文|沈筱
编辑|真梓
(资料图片仅供参考)
“30年前守护PC,20年前守护网络,10年前守护云,今天守护5G、IOT、大数据,未来将守护人工智能、大模型”。这是亚信安全首席研发官吴湘宁,在近期举办的C3安全大会上,对公司终端安全业务演化历程的回顾。
实际上,这一演化历程也正是过去三十年,互联网信息技术变革下,网络环境不断变化、网络安全需求场景不断拓展的真实写照。新技术的诞生,一方面为企业带来了创新和发展的新机遇;另一方面,也为企业提出了如何应对创新业务场景、新兴业务模式下,新型安全威胁的挑战。
在会议上,亚信安全将网络环境的新变化总结为两点。一是,网络加密流量增多,导致大量恶意代码、恶意攻击隐藏在加密流量中,网络侧很难看清危险,只有在终端增强后才能看清和处理。据Zscaler发布的《2022年加密攻击状况报告》,2022年有85%以上的网络攻击使用加密通道;二是,随着我国企业数字化转型,终端已经成为员工访问各类数字化系统的重要工具,保障业务运行的连续性成为了终端安全产品需要具备的基本能力。
在这样的背景下,亚信安全认为,终端正在成为网络安全的新边界,而具体到客户的业务运营场景中,要想做到有效防护,还需解决客户面临的三大痛点:
一是,终端种类繁杂,涵盖了人、数、网、物四个方面,包括操作人员使用的终端、业务系统信息流传的数端、临时服务器或云主机等网络端,以及手机、笔记本电脑等传统移动端点和车联网、物联网等新型物联网设备端点。同时终端承载的业务和应用种类不断增加,导致终端卡慢等问题;
二是,随之而来的企业安全运维工作繁杂度和复杂度的增加。任意终端出现的潜在安全问题都会由员工提交到运维端;
三是,攻防不对称导致针对威胁的防护失效。一方面,现有终端安全产品的割裂;另一方面,企业的IT安全团队和黑客团队在人员、使用的工具、主被动性方面都存在很强的不对等。
亚信安全表示,解决上述需求痛点也是其发布终端安全新品牌TrustOne的初衷。而要解决上述三个痛点,亚信安全认为,挑战首先在于为了提升安全防护效率,提升防护效果,需要将攻击面管理、关联分析、已知未知攻击的检测和响应、EDR(Endpoint Detection and Response,终端响应与检测)等各类能力融入到产品中;其次,是在实现能力整合以满足多样化需求的同时,要将产品变得轻量化,将冗余的代码变成原始能力,减轻客户运维负担,防止资源的过度消耗。
那么,亚信安全的TrustOne是否解决了上述难点?又是如何解决的?TrustOne如何体现亚信安全对当前网络安全新形势的理解?以及,生成式人工智能技术的发展又为网络安全产业带来了哪些新的挑战,如何应对?
围绕上述问题,会后,36氪与其他媒体与亚信安全首席研发官吴湘宁、首席安全官徐业礼和终端安全产品总经理汪晨进行了交流。
徐业礼表示,TrustOne目前已具备轻量化、极简化、智能化三个特征。而谈及这三大特征如何与现有网络安全形势相耦合,汪晨认为,安全数字化和管理连续性是TrustOne强调的两个关键。亚信安全一方面,通过关联分析、将威胁情报量化、指标化,为客户提供运维支持;另一方面,通过风险洞察、风险评估并将相应的响应举措固化到产品中,拉通终端安全能力。但汪晨也表示,未来要进一步强化管理的连续性,实现终端安全能力的一体化,难点在于生态合作。这是由于,和国外不同,国内市场存在定制化需求,缺乏固化的标准,厂商在日志格式、API等方面都有自己的方法,难以拉通。
另外,吴湘宁指出,TrustOne能够兼容Windows、Linux、Mac,以及国产系统。他认为,当前大量企业仍处于信创建设的过渡期,既有信创的系统,也有非信创的系统,所以,关键在于采用同样的安全策略,实现统一管理。
关于生成式AI技术带来的新的安全挑战,徐业礼指出,一是AI大模型本身涉及的数据污染、AI投毒、模型篡改,以及边界防护、端点防护问题;二是,可能会被不法分子利用来产生误导信息或实施诈骗;同时,可能还涉及使用境外大模型的数据泄露问题。但他也表示,有了生成式AI技术,企业能够更容易地复制安全专家的能力,加速系统的自动化运营。
以下是交流实录,经编辑:
媒体:亚信安全提出TrustOne新一代终端安全,如何理解“新一代”的定义?
