安全狗的云安全服務(wù)平臺(tái)目前已經(jīng)保護(hù)超過(guò)百萬(wàn)臺(tái)的(云)服務(wù)器,日均攔截超過(guò)千萬(wàn)次攻擊。其SaaS服務(wù)平臺(tái)(服云)也已經(jīng)對(duì)接了超過(guò)5家云計(jì)算平臺(tái)的API。未來(lái)用戶可通過(guò)該平臺(tái)實(shí)現(xiàn)在云計(jì)算環(huán)境下更多的安全運(yùn)維場(chǎng)景。
在安全領(lǐng)域創(chuàng)業(yè)的門檻相對(duì)較高,不但需要?jiǎng)?chuàng)始人擁有很高的安全技術(shù)背景,更重要的是需要對(duì)安全領(lǐng)域的形勢(shì)有很好的掌控。安全狗創(chuàng)始人陳奮便是如此,他做過(guò)一家著名安全公司的研發(fā)總監(jiān),他的團(tuán)隊(duì)也是自一家上市公司孵化而來(lái)。目前,安全狗云安全服務(wù)平臺(tái)已經(jīng)保護(hù)超過(guò)百萬(wàn)臺(tái)的(云)服務(wù)器,日均為用戶攔截超過(guò)千萬(wàn)次的攻擊。同時(shí),安全狗也積極參與到國(guó)內(nèi)云計(jì)算安全生態(tài)的建設(shè),目前已經(jīng)跟阿里云、騰訊云、天翼云、華為云、亞馬遜AWS等云計(jì)算平臺(tái)建立合作伙伴關(guān)系。
云計(jì)算時(shí)代,各種安全和隱私問(wèn)題層出不窮,各種安全漏洞或者用戶信息泄露的事件也幾乎每隔一段時(shí)間就會(huì)見(jiàn)諸于報(bào)端,而用戶也是在發(fā)現(xiàn)自己的隱私被侵犯之后才后知后覺(jué),顯然已經(jīng)晚矣。而安全狗正是從防御體系中的最后一道防線信息系統(tǒng)后端的服務(wù)器安全開(kāi)始切入,并將傳統(tǒng)的單點(diǎn)端防御演化為云+端的整體防御體系,再通過(guò)大數(shù)據(jù)技術(shù)和前端的安全防護(hù)相結(jié)合,從而將黑客的攻擊行為秒殺。
安全狗的SaaS服務(wù)包括了云+端的云安全管理平臺(tái)(服云)為用戶解決公有云、私有云、混合云以及傳統(tǒng)環(huán)境中可能遇到的安全及管理問(wèn)題。安全狗云安全服務(wù)平臺(tái)目前已經(jīng)保護(hù)超過(guò)百萬(wàn)臺(tái)的(云)服務(wù)器,日均為用戶攔截超過(guò)千萬(wàn)次的攻擊。本期“SaaS先鋒”欄目為你帶來(lái)安全領(lǐng)域的SaaS先鋒——安全狗。
記者問(wèn):安全穩(wěn)定一直備受關(guān)注,安全狗在云計(jì)算時(shí)代定位是什么?
