字化业务转型。这些外部环境引出了安全对抗的“下一代”,新型攻击与新型黑灰产不断涌现,下一代安全体系成为市场需求的产物。我们目前的安全体系基本都是2000年左右提出的,建立在以硬件为基础的IT架构之上,未来的安全体系需要往应用层、业务层等不断“进化”,这也是我们本次发布会主题“X进化”的由来,希望我们整体的安全体系再往前走一步。
默安强调的下一代企业安全体系主要包含3个核心:
1. 安全赋能。客户业务数字化驱动日益明显,如何赋能数字化业务安全?我们做了SDL和DevSecOps。尽管SDL由来已久,国内也一直有大企业在做,但普及程度一直不高。
2. 安全的体系化。我们所强调的下一代企业安全就是希望尽可能智能化地整合安全数据与防御能力,形成统一检测、响应和决策体系。这也是一直以来的行业难题之一。安全领域的木桶效应和“孤岛”现象非常明显。
3. 以我们在国内最早发布的欺骗防御为突破口。过去的杀毒软件、WAF、IPS、IDS等“强对抗安全产品”已经明显疲乏,不足以应对越来越复杂的攻击活动与安全威胁。“强对抗安全产品”的工作模式就像打拳击,我知道你的招数,就能打中你。但近年来,各类形式的国内外红蓝对抗实战不断证明,攻击者所用到的招术和所利用的漏洞都是未知的,防守方陷入被动局面。因此我们希望为防守方争夺主动权,在攻击发生前作出提前预警,在攻击发生时延缓攻击,在攻击发生后有效拖延攻击或作出干扰。
李:
在业务上线前,你们有SDL和DevSecOps;上线后则以欺骗防御为突破口,做一些产品和方案的延伸。那么请问你们在体系化方面做了哪些东西?有没有形成具体的解决方案?这个我还不太了解。
聂:
对于体系化的东西,目前业内一般通过SOAR编排、传统SOC向SIEM或NG SOC的转变作集中管控和可持续化运营,但几年下来整体效果仍有限。主要原因是没有统一的标准将安全数据孤岛和防御孤岛打通,最终导致安全能力输出者各自为战。通过这几年的红蓝对抗实战,我们也发现如果要让这个体系跑起来,任何企业都需要投入大量的人力。为了解决这个问题,不管是平时还是“战时”,我们都需要这样一套能把安全数据孤岛和防御孤岛有序串联、协同工作的系统。
从我们的具体实践来说,主要从我们今天所发布的方案——资产安全管理方案入手——把基础体系建设好。其中涉及到的主要产品叫作哨兵云。以前资产靠人工录入和统计或依赖扫描器扫描,方式相对比较单一和被动。我们这次发布的方案希望把整个资产的管理系统化地做起来,尽可能地做到自动化和智能化,从多个视角把整个组织的资产有序地管理起来。这是一项基础工作。地基没打好,谈更高阶的智慧安全运营,都是空中楼阁。
在这个基础之上,再去发展下一代欺骗防御产品以及另一款我们尚未发布的新产品,按照标准化实现整合,再去建设“上层建筑”,用更加智能的决策引擎,把日常的安全运维、对抗、检测、响应、决策等工作接管起来。目前的普遍做法是把现有的安全产品日志收集起来,做简单的分析和展示,这样远远不够。要想达到我们设想的效果,必须把基础工作做到极致。从长远看,希望我们目前在做的这件事情是未来实现智能化安全运营工作的基础。
李:
这个其实和我们之前发布的态势感知报告不谋而合。我们提出的态势感知三大核心支撑因素,基础就是资产管理,没有资产管理根本就不用去谈什么数据分析和安全运营。因此看来我们想到一块儿了。
聂:
是的,所以我们觉得这些基础工作必须有人来做,并且是从多方视角,包括攻击者视角、防守者视角,也有第三方视角和外网视角、内网视角,把所有资产系统地梳理出来,发现资产的暴露面和突破口。
李:
说到这,我忽然有一个想法,我觉得我们的安全是需要补课的,安全技术、产品以及用户都需要补课,经过多年发展,我们有先进技术,但在IT基础设施的普及方面以及整个安全人员的水平,都是不够的。所以我们不能只围着新概念和热点转悠,新概念要关注,但基础工作也要做扎实,这样才能更好更良性地发展。因为我了解过一些市场上的资产管理方案,有的是资产扫描,有的叫作网络空间测绘,还有一些是主机安全,在主机上装agent进行弹性管理,不知道你们的资产安全管理具体是怎么做的?