徐业礼:事实上,现在新的时代和老的时代本身并不是革命性的。以前存在的仍然会继续存在,但是会增加其他的元素。
终端简单来分,可以分为几类。首先是人端,给员工包括给操作人员使用的终端;其次,是一个重要的数据的端点,包括本身员工的数据,以及使用业务系统流转的信息,我们叫数端。接下来还有网络的端点,网络上最终工作的节点还是以端点作为临时服务器,或者云主机;另外一个就是有人操作的终端;另外,随着这几年物联网、车联网、IOT出来以后,它也是一个物联网设备的端点,也是一个移动的端点。移动不仅限于手机,现在绝大部分的员工配的都是笔记本电脑,大部分时间要求随时随地能办公。这种移动早就不像过去,要在内网里安全地使用。
对于不管是人、数、网、物,都有很多的要求存在。因为场景的变化,员工需求的变化,导致安全能力就是要不停增强。人端要正确识别人的身份、防止盗号,包括网络的准入、接入,包括SDP(Software Defined Perimeter,软件定义边界)。数据的终端,数据安全是一切安全的本源,数据不能泄露,员工的信息、员工的自有数据、员工邮件等。网络终端,漏洞是必须要做的,第二网络的接入,包括老旧的系统必须要防护,就得虚拟补丁,包括实体补丁也得做。另外,互联网终端包括移动互联网终端,都是随着形势而变,5G、智能工厂出来了,包括车辆网,智能化的车,其实就是一个终端,都必须要有对应的防护能力。
媒体:这些场景多样性和复杂度的增加对终端能力提出了什么新要求?
汪晨:简单来讲,就是要轻量化、智能化、极简化,这也诠释了我们对TrustOne新一代终端的定义。
在这样的场景里,各种各样的能力都要求存在。但是,是不是每来一个要求,我就增加一个新的agent?这肯定是用户不可接受的。所以我们必须要轻量化。
另外,黑客、网络的犯罪组织越来越狡猾,会使用各种手段。所以我们的检测手段要泛化,尽量能够发现同类型的变种威胁,甚至新型威胁,甚至做关联分析,所以要把智能化做强做实。
最后,随着终端的要求越来越高,运维能力对企业来讲也是巨大的挑战。如何能够让我们在存在大量终端的情况下,提升运维的效率,使运维工作极简化。
媒体:做到这三点需要什么样的新技术加持?
徐业礼:比如AI 1.0的技术,以及现在的AI 2.0技术,用人机共治的方式加强运维能力。轻量化,我们会用动态环境的计算,对不同的安全场景,加载不同的检测能力,动态地缩放,包括插件化的组织,不要让所有的终端再重做一份。最后,极简化运营,我们肯定要用数据湖的能力、关联分析的能力,甚至精密编排SOAR的能力,来做到简单、快速地处置。包括攻击面管理,让企业的管理人员了解自己现在的状况,跟同行业比如何,和同类公司相比处在哪个位置。这都是极简主义现在的发展。
媒体:关基保护也是接下来政府或者未来市场发展的重点,亚信安全TrustOne,从技术上对关保有没有提供支撑作用?
汪晨:我们在银行和电网这些细分市场中的占比是比较大的。我们在3年前就发布了信创系统,现在都在做信创的替换,包括工商银行、农业银行都在使用我们的产品。所以,我们其实在帮助很多关基单位在做这件事。
另外,我们发布TrustOne的时候有强调一点,是信创和非信创合二为一。因为我们发现现在大量客户处于信创建设的过渡期,既有信创的系统,也有非信创的系统,难点在于怎么践行同样的安全策略,怎么实现统一的管理。
TrustOne有一个根本的能力,就是可以将这些所有的系统融合在一起进行统一管理,执行一样的企业安全的策略。比如企业今天换了一百台的信创的系统,就可以无缝切入到我们的安全管理体系,这样也是帮助用户来实现重点关基单位的安全防护。
吴湘宁:提到信创,实际上就是国产化替代的过程,就是一个终端操作系统形态。作为终端的产品就是要适应不同的操作系统,从Windows、Linux、Mac,包括国产系统,我们的产品本身就应该是一体化的。我们不要认为把它割裂成信创和非信创,这是我们在做TrustOne一开始的认知和思考。
第二,现在讲的关基、合规,其实我认为,未来合规和安全建设会区分开来。合规是中国在安全建设过程中,需要从国家监管角度不断加强,这是国家的政策要求。但是现在随着业务的发展,用户会自驱地为了数字化业务,建设他的一套安全理念,所以这两个我觉得会越来越同时发展。原来可能还是受监管要求的,未来这两个应该是同时的。因为国外也是的,两个车道都跑,我认为反而会更加增大安全市场的需求。
媒体:吴总刚刚提到合规和安全建设是需要分开来发展或者同步进展的事情。目前网络安全市场增长也是从合规驱动逐渐在向需求拉动转变。那么从企业端来看,有意识和采取行动之间Gap有多深,要跨过Gap的难点是什么?亚信作为终端安全服务商又会做什么来弥合Gap?