陳奮:安全狗的安全方案切入點(diǎn)就是信息系統(tǒng)后端的服務(wù)器安全,可以認(rèn)為是防御體系中的最后一道防線。隨著這兩年國(guó)內(nèi)云計(jì)算的快速發(fā)展,越來(lái)越多用戶把服務(wù)器遷往云端,因此云計(jì)算安全就成為安全狗必然的戰(zhàn)場(chǎng)。安全狗的防御體系也從單點(diǎn)的端防御演化為云+端的整體防御體系,通過(guò)云端的大數(shù)據(jù)分析和前端的安全防護(hù)相結(jié)合,能更快的感知黑客對(duì)系統(tǒng)的入侵行為。
從亞馬遜AWS發(fā)展來(lái)看,云計(jì)算是一個(gè)開(kāi)放的生態(tài)(可以類比為一個(gè)大的操作系統(tǒng)),在這個(gè)生態(tài)下有很多第三方應(yīng)用來(lái)為用戶服務(wù),安全應(yīng)用是其中的一個(gè)大類;目前AWS上安全類應(yīng)用已經(jīng)達(dá)到200款。國(guó)內(nèi)的幾個(gè)大的云計(jì)算廠商也開(kāi)始在參考AWS的生態(tài)體系建立自己的應(yīng)用市場(chǎng),目前做的較好的是阿里云的應(yīng)用市場(chǎng)。
因此安全狗希望能夠積極參與到國(guó)內(nèi)云計(jì)算安全生態(tài)體系的建設(shè)中去,并通過(guò)自己微小的力量推動(dòng)國(guó)內(nèi)云計(jì)算安全生態(tài)體系的發(fā)展。目前安全狗已經(jīng)跟阿里云、騰訊云、華為云、天翼云、AWS等云計(jì)算產(chǎn)商建立了密切的合作關(guān)系,安全狗相關(guān)產(chǎn)品也上架到相應(yīng)的應(yīng)用市場(chǎng)中,同時(shí)安全狗的SaaS服務(wù)平臺(tái)(服云)也已經(jīng)對(duì)接了超過(guò)5家云計(jì)算平臺(tái)的API。未來(lái)用戶可通過(guò)安全狗的SaaS服務(wù)平臺(tái)實(shí)現(xiàn)在云計(jì)算環(huán)境下更多的安全運(yùn)維場(chǎng)景。
記者問(wèn):安全領(lǐng)域創(chuàng)業(yè)的門檻很高,你們?yōu)槭裁磿?huì)選擇從安全領(lǐng)域開(kāi)始創(chuàng)業(yè)?
陳奮:確實(shí)這幾年國(guó)內(nèi)創(chuàng)業(yè)氛圍如火如荼,但是安全領(lǐng)域的創(chuàng)業(yè)公司屈指可數(shù),我認(rèn)為這個(gè)是因?yàn)榘踩I(lǐng)域創(chuàng)業(yè)首先需要有相關(guān)背景的技術(shù)團(tuán)隊(duì),另外國(guó)內(nèi)安全市場(chǎng)還不夠成熟(跟國(guó)外相比);當(dāng)然這個(gè)也是機(jī)會(huì)所在。我們團(tuán)隊(duì)能夠選擇這個(gè)領(lǐng)域創(chuàng)業(yè)首先應(yīng)該跟我們團(tuán)隊(duì)的背景有關(guān),我們整個(gè)技術(shù)團(tuán)隊(duì)原來(lái)都是從國(guó)內(nèi)一家著名的安全上市公司孵化出來(lái)的,我本人之前也是在這家公司擔(dān)任研發(fā)總監(jiān)的職位,因此自然而然的會(huì)選擇安全領(lǐng)域。另外也跟國(guó)內(nèi)的互聯(lián)網(wǎng)服務(wù)器安全現(xiàn)狀有關(guān),當(dāng)時(shí)發(fā)現(xiàn)互聯(lián)網(wǎng)服務(wù)器安全問(wèn)題非常嚴(yán)重,大部分互聯(lián)網(wǎng)服務(wù)器都存在著各種安全隱患,而且被黑的不在少數(shù)但用戶還一無(wú)所知;就算今天這些問(wèn)題依然層出不窮,因?yàn)槊扛粢欢螘r(shí)間都會(huì)爆發(fā)一些新的漏洞,就會(huì)帶來(lái)新的安全問(wèn)題。
記者問(wèn):安全狗在兼容主流云平臺(tái)方面,遇到哪些挑戰(zhàn)?
