每年的11月1日，是西方傳統(tǒng)節(jié)日萬(wàn)圣節(jié)，相傳，故人的亡魂會(huì)在這一天回到故居地，并在活人身上找尋生靈，借此再生。

而活著的人則懼怕死魂來(lái)奪生，于是把自己打扮成妖魔鬼怪，把死人之魂嚇走。

這是現(xiàn)實(shí)世界中很特殊的一天，但在網(wǎng)絡(luò)世界，這種情形卻時(shí)時(shí)刻刻都存在。

為了抵御形形色色的黑客攻擊，網(wǎng)絡(luò)安全人員為需要保護(hù)的人也帶上了面具，用“欺騙防御”策略來(lái)迷惑攻擊者。

因欺騙防御產(chǎn)品“幻盾”而被業(yè)內(nèi)所熟知的“默安科技”，選擇在萬(wàn)圣節(jié)這天召開(kāi)新品發(fā)布會(huì)，似乎別有深意。

今年7月，雷鋒網(wǎng)宅客頻道在采訪其CEO 聶萬(wàn)泉時(shí)，他曾說(shuō)“我們有很多的理念和想法，唯一不夠的是時(shí)間，因?yàn)樾枰獣r(shí)間把我們的東西做出來(lái)，把解決方案落地?！保?a href="http://www.woorcar.cn/news/201707/hzTlRdhKamD9r8XZ.html" target="_self">聶萬(wàn)泉的野心，不是營(yíng)收翻倍 500%）

而今，站在新品發(fā)布會(huì)舞臺(tái)上的他，與 CTO 云舒一起，向我們介紹了落地的新產(chǎn)品。

變臉-----給攻擊者呈現(xiàn)瞬息萬(wàn)變的網(wǎng)絡(luò)

面對(duì)神出鬼沒(méi)的黑客，如何發(fā)現(xiàn)、阻斷其攻擊，進(jìn)而對(duì)他們進(jìn)行分析生成畫(huà)像，是每個(gè)網(wǎng)絡(luò)安全從業(yè)者都希望做到的事情。

但是，通過(guò)什么樣的方式來(lái)達(dá)到這個(gè)目的？

也許把自己偽裝起來(lái)，然后再準(zhǔn)備一些足以亂真的“獵物”等黑客上鉤，是一個(gè)好辦法。

曾擔(dān)負(fù)了默安營(yíng)收大頭的產(chǎn)品“幻盾”，使用的正是欺騙防御技術(shù)。安全人員在黑客的途經(jīng)之處，通過(guò)布置一些作為誘餌的信息，誘使攻擊方實(shí)施攻擊，從而可以對(duì)攻擊行為進(jìn)行捕獲和分析。

比如，它會(huì)制造假的漏洞、系統(tǒng)、分享和緩存，如果攻擊者試圖查看這些假的資源，那么就是一個(gè)強(qiáng)烈的信號(hào)說(shuō)明攻擊正在進(jìn)行中，因?yàn)楹戏ㄓ脩羰遣粦?yīng)該看到或者試圖訪問(wèn)這些資源的。

通過(guò)混淆其攻擊目標(biāo)，發(fā)現(xiàn)黑客攻擊的行為，并且阻斷和隔離攻擊，溯源黑客身份及攻擊意圖，形成黑客攻擊情報(bào)，這也是原來(lái)“幻盾”的戰(zhàn)術(shù)。

而這次，我們發(fā)現(xiàn)“幻盾”已改名為“幻陣”，有何變化？

CTO云舒用兩個(gè)詞來(lái)解釋，從“靜態(tài)”到“動(dòng)態(tài)”。

以前，“幻盾”的欺騙防御，是靜態(tài)的，我設(shè)置好黑客感興趣的東西，把他引到我的“蜜罐”里面來(lái)，但這個(gè)是人工配置的，是靜態(tài)設(shè)置好的?，F(xiàn)在，“幻陣”可以自動(dòng)化的下發(fā)這個(gè)指令，做到隨時(shí)的增減變化，依據(jù)不同的攻擊來(lái)為黑客放置“蜜罐”，黑客再也無(wú)法拍攝靜止的照片用來(lái)做長(zhǎng)時(shí)間的分析，因?yàn)樗恳淮蔚膾呙瓒紩?huì)出現(xiàn)不同的結(jié)果。

如果說(shuō)原來(lái)的“幻盾”還只是為客戶帶上了靜態(tài)的面具，那現(xiàn)在的“幻陣”則擁有瞬息萬(wàn)變的面具。這好比是川劇中的變臉，黑客確實(shí)有可能掃描到那張真實(shí)的人臉，但這稍縱即逝。

