【鈦坦白】瀚思科技首席科學家萬曉川：企業信息安全的過去、現在和未來

圖片來源：視覺

在鈦媒體在線課「鈦坦白」第50期，我們邀請了三位鈦客講講企業要如何應對信息安全問題。本期鈦客之一、瀚思科技聯合創始人、首席科學家萬曉川，擁有10項安全行業美國專利。 曾任趨勢科技（Trendmicro）研發中心技術級別最高的核心技術人員，設計了趨勢科技的整個病毒分析後台架構，還曾任趨勢科技專利委員會區主席。2006年萬曉川在全球範圍內首度將機器學習應用於病毒自動分析系統，在0.1%誤報率時可以偵測71%的未知病毒，這項技術保證了趨勢科技的殺毒能力持續排名世界前三。2007年萬曉川再次成功將機器學習應用在垃圾郵件識別，並取得96%以上的全球第一識別率，戰勝了思科花8.3億美元收購的IronPort。自2010年起，萬曉川以高級架構師和項目總監身份主導設計並開發了網頁安全模擬分析引擎和APT防禦產品線的沙箱，並在2014年全球權威的NSS lab評測中擊敗了主要競爭對手FireEye，獲得APT檢測率世界第一。

本文節選自萬曉川在鈦坦白的分享。如果您還不是鈦媒體Pro用戶，希望查看鈦坦白所有乾貨，進入鈦坦白九個專業群交流，並查看更豐富的專業數據和信息，可點擊：註冊。

以下根據萬曉川在鈦坦白的分享實錄整理：

大家晚上好，我們今天談的主題就是《企業信息安全的過去與現在和將來》。我會簡單說一下，企業信息安全主要驅動力來自哪些方面，這些驅動力在2010年之前是怎麼保證企業安全發展的。重點是談最近七年企業信息安全的各種產品形態，最後我會簡單總結一下將來三年會有什麼樣的變化。

企業信息安全技術發展的驅動力

我們一般講的企業信息安全，解決的問題就是滿足企業合規方面、防禦方面的需求。涉及的不是只有技術因素，還會有其他方面的因素，比如合規方面的留存需求，也會涉及到人員怎麼按照組織，怎麼編排預算。但是我們這些從業人員知道，企業安全的預算總是有限的，不可能防禦100%的攻擊，所以怎麼能在有限的預算經費下達到一個安全的效果和平衡？這是我們面對的一個主要的難題。

想解決好企業安全要考慮到它所在的大背景，也就是企業，這就涉及到三個主要的因素——人員、流程和技術。這三個因素都要配合好，不是說只用一個好技術就能把企業安全做得很好。這方面也有很多比較複雜的管理框架，我們把這個框架叫ESA（Enterprise Security Architecture），也就是企業信息安全架構。這塊大家可以參考一些書籍去研究， 本次的分享我們主要精力先全部放在各種技術對企業安全的影響方面。

企業信息安全技術的發展，驅動力主要有三個：

• 攻擊方技術的發展。比如說黑客有哪些新的一些攻擊方法，我們這邊防禦方也會做出相應的一些應對；
• 基礎技術的發展。因為企業信息安全技術相對來說屬於技術鏈的下游，它一般會受益於上游技術的改善，比如說雲計算技術、大數據技術、移動計算技術，所以上游那些新的技術也會惠及到我們下游；
• 管理技術的發展。我們籠統講叫管理的理念，比如說企業裡面比較重視量化管理，作為企業信息安全的一個實現方我們也要在技術裡面實現這些量化管理。

但是長久以來，我們的從業人員比較關心第一點，比如說我們經常可以看到新聞報道會講哪些新的攻擊方法，其次會關心一下基礎技術的改善，把最新的技術放到企業安全裡面做，基本上很少談及到管理的技術，這點尤其在是比較嚴重的現象。

2010年之前的安全技術發展防禦理念：被動式技術導向思維

談具體安全技術的發展方向就離不開回顧。我們先來看一下2010年之前安全技術發展是什麼樣子。

首先我們看這張圖，其實整個企業安全市場從第一款殺毒軟體到現在時間並不長，大概從1987年開始，我們有了第一款殺毒軟體。兩年之後有了第一個蠕蟲，所以一直到兩年之後，才有病毒的變形就是蠕蟲。到1992年我們才有第一款商業防火牆，同時也是我們發現第一個代碼變形病毒，代碼變形病毒屬於水平比較高的病毒。