吴湘宁:首先,安全建设大部分都是从合规开始,这么多年实际上是培养习惯的过程。习惯养成后,其实会发现习惯可以带来很多好处,会越用越顺。
企业什么时候觉得应该更主动做这件事情的时候,就是说他的整个数字化、业务不断追求高效、高速、快速发展,同时确保业务连续的时候,就会自发做这个事情。当业务越来越依赖数字化的时候,会发现合规只是最基本的需求。
刚刚跟一位客户聊,谈到SaaS。他说国内的SaaS你怎么看?我说一个道理,当他的业务在追求快速迭代、持续更新的时候,会发现唯有SaaS可以满足这样的快速迭代过程。
一个传统的安全产品,现在在国内迭代周期怎么也得三个月,但是SaaS可以做到一周,可以适应它的业务发展,这就是效率。当企业在追求效率的时候,自然而然就会用SaaS,今天可能会说数据是不是出去了。主要还是因为还没有碰到追求的效率能够给他带来更大的好处的时候。
媒体:从现在的情况来看,数字化转型的进程对于各行业或者行业里不同阶段的企业来说,是不一样的。处于不同阶段的企业,对终端安全需求有什么样的共性或者差异化的需求?
汪晨:举一个例子,其实可以发现,TrustOne有点像积木,其实是通过不同的能力组合应对不同的场景。比如,我们在电力行业,行业有一个强合规的需求,如果发现终端有违规会被总部检测到,所有的负责人要不就是会被扣绩效或者是扣奖金,变成了监管需求是不允许违规外联、出终端。正因为如此,我们就基于TrustOne自身的能力,打磨出一个我们叫做DNS白名单,但是目的就是为了帮助电网解决这样的痛点。这样的场景,在其他的行业也非常多。虽然我们今天只是介绍了TrustOne底层的逻辑,但是最后还是要完成客户的工作任务。
媒体:TrustOne有一个特点是轻量化,我的理解是将来可能更多是简化终端一些agent的功能,把很多数据分析检测能力放到云端。很多其他厂商也是这样的想法,但是会涉及它的数据可能要出来,客户会不会不接受?
汪晨:分享一个案例,有一个客户是一个非常有名的制造业,中了勒索,当时找了三家厂商。我们做了一个测试,如果完全依赖云端,一旦不能联网,检测能力就会急剧下降。但是很多,尤其金融、电网不允许到云端的计算,那我们怎么做呢?我们会把一些技术能力放在TrustOne平台上,本地的计算资源,把一些agent的计算能力,尤其是EDR这样的产品更多是采集数据,然后在我的管理端进行相应的关联分析和计算。这样也可以做轻。
媒体:未来用户对终端可能会产生更多能力需求,我的理解是亚信安全的产品也希望实现体系化的融合。那么未来想要新增能力点,TrustOne是打算完全靠自己的能力实现还是也能接入第三方的能力?
汪晨:从终端的维度,确实也有这样的需求。尤其是one agent,有一些客户提出来能不能把准入的能力和DRP(Disaster Recovery Planning)的能力融进来。通过提供一个终端,给员工的感知是一个agent,但背后是几个厂商。我们也在响应一些需求,因为有这样的技术。但是最后可能又落入到商业的领域中。因为这个赛道存在一定的定制化,要跟不同的厂商拉通。而且中国对于安全不像国外有很多固化的标准,尤其是日志格式、API,很多厂商自己有自己的方法,在形成生态合作伙伴的时候就会陷入到研发的过度投入。所以这一块我们也在判断。
同时,我们会发现其实TrustOne未来的路线,会从TrustOne到LinkOne。我们现在本身已经把TrustOne放在了LinkOne平台上了。我们其他的产品,比如说防毒墙、TDA网络侧的APP检测设备,包括云端相关的设备,都可以在LinkOne上面做深度的拉通。因为至少这是亚信安全自己家的东西,所以日志格式,API的标准是可以拉齐的。所以回到一个问题,生态怎么合作?也是我们当下面临的问题。
媒体:提到整合,如果只是把很多东西拼凑在一起是比较容易的,但实际上可能还是割裂的,比如数据层没有拉通,真正对终端威胁的可见性并没有太大帮助。那么整合完了以后怎么做到不是割裂,而是真正把能力点形成体系化?
