网络安全的五个洞见

柠檬墨绿色

　　阿里云，这个国内最大的云计算平台，服务着万亿企业的数据和业务。它所代表的云计算能力已经像水、电一样成为了互联网国度的基础设施。

　　难以想象如果一个城市的水源干涸、电力枯竭，将引发怎样的灾难。对阿里云来说，安全是巨大的云城邦脚下的基石。而肖力，作为 2005 年就加入阿里巴巴的第一个安全工程师、阿里云安全团队的缔造者，正承担着这份守土之责。

　　肖力是为数不多站在技术和战略十字路口的人，他无时无刻不在寻找世界上最先进的武器和部队来守卫阿里云计算。于是，他对于未来一年、五年、十年网络安全趋势的洞见，也许会深切地影响中国互联网安全的发展脉络。

　　每年，肖力都会出现在各大世界顶级安全会议的现场，感受最新安全技术形势的变化。RSA 大会，是全球安全厂商一年一度的聚会，被视为全球安全行业的风向标。每年全球 Top 500 的安全厂商都会积极参与 RSA 的技术分享，并借此机会为自己的最新技术找到“用武之地”。

　　客观地说，全球安全技术仍然以美国为中心，RSA 上的无数公司拼凑出了一幅安全界的清明上河图，这番图景，对于安全产业发展较美国有“代沟”的中国，有着极强的借鉴意义。

　　刚刚从旧金山 RSA 现场归来的肖力，带回了从互联网安全高地绘制的最新趋势图。雷锋网宅客频道在第一时间采访到肖力，让他展示了这份最新的“作战地图”。

　　阿里巴巴安全第一人肖力：网络安全的五个洞见 | RSA 2017

　　【肖力】

　　以下是肖力访谈实录（口述/肖力 | 文/史中）

　　一、安全没有巨头，“合作”才有意思

　　在描述今年 RSA 所有的具体技术趋势之前，我最愿意分享一个今年的总关键词，那就是“合作”。这个词听上去不性感，却是安全行业发展到现在，一个必然到来的总趋势。

　　1、安全是“碎片化”的

　　安全有点不一样。

　　在互联网的其他领域，通常会出现巨头一家独大，能占领70%-80%的市场。

　　但我感受到安全这片土地，一定不是巨头霸占的领域。为什么这样说呢？因为安全并不垂直，恰恰相反它涉及到互联网和商业世界的所有领域，可谓安全无处不在。这些领域太广泛了，所以不可能有一个巨头说：我的产品在所有领域都是最好的。

　　就算是我们耳熟能详的安全大咖：McAfee、赛门铁克，他们的收入在整个安全市场的占比还是很少的。我看到的是，安全的每个细分领域都有“头牌公司”。

　　对于一个企业来说，它的安全需求是“碎片化”的，这意味着企业要搞定各个方向可能存在的安全问题，就一定会选用多个领域的安全产品。根据我的观察，每个公司都需要5- 10 个领域的安全产品。例如：

　　内网安全：企业员工的PC、移动端设备安全；

　　数据中心安全：企业的核心业务数据可靠性安全；

　　系统安全：企业各大 OA、CRM 等办公系统的安全；

　　Web 安全：企业对外服务的网络安全；

　　等等……

　　千里之堤溃于蚁穴。对于企业来说，所有的维度一旦出现任何一个短板，它的安全性都会破碎。这个特性就要求各个方向的安全产品之间的联动合作，它们只有拼成一个整体，才能为企业提供最安全的服务。

　　2、打通日志和API是合作的重要一步

　　今年的 RSA，我感受到了一个关键词：合作。这说明安全行业也已经意识到了，合作是至关重要的。

　　但实际上目前安全厂商的合作现状并不好。

　　以数据日志为例，网络、系统、主机都会产生数据日志，把这些日志汇总分析，才能得到整体的安全态势。但是，目前诸多安全厂商的日志格式、标准都不同。甚至在安全领域专门出现了一个领域：安全日志的横向管理分析。产生了安全大数据产品——SIEM，SIEM 第一个核心竞争力就是翻译各个安全产品的日志。

　　由于日志的碎片化和不统一，翻译的做法，一定不如原生的统一格式日志。云是一个非常好的机会，消除不同日志之间隔阂的机会。在这种统一的 API 接口基础上，安全产品的联合才能变得更容易。

　　作为云计算的服务商，我们最希望看到各大安全产品能够在我们的平台上实现数据、日志、接口的联合。这样才能让我们平台上的用户更加坚不可摧。

　　阿里巴巴安全第一人肖力：网络安全的五个洞见 | RSA 2017

　　二、安全产品全面转转向公共云 SaaS 服务

　　1、SaaS 安全服务元年

　　在 RSA 上观察各大厂商主推的产品，就可以清晰地看出安全产业的发展趋势。

　　以前，全球的安全厂商都在卖“盒子”；

　　从去年开始，有一些厂商推出了基于 API借口提供的云化服务；

　　今年，大部分安全厂商都在提供基于公共云（即一些人理解的公有云）的云安全 SaaS 服务。

　　这说明 SaaS 安全服务已经成为了一个不可逆的主流趋势。举两个例子：

　　Fastly 是一家 CDN 厂商，在今年他们开始提供云安全产品；

　　QUANTIL 也是一家 CDN 厂商，今年同样推出了云安全产品。

　　从这一点上看，可以看出美国和中国安全发展的最大不同：

　　根据我的观察，美国云计算发展要领先中国两年。之所以得出这样的判断，是参考了 SaaS服务的成熟度。在美国，基于公共云的 SaaS 服务已经成为了企业服务的主要形式；而在中国 SaaS 服务本身都还没起来，所以 SaaS 安全服务也同样不成熟。

