微步在线薛锋:我眼中的威胁情报三年之变
2015 年 6 月,有着光鲜打工履历的薛锋正式创业,成立了主打安全威胁情报分析的微步在线。
此前,他历任亚马逊中国首席安全官,微软中国互联网安全战略总监,是 Blackhat 欧洲安全大会和微软蓝帽子大会 Bluehat 上首位来自中国的演讲者……
“大牛”创业,也吸引了不少来自亚马逊、阿里巴巴、微软、支付宝、京东、搜狗等公司的人才加入。
除此之外,微步在线在三年中也敲定了三笔融资,资方阵容中包括高瓴、北极光等知名投资机构,尤其是去年 9 月对外公布的 1.2 亿元 B 轮融资,如此规模的融资在当时国内安全初创企业中并不多见。
▲微步在线融资历程
可以说,无论是团队还是投资方,都可以算是安全初创公司中的“豪华阵容”了。
那么,在人才和资本的助力下,三年来薛锋在与黑产实力悬殊的对抗中,使出了哪些新的应对招式?对于做威胁情报的同行们,他看到了哪些改变?三年来微步自身又进行了哪些改变?
8月29日,在微步在线自己搭台的网络安全分析与情报大会间隙,薛锋跟包括宅客频道在内的媒体聊了创业三年来他对威胁情报市场发展的看法。
面对强大的敌人,我们正在进行的改变
在去年的“网络安全分析与情报大会”上,薛锋曾经分享了与黑产在攻防力量上的不对称现状,宅客频道对这种敌众我寡、敌暗我明的态势也进行过报道。
1.敌在暗,我在明。
攻击者在发动攻击之前,已经将攻击对象的情况摸了个底朝天,虽然防卫系统警报已经拉响,但应急响应再快,从知道到正确处置,这段时间差依然可以“发生很多事儿”。
2.黑产更舍得花钱。
与安全的投入只是止损相比,坏人买一个工具就可以抢银行,投入产出比很高,愿意投入。
3.人数和时间不对等。
一个企业的安全团队人数有限,但却要面对手拿重型武器、跨区域合作的众多黑客团体7×24小时的攻击。
4.没有把现有的安全防护工具进行最优利用。
不管边界围得多好,敌人一定会进来。所以,边界已经不是企业的问题,敌人进来之后如果没有更多的部署(比如,探针),很多工作根本没法开展。
这就像你家总是遭到小偷的偷窃,但是你只能通过上锁来被动防御,那个人长什么样,有哪些特征,拿什么工具来撬的锁统统不知道,你没法通过这些信息来锁定坏人,更没法子针对他的套路来进行有效的应对。
不过这两年,随着大数据和云计算的发展,这种状态出现了转机。
薛锋告诉宅客频道,虽然黑产依旧强大,但有了大数据和云计算这些技术后,整体上安全威胁情报的发展还是在往容易的方向走,“当你有了监控、探针和数据后,很多东西就记下来了。”这种敌暗我明的状况,正在悄然改变。
换句话说,也许小偷下次再来你家,依旧偷走了东西,但是这次他被监控拍到了,他的很多特征被记录下来后,这些数据可以拿去做关联分析,这个人还犯过什么事,惯用的伎俩有哪些?针对这些伎俩采取什么样的方式来防御会更有效?通过什么方式能追溯到他?安全人员会根据搜集来的数据来研究这些。
“他们最害怕的就是关联分析,比如做黑产为了抹掉痕迹会换一个手机号,但如果不换手机的话它的 IMEI 我们依旧能识别。”现在,在攻防中安全人员可以大量采集流量和日志等内容做分析,这一点坏人是没办法干涉的,就好像我街上装了那么多摄像头,小偷没办法擦除这里面的信息,甚至他虽然没有干坏事,只是经过了一条有监控的街道,这个图像也可以存储被用来分析,这是网络防御方第一次比攻方更有利。
不过,薛锋也坦言,目前攻防双方的力量依然不对称,黑产一年造成的损失是几千亿甚至上万亿美金,但安全市场总体而言大概只有千分之一于他们的收益,这就是真实的现状。
同行们有哪些改变
在全球最为成熟的北美市场,没有使用威胁情报,也没有计划使用威胁情报的受访者比例只有11%,比去年的15%进一步降低。
在采访中,薛锋引用了SANS在今年针对北美市场所做的网络威胁情报调研中的结论:与之前大多是专业的情报公司在做不同,现在大多数安全公司都非常注重对威胁情报的分析和运用。
他透露,在美国大的IT公司当中,几乎每个公司都在做威胁情报,SANS 评选的美国过去几年最佳的威胁情报公司,都不是大家印象中的情报公司。
“比如 FireEye、CrowdStrike 都不是传统的情报公司,但这些都是被评选出来的最佳情报公司。”这说明,业内大家都在用情报作为一种驱动力改变现有的产品,这是一个大的趋势,而不光是微步在线这样的情报公司在做。
这也正是薛锋希望看到的:当有了越来越多的伙伴加入威胁情报的研究,就意味着可以对现有的安全产业进行联动,防守方联合起来就会有更强大的战斗力。
那这样会对微步在线构成竞争压力吗?