陳奮:安全狗目前跟這些云計(jì)算平臺(tái)合作主要是解決用戶使用云主機(jī)時(shí)遇到的安全問(wèn)題,包括系統(tǒng)和應(yīng)用層面,如系統(tǒng)被黑被入侵,應(yīng)用數(shù)據(jù)泄露等問(wèn)題;因此并不存在太大的兼容問(wèn)題,安全狗產(chǎn)品在這些云計(jì)算平臺(tái)上都可以順利運(yùn)行。當(dāng)然我們也需要配合產(chǎn)商做些安全性和規(guī)范性上的修改;另外我們?cè)谥谱靼踩钒踩R像時(shí)也做了非常多的工作,融合了我們安全團(tuán)隊(duì)多年的經(jīng)驗(yàn),對(duì)鏡像系統(tǒng)做了12道的標(biāo)準(zhǔn)化安全加固工序,解決用戶在系統(tǒng)初始化時(shí)候的一系列安全工作。
安全狗服云平臺(tái)在對(duì)接各大云計(jì)算平臺(tái)的API接口這方面做了不少兼容性的工作,各家API接口雖然基本都采用Restful API接口風(fēng)格,但并沒(méi)有統(tǒng)一的標(biāo)準(zhǔn);因此這塊我們做了不少兼容性的開(kāi)發(fā)工作,未來(lái)也可能會(huì)考慮把這塊功能進(jìn)行開(kāi)源,讓更多的第三方平臺(tái)可以借鑒。
同時(shí)我們?cè)谔摂M化底層安全和VPC(虛擬私有云)接入安全也做了很多技術(shù)儲(chǔ)備,后續(xù)國(guó)內(nèi)云計(jì)算平臺(tái)底層接口逐步商業(yè)化后,我們都會(huì)進(jìn)行開(kāi)發(fā)接入,為用戶提供更多的方案選擇。
記者問(wèn):安全狗服云平臺(tái)是你們基于云+端的模式打造的,目前肯定積累了大量數(shù)據(jù),你們對(duì)這些數(shù)據(jù)時(shí)如何處理的?對(duì)日后的安全防護(hù)有哪些作用?
陳奮:我們一開(kāi)始就是以公有SaaS云服務(wù)模式來(lái)打造的,所以在技術(shù)架構(gòu)上非常重視數(shù)據(jù)分析處理、存儲(chǔ)和未來(lái)的擴(kuò)展。針對(duì)攻擊行為,我們除了系統(tǒng)本地有行為規(guī)則引擎進(jìn)行識(shí)別和攔截外,還會(huì)將這些行為(包括可疑的行為)同步到云端進(jìn)行分析和處理(基于Storm流處理引擎的快速分析);當(dāng)發(fā)現(xiàn)為高級(jí)別的攻擊威脅,我們會(huì)第一時(shí)間短信郵件通知用戶進(jìn)行關(guān)注。
我們目前積累了大量的攻擊行為數(shù)據(jù),目前我們?nèi)站幚淼墓魯?shù)據(jù)超過(guò)2000萬(wàn)條;這些數(shù)據(jù)在我們存儲(chǔ)上會(huì)描述為攻擊類型、攻擊時(shí)間、攻擊者IP、攻擊特征等信息。通過(guò)對(duì)這些信息的分析挖掘,我們會(huì)得出常見(jiàn)類型攻擊的IP黑名單庫(kù)、攻擊的時(shí)間分布等重要信息,并會(huì)將這些信息從云端分享給所有的終端,提升終端第一時(shí)間的防護(hù)能力和分析效率。
記者問(wèn):你們?cè)诤A繑?shù)據(jù)分析方面有什么經(jīng)驗(yàn)可以分享給大家嗎?