變化的背后，其實(shí)得益于默安從去年就開(kāi)始研發(fā)的云平臺(tái)安全解決方案“磐石”。

在多年的從業(yè)經(jīng)歷中，聶萬(wàn)泉注意到企業(yè)安全有一個(gè)嚴(yán)重的問(wèn)題，就是雖然企業(yè)的網(wǎng)絡(luò)里面分布著各種各樣的安全產(chǎn)品，但他們之間每個(gè)都是信息孤島，是割裂的，只能防護(hù)某個(gè)特定的攻擊，缺少多個(gè)維度的關(guān)聯(lián)，以及最后決策的響應(yīng)。

而“磐石”要做的，就是打通各個(gè)安全產(chǎn)品之間的藩籬，并且能調(diào)度多個(gè)安全模塊協(xié)同工作，一起來(lái)對(duì)安全風(fēng)險(xiǎn)進(jìn)行監(jiān)測(cè)和響應(yīng)。

這是我們現(xiàn)在的安全架構(gòu)，磐石是整個(gè)云平臺(tái)方案的名字，包含幾個(gè)核心模塊，安全大腦、數(shù)據(jù)分析系統(tǒng)、分布式阻斷系統(tǒng)等，大腦通過(guò)對(duì)數(shù)據(jù)的采集、分析后作出決策，調(diào)度阻斷系統(tǒng)對(duì)攻擊進(jìn)行攔截，而處于外圍的幻陣、哨兵云等，則屬于可插拔的系統(tǒng)。

云舒告訴雷鋒網(wǎng)，從“幻盾”到“幻陣”的變化，并不是單純一個(gè)產(chǎn)品升級(jí)，而是產(chǎn)品所處的整個(gè)平臺(tái)擁有了更加智能的大腦，大腦通過(guò)對(duì)攻擊的數(shù)據(jù)進(jìn)行更加精準(zhǔn)的采集和分析后，才能在“幻陣”中做出千變?nèi)f化的對(duì)策，這是才是變化的根本所在。

賦能-----把安全能力賦予不懂安全的人

在安全越來(lái)越受重視的今天，“SDL”（安全開(kāi)發(fā)生命周期）的理念頗受不少大公司的追捧。

簡(jiǎn)單來(lái)說(shuō)，它的核心理念就是將安全嵌入到軟件開(kāi)發(fā)的每一個(gè)階段，比如需求分析、設(shè)計(jì)、編碼、測(cè)試和維護(hù)等環(huán)節(jié)。

這個(gè)理念之所有受追捧，是因?yàn)樵蕉嘣蕉嗟陌踩珕?wèn)題，是要追溯到不安全的設(shè)計(jì)研發(fā)階段的，問(wèn)題越往后拖，解決的成本就越高。云舒在發(fā)布會(huì)上強(qiáng)調(diào)了不同階段進(jìn)行漏洞修復(fù)的成本↓↓↓

產(chǎn)品在開(kāi)發(fā)階段發(fā)現(xiàn)一個(gè)漏洞，找開(kāi)發(fā)人員進(jìn)行修復(fù)的成本是500塊。

那如果在測(cè)試階段發(fā)現(xiàn)一個(gè)漏洞，就得拉上運(yùn)維、研發(fā)、測(cè)試、安全、產(chǎn)品等好幾個(gè)部門來(lái)解決，可能需要1000塊。

而到了發(fā)布階段，產(chǎn)品在線上檢測(cè)出一個(gè)漏洞，這就需要安全人員和研發(fā)人員溝通，跟測(cè)試人員驗(yàn)證，還需要承受線上風(fēng)險(xiǎn)，那這個(gè)時(shí)候的成本可能得5萬(wàn)到10萬(wàn)了。

等產(chǎn)品真正上線后出問(wèn)題了，所付出的代價(jià)更是不可估量。

由于可以以最低成本減少軟件中漏洞的數(shù)量，并將安全缺陷降低到最小程度，微軟等大公司甚至將SDL作為全公司的計(jì)劃和強(qiáng)制政策。

但是，這么做會(huì)遇到的困難顯而易見(jiàn)。

第一，現(xiàn)在的安全產(chǎn)品操作界面很復(fù)雜，而且時(shí)常出現(xiàn)誤報(bào)，研發(fā)和測(cè)試等人員不會(huì)辨別，所以是無(wú)法控制安全質(zhì)量，因?yàn)樘珜I(yè)了。

第二，如果在各個(gè)環(huán)節(jié)都投入安全人員，成本太大，對(duì)于一些中小公司而言，不現(xiàn)實(shí)。

因此而出現(xiàn)的悲劇就是，大量的產(chǎn)品在上線后被發(fā)現(xiàn)安全問(wèn)題，最后花費(fèi)了大量的人力物力財(cái)力來(lái)解決本應(yīng)該在研發(fā)階段就解決的問(wèn)題。