所以大家可以看，基本上這個時期的信息安全是一個被動的應對姿態，有新的安全威脅基本上要過一段時間之後，短則幾個月，長則好幾年，我們才會推出相應的產品。而且有些產品之間會有一些重疊。比如說IDS和防火牆其實最初開始就有一部分重疊，有一部分原因是因為某些廠商可能覺得，原來那個防火牆的方案不能覆蓋所有的攻擊情況，所以他要推出一個新的產品，在新的一個網路層次裡面做新防禦，也就是說他們兩個立足於不同的網路層次結構。

這邊有個很特別的產品，2005年有個SIEM產品，大概是應對四年之前薩班斯法案一些合規要求推出來的，以往所有的產品比如說WAF或者防火牆，它們面向的用戶都是安全運維人員，只有SIEM有一部分面向的對象是屬於管理人員，所以我認為它是第一款把安全產品的角色做轉向的產品線。2006年，我們可以把它看成是大數據和雲計算的元年，當年是亞馬遜和AWS、Hadoop是第一次面世，2007年開始Iphone面世，這樣我們就進入移動計算時代。

一直到2010年之前，安全防禦技術相對來講都是很固定的，說不好聽點就是屬於見招拆招，有什麼樣的攻擊出什麼樣的防禦方案，所有的廠商裡面都拼產品線的齊全程度。比如說防火牆做防火牆的事情，IDS做IDS，有些廠商只做防火牆，但是更大的廠商，比如Symantec或者McAfee所有的產品線都有，既提供防火牆，也提供IDS，還提供終端殺毒。他會說企業各個環節都有可能成為安全出問題的地方，所以要在各個環節、各個層次裡面部署相應的安全產品線，對於小廠商來講，傳統的老三樣，或者是老四樣——防火牆、IDS、WAF、終端殺毒，對於大企業來講會買DLP和SIEM。

當然大企業由於資金和人員配比的情況，所以他使用的產品相對來說定製度比較高，功能也會比較齊全，比如說SIEM或者一些更複雜的自己配的IDS，當初很多大企業裡面已經有自己的IDS配備人員。除了這些安全技術的應用之外，他其實還有一些涉及到管理和流程方面，比如說當年大家就很重視對員工進行防釣魚、防點惡意網站這些普及教育，這屬於安全教育的基礎部分，但是效果怎麼樣就看企業自己具體的管理能力怎麼樣了。

2010年——APT之年防禦理念：分析而不是單純檢測、非實時、用戶參與2010年被稱為是APT元年，是很有趣的一年。過去我們喊了很多年狼來了，覺得

，防火牆裡面有規則，然後又各種網路包裡面匹配特徵碼，終端殺毒裡面有各種病毒的特徵碼，行業內的人都覺得這個方法不能持久。一直到2010年接連兩起APT的事情爆發之後，大家覺得這個事情徹底不能維持下去了。年初的話是曝了谷歌退出相應的APT。中旬曝了一個有更大影響面，對大家來講更像惡夢般的APT，就是Stuxnet美國和以色列他們通過U盤傳播病毒，導致伊朗當時正在做的鈾的核心分離機誤操作並把相關的設備全部燒毀。一年之前，我們都以為這個事情還比較遙遠，這只是大家拍腦袋想的東西，只有2010年這個事情被捅出來之後，大家沒想到國家機構裡面已經做到了這個程度。

APT持續增長

國家機構已經直接通過U盤這種看起來比較普通的媒介影響到核心的設備，所以這是直接證明，對於比較大的重要的企業來講，常規所有的防禦方法，不管是IDS、IPS還是更傳統的終端殺毒軟體都完全抵禦不了國家級的選手。所以基本上那一年開始，很多廠商，我以前在趨勢科技的時候很多廠商已經找到我們聊，說我們以前賣殺毒軟體賣這麼長時間肯定是不頂用了，有沒有其他方案。我們也沒有其他方案，那個時候FireEye是唯一一家對外講擁有防禦APT攻擊的方案，那年開始他的銷售額也是大漲，這家公司大家都覺得很新，他們是屬於2004年成立的，直到2010年才開始爆漲。

