OneASP:为信息安全破局而来|Xtecher特写

投稿人/来源: | 2017-01-04 17:17 |

刻不容缓

2016年,我们一直被安全问题的阴影笼罩着。

美国遭DDoS攻击东海岸网站集体瘫痪、雅虎5亿用户资料被窃、京东被曝有12G用户数据在黑市被交易......几乎每月都会有一个信息安全大事件发生,行业警报已然拉响。

普华永道发布的最新全球信息安全状况调查显示:在过去12个月中,中国内地及香港企业检测到的信息安全事件平均数量高达2577起,是前次调查记录的两倍,较2014年攀升969%。

人们开始谈“安全”色变——信息泄露严重,在网络上无异于“裸奔”。黑产行业大肆猖獗,企业所遭遇的安全挑战空前严峻:你挽起袖子准备大干一场,坏人瞪大眼睛盯准了你的钱包——强烈的不安全感包围下,亦真亦幻,云雾缭绕。

网络与信息安全虽然在近几年备受关注,但目前行业起色不够明显,可以说仍处于被动的“应急救火”阶段——对于大多数的企业来说,没有从根本上布局安全防御,也没有专门且有经验的人去主持推进安全的工作。

于是,一次次惨痛的前车之鉴,宣告信息安全到了刻不容缓的紧要关头。

当前,互联网安全已被认为是上千亿规模的市场“蓝海”,哪怕在资本寒冬,信息安全也是一片盎然春意。并无更多行业积累的中国信息安全之路,恐怕是任重而道远。而这市场一旦被打开,就如逐渐浮出海面的冰山。

这对于心系安全,投身安全行业的每一位掌舵者亦或从业者来说,都是一片大有可为的天地。

亟待革命

互联网世界日新月异,相比之下,本该并驾齐驱的信息安全防御领域却异常传统,创新不足,无法应对新时代的即时需求:哪怕很多新兴的安全团队似乎也把眼光徘徊在熟悉的领域,扫荡的只是边边角角,比如WAF,比如扫描器等,而其他很多新领域则鲜少涉足。

传统的信息安全时代主要采用隔离作为安全手段,这种隔离手段针对传统IT架构尚能起到有效的防护。而当下,云架构以锐不可挡的势头将传统IT架构取而代之。传统信息安全的分散割据化、对应用的封闭化、硬件盒子化已无法迎合云架构时代应用的需求。

云的广泛使用使得企业网络边界逐渐消失。对于一个主要使用公有云的新兴企业来说,不可能再有机会去使用基于传统技术的硬件形态的安全产品。再者,随着HTTPS、HTTP2.0等新技术的普及,传统技术,如网络抓包技术,渐渐表现出在应用领域力不从心的态势。

未来信息安全必将以云架构为基础,朝着纵深防御的方向蓬勃发展。暗沉的市场呼吁能够迎合当下的新技术出炉。

这个孕育着千亿市场的信息安全行业,亟待一场斗争彻底的大革命。

前瞻性决策

普华永道中国网络安全与隐私保护服务合伙人冼嘉乐认为:“国内一些有前瞻性的企业已经在调整信息安全的投资方向,通过加大对先进网络信息安全技术的投入,来明确并加强其独有的商业价值,为业务增长保驾护航。”

OneASP恰逢企业普遍“苏醒”的时刻诞生。

2015年夏天,彼时尚未挂牌新三板的蓝海讯通创始人何晓阳,前瞻性地预判到了信息安全行业的趋势,打算入局信息安全领域。

蓝海讯通是中国基础软件领域的新兴企业,旗下有OneAPM和OneASP两个品牌,而OneASP主打信息安全,是蓝海讯通旗下的独立公司。OneRASP属于OneASP应用安全的一个产品线。

OneASP总裁兼首席安全顾问何迪生堪称传奇人物,在信息安全领域有着光鲜的履历和颇为深厚的积淀。

何迪生

28年的从业经验里,曾任职ISACA(国际信息系统审计师协会)北京委员会主席、ISSA(信息系统安全协会)香港分会主席、长达10多年在微软担当大中华区信息安全总监、微软香港区首席安全信息官等职位、香港警署防犯罪技术部(TPCU)防止犯罪技术和安全咨询顾问、世界贸易组织(WTO)第六次部长会议首席安全咨询师、第29届北京奥运会—奥运城市运行指挥平台安全顾问——名副其实的安全领域大咖。

当时,何迪生有个朋友林元宏正担任蓝海讯通副总,朋友认定何迪生是主导安全方面最合适的人选,就邀请他过去帮忙搭建应用层安全研发团队。

何迪生饶有兴致地告诉Xtecher,“为什么过来呢?我觉得这个团队很有激情,还有对于事情的前瞻性方向把控得很好。最重要的是,他们同意做RASP方案很有远见。”