汪晨:我们在去年也在思考这个问题。在今天的介绍里面有几个关键内容,第一,安全数字化,通过关联分析,各个维度的数据,有资产的数据、持续攻击的数据,再通过威胁情报来真正地指标化、量化,提供给客户,作为运维的判断。第二,管理的连续性。首先通过风险洞察来识别当前网络的整体态势,再通过风险评估判断今天发生了什么样的事情,同时又固化了很多的组织手段在TrustOne里面。有可能这是过去桌管单独会做的事情。但我们今天是因为,比如,它是一个弱密码,可能我就启动对应的桌管能力,形成了闭环,把原先割裂的管理拉齐了。所以通过风险洞察、风险评估和响应举措,实现很多终端安全的能力真正拉通。
媒体:针对不同行业的不同业务需求,亚信安全如何调整自己的研发或者是产品开发的模式,来满足这些需求?
汪晨:对产品经理来说,做什么不做什么是非常有挑战的问题。我很难给出一个模式化的回答。我们在内部强调,怎么有利怎么做。一种方式是我会看订单的大小,确实钱蛮多的,有的时候可能真的要去帮助做。有的时候会判断这是不是共性需求,是不是站在客户的角度,它其实帮助你在创新一些新的产品的能力,这些可能会放到主版本的开发里。
媒体:尽管会存在共性需求,不同行业也可能有不同的判断标准,比如安全度量的分值,如何解决这样的问题?
汪晨:我认为TrustOne已经实现了基础能力。现阶段,度量方面,用户可以通过在后台配置,根据自己所在行业的要求来设计不同的分值。当然,未来,我们也会在后期数据积累到足够提炼不同行业特点的时候,向用户提供行业适配的一些标准和服务。
媒体:现在人工智能技术尤其是大模型发展非常快,会对安全带来哪些新的挑战和问题?
徐业礼:大模型的确是一个比较革命性的改变。随着ChatGPT出现,以前说人工智能无法通过图灵测试,但目前,虽然很多机构没有明确说ChatGPT是什么水平,事实上,我认为其已经过了图灵测试的中级阶段了,达到了一般人的智能。
大模型之所以和原来的小模型有差别,就是参数太大,以前一般情况下卷积神经网络有10万维,非常高了,但是大模型起步就是亿级十亿级百亿级,现在千亿级的都不成问题了。
这样的情况下,AI安全谈得越来越多。
第一,AI系统越来越大,其本身的安全就是关键,但这个今天不做太多讨论,因为涉及到AI投毒,模型被篡改,包括AI系统本身边界防护、端点防护的能力;
第二,AI做坏事,我们怎么办?坏人用AI学得更好,包括AI可能生成一些比较误导的信息我们怎么办?
第三,大量使用AI,特别是境外的AI可以导致数据的泄露,这都是非常大的风险和问题。
媒体:那么AI技术能不能进一步赋能我们来解决安全的问题?亚信有没有做一些这方面的尝试?
徐业礼:首先,我们几年前就已经开始采用人工智能的机器学习技术。利用AI增强网络安全的能力,AI 1.0时代持续在做,不会到了AI 2.0时代不再做了,而是会持续使用,同时提升其功能特性。
在AI 1.0时代,我们更多可以用AI技术来做判断,做聚类、分类,做聚合。我们有很多的产品,包括产品的很多引擎都在大量使用这样的技术,比如早期的SVM,中期的XGBoost。包括到2018年,我们对卷积神经网络的使用就已经很频繁了。
举个具体例子,基于有监督学习,我们可以通过大量样本训练出能够甄别病毒DNA的模型。也就是无论他的表现形式是什么,我们都可以对其进行判断。
但是,新的生成式AI技术能够帮助我们更容易地复制安全专家的能力,加速系统的自动化运营。
目前,亚信安全已经研发了类ChatGPT的产品——AISGPT。我们内部也已经排上了产品的发布计划,会在LinkOne平台,我们的态势感知的平台,包括ImmunityOne平台陆续把AISGPT的能力,与产品本身的安全以及掌握的危险情况的后台的知识配合,让安全防护更简单、更智能、更方便。