那有沒(méi)有辦法來(lái)克服這兩個(gè)困難？

針對(duì)第一個(gè)困難，云舒直言：寧肯漏報(bào)，也不誤報(bào)。

我在雅虎中國(guó)做了2年，阿里集團(tuán)做了8年，這期間接觸過(guò)各種公司的各種安全產(chǎn)品，看到了許許多多的問(wèn)題。

比如說(shuō)掃描器，告訴我一個(gè)oracle數(shù)據(jù)庫(kù)服務(wù)器可能存在不明細(xì)節(jié)的內(nèi)存溢出漏洞；

比如說(shuō) IDS每天給我報(bào)警1萬(wàn)條；

比如 WAF 每天說(shuō)攔截了100萬(wàn)次攻擊。

這些東西，有用么？我給廠商提過(guò)很多建議，但是因?yàn)楦鞣N各樣的原因沒(méi)有被采納。

那漏報(bào)后，豈不是能讓黑客得逞？

云舒回應(yīng)，安全防護(hù)應(yīng)該建成立體的，分多個(gè)層次，就跟裝了很多層過(guò)濾系統(tǒng)一樣，也許漏洞在這層并沒(méi)有發(fā)現(xiàn)，但它會(huì)在下一層得到解決。

針對(duì)第二個(gè)問(wèn)題，在發(fā)布會(huì)上，云舒用兩個(gè)字來(lái)解答——“賦能”。

把安全的能力賦予不懂安全的人，比如說(shuō)QA（測(cè)試）和研發(fā)。

而在后續(xù)的專訪環(huán)節(jié)中，聶萬(wàn)泉進(jìn)一步解釋了“賦能”的過(guò)程。

除了對(duì)于常規(guī)代碼的白盒測(cè)試，我們產(chǎn)品的特殊之處在于黑盒和灰盒測(cè)試，在這個(gè)階段，我們把安全產(chǎn)品與客戶的測(cè)試人員綁定在一起，因?yàn)闇y(cè)試人員一定會(huì)做大量的測(cè)試去覆蓋所有的面，在測(cè)試的過(guò)程中，我們把他的所有的動(dòng)作錄下來(lái)，交給我們的黑盒測(cè)試，也叫IAST模塊，這種交互式的測(cè)試才是我們產(chǎn)品的核心所在。

這款讓聶萬(wàn)泉提起來(lái)頗有些自豪的產(chǎn)品，正是在上次采訪中所他提到的“靂鑒”。

結(jié)語(yǔ)

距離雷鋒網(wǎng)上次對(duì)聶萬(wàn)泉的采訪，已經(jīng)過(guò)去了3個(gè)多月，上次他說(shuō)，“沉溺在單一威脅檢測(cè)類產(chǎn)品中絕不是一個(gè)安全創(chuàng)業(yè)公司應(yīng)有的狀態(tài)，走出‘舒適區(qū)’，針對(duì)未來(lái)安全趨勢(shì)及早布局，跑著走才能走得更遠(yuǎn)?！?/p>

而這次，當(dāng)他帶著 “磐石”、“幻陣”等產(chǎn)品亮相發(fā)布會(huì)時(shí)，說(shuō)的更多的是安全大腦、機(jī)器學(xué)習(xí)算法將帶給網(wǎng)絡(luò)安全行業(yè)的變化，并且扎扎實(shí)實(shí)做出了結(jié)合了人工智能的產(chǎn)品。

但與此同時(shí)，在專訪環(huán)節(jié)，聶萬(wàn)泉對(duì)以安全大腦“Aida”為中心的云平臺(tái)安全防護(hù)解決方案“磐石”，也做出了客觀的評(píng)價(jià)，他承認(rèn)，現(xiàn)在的安全大腦依然有很多需要完善的地方，目前的測(cè)試表明，它只能識(shí)別和響應(yīng)50%——60%的威脅，依然有很多應(yīng)用層還未被覆蓋到，他們還在繼續(xù)完善中。

當(dāng)初，頭頂阿里云平臺(tái)安全總監(jiān)的聶萬(wàn)泉，與云舒、汪利輝三人從阿里離開(kāi)，創(chuàng)辦了默安科技，很多人都會(huì)問(wèn)為何要辭掉很有前景的工作，而去嘗試九死一生的創(chuàng)業(yè)？

云舒在知乎上曾發(fā)過(guò)一篇從阿里離職創(chuàng)業(yè)的文章↓↓↓

為什么要?jiǎng)?chuàng)業(yè)？

如果你站在岸上，對(duì)在田里插秧的人指手畫(huà)腳，說(shuō)他們姿勢(shì)不對(duì)，沒(méi)有人會(huì)理你。但是當(dāng)你親自挽起褲腿跳下水，腳上有泥頭上有汗的時(shí)候，你說(shuō)的話才有說(shuō)服力才有價(jià)值。

對(duì)于外界的諸多猜測(cè)，也許做出一款款能解決問(wèn)題的產(chǎn)品，才是最好的回應(yīng)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。