陳奮:這個(gè)在去年云計(jì)算大會(huì)之前接受你們采訪的那篇文章中我有提到我們目前使用的技術(shù),我們應(yīng)該算是國(guó)內(nèi)較早使用hadoop+storm+solr來(lái)進(jìn)行數(shù)據(jù)處理和分析的安全團(tuán)隊(duì)。安全數(shù)據(jù)相比互聯(lián)網(wǎng)公司的數(shù)據(jù)規(guī)模還算是比較小,我們目前用了大約50臺(tái)的機(jī)器作為處理和存儲(chǔ)集群。但是安全數(shù)據(jù)在分析處理上有自己特點(diǎn):
實(shí)時(shí)性上的要求。在眾多的攻擊行為和常規(guī)行為日志中,要第一時(shí)間判斷系統(tǒng)是否有被入侵的風(fēng)險(xiǎn)并通知用戶。我們采用Storm來(lái)處理日志數(shù)據(jù),并結(jié)合分布式緩存來(lái)最快速的處理這些數(shù)據(jù)并輸出結(jié)果。
準(zhǔn)確性的要求。一臺(tái)對(duì)外提供服務(wù)運(yùn)營(yíng)的服務(wù)器平均一天大約會(huì)受到1到2萬(wàn)次的攻擊,而這些攻擊中大部分是屬于探測(cè)性攻擊(攻擊者測(cè)試系統(tǒng)是否存在可利用的漏洞),只有少部分屬于入侵式攻擊(攻擊者可能掌握了一定的系統(tǒng)權(quán)限)。我們需要利用規(guī)則模型準(zhǔn)確的從這些數(shù)據(jù)中分析出不同類型的攻擊并進(jìn)行標(biāo)記,以提升我們的準(zhǔn)確性。
多維度的離線分析。我們會(huì)定期對(duì)這些數(shù)據(jù)從攻擊類型、攻擊IP、地理位置、時(shí)間等多個(gè)維度進(jìn)行統(tǒng)計(jì)分析,并將這些統(tǒng)計(jì)結(jié)果轉(zhuǎn)換成知識(shí)庫(kù)和規(guī)則庫(kù)以便后續(xù)使用(減少后續(xù)的實(shí)時(shí)統(tǒng)計(jì))。
記者問(wèn):目前用戶的規(guī)模如何,用戶關(guān)注的問(wèn)題主要集中在哪些方面,你們?nèi)绾螒?yīng)對(duì)?
陳奮:目前我們保護(hù)的互聯(lián)網(wǎng)服務(wù)器(包括云服務(wù)器)規(guī)模已經(jīng)超過(guò)百萬(wàn)臺(tái),用戶涵蓋了電商、游戲、APP應(yīng)用、互聯(lián)網(wǎng)金融、政企單位、中小企業(yè)以及大量的中小站長(zhǎng)用戶。不同類型的用戶會(huì)有不一樣的安全關(guān)注點(diǎn),以下幾類的問(wèn)題是大部分用戶會(huì)遇到的:
受到攻擊會(huì)不會(huì)導(dǎo)致系統(tǒng)被入侵。一般用戶都會(huì)遇到各種不同類型的攻擊,就會(huì)擔(dān)心是否存在被入侵的風(fēng)險(xiǎn);我們通過(guò)攻擊類型的劃分和評(píng)級(jí)來(lái)告訴用戶可能存在的風(fēng)險(xiǎn)以及應(yīng)對(duì)措施。
系統(tǒng)環(huán)境和應(yīng)用環(huán)境的安全性問(wèn)題。一般企業(yè)的技術(shù)人員或者運(yùn)維人員對(duì)應(yīng)系統(tǒng)和應(yīng)用環(huán)境的安全性缺乏相應(yīng)的專業(yè)知識(shí),我們通過(guò)自動(dòng)化的系統(tǒng)安全和應(yīng)用安全風(fēng)險(xiǎn)識(shí)別和加固幫助用戶解決這類問(wèn)題。
DDOS攻擊和CC攻擊問(wèn)題。對(duì)于運(yùn)營(yíng)類的網(wǎng)站服務(wù)器比較關(guān)注DDOS攻擊和CC攻擊問(wèn)題,這個(gè)直接影響到業(yè)務(wù)的穩(wěn)定運(yùn)行。安全狗作為軟件型防火墻可以解決中小流量的攻擊,對(duì)于大流量攻擊我們采用跟其他云產(chǎn)商合作模式,當(dāng)用戶遭受到較大流量攻擊時(shí)候幫用戶把異常流量遷移到第三方云產(chǎn)商清洗中心進(jìn)行過(guò)濾。
記者問(wèn):能否對(duì)未來(lái)的安全形勢(shì)做下預(yù)測(cè)?眼下DDos攻擊非常猖獗,未來(lái)的安全軟件會(huì)呈現(xiàn)哪些特征?