其實將2010年說成APT元年並不代表是從2010年才開始有APT的，事後大家反查最早的APT可能是2004年開始就有，這個事情一直在水面下，圈子裡面只有軍方或者比較大的企業才能知道，很多小的殺毒軟體廠商都不知道APT的存在。所以這個事情捅出來之後，各家安全廠商，尤其是卡巴斯基，因為他們的研究能力比較強，所以他們就會持續的跟蹤各種APT組織和攻擊的變化情況。當時這種新聞熱點基本上都是各種各樣的新的APT，各種攻擊，哪兒的數據泄露，導致APT的新聞熱點程度持續上漲，業界造成一種恐慌，就覺得常規的病毒沒人寫了，大家可能都走比較複雜的APT，因為APT的影響面和經濟收益都比較大。

但客戶這種認為APT是一切的認知也不能說錯，因為有個好處就是說，客戶有這種要求就逼著安全廠商反思他們自己以往基於特徵碼的防禦方法是不是遠遠落後於時代。從負面上來講，也會導致企業重點沒有放在他應該關注的地方。比如說企業本身可能連市場管理也沒做好，就一天到晚就想怎麼防禦國家級別的APT，這是本末倒置，所以我覺得APT有個負面作用就是說會導致客戶對安全產品效果的期望會產生一些不切實際的幻想。

• APT與常規攻擊的差異

當然APT引人注目地方除了他的目的跟常規攻擊有差異之外，還有個主要因素就是這個攻擊跟以往的單一一次病毒感染文件的做法是完全不一樣的。它相對來說手法比較複雜，周期也會很長。它可能會早期掃描你的網路設備的脆弱點，通過它們來選擇比較合適的進入方法。之後它會有比較長的潛伏期，潛伏期後會找到你相應的敏感數據，然後再通過這種遠程控制端的控制指令，定期把敏感的數據送回去，所以這會有一個比較長的攻擊鏈模型。這張圖我們貼的就是攻擊鏈的模型，一般來講我們的威脅情報裡面會有各種最新APT的總結。

對於最新的APT，我們有個詞叫TTP（Tactics，Techniques and Procedures）。以往來講我們把APT做了很多細分，除了防禦目的以外，還有一個主要目的是通過TTP能夠識別APT後面來自哪些組織、哪些國家。而其實最近幾年TTP各家已經開始做的很類似，這不管是有意還是無意，都導致通過TTP來分辨APT組織越來越難做。

• APT帶來的安全產品設計思路的變化

APT除了對客戶的防禦產品的預算和產品定位造成變化之外，其實還造成了理念上的變化，因為2010年的時候只有一家FireEye查這種APT攻擊，當時他的方法一點都不新，是屬於各家安全廠商裡面都懂的技術——沙箱，只是以往我們將沙箱放在後台做分析，從來不把分析結果和部署放在用戶企業環境裡面。

他的思路和其他的不太一樣，他覺得當時這些企業運維人員技能已經有了很大的變化，不像以前使用殺毒軟體的小白用戶，這些運維人員懂安全，甚至看得明白這種威脅病毒的分析報告。所以他覺得既然用戶能看得懂，不如我把整個產品的決策權下放給用戶，不用什麼事情都走以前的流程。比如說我必須把一個APT樣本送回我的總部，總部再來分析。這有個客觀原因就是由於企業處于敏感考慮，他可能不允許把這些樣本送回總部，所以導致了新的產品思路，就是說我可以讓用戶做安全運維安全的判斷，來作為一個安全防禦的主要協作方，不是什麼事情都由安全廠商來做，而是有很大一部分我可以讓給用戶來做。

而且一旦按照這種思路往下走，就意味著這個產品能開放出很多新的功能點：1，我會加很多分析能力在裡面；2，非實時；3，需要用戶更多精力投入。

當然這有個核心問題就是：如果讓用戶來花精力投入，我該讓他每天花多少個小時，花多少人員投入？這個對於我來說是比較微妙的度的問題。

• 用戶資源投入的問題

這方面有很多極端不計成本的例子，比如這張圖裡面是NSA2007年暴露出來的防禦系統，他們對於簡單的攻擊手法還是用商業的軟體，就是黃色那一圈。對於比較複雜一點的方法他們可能會由他們自己花錢建立一個系統，最右上方裡面是他們基於威脅情報，他們叫sigint。其實這是他們自己的威脅情報跟分析系統結合的一個例子，我們現在很多新的系統也在往這方向靠，當時這套系統的開發成本是非常高昂的，只有NSA這種不缺錢的單位才能用，如果我們一些企業裡面要花這麼多成本，肯定沒法跟董事會交代。