2014年底,何迪生曾做过一个关于RASP技术的演讲,作为一个在安全领域深耕了近20年的专家,他十分认可这项应用层新技术。当时国外已经有几家把它变成了产品,但国内还没有人做这个事情。

后来,朋友找到他,希望他加入OneASP并让RASP技术落地的时候,他非常惊喜,“国内没有人干啊,你们真的能干出来吗?”他考虑了一个月就过去了。

何迪生谈到,中国安全行业的市场潜力巨大。单从应用层来说,2015年,全球安全市场应该有1250亿美金,但是中国只占到2%-3%。何迪生预估,“2020年,中国的应用层安全市场应该有54个亿。每年的增长是非常大的,因为需求增长非常大。”

而在RASP这个细分领域,在未来四年的时间,可能会从目前占据应用层5%-10%的市场,上涨到40%-50%左右,布局RASP必然是一个前瞻性举动。

吃螃蟹

何迪生回顾了传统安全行业:在过去10多年,当企业说要建立一个安全体系时,它的大部分投资都是放在网络层和主机层这两块的,应用层放得很少,而新成立的OneASP目标很明确——剑指应用层的安全防御,要做国内“第一个敢吃RASP螃蟹的公司”。

OneASP是国内第一家将RASP技术落地的创业公司,带着强烈的安全基因,关注应用层安全,坚持纵深防御,重点布局新兴安全技术RASP。

通常,提到安全基础架构,我们会将其按纵深防御体系划分为五层:物理层,网络层,主机层,应用层和数据层。

过去对于网络层和主机层的关注力度较大。耳熟能详的字眼都是出于这两个层面,“加密”、“补丁管理”、"IPS/IDS"、“防火墙”等等,因此中国的“信息安全”又被叫做“网络信息安全”。而Gartner的数据报告显示,如今有超过80%的攻击都发生在应用层。

网络层和主机层因有前几年的积累,黑客已经很少因为主机层补丁没有打而进行攻击的。何迪生解释说,“今天的主机层补丁管理已经很完善了,很多管理员都知道应该打补丁,也知道怎么去打补丁,还有很多补丁的工具帮他们去干这个活。”

因此,如何防护应用层安全,成为现阶段信息安全的首要任务——一方面是新兴技术的落地发展,一方面是相关人才的配备,二者缺一不可。

先说人才,现状是我国安全人才严重稀缺。

有调查指出,2015年我国对于安全人才的需求超过100万,但实际称得上专家的、在行业有3年以上经验的仅有2万,有高达98%的人才缺口。况且这个2万的数字是针对整个安全领域的专家,对于其中之前鲜少关注的应用层来说,“全职关注应用层的可能就占20%,实在非常非常少”,何迪生告诉Xtecher。

中国企业众多,平均下来每家企业可能只够分到零点零几个应用层领域的安全专家——很显然,这样的资源匹配是极不科学、不对称的。

人才匮乏显而易见,此外,新技术的引入亦迫在眉睫。

历史上,在应用层中,WAF(Web Application Firewall)是比较常见的应用层安全解决方案。但WAF这类周边应用防御系统,和OneASP主推的RASP实时应用自我保护内部的应用防御系统相比,已经略显力不从心。

什么是RASP?和WAF相比的竞争优势在哪里?

RASP,全称是“实时应用自我保护”,它在应用程序里实时对安全威胁进行监控、告警和拦截。RASP将保护行为像疫苗一样注入应用程序里,使应用程序具备免疫能力,从而能进行自我保护。

相比之下,WAF通常设在应用程序的入口,提前拦截并分析所有用户请求,如果其中存在与某种攻击模式相匹配的内容,则禁止这些内容到达应用程序。

WAF需要提前收集模式结构,需要使用模式匹配引擎,而WAF的好坏就取决于模式引擎的质量。同时,有一些攻击是需要了解应用程序的内部情况才能发现的,WAF有可能会漏过此类攻击,于是攻击者就想尽办法绕过WAF攻击应用程序,这正是安全研究领域的一个研究热点。

这类能够绕过WAF的方法很多,何迪生提示Xtecher记者可以上网查一下,会看到诸多案例。“绕过应用防火墙或者WAF攻击应用层的方法你会看到很多很好的教程,你自己也会变成黑客去攻击我们的应用层。”何迪生说,“今天的应用防火墙要能很简单达到防被绕过的能力,还有很多可以优化的地方。”

此外,WAF需要专门的人才来管理防火墙,不然很多问题无可规避。这又回到上面人才的问题,多数企业安全方面的人才都不足,还不够专业。虽然之前很常用,但显然WAF并不是最简单最容易管理的解决应用层安全的方案。

