CCS 2021成都網路安全大會已於2021年9月26-27日成功舉行,安全419全程參與本次大會的報道,由於本次大會意圖打造網路安全行業極客的新名片,因此可以看到諸多圈內知名極客紛紛現身活動現場,我們自然也不會輕易放過這個能夠同他們展開交流的機會。本文的主要內容就是來自於安全419創始人MT在大會現場採訪間同一位極客大咖——凌晨網路高階安全顧問姚威之間的對話,用MT自己的描述來形容的話——這是一個充滿了真話和大實話的交流。
作為極客圈的一分子,姚威表示自己的確曾經做過很多比較極客的事情,最典型的例子就是他早期在做無線Wi-Fi安全的時候,就透過自己的研究開發出一臺小型裝置,隨後將其放在車內,開著車幾乎跑遍了整個城市,目的就是為了去採集這個城市Wi-Fi的安全狀況,並最終出了一份報告,而整個過程的成本全都是他本人自己承擔的。姚威認為,能把一件很極客的事情做到有益於社會、大眾,有著更大的意義和價值。
實際上,做無線安全也的確和凌晨網路有著很強的關聯,因為這家公司早期就曾經是以無線安全為主要方向,而隨著業務的不斷深入,凌晨網路逐步積累了大量的公開資料,於是他們開始透過這些資料轉向大資料安全(保障大資料本身的安全),如今又深度介入了安全大資料(用大資料來做安全的業務)領域。
透過姚威簡短的自我介紹,我們會發現一個共性,那就是很多安全企業的創始人普遍都是一些白帽子、極客出身,他們之中有不少都是為了自己的一個興趣點去做了一些事情,隨後他們發現將事情做下去之後會成為一塊業務,這一從初期創業到早期業務拓展的發展過程,在這些由極客創辦的企業中總是能看到一些相似之處。
立足於大資料基礎 堅持以滿足使用者真實需求為方向
在交流中我們得知,凌晨網路近期立足於大資料的基礎之上,去更多的關注資料安全領域中更為垂直的一個方向——資料安全審計及業務安全審計。
“我們會更關注客戶的視角,他們往往會將一個問題拋給我們——‘我把資料安全交給你來做,你如何來保障我的業務?’”姚威說道,“在業務這一塊還會再進一步區分,比如是偏脫敏類的還是偏審計類的,因為脫敏肯定是前置的一項工作,只要這個工作做好了,那麼客戶的所有業務資料無論如何應用,都不會有太大的問題。相比之下,審計是偏後置的工作,當業務將資料用起來後,透過審計會發現某些資料的使用可能會有問題。與此同時,各類組織在數字化轉型過程中,都會熱衷於中臺化,並在那之後會偏向於優先做審計,在這樣的情況之下,我們就選擇去貼和他們這一真實需求。”
極客的成長不能只關注前沿 更需要“回頭看”
以目前的發展形勢看,透過工具來發動網路攻擊已經成為了一個趨勢,那麼對於網路安全而言,要做好防禦就會比較難一些,不過姚威表示,現在很多企業都提出了很好的概念,就是用AI去對抗AI,只是這個說法還不夠接地氣,從現在的發展情況看,更應該被稱作是用自動化去對抗自動化,這才是一個腳踏實地的說法。據他透露,凌晨網路最近也在做一個比較有意思的產品,而且會將它工具化、小型化,也會實現自動化去對抗自動化這一概念在產品層面的落地。
用自動化去對抗自動化這一概念或思路,也是為了應對當前網路安全人才缺失的現狀。據姚威介紹,目前他帶的徒弟都已經是1998-99年前後出生的,這一年齡段也是當前白帽子主流群體的特徵之一。那麼對於未來一代駭客或極客的成長,作為老一輩資深極客的姚威又有何建議呢?
“我覺得可能他們就需要再往後看,回頭看一看。”
姚威分享道,“就拿語言來說,我們可能還在用我們自己趁手的語言和工具,哪怕是說不太好用,但我們還是會覺得很順手而去接著用它。但現在這些人的想法和做法已經完全不一樣了,他們甚至不會去像我們當初那樣互相問一下最近有沒有什麼新的工具共享出來等等,而是上來就會選擇自己去寫一個新的工具出來,用更敏捷的語言去做,這真的是太快了。因此,在應用新的技術和能力這方面,他們已經做得足夠好了。”
“與此同時,之所以要回頭看,主要是在於這些更為年輕的一代人在做事情時仍然會有一定的侷限性,這並不是他們做得不夠好,尤其是一些跨年齡段的事物,比如我們看到眼下所發現的一些漏洞其實是很老的,而且是真實存在的,可這些網路安全新人有極大的可能沒有接觸過這類東西,比如Windows系統你經歷過多少個版本?又看到過多少個Linux的社群版本?見證過多少這種有歷史傳承的產品或版本的興衰,當這些東西你沒有經歷過、沒見到過,那麼你就有很大的可能不會去了解它,但現實又很骨感,在平時的工作或是未來的任務中總有機會去接觸到這些老的產品及相應的漏洞,他們依然還存在著。”
因此,姚威認為,新一代的網路安全人才不僅要更多的關注前沿技術,也要透過“回頭看”的方式來了解一些舊有的問題,這樣才能讓自己在成長過程中變得更加全面。
資料安全不存在放諸四海而皆準的解決方案 集眾家所長才是現實
姚威認為,全生命週期的資料安全對於一個團隊或一家公司而言,能做好的可能只是其中的一部分,如果能做到週期中某一個節點到下一個節點之間的資料安全就已足夠出色了,但說到要去做一個完整的全生命週期的資料安全解決方案,那麼肯定會要引入多家安全企業各自的長處。
“我們可以看到諸如騰訊安全這樣的大廠也有資料安全的能力,比如在資料庫安全、資料治理等方面,這些大廠都做得非常專業,可是在一些很細分的資料安全領域往往並不是他們的強項,那麼這些誰去做呢?”
