来源:东方。com
盖子轮廓:
聪明的微笑,科来公司联合创始人兼总经理。Smart Smile先生致力于网络流量分析技术的研发,积极推动NTA技术在各行业的应用和普及。Smart Smile先生被科技部授予《创新人才推进计划》科技创新创业人才称号和成都融贝软件人才技术带头人称号。在smart smile的带领下,科莱在网络流量分析领域达到了全球领先水平,获得了数十项国内外重量级奖项,包括Gartner NPMD魔力象限“远见卓识者”称号、IDC研究报告科莱连续三年在NPAM领域的市场份额、中国网络安全百强企业等。
记者:“十四五”规划明确提出“加快数字化发展”和“加强网络安全防护”。你如何理解他们之间的关系?网络安全行业应该如何落实这些要求?
智慧微笑: 2021年3月11日,十三届全国人大四次会议表决通过《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》号决议以下简称“十四五”规划纲要),网络安全被确定为未来我国发展建设的重点之一,时间跨度长、覆盖面广。“十四五”规划纲要在网络安全方面释放的国家战略信号明确,“网络安全”被提及14次,涉及数字经济、数字生态、国家安全和能源资源安全四大领域。其中,“数字化转型”这个关键词引人注目。“迎接数字时代,激活数据要素潜能,推动网络强国建设,加快数字经济、数字社会、数字政府建设,以数字化转型统筹驱动生产方式、生活方式、治理方式转变。”
事实上,“加快数字化发展”和“加强网络安全防护”是相辅相成的。网络安全是“数字化发展”的重要保障,同时也是其重要的数字化产业之一。它是数字化发展的关键基础。它支持上层技术开发的安全性和稳定性,起着基础性、支持性和保障性的作用。网络安全不再是信息系统的附属品,而是像日常生活中的“水、电、气”一样,逐渐成为新基建、数字经济、数字社会、数字政府、数字生态发展的必然。国家数字化进程越快,网络安全的重要性就越明显。
同时,“十四五”规划纲要也对网络安全产业提出了明确要求。网络安全和数据安全不再是传统的外围加固和松散融合的模式,而是深度融入数字化发展的方方面面,赋能安全。在“十四五”规划纲要网络安全防护一章中,也提出要提高网络安全威胁发现、监测预警、应急指挥和攻击溯源能力,构成网络安全发现、预警、指挥、行动、溯源的多环节动态闭环管理,为网络安全整体管理能力建设指明了方向。
发展网络安全技术的同时,网络安全产业要有家国情怀,要有国家利益高于一切的格局。不同细分领域的安全厂商在各自专业技术领域取得突破,勇于走在世界前列;在对标国际顶尖技术的同时,对内赋能,形成合力。在自我控制的前提下,也要关注“卡脖子”底层安全技术的发展。当前,中国网络安全市场重应用、轻技术的传统格局亟待重塑,使市场转变为技术驱动的市场。“关键核心技术实现重大突破,进入创新型国家前列”。落实“十四五”网络安全产业发展要求,我认为两个“既要,又要”至关重要。 s
智慧微笑:科来的创始人是国内最早研究网络流量分析技术的专业人士。当时流行的国外软件功能强大,但操作非常复杂,使用的界面也不符合中国人的习惯。2001年,我们决定为中国人独立开发网络流量分析产品。在安全领域,科来通过与用户持续深入的沟通,认识到网络流量分析技术可以满足网络安全多方面的需求。传统的基于策略和基于特征的安全产品在面临“针对性攻击”时很难找到当时没有APT)。但是,通过网络流量分析,尤其是科来全协议识别分析的技术能力,效果非常显著。于是,科莱开始在安全方面投入专门的团队和资源做相应的研究,衍生出一套在思维上与传统信息安全完全不同的分析方法和平台。
唐珂重点研究的网络流量分析技术是底层的基础信息技术,在不同领域有着丰富的应用场景。与医学上的“验血”类似,作为检查健康的基本手段,它既能检测内脏虚弱,又能检测外部病毒感染。例如,“血液检测”的一个新应用场景是检测新冠肺炎疫苗是否通过血液在体内产生抗体。
网络流量分析技术是一项关键的基础技术,具有丰富的应用场景。在中国很多核心技术被“卡脖子”后,科来坚定了继续投入研发这项技术的决心。中国科技的未来不仅要有中国人的心,更要有中国人的骨血,这样才能支撑起祖国的崛起。
记者:从用户的角度来看,流量分析对他们最大的价值是什么?