所以大家來退而求其次，企業會說我接受數據可能會被泄露的一部分風險，並把風險量化，是可能虧100萬還是虧1000萬？而且會針對量化的風險來決定投多少錢下去，所以按這種思路我們也有些比較類似的產品在往這個方向走。當然我覺得目前所有的產品形態和功能離做得很完善還有比較大的距離。

我們最近可以看到安全分值這個概念，包括微軟Azure裡面也有一個量化的管理，他可以告訴你現在的安全分值是多少，你行業裡面平均的安全分值是多少，你應該做什麼事情可以把你的安全分值提高，降低威脅度，這對我來說都在把思路往管理層靠齊。

而大家還需要做的事情就是要得到管理層額外的支持，發生APT之後，有一個好處就是管理層現在知道了這個東西，而且如果APT事情弄得比較大，像索尼、Target，他要賠錢，CSO會被迫辭職，大家覺得這會影響到我整個企業的名聲、職位，那肯定要加大精力和預算來投入。

當然這個東西有兩面的效果，同時來講也是個機遇，企業安全的運維人員會有更多的預算，可以挑選更多的產品，也會有更長的產品評測周期。壞處的話，我現在可以給你更多的錢，那你怎麼證明這個花錢買的東西能更多更好達到我們的要求呢？

而且企業高層人員始終的思維點是看業務的可持續性，他肯定不會關心你的報告裡面攔了多少漏洞，他會關心如果漏洞沒有攔住的話對業務運轉會有什麼樣的影響，所以這塊他需要企業運維人員對於業務有個比較直觀的解釋，甚至他希望能用「對我的業務會有多少美元影響」這種直觀的方法來解釋。所以我們在圈子裡面討論的一個方向就是說：我能否做完完全全是面向高層的安全產品？當然這個事情沒有完全的定論，後面我會講到一些原因。

新領域與新技術對信息安全行業的影響

從2010年左右開始，移動互聯網就處於爆髮式的擴展，興起之後企業很多用戶可能是拿自己的iphone、iPad或者安卓手機進到企業裡面使用，所以這種邊界就變得很模糊，以往企業可以明確的定義出應該信任哪些設備，因為設備都在我的管控之下，裡面裝什麼軟體都一清二楚。而現在一旦開放，企業可以帶各種各樣自己的移動設備，這個邊界就很不清楚，我也沒有辦法控制用戶裡面Ipad裝哪些東西。

所以最初我們整個安全圈裡面的應對方法就是說要不要把企業內部的以往的管理方法原封不動複製一份到移動互聯網上去？產品形態就是我在你的移動設備裡面裝一套殺毒軟體，當然這到後來被證明是完全失敗。第一，我們都知道iPhone的App市場管得非常嚴。他的感染率遠不如像移動端感染率那麼高。第二，他對你的許可權有很多限制，不是你想殺什麼病毒，你想監控什麼病毒就能夠做。

所以這個方向後來被慢慢往其他的一些功能合併。比如說管理功能MDM，就是設備管理，會引入很多管理上的功能。然後還有很多特色需求，比如說App加固。最近來講我們有很多設備指紋專門給電商、銀行這種App來做。設備指紋技術可能就會自然而然地會擴展到反欺詐。比如說他看你的設備裡面跟用戶是怎麼一個對應關係，是否借了別人的機器或者是虛擬機器，這也是目前國內比較熱門的領域，很多的反欺詐一開始都是從設備指紋開始的，我們知道新的領域擴展不代表總是老的領域把方法照搬，他會導致一些新的產品形態。

• 新領域：物聯網

以物聯網來說，他這個產品形態更加特殊。我們知道物聯網雖然是一個名詞，但是其實包含很多概念，比如說自動駕駛聯網的車，它其實也算是物聯網的一個例子，小到能聯網你的藍牙音箱、路由器和電視機頂盒，大到工控機系統。正是因為物聯網多樣化，所以目前來講他沒有一個比較通用的方案，基本是不同小領域裡面的方案都不太一樣。