聂:
不管是主动扫描,还是部署agent,我们认为这些都是单一的视角。拿扫描器扫描是攻击者视角;主机装agent是从运维角度出发,更偏向于防守者的视角。但这些方式对于未知的主机资产显然无效,出现遗漏。另外,我们发现资产管理还存在实时性问题,例如我9点启动了某台机器但10点就关掉了,这个只出现过1小时的资产,如果没有工具去发现它,就会存在非常明显的安全隐患。因为这一个小时足以让攻击者完成一次完整的攻击。
总结来说,目前的资产管理领域面临着4个主要问题:视角问题、准确性问题、完整性问题、实时性问题。我们要知道一个资产的多种信息,才能完全了解它的脆弱性问题,光靠扫描是不够的,所以我们需要更多的信息、视角和数据去评估我们整个企业的资产。针对跨数据中心、跨云和分布式部署的资产,我们也需要更加完整的方案。
我们这次发布的方案就是希望融合多种视角,梳理资产的暴露面问题(从安全角度讲,资产暴露面非常重要,是资产脆弱性的决定性因素之一,而在传统的资产管理方案中,我们没有看到有人去梳理这个东西),寻找资产可能存在的脆弱性(一个小小的缺口就有可能造成整个资产的沦陷)。
完整性是指我们目前能够获取的资产数据是偏少的。扫描器可以告诉我们这个资产大概是系统,它开放了哪些端口,但信息量还是太少,因为扫描过程中会有防火墙、WAF这些东西的阻隔,导致所得信息不完整、不全面。
而实时性主要针对的是云上资产,用户需要通过一些云的API接口不断对资产进行调用,或者你开放的端口需要别人进行访问。那么从流量层面来说,也需要做一些实时的安全检测。
因此,准确、实时、全面地进行资产及其脆弱性的梳理,是我们主要做的工作。希望从资产安全管理角度,真正打开“上帝之眼”,将目标组织的IT架构看得更清楚,拒绝安全盲区。
李:
因为之前我对资产管理也比较了解,也知道很多做这方面技术和产品的公司。那从你刚才的介绍来看,根据这几个特性来做资产管理,之前还是没有听到过,希望回头可以看看你们相关的资料。
其实你们现在在做的几个方向都是非常重要的,比如DevSecOps,虽然很多企业可能还到不了DevSecOps的阶段,但SDL还是有很多企业在做,市场需求也很可观。不过代码安全、资产管理这些都是老概念,像欺骗防御这样的新概念从提出到现在,中国市场依然没有很快被放大。那据我个人调研和了解来看,很多用户对它的实际效果以及部署成本等方面存在很大顾虑,对于如何拓宽欺骗防御市场的发展,不知道你们有什么好的见解?