对于这个问题,薛锋回应,微步在线不是直接卖情报的厂商,卖的是流量分析产品、邮件等场景和产品,但安全产品背后的技术、理念是截然不同的,这不仅是产品上的差异,更是背后对技术和安全理解的差异。
相比竞争,目前还是合作的厂商更多一些。“情报在这当中是联动、驱动很多方面的组件,我们和绝大部分厂商都是合作关系,包括防火墙、SIEM和终端也都是合作关系。”薛锋透露,目前国内在威胁情报共享方面也在进行努力,比如中国互联网协会就成立了一个威胁治理联盟,联盟当中有几百家企业,前一段时间刚刚成立了威胁情报共享工作组,目前正在开展共享工作。
“以前坏人进步比较快,安全研究人员进步比较慢,是因为过去没有情报共享和交换,更多的是单打独斗,现在我们有很多共同的客户,客户也会进行驱动,希望这些信息和情报在企业和行业内部流转,工作组主要的目的就是开展这种信息共享。”薛锋说。
微步有哪些改变
在2015年创业伊始,薛锋看好的是威胁情报的发展前景,更多的是看“这个事情重不重要、对不对、有没有价值、大家的需求大不大。”
但究竟能落地到哪些具体的场景?到底要做什么产品?是硬件还是软件?是SaaS还是API?这在当时都没想清楚,创业的三年更多是实战和落地的过程。
三年中,很多人认识微步在线是从下面这个搜索界面开始的, 一个名为 x.threatbook.cn 的情报社区。
去年底宅客频道采访薛锋时,这个社区有几万注册用户,日活在几千人左右,每天新情报的贡献量保持在20万~30万条,而目前最新的数字是,每天能收到30万到50万条威胁信息。
以这些威胁信息为原料,会做成两道菜,一是把坏人标记出来,到底有哪些IP在不停地干坏事,大家看要不要把这个IP加入黑名单。二是对这些信息进行再加工,尽可能的了解这次威胁事件的全貌。
虽然微步在线并未凭社区赚到钱,但圈内人都通过社区了解到了微步。
除了情报社区,从去年开始,他们开始考虑如何让产品落地。推出了TDP、TIP 两套系统,一套能对企业内部流量进行分析,并且结合外部搜集到的其他威胁情报,来综合判断威胁;另外一套则是帮助企业高效地管理威胁情报。
这解决了客户的两个疑问:到底谁在搞我?怎么搞的我?
凭借这两套系统,他们拿下了国内金融、互联网、能源等行业的众多标杆客户。
在大会现场,薛锋也坦言,作为一家只成立3年的公司,产品肯定有不足的地方,他很感谢合作伙伴给了他们信任和试炼的机会,得以让产品不断完善。
从最早的搜索界面到 API,再到现在的软硬件产品,他们一直在根据用户的需求不断的摸索产品形态,而未来,也将出现更多形态的产品。
目前,他们推出一款云沙箱(s.threatbook.cn),特殊之处就是最终输出的不仅是这个样本在机器上的行为,更多的会基于基础的东西来做更多的关联分析,最后用于真实网络环境的检测。
除此之外,他们一直也在做有关威胁情报的报告,会针对国内外的黑客团伙进行追踪和发现,在提供威胁监测服务的同时,也会提供应急预案。现在摆在企业的面前的,最缺的是信息安全人才,急需能够处置不同的事件,包括对高复杂Case进行分析的人。而微步和他们提供的产品就是为了解决这个问题,提升安全运营效率,将复杂问题简单化。
---