比較大的企業他關心製造業的物聯網，是防禦APT，當然APT的防禦方法也不完全是布沙箱，有些地方還會使用硬體上的一些方案，比如說單向通訊的光纖網路，需要的時候才把雙向通訊打開，平時允許單向通訊，這樣可以避免惡意的病毒進入控制端傳入到實際的終端。而且因為物聯網設備會非常多，一個大型的城市裡面攝象頭可能就會上百萬之多，所以你要控制巨多的攝象頭或者其他的物聯網設備，就需要比較大的大數據處理能力，這方面我們也會看到很多非安全廠商是先有大數據處理的方案，然後再額外在這之上併入一些安全方案，這也是因為借了大數據處理能力，有些其他廠商能夠進入到我們這個安全行業。

• 新領域：雲計算

同樣借新領域擴大進入安全行業的不光只有物聯網這種創業公司，其實很大一部分都是雲計算公司。比如說我們知道國內的阿里雲他就有比較龐大的安全部門，甚至比很多小的安全廠商的安全人員還要多。而雲計算本身也能夠為安全廠商的方案提供新的一些技術思路，比如說你的安全產品裡面是否跟雲計算的框架做一個深度整合？而不像以往一樣，把雲計算的每台虛擬機裡面布一台設備就行了。並且還有新的一個市場，我們管這個東西叫雲計算的守門員，這個產品線叫CASB，同時他還帶動了另外一個比較大的領域，我們管這個領域叫自適應安全。

自適應安全簡單說就是企業在上雲之後，他的網路機器虛擬機的數量比以前更多，計算資源可能屬於動態釋放，動態申請的，所以他這個網路拓撲變化程度和速度也會非常快，你基於傳統防火牆的策略會顯得過於死板或過於僵硬跟不上狀態。所以他們採用自適應安全，把整個網路拓撲做更細小的劃分，每個劃分裡面會監控區域裡面的行為怎麼樣，跟這些行為動態調整應該部署的一些規則，同時審核根據規則之後劃分裡面他所有的網路資源的互相交流的行為狀況。

同時雲計算興起意味著我們企業會把自己服務做SaaS化，這一點在美國更比較流行，因為他們那邊雲計算的帶寬價格比我們這邊更低，我們這邊，阿里雲跨地域機房裡面可能要額外收費，在美國那邊可以直接把網路流裡面實時傳播到雲裡面來做分析，他甚至可以把整個像SIEM這種複雜的業務都整個外包到雲服務商來做實現，這塊幾年之後在國內有比較大的市場，意味著企業裡面可以把自己的服務外包到雲裡面去。

雲計算是一個比較大的轉折的技術，他會深刻的影響到企業安全這種產品方案的具體實施方案。

• 基礎技術的驅動：大數據

我們知道一個比較熱的跟雲計算差不多同時出來的名詞，就是大數據。這個詞其實對於安全領域影響面倒沒有那麼大，因為安全領域很早開始就是大數據收集了，比如說我們2004年左右做垃圾郵件的話已經是屬於一天上百萬封。只不過以前的技術有限制，可能我們只能處理比較單一的數據，比如說我要做垃圾郵件處理我寫個系統，我要做病毒樣本處理另寫個系統，基本上不會用通用的方案。

而隨著Hadoop的方案比較成熟，一直到最近更好的Spark的方案成熟之後，我們就有了比較強的各種數據多樣性數據的方案。包括我會在大數據方面我可以跑類似於Spark做BI類型的分析，可以跑演算法做多樣性數據的整合，從裡面抽出比較重要的威脅情報。在企業內部部署的數據可以做攻擊鏈分析，這些都是由於大數據可以讓我們做更複雜的多樣性數據分析的典型例子。

• 基礎技術的驅動：人工智慧

真正對企業安全會造成比較大的改變的，我們認為是人工智慧的技術，因為企業安全裡面他們對人工智慧的技術採用的時間也並不是特別短。比如說最早在2000年左右的時候，我們就已經開始用人工智慧來處理垃圾郵件了。但是那個時候因為演算法的限制，只能處理單一的數據。然後從2010年左右開始，我們那時候有了第一版的GPU能用一個性能很好的深度學習網路，我們管這個網路叫卷積神經網路。從那時候我們可以用比較複雜的方案，可以用深度的學習做病毒樣本的分類，這個方案紅到什麼程度呢？基本上所有的矽谷創業公司只要是安全的都會說他用人工智慧。