　　但是，我坚信公共云计算服务是未来互联网的趋势。我可以举一个例子：

　　前两年我曾经和 Gartner 的分析师交流，我询问他怎么看未来云计算市场上“公共云”和“私有云”的比例。他的判断是50%-50%，也就是公共云和基于 Spark 或 Hadoop 的私有云各占一半。

　　今年我又去询问了安全界的同行，所有人都给出了公共云超过80%，20%私有云的判断。从厂商展示的云解决方案来看也印证了这样的说法。之前有的厂商把“支持私有云部署”作为卖点，但是今年，已经很少有人讲这一点了。

　　虽然一些厂商还在私有云方面发力，但是我认为在美国这个趋势已经很明显了。

　　波音公司，全球顶尖的大飞机制造公司，所有的核心系统都跑在微软的云计算上。

　　当高等级安全需求的大型企业、银行、政府系统都上了公共云，他们经过严格的评估，认可在公共云上划出的“逻辑隔离区”的安全性。良好的示范效应会使得其他行业迅速跟进，拥抱公共云。

　　2、公共云安全产品的“天然优势”越来越明显

　　从我的角度来看，公共云至少有三点优势：

　　1）弹性扩展。公共云可以提供无限的算力和存储空间。

　　2）快速迭代。公共云可以做到每天更新，快速迭代。如果大企业选择私有云，就没有办法享受到最新的技术红利，有“被干掉”的风险。

　　3）数据打通。数据智能是未来的趋势，初期大家都玩自己的数据，未来更多企业需要数据共享分析。而私有云很难和外界打通数据。例如阿里云正在做的城市大脑，需要同时分析十几个数据源的数据，这只在公共云上有可能实现。

　　说了这么多公共云的优势，不仅仅因为我们所做的是公共云计算，而是因为当公共云计算成为趋势的时候，基于公共云的安全产品才能真正被人认可，从技术上和易用性上成为首选。

　　根据我的观察，国内大的安全公司，已经把产品云化，说明他们也非常认可这个趋势。

　　阿里巴巴安全第一人肖力：网络安全的五个洞见 | RSA 2017

　　三、不说“数据智能”，不好意思和别人打招呼

　　数据智能是我在今年 RSA 上看到的最明显的趋势。数据智能在交通、金融等等方面都已经有大量的案例，安全的数据智能也成为人人争抢的高地。

　　我理解的数据智能，包括了基于数据的机器学习和人工智能。

　　以前，如果你的产品不叫“下一代防火墙”“下一代终端安全”，都不好意思和人打招呼；

　　今年，如果你不说自家的产品是基于大数据、人工智能，也不好意思和人打招呼。

　　举例来说：

　　Logtrust，可以实时收集企业各个方面的数据，并且利用数据智能分析实时给出安全状况分析；

　　Splunk，可以为来自任何应用、服务器或网络设备的数据实时建立索引，让企业可以搜索；

　　LogRhythm，通过数据智能分析，帮助企业监测、分析和抵抗网络威胁；

　　Cloudera，通过数据分析的手段，帮助用户保护自己的核心资产。

　　阿里巴巴安全第一人肖力：网络安全的五个洞见 | RSA 2017

　　【Splunk将用户数据同一导入大数据平台/图片来自官网】

　　客观来说，数据智能也是技术发展的必然归宿：

　　一家企业的访问量达到数亿，如果靠人工来判断每一个请求是否安全，显然不可能做到。以前大部分人的方法是使用“规则”，把经验写成规则来“过滤”非法请求。但是，随着攻击者的“玩法”越来越高级，传统的过滤方法可以被轻易绕过，安全研究员们必须找到一种“新的”“自动化”的方法来发现风险和攻击者。

　　这就必然是数据智能。

　　例如，知名的数据智能公司 Splunk，他们将用户的各方面数据（包括主机、系统、Web日志等等）统一导入大数据平台，制造出可以分析威胁的引擎，这已经成为了行业的最佳实践模型包。

　　再例如，RSA 今年的初创公司评比——“创新沙盒”大赛上，拔得头筹的“UnifyID”，核心就是把来自 IoT 设备的海量数居上传到云端，通过机器学习的方法判定：哪些设备是可信的，从而识别设备背后的人的身份，保护系统、数据安全。www.9ask.cn/yangzhou/

　　整个行业的趋势就是：越是顶级的安全公司，越是重视数据智能在安全领域的应用。