Gartner一个叫Joseph Feiman的分析师,2014年提出了RASP的概念。相比于WAF,RASP就是在内部的应用防御系统。何迪生解释道,“WAF在周边防御应用层攻击的,而RASP是服务器内部的应用防火墙。”

这样一来,很多在外面看不到的东西,在内部都能看得一清二楚,能更简单更精确的看到更多的资料,能提供更简单更有效的防御。RASP这项新技术在近几年发展极其迅速,潜力不可估量。

RASP工作原理

对比之下,一目了然。

发展

OneASP成立一年多的时间里,已经有100多个客户了,里面大概有20个是企业的用户,有大概80多个是SaaS版的用户。目前,OneASP服务的客户主要集中在电商、金融、互联网金融等领域,像国内知名的互联网金融平台银客网就属于第一批企业客户。

银客网以前也使用过WAF这类的安防设备,但误杀误报漏报现象严重。而OneRASP不仅操作简便,还能帮助其抵御常见的攻击类型,同时检测的精准性更是得到客户的认可。

更重要的是,相对于传统的安全解决方案,我们还帮助这家互联网金融公司节省了至少50%的安全层面的费用支出。目前已有很多各行业的成功案例,例如本来生活以及永辉网等。

何迪生对OneASP的未来有着美好的畅想和周密的规划,他希望未来有好的蓝图把企业应用层的所有不同需求都一体化,帮助客户解决,实现一体化解决方案。

安全领域的“大拿”

虽然已为行业资深,但形容何迪生最好的几个词,可能却是“简单、热情、精力充沛、工作狂”。

他个子不太高,神清气爽,讲话非常有激情有亲和力。除了管理者身份外,他更喜欢以“顾问”的角度把事情做到更完善。

初中开始便移居加拿大的他,大学毕业后在北美工作了12年。之前从未想过要回国内发展,由于家庭原因,母亲离世,父亲病重之时,他回到了香港。辗转进入了香港的微软,后因机缘巧合,微软的大中华区总部在北京,他经常香港北京两地跑,微软北京的领导一直要他来北京。在香港呆了6年之后,他最终来到了北京,在国内转眼就是十载。最初,他的普通话说的很不好,担心交流产生误会,一度曾只用全英文交流。经努力后他现在普通话已经可以沟通无障碍了。

他还是个极简的人,他追求的是有远见地计划未来,然后积极地活在当下,把今天应该干的事情干好就可以。“简单就是美,简单一点活在当下,这是我人生的一个信条。今天把你喜欢的事情做到最好,这是最开心的事情。”

何迪生一直致力于信息安全的布道,他有一个宏大的梦想:2011年,他就想到未来中国一定要有自己的安全系统、自己的安全架构,还有自己的安全公司、软件、硬件等。他非常喜欢把自己的经验分享给大家,担任一些公司的安全顾问,帮助他们去做信息安全的布局。

他从香港赛马会开始,便与安全结缘。

“我的转折点就是香港赛马会”,赛马会属于博彩,博彩系统最重要的自然是安全。此后他对安全全情投入,如痴如醉,在各项安全事务中担纲大任,并且热衷于传播信息安全的理念。几乎把大半生都奉献给安全事业的男人,此次出发又是一个新征程。

他见证了中国信息安全行业的起起伏伏,发展历程,也见证了每一个对信息安全来说,重大的关键时刻。

采访中,他曾三次提到“Passion”这个词,他在向Xtecher讲述每一个安全领域的伟大时刻,脸上都洋溢着欣喜,像极了一个孩子在痴迷地如数家珍一般讲着自己爱的东西,好比一个顽童。

何迪生讲到对于中国信息安全两个重大的时刻:

第一是在2008年奥运会,从国家层面,开始考虑安全的事情。如果不能保证信息的安全,体育赛事将很难进行下去,影响国家颜面,盛会也一定会出现问题。而对于企业来说,晚了一年多的时间,直到2010年年初的时候,才开始真实的思考安全问题,但是并没有真正做起来,“只是从奥运会那开始觉得安全很重要,真正干起来的话是在2014年左右。”

这引出中国信息安全的另一个转折点——2014年。由于美国斯诺登棱镜门事件,我国开始将安全提到国家战略层面。习近平总书记指示:“国家安全等于网络安全,没有网络安全就没有国家安全。”也是那时,国家成立中央网络安全和信息化领导小组,习近平亲自担任组长,决心要建设成网络强国。