從實際的效果來看，因為我們知道VirusTotal基本上是所有比較有名廠家的病毒引擎，殺毒引擎都放在他們上面，從2016年開始有三家，而從今年上半年開始集成四家演算法引擎，他們是完全基於人工智慧有監督演算法做病毒樣本分類的，所以我們可以看，在病毒樣本分類里這個演算法有多麼的普及。然後再另外一些領域裡面，比如靠行為分析裡面，我們可以用無監督學習演算法或者一些統計類的演算法，比如大家聽得多的用戶行為分析或者反欺詐，裡面都會用統計類的演算法。

所有這些新的一些技術能導致我們這邊可以更快的開發出更複雜的一些產品，有個明顯趨勢就是很多的產品被綜合了。比如說以往防火牆可能只是在IP那一層、UDP那一層或者HTTP那一層做一些事情。後來我們就會聽到Palo Alto Networks他們會推薦NGFW，在一個防火牆裡面把什麼事情都做了，把IDS的事情也做了，把沙箱的事情也做了，能做這麼多功能，他能完成事前預測事中檢測加上複雜事後分析的一些複雜的產品。

所有的產品因為管理層的需求來講都比以前更加重視管理上的需要，比如說我們以前提的MDM直接管理移動設備，雲計算安全設備裡面CASB負責哪些用戶能使用哪些雲計算資源，哪些資源不能亂用，EDR裡面也會管理終端安全。自適應安全更是典型的管理場景，所以這些功能堆在一起比較多，他必然會用一些比較複雜的大數據演算法，並基於大數據演算法再往上堆各種複雜的比如人工智慧演算法來幫他實現更高一步的自動化。某些比較有錢或者比較重安全的高級用戶他可以用更複雜的一些方案，比如可以變形的WAF或者動態的虛擬蜜罐，這都是以前我們認為不會有市場的產品也開始普及開來。

最直觀的例子就是說這麼多功能疊加的組合，會直接導致這個市場高度碎片化，所以這張圖大家可以簡單看一下有多少個大的產品細分市場，像有些市場比如說反欺詐或者工控市場還有安全自動相應化相對來說比較新興的一些市場，大家可以看這個市場的碎片化程度會有多高。

• 傳統安全產品繼續演化

老的一些產品，有些是作為演化，有些是加一些功能重新包裝。以前我們講過防火牆會變成新一代的防火牆，終端殺毒會變成EDR軟體。而EDR最開始定位只是一個管理上的功能，他甚至不殺毒，只是被動的看有哪些病毒感染哪些終端。後來傳統殺毒軟體廠商覺得他們有工程能力能夠直接殺毒，就是直接防禦事中防禦、事中檢測合到產品形態裡面去，所以我們看紅的EDR產品線裡面都有比較複雜的管理功能，他還有比較複雜的基於行為來判斷病毒是否爆發的一些功能。IDS、IPS會變成NTA也是有一些基於網路行為來做分析的，SIEM會變成UEBA基於用戶和實體的行為來分析異常。

總之這些產品演化的共同特點就是：因為大數據和其他相關技術的開源的成熟，所以會集成更多的功能，也會有更多的產品組合形態。最後或多或少它都有一些基於人工智慧來進行行為分析，而總體來講他會比較重管理的功能，像大的EDR有單獨的管理界面能夠把整個EDR管理用起來，他能讓整個的產品的管理來更靠近這種業務形態。

• 新安全產品：威脅情報

新產品不是這種產品的演化，而是全新冒出來的。大家常聽說的威脅情報，能做出來後台有很主要的原因是因為：

第一，大數據處理平台。有很多威脅情報公司可以用開源的方法開發出自己數據分析平台。

第二，有各種各樣的演算法。他們能夠從這些比較多樣的數據裡面提取出新的分析結果。

不過我們翰思科技認為威脅情報這個東西不應該作為一個黑白名單來直接使用，他的準確度沒有高到這種地步，我們建議豐富上下文的作用，比如說現在有一個文件的行為看起來比較可疑，你可以根據威脅情報上下文來判斷這個是不是真的有問題。

• 新安全產品：大數據安全分析

還有一個提得比較多的詞就是大數據安全分析，其實我們認為嚴格來講他不是一個產品市場，他是一個能力。很多產品都可以有大數據安全分析能力，因為畢竟所有的安全產品後端基本都是屬於大數據的。每個漏洞的一個普及情況，新的漏洞是誰發布的，哪些人在用，這也是後端大數據分析的例子。防火牆這些殺毒軟體的規則都會有大數據支撐，所以講大數據是沒有什麼太大意義的。