Smart Smile :流量分析技术的价值体现在很多方面,比如在运维中保证业务的高效稳定运行,提升整体运维成熟度;另一方面,是成为一个企业。
业数据分析与运营的核心,提供业务规划的决策支撑依据等等。
在网络安全方面,科来利用流量分析技术为用户提供了从“上帝”视角审视全局的方式和方法,通过全方向全流量的回溯分析,能够做到安全监测无死角,让企业具备对安全风险的发现能力、分析能力、识别能力和处理能力,帮助用户整体提升网络安全门槛。
传统的安全防护手段,只能解决已知安全威胁,无法判断入侵程度,无法感知新型未知攻击手段。它亟需加入新鲜视角,要“以‘全流量’构建未知威胁预警与处置框架”。科来认为在技术层面具备“三全”、“三可”才可以称为网络“全流量”,即通过全流量保存、全协议解析、全行为建模实现对流量数据的可回溯、可追溯、可拦截。但仅仅拥有全流量还是不够的,还需要拥有网络全协议的解析与识别能力。网络协议如同网络中的语言,只有掌握了语言能力,才能充分的理解网络中的流量。科来经过18年的积累,已经拥有针对上万种网络协议及应用的识别与解码能力。
科来还有18年的实战经验,用来连接技术与用户。这种完善的落地经验输出,直接降低了用户试错成本,正如科来创始人聪慧的过客所说,“今天的网络对抗已经上升到战争的层次,实战经验越来越重要。以医学为例,学医过程非常艰苦,但学完之后还要不断积累临床经验,才能做一名合格的医生。这里的经验积累发挥了非常重要的作用,我们把这种能力叫做实战经验。”
记者:在各行各业都在进行数字化转型的今天,您认为企业面对的主要安全风险都有哪些?企业如何利用流量分析,来提升新形势下自身的网络安全防护能力?
精明的微笑:事实上,我们在服务用户的过程中,确实发现了非常多的、容易被忽略的风险,具体归结为以下四点:
1. 用户根本不知道自己是否被黑或被黑过
随着我国数字化建设的推进,网络安全形势更加严峻。针对国家基础设施、企业数据的破坏、窃取相关的网络攻击增加,攻击手法复杂多变,传统安防手段只能解决已知安全威胁,无法感知未知手段和方法,更无法判断攻击入侵程度。
2. 要避免检测类告警日志数据的误报和漏报,就不得不面对海量告警
频繁的告警导致运维人员的工作量急剧加大,传统安全防护方式无法在短时间内快速定位问题、解决问题,导致攻击波及范围扩大,造成更加严重的损失。无法及时判断告警的准确性、严重性及威胁事件的结果,就无法及时采取相应的处置措施。
3. 无法溯源攻击,网络攻防场景中防守方处于被动
在网络攻防视角中,进攻方会占据较多的主动性,而防守方则略显被动,永远不知道攻击会在何时发生。而当攻击发生后,防守方无法迅速梳理攻击路径,溯源攻击过程,有可能造成更大的损失,一溃千里。
4. 发现网络攻击后取证困难、责任无法界定
当前针对性的高级攻击如0-Day攻击、APT攻击等)越来越频繁,传统安全防御设备无法识别,安全防御容易被绕过。当攻击出现时、攻击解决时、甚至攻击消失后,如何对攻击进行判断、进行取证,进一步分析存在何种网络漏洞、系统漏洞还是人为漏洞,是客户急需了解的,也是以后完善安全防御的重要策略依据。
在以往的信息化进程中,企业的网络安全防御基本是被动的,重点在边界防御上。但近年来,随着《网络安全法》《关键信息基础设施安全保护条例》《等级保护2.0》《密码法》等法律法规的出台,对企业的网络安全防御也提出了更高的要求。企业改变被动防御,进行主动防护的需求越来越迫切。
科来认为,安全防御的能力取决于安全感知能力,安全感知能力的重点在于对未知安全威胁的感知能力,在流量侧,这种能力体现在协议理解上。
科来拥有针对上万种网络协议及应用的识别、解码的经验与能力,这让协议漏洞利用的网络攻击在科来面前无所遁形,能够更敏锐更迅捷的感知威胁存在。科来在全量数据的采集与保存的基础上,实现了全行为建模与分析、全流量回溯,能够在网络攻防对抗中发现更多未知威胁。更重要的是,科来的协议解析技术在做到精准解析的同时,全面广泛地覆盖各类协议,“全面而精准”的协议分析能力帮助用户透析更多网络流量内容,看得清、看得透、看得全,这也正是科来的协议解析技术的本质所在。
为此,科来推出网络安全解决方案,基于科来全协议分析技术,旁路采集、分析和存储所有网络流量,通过威胁情报系统检测已知威胁,通过回溯分析数据包特征、异常网络行为,发现潜伏已久的高级未知攻击。科来网络安全解决方案具备多维的数据分析及深度挖掘能力,能够实现数据包级的追踪取证,为用户提供“检测”和“响应”的能力,通过安全分析最终帮助用户提升安全防御水平,建立自适应网络安全架构。
记者:当前网络安全领域新技术概念层出不穷,从长期来看,您如何看待流量分析的发展方向,还会有哪些新场景新应用?对比国际,科来的流量分析有何优势?