聂:
从我们2016年发布欺骗防御方案到现在,有一个比较好的市场现象是中国越来越多的用户开始接受它。有一部分原因是强制性的红蓝对抗活动,但也有很多因为感受到其好处的切实需求。从默安的角度来讲,欺骗防御也是一个要持续发展的东西。2016年发布时就有很多声音说我们做了一个新的蜜罐出来,但蜜罐太古老了,并且蜜罐的本质是被动的。
李:
是的,蜜罐实际只是收集数据的作用,欺骗防御做的是诱捕,这是主动的,这是两者最大的区别之一。
聂:
对。这几年我们公司也在这个领域做了很多研究和探索,形成了高交互、网格状的诱饵系统,这一点就能区别于传统的仅有感知作用的“蜜罐”。并且传统的网格状蜜罐部署成本非常高,我们通过探针的形式做到尽可能地降低部署成本,同时也研究了一些跨网段和轻量化部署的技术,以及快速生成高交互模板的技术,进一步放大蜜网的规模。另外,在这基础上,我们也推出了比较受欢迎的攻击溯源技术,除了攻击者捕获,我们还会形成攻击情报进行溯源,这也是我们中国的欺骗防御厂商做得比较好的一点。放眼全球,很多有名的欺骗厂商基本在溯源和整个威胁情报的采集方面都表现平平。
这几年来,我们的欺骗防御产品经受了大量的实战考验。从实战中我们也摸索出了一种非常规的欺骗思路,那就是低成本地放大攻击面。而很多友商做蜜网都在努力放大系统本身的感知面。两者区别很大。感知面是当攻击出现时,我能知道有这个攻击。但放大攻击面是指当攻击发生或即将发生时,我能增加诱骗你进入圈套的可能性,比如100个攻击点中可能有99%都是比较完整的攻击面,但都是伪装的。并且放大攻击面相对于放大感知面的另一个很大的好处就是我们能获取的情报是非常有价值的。
攻防博弈是一个各种成本的对抗。如果这种欺骗防御的思路部署成本低、对业务无侵害,不用耗费大量人力就能放大对手的攻击成本,无论是对默安还是对客户来说,都是一件非常有价值的事情。
李:
对,而且它的准确率也是百分之百的,不存在误报了。
聂:
不仅是准确率,而且还能收集到很多有价值的信息,比如他的攻击手法、工具、利用的漏洞等等。而且我们还支持私有化部署,例如我们的银行客户通过私有化部署下一代欺骗防御,它能放大的攻击面就是银行个性化的业务,这个攻击面所采集到的情报是和这个客户甚至整个行业都紧密相关的,而不是通用的威胁情报。我们希望威胁情报在持续发展的过程中,帮助我们防守方取得更多主动权,占据更有利位置、更多的时间、更低的防守成本。
李:
不知道现在你们是否有这样的解决方案,在deception在发现有价值的情报后,直接反馈给SIEM,然后SIEM关联分析后做到自动化响应?
聂:
我们现在正在发展基于deception的情报服务,优化不管是SIEM还是其它安全运营系统的效果。现在很多友商也愿意集成我们的东西,因为他们很多态势感知系统的告警很多,误报也很高,但我们系统吐出的东西很大可能是没有误报的,所以我们的东西能帮他们将整个事件抽丝剥茧,抽出很多有价值的信息。
李:
我们现在都在谈论SOAR、automated response,但为什么现在很多系统都做不了?就是告警准确率太低,不敢妄然地进行自动阻断。但高交互性的欺骗系统,完全可以确定他就是在攻击,完全可以采取自动阻断的措施,我觉得这是它最大的价值体现之一。
聂:
所以在联动方面,欺骗防御也有很大的发挥空间,也是我们比较看好的一个方向。
李:
好。那最后我再提一个问题,你们三人都是安全创业圈子里的成功者。因为你是默安CEO,请分享一下你对默安未来的发展规划和企业定位。
聂:
我们的规划和定位都比较简单。我们3人在安全行业里面摸爬滚打很多年,看到了行业的正向发展,也看到了很多不足和一些趋势变化。我们愿意沉淀下来创业,一直坚守的只有一个信念,就是希望实实在在地去做对安全行业的发展有益、对客户真正有价值的东西,而不只是为了做一门生意。这个坚守不会变,也是我们默安科技一个很重要的基因。希望通过我们的创新和努力,真正做一些事情。从行业定位来讲,这几年下来,很多客户也能感受到,默安是一个希望通过产品和技术去收获市场的企业。
李:
OK,非常感谢聂总。那再次祝贺你们发布会取得圆满成功,为安全市场带来全新的体系和方案。也祝默安以后的发展蓬勃红火,让我们共同努力,使安全行业的环境变得更好、更加健康。
来源:freebuf.com 2020-04-30 16:45:48 by: 默安科技
请登录后发表评论
注册