基本上有分析功能都是安全分析，所有的產品你看跟他原來的產品形態其實有很大的關係，比如說防火牆演變成了大數據分析，那可能是比較重視TCPIP那種層次。如果你是想做多樣性的大數據分析，我們認為可以靠SIEM這種產品線演化出來新的產品。

瀚思科技大數據安全分析產品框架

這邊我簡單講一下大數據安全產品會有哪些框架。這張圖是我們自己的產品，他會有比較複雜的多樣性數據採集，這個數據可能包括日誌數據和網路流量數據，數據之上還有轉換功能，轉換功能之上有堆積金字塔型的各種分析方法，最底下是規則，再往上有機器學習，再往上面可能有用戶行為分析，所有這些分析也要結合威脅情報來做分析。這些是通用的分析場景，對於某些專有領域的場景比如說帳號或者態勢感知還有上面要做一些額外的模塊，我們覺得這是比較典型的大數據安全分析的一個框架。

• 企業怎麼選擇產品？

所以剛剛談了一大堆各種碎片化和比較新興的安全市場，所以對於企業安全運維人員，可能第一個問題是說，現在產品越來越多，每個產品功能也越來越多，我怎麼挑產品？是不是我們挑功能最多的或者是挑價格最貴的？

我們其實有個比較現實一點的依據，就是說企業要根據他們自己所處的行業，來判斷這個風險會是什麼樣子，比如說我發生被DDOS的概率會有多少？發生之後對我業務有多少影響？還是我現在抗D已經做得很好，而有發生數據泄露或者更高層次APT攻擊的這種威脅，所以企業先要判斷一下什麼樣的威脅是發生起來概率最高的，而且一旦發生他的後果也是最嚴重的，優先對這種風險挑選比較適合的產品。

這張圖裡是行動矩陣，可以判斷病毒每個階段用什麼樣的產品做防禦，想防禦怎麼做？你想欺騙怎麼做？相應來講你需要哪些產品？你根據這個表可以來判斷應該挑選什麼樣的產品。

2017——2020年：消失的邊界

我們簡單說一下將來產品形態會是什麼樣的。

• 以Google為例：零信任無防火牆的企業安全架構

我們知道谷歌很多方面在業界比較領先，他們前一陣推了自己的一個網路安全框架，這個網路叫零信任企業安全架構。簡單來講他基本上是不怎麼依賴於這種防火牆的，不是說你進了防火牆之後，用戶一點問題都沒有。他在各個伺服器、各個資產甚至到各個企業裡面調用的API裡面做防禦，要做多重驗證，驗證之後還會做監控，看你用戶的行為跟以往的行為是否發生偏離，所以他是個比較複雜的網路防禦的一個拓撲架構，當然這個架構會很新，並且部署成本也很高，但是我們覺得可能將來隨著產品部署成本降低很多企業會採用這種架構。

• 合規方的要求

因為我們知道網路安全法裡面談的事情比較多，這方面在美國會比較明顯，因為美國有很多合規要求，所以我們預計將來在國內隨著《安全法》的細化，還有具體的懲罰案例的出來，企業會更多重視他的合規要求。可能管理層和安全運維人員直接會問「我們現在有這麼多法規，你到底符合程度是多少，沒符合的話我們應該用什麼樣的安全產品來補齊這種合規要求？」然後隨著這種合規要求比例的增大，可能更多企業裡面會設立首席風險官這種角色。

• 將來我們會看到更碎片化還是更統一的產品市場？

這方面目前看下來正方反方的依據都有，因為我們看到統一市場后，就有更大的產品企業越做越大，但有比較大的產品企業，像Intel Security還有Symantec他們的市值相對來說在萎縮，而新的創業公司會有更高的估值，所以這方面我們自己的估計是將來應該會是一個更統一的市場。像雲廠商，他會把自己的安全業務做得非常大，甚至會覆蓋很多傳統安全企業裡面做的一些功能，比如雲上的WAF、雲上的IDS，新的安全廠商會對老的安全廠商完成一些洗牌，他們會成為更新的一些大麥克型的企業。（本文獨家首發鈦媒體，根據瀚思科技聯合創始人、首席科學家萬曉川在鈦坦白上的分享整理）

………………………………………

鈦坦白第50期：上升為國家戰略的信息安全，企業要如何應對?