精明的微笑:由于早些年,网络流量分析NTA)技术被GARTNER列入十大网络安全顶尖技术,各种NTA网络安全产品如雨后春笋般问世,但不“懂行”很难有发展。正如之前所说,网络流量分析技术是底层技术,可以衍生出更多上层应用与场景。
比如在安全方向,在不久前发布的《威胁检测与响应TDR)市场指南》报告中,全流量回溯技术分别在威胁检测场景和攻击行为分析场景中起到了核心作用。通过对资产的全面盘点实现对攻击暴露面的收敛;同时可以前置威胁情报,通过流量检测环节即可实现判定检测,提升告警的准确度,降低误报率,为接下来的响应溯源环节提供准确线索;在对历史流量日志进行回溯分析时,发现长期潜藏的未知高级威胁。
除了纵深应用外,横向跨行业的探索,也可以为行业网络安全发展贡献新思路。
工业互联网安全:对工业互联网络通信协议进行解码分析,可实现入侵检测与安全审计,发现和分析其脆弱性及安全漏洞,提高工业网络安全检测和事后取证追查能力,强化对工业互联网系统的安全态势感知与防御能力。
物联网安全:对物联网协议的识别与解码,能够帮助深入而系统地了解IoT网络,理解IoT网络中的数据流动。通过不断挖掘数据之间复杂联系的价值,让其成为企业重要的数据资产,实现对周边世界认知能力的革命性飞跃。
科来也在不断对内求变,积极推动技术在适合的领域、场景落地,并于2020年9月正式推出“科来工控大数据安全态势感知平台”,服务于我国关键基础设施网络安全与运维保障工作,实现了工控生产的全流量数据接入,全面覆盖我国工控领域。
对比国际厂商,科来在技术上的优势,实际上是一种价值观的优势、是国家政策正确引导的优势。中国已迈入创新型国家行列,引领全球率先开展新型基础设施建设。科来屹立于中国软件之林,在运维与安全领域不断创造出新高度,也不断被赋予新的使命、承担更多新的职能与责任,面临着新的挑战。十八年来,科来凭借在网络安全领域的技术优势,服务于国家关键行业领域、重大国家级活动的网络安保,贡献力量的同时也沉淀下了难得的实战经验,以实战倒逼技术革新、技术创新,再反哺产品,服务用户,构建了一套技术创新的闭环循环。这种国家、厂商、用户三方参与的技术创新模式是中国独有的,国际厂商无法模仿。
另外,科来人秉承“坚持、责任、进取”的价值观,坚信科技创造未来,切实为用户网络保驾护航,追求极致。正是这份始终不变的初心,使科来能够在顺境中扬帆,在逆境中无畏,在成为全球领先的网络流量分析企业之路上奋勇前行。
记者:网络安全已成为国家安全的重要组成部分,其中核心技术自主可控至关重要,请问科来在核心技术自主创新上有哪些举措?
精明的微笑:知识创新、技术创新已成为国与国之间竞争的核心,科来通过提升自主创新能力,掌握更多自主知识产权,为推动国家信息安全产业的持续发展提供支撑和服务。以“全协议分析技术+回溯分析技术”为核心,科来不断完善技术研发,持续进行产品打磨,着眼网络安全及运维新态势。向下深入聚焦协议分析,专注技术研发与产品打磨,为求索行业创新与变革夯实基础;向上则持续延伸对安全、运维领域的探寻,继续落实对每一位用户的责任与承诺,为用户业务稳固保驾护航,继续做国家网安坚实后盾。
科来始终视保卫国家信息安全为己任,多年来投入大量资源,持续在网络流量和协议分析领域进行技术研究并生产实践,保卫国家信息安全;而国家信息安全的建设和发展是一个全产业链长期行为,科来不断强化国产化厂商之间的联系,携手产业链各方,在市场、销售、服务等方面叠加能力、通力合作,为推进国家网络空间强国战略作出积极贡献。