因此,在姚威看來,在網路安全行業中,當一個賽道變得大熱之後,並非意味著純粹的競爭,湧入這個賽道中的企業就像是一塊塊的拼圖,最終會將這個賽道的整個版圖給完整的拼出來。”比如我們去看資料安全領域,企業的確很多,但觀察一下就會發現每家企業都有自己所擅長的能力。“姚威談道,”我們如果將這些企業經過排重,然後從行業視角將他們的能力組合成為一個完整的全生命週期資料安全解決方案。”
“整合”是近些年來我國網路安全行業的熱門詞之一。的確如姚威所言,無論是透過合作打造生態也好,還是藉助資本的力量加強自身能力也好,本質上都是為了能夠實現更好的滿足客戶需求,儘可能地以“交鑰匙”的方式來解決客戶的實際問題。
姚威表示,任何一家網路安全企業敢說自己能夠把全生命週期資料安全做全而且還做得最好,那麼結果大機率就是兩個——要麼客戶很擔心,要麼就是客戶不擔心但這家企業很擔心。為何這麼說呢?一起看看他給出的答案:
一方面,這個企業不僅自稱安全能力覆蓋範圍全面,還自稱做得最好,這種情況下客戶一定會擔心這些“自稱”的真實性,畢竟資料安全是一個非常大的領域,把所有相關的安全都交給一家企業來兜底,到底能不能保護得好呢?
另一方面,客戶不擔心了,為什麼企業會擔心呢?因為客戶將這麼龐大的一個數據安全體系交給自己來建設,但在建設完成後到底能不能全都保護得很好呢?至少姚威看來,這種可能性幾乎是沒有的。
這就回到了前面所說的,整個全生命週期資料安全所覆蓋的細分領域相當多,不會有任何一家廠商能夠將其做全且全都做到最好。
歸根結底,資料安全仍是一個非常繁雜的大領域,不僅覆蓋面極為廣泛,技術、理念更迭的速度也十分迅猛,而在應用方面更是需要考慮到不同行業、領域的獨特性。因此,即便放眼全球視野,也不會存在著放諸四海而皆準的解決方案。
“雖然從企業的利益角度考量,肯定會希望能夠滿足客戶的所有需求,這是最理想的狀態,但我們更應該回歸現實,透過像打造生態這樣的方式去集眾家之所長,用行業的視角拼成一個完整的版圖,最終給到使用者一個真正可用、好用的解決方案,實現多方共贏,這才是有利於解決真實問題且有利於行業發展的硬道理。”姚威說道。
套用零信任理念號稱包打天下的行為不可取 做好自己才是正路
談到這兩年網路安全行業的一大熱詞——零信任,姚威表現得還是偏於理性。
“我對零信任還是持一個偏中立的態度,就個人而言,我不會去判斷零信任好或不好,只能說某一種零信任的做法能夠在某一種場景裡面起到什麼樣的作用,如果這樣去看那是沒有問題的,因為概念再好,最終還是要落地。”姚威談道,“我比較反感的是那種拿出一套用零信任理念的方案就號稱包打天下的方式,在我來看這就是‘胡扯’,這幾乎就是在純粹的套概念,追熱詞,蹭熱度,至於它到底能不能真實地解決問題肯定是會打一個問號的。”
零信任的概念很大,其本質還是一套方法論,而不是具體到某個產品或某個功能,用姚威的話說,零信任更像是一種指導性意見,告訴大家應該往這個方向去做。“這個時候就會出現兩類人,一類是會去認真鑽研並在理解的基礎之上,進而研發出相關的產品或功能;另一類則會走所謂的捷徑——將現有的產品去改一改並打上零信任的標籤。”姚威認為,只要能夠解決問題,那麼自己對這兩類人其實都不會排斥,但是最忌諱那些將其能力無限放大甚至包打天下的宣傳話術,那樣一來必然會出現大家都說自己是真正的零信任,但彼此之間又說不出有什麼區別,客戶聽了肯定會懵,用了之後又發現不像當初所宣傳的那樣,因而最終一定會在客戶側那邊顯示出反效果,進而不利於行業的良性發展。
姚威直言,當前業內有不少企業會喜歡將自己貼上Gartner的某個概念,然後出來講故事,但這種方式並不適合我們,用他的話說——命題作文對他們而言實在是太難了,相比之下,他們更願意做一種可以先自由發揮,最後再收攏並迭代成為一個好的產品,這才是自己最擅長,也是能夠做好的。
因此,我們可以看到凌晨網路的發展一直是堅持務實的態度,據姚威介紹,其產品大多也都是在解決客戶問題的過程中所產生的,而更有趣的是,產品的名字幾乎都是來自於客戶,那些將Gartner報告中的某個熱詞拿出來套在自己的產品或正在做的事情上這一行為,凌晨網路從未做過。
“我覺得團隊也好,個人也好,還是要有點自知之明。”
