【IT168 评论】近日,“新技术,新安全”——青藤云安全2019年媒体交流会在北京隆重举行,四十多家媒体老师齐聚一堂,共探安全发展与进化之道。
在会议开始之际,《中国信息安全》杂志社主编崔光耀老师进行了精彩致辞。他表示:2019年,中国网络安全发生了前所未有之变化。网络安全企业应该抓住百年未有之机遇,努力增强企业自身的“内功”,迎头发展。
《中国信息安全》杂志社主编崔光耀
崔光耀老师会上表达了对青藤五年发展成果的肯定与支持,也具体总结盘点了2019年网络安全的五大新变化,他指出:“五大变化有:新法新规日渐组合发力,资本运作搅动一池春水,内在需求诱发市场潜能,安全运营促进模式创新,产业分化加快优胜劣汰。我们安全确实很痛苦,但是机遇非常大,首先要做的的是坚持。”
回创新业往事,肩负安全重任
伴随着机遇和挑战,青藤云安全在2014年8月正式成立。青藤云安全创始人兼CEO张福谈到,此次创业从本心上说是源于他对安全的执着追求。
正是凭借对安全的热爱和对技术的极致追求,青藤在创业前三年一直在研发打磨产品,立志做一款属于中国人的世界级安全产品。在坚持中守望初心,2017年青藤云安全推出了首款安全产品,包含检测、分析和响应的一套自适应安全体系。截止目前为止,该产品经过5年,200个版本迭代,300万行的自研代码,4万个安全知识库的精心打磨后,在市场上屡战屡胜。
在会上,张福谈到,自青藤创立以来,一直提倡开放、透明、高效的文化。历时近五年的时间,终于得以将这些优良基因提炼并总结出来,正式形成了青藤的文化和价值观,即“开放透明”、“只争第一”、“追求效率”、“我就是青藤”。正是凭借这些文化基因,使得青藤越来越清楚“需要什么样的人”,也让青藤更加珍视那些有着“用优秀的产品和技术引领中国安全市场改变”信念的人。
青藤云安全CEO 张福
志同道合,再创佳绩
对于青藤而言,2019年是收获的一年。公司业绩连续三年保持300%增长,业务覆盖了全国绝大部分省份和各个行业。在金融、运营商、互联网等行业中,青藤云安全都取得了不错成绩,其中单控制台带动Agent最大数量高达7.5万个,最大客户安装Agent数量超过10万个点。
青藤云安全高级副总裁 崔晶炜
青藤云安全高级副总裁崔晶炜说道,青藤云安全已经为全国上百万台服务器提供安全保护,覆盖了包括中国平安、中国地震局、光大银行、B站、三大运营商等数百家大型客户。
在云计算时代,青藤可以帮助政府机构,构建符合国家法律法规的安全保障体系;可以帮助金融企业,实时精准地监控入侵行为,及时止损,有效防止安全事态的扩散,全面保护资金安全;互联网行业业务开放、变化快、竞争激烈,青藤可以帮助他们快速构建安全体系,实时了解自身风险状况,做到安全、可控;电信运营商服务器数量十分庞大,资产清点异常困难,青藤可以帮助他们快速盘点数字资产,做到细颗粒、无遗漏的全覆盖,消除潜在的安全风险。
优秀业绩背后,离不开产品持续创新
“进化来源于突变,而安全面对的正是不可预知的未来。这些层出不穷的未知威胁成为了安全进化的动力。主机安全作为该领域最重要的一个分支,也正在快速进化以应对全新的威胁。”程度如是说道。
青藤云安全COO 程度
从2018年以来,勒索病毒、挖矿木马成为了企业安全两大核心威胁,此外类似终端上无文件攻击也给企业的安全防护带来了巨大的挑战。在这样大背景之下,程度先生认为,未来主机安全的进化方向,将会像自适应安全架构那样朝着“持续增强的检测、响应以及架构适配”方向前进。
① 进化一:主动检测
程度表示,目前较杀伤链模型(Kill Chain)更进阶和详细的模型是MITRE的ATT&CK模型。MITRE ATT&CK是一款可以加速检测与响应的最新工具。ATT&CK有助于理解攻击者的行为、技术、战术,帮助安全人员构建检测措施,验证防御措施以及分析策略的有效性。每一个战术类别包括了一系列的攻击技术,ATT&CK提供了对每一项技术的细节描述、检测技术和分析方法,以及可能的缓释措施。在行业应用中,该模型能够帮助分析和响应人员更好的了解攻击者。帮助安全人员熟悉真实环境的对抗技巧,增强实战能力,从而更好的组织防御。
基于ATT&CK框架,青藤推出了威胁捕获平台(Threat Hunting Platform),该产品在现有青藤原有产品的基础上,提供了增强的安全捕获功能,提供了主机相关更细粒度数据收集和分析和预警能力。
②进化二:自动化的响应能力
当前安全攻防对抗日趋激烈,单纯指望通过防范和阻止的策略已行不通,必须更加注重检测与响应。企业组织要在已遭受攻击的假定前提下,构建集防御、检测、响应和预防于一体的全新安全防护体系。这从今年6月*网行动的规则也能看得出来,不强制要求系统不被入侵,而是强调入侵之后的快速响应能力。
青藤应急响应平台,使用大数据技术存储主机和Web事件日志,从安全角度引导客户对日志进行查询与分析,发现黑客入侵的蛛丝马迹,还原攻击现场。产品基于ES系统,可在5s内获得查询结果,同时对TB级数据进行统计分析,并保证数据至少保留180天。
程度表示,青藤的应急响应平台结合了语义分析、大数据、安全编排和人工智能算法,依靠青藤主机安全的核心功能,平台可以实现智能分析等功能复杂的安全场景和快速反应和处理。结合Agent能力,一旦发现主机端攻击行为,可以迅速杀死恶意进程进程、删除文件、隔离文件等等。此外,目前青藤正在开发SOAR平台,未来可以实现自动响应和协调与其他安全产品。
③进化三:新架构的适配能力
云原生不但可以很好的支持互联网应用,也在深刻影响着新的计算架构、新的智能数据应用。以容器、服务网格、微服务、Serverless 为代表的云原生技术,带来一种全新的方式来构建应用。企业 IT 架构也随之发生巨大变化,而业务又深度依赖 IT 能力。这带来了一定程度的复杂性和挑战性,尤其是其安全挑战不可忽视。
越来越多的企业利用Docker容器来快速构建和维护新服务和新应用。但是,容器本身也存在重大的安全风险,例如Docker宿主机安全、Docker镜像安全、运行环境的安全问题、编排安全等,这都意味着保护容器安全将是一项持续的挑战。
青藤蜂巢•容器安全产品覆盖了容器使用过程中的Build、Ship和Run三个阶段,在功能性上有镜像扫描、合规基线、以及入侵检测三大核心功能。青藤蜂巢•容器安全产品在技术实现上采用了Agent-Server的技术架构,Agent运行在容器的宿主机上,和Docker daemon跑在同一层的。Agent主要做了三件事情,第一是基础信息的获取,通过Docker Engine本身的API来获取容器运行的状态信息,第二是镜像扫描能力,通过Agent能够来扫描主机上镜像的相关信息,第三是对容器的运行状态进行相应的监控,通过对于容器进程进行相应的hook以及监控发现容器运行的相关信息。
未来,青藤云安全将会在主机安全细分领域,专注于技术的提升和创新,为企业提供更好的安全解决方案,为网络安全行业的发展贡献自己的一份力量。