一夜之间,需求骤增,人才就成了一个巨大的缺口。相关安全从业人员的工资“最起码能涨50%以上,有5-10年经验的话最起码翻倍。”何迪生称。

这几年来,不论从国家层面还是企业层面,对于网络信息安全都是高度重视。国家网络安全大会,到2016年已经是第三届了。国家网络安全人才与创新基地落户武汉,决心开始培养中国本土安全领域的人才。行业里安全方面的峰会,突然增加了很多,一些巨头公司每年都有大型的安全峰会。

看着一个行业从毫无意识,不被人关注,不受重视,到经历重要转折点,市场打开,这种起伏并不是很多人会经历到,自然感触不够深刻——但何迪生见证了,他越说心情越好。

在已经过去的16个年头,他始终保持着对安全行业的热情。“我喜欢工作,工作就是我的人生游戏。我很热爱我的工作,我到今天还是一个工作狂。”

不止16年,何迪生还要在安全领域奋斗终身,“到我离开这个世界的那一天都会一样。但这是哪一天我不知道,可能1年,可能10年,可能30年。”

在被问到,为何如此热爱,究竟这个行业有何魔力吸引他的时候,他笑着反问,你有男朋友吗?那你为什么会非常喜欢他呢?

“你喜欢的东西就会很喜欢,你喜欢的话你不睡觉,不吃饭,你就希望把它做好,跟钱没有关系的,就是喜欢。牺牲自己很多东西都要把它做好,这是喜欢。很多科学家都是这样的。我不是科学家,但是从这个角度有点像。”何迪生饱含深情地说。

安全,永不落幕

何迪生曾提出过ROSI(安全投资回报率)的概念。

在他看来,安全是一个无底洞,你花多少的钱都可以。但是企业应该思考哪几个重点,你必须要把它把控得好,要看你自己有多少钱去处理这个问题。钱少一点可优先处理这几个重点里比较基础的东西,如果钱多一点的话,可以把一些优化做得好一点。何迪生讲到,“但不是说没有钱就不干,有很多钱就干。做安全就是做投资。”

随着云计算的蓬勃发展,公有云的广泛使用,保障云层的安全,是很难在云里加硬件应用防火墙,但RASP便能简单的防御云计算里面的应用层。极有可能,未来RASP也许会抢占一些WAF的市场。但何迪生在应用层也一直坚持纵深防御原则,可以WAF和RASP共同使用,实现周边防护和最后一道内部实时防护相结合,充分保障应用层的安全。

何迪生谈到,OneASP跟安全行业的一些“巨头”不仅没有业务上的冲突,甚至在产品和技术层面也可商讨合作。何迪生希望打造一个“安全的生态圈”,专注于应用层的防护,之后也会与做主机层及网络层防护的行业“巨头”进行集成。

在何迪生看来,“作为一个安全专家必须要帮客户处理好风险评估和风险管理,这是第一步。剩下的你买什么防火墙,什么WAF,什么RASP都不重要,可以自己考虑定夺。”先进行风险评估与风险管理,定下安全策略了以后再思考一下要买什么的,采购什么的安全产品。

此外,AI的技术在安全行业也将会得到全方位的应用。在未来的安全领域中,人工分析将被机器分析所取代,将会成为新的“守护者”。

对于信息安全的未来,何迪生认为,国内的企业一定要打造“安全生态联盟”,大家在一起分享经验和安全信息,共同探讨黑客攻击的方向。他解释说,黑客的联盟里面分工分得很好,很细,他们已经做的很专业。如果安全防御的联盟做不好,单打独斗是打不过黑产的。

腾讯董事局主席兼首席执行官马化腾曾在一次会议上公开表示,“现在黑产学习新技术的能力很强,也会用云计算、大数据。网络诈骗也都很有创意,都开始编剧本了。”

“今年我们面对的不是上中下游的产业,是黑产充分分工、细化的成熟产业链。”马化腾说,以前大家不愿意开放数据库,认为有安全隐患,但从黑产的发展来看,中国互联网发展进入深水区,要让互联网变得安全,必须联合起来,用产业链对抗产业链。何迪生说:“腾讯这几年在安全方面做了很多贡献,在去年集成的科恩实验室在安全攻防方面就做的很好。”

的确,随着物联网发展,网络安全的挑战越来越大,整个行业已经不是一方能进行的,需要各方共治。

不管是随着政策加码、《网络安全法》的出台以及信息安全防御技术的成熟,未来5年我国网络安全行业的市场规模将会进入爆发式的千亿市场发展阶段。

届时,信息安全行业的群雄们,老牌玩家如360安全,金山等,以及新兴团队如安全狗,青藤云安全,OneASP等,将会迎上这一重大风口。未来将上演一场怎样的群雄逐鹿,竞争合作,整肃信息安全行业的好戏?值得拭目,Xtecher会持续关注。