陳奮:從2014年的互聯(lián)網(wǎng)服務(wù)器安全、網(wǎng)站安全攻防來(lái)看,針對(duì)服務(wù)器和網(wǎng)站攻擊、漏洞的利用愈來(lái)愈多。很多的漏洞被發(fā)現(xiàn),其中包括埋藏在系統(tǒng)中多年未被發(fā)現(xiàn)的漏洞,影響面非常廣泛。據(jù)此可以預(yù)見(jiàn)2015年安全問(wèn)題依然十分嚴(yán)峻,并且會(huì)有一些新的情況出現(xiàn)。
1. 針對(duì)操作系統(tǒng)和應(yīng)用系統(tǒng)的漏洞攻擊依然是攻擊的主要手段,并且可能會(huì)繼續(xù)發(fā)現(xiàn)隱藏多年的漏洞 2014年連續(xù)爆發(fā)了幾個(gè)隱藏多年的操作系統(tǒng)和通用性組件的漏洞(如Openssl心血漏洞、shell shock破殼漏洞),這方面的安全問(wèn)題將會(huì)持續(xù)受到關(guān)注;因此2015年這方面的安全漏洞將可能會(huì)繼續(xù)出現(xiàn),需要我們及時(shí)響應(yīng)這方面的漏洞情況,并及時(shí)升級(jí)補(bǔ)丁。
2. 網(wǎng)站類應(yīng)用系統(tǒng)的安全問(wèn)題仍然十分嚴(yán)峻網(wǎng)站類應(yīng)用系統(tǒng)已經(jīng)從傳統(tǒng)的網(wǎng)站形式擴(kuò)展到了手機(jī)本地APP應(yīng)用、WEB APP應(yīng)用等,這些應(yīng)用從本質(zhì)上看都還是利用HTTP協(xié)議;因此針對(duì)網(wǎng)站的攻擊手段在這些新的應(yīng)用形式上仍然適用,在2015年這方面的安全問(wèn)題仍然十分嚴(yán)峻,需要廣大用戶做好防范并能在開(kāi)發(fā)階段杜絕這方面的安全問(wèn)題。
3. 應(yīng)用系統(tǒng)的配置風(fēng)險(xiǎn)漏洞將會(huì)被大面積利用從2014年用戶服務(wù)器安全來(lái)看,應(yīng)用系統(tǒng)的配置風(fēng)險(xiǎn)是眾多用戶不太重視的問(wèn)題;另外隨著新的應(yīng)用系統(tǒng)類型不斷增加并被應(yīng)用到生產(chǎn)環(huán)境中,2015年這方面的安全漏洞將會(huì)被大面積利用;這里面除了傳統(tǒng)的數(shù)據(jù)庫(kù)應(yīng)用,WEB容器、開(kāi)源監(jiān)控系統(tǒng)(如Zabbix),MongoDb、Redis、Hadoop等新型應(yīng)用配置風(fēng)險(xiǎn)漏洞也將成為黑客利用的目標(biāo)。
4. DDOS流量攻擊事件會(huì)繼續(xù)增加,攻擊峰值將再攀高峰可以預(yù)見(jiàn)2015年的DDOS攻擊流量峰值將可能超過(guò)500G或者更高的規(guī)模,對(duì)用戶系統(tǒng)的穩(wěn)定運(yùn)行帶來(lái)了巨大的威脅。
5. 針對(duì)云服務(wù)器的攻擊事件將會(huì)越來(lái)越頻繁隨著越來(lái)越多的應(yīng)用系統(tǒng)遷移到云計(jì)算環(huán)境,針對(duì)云服務(wù)器的攻擊將會(huì)更加頻繁;另外攻擊者也會(huì)繼續(xù)尋找新的攻擊方式,以達(dá)到控制更多優(yōu)質(zhì)云服務(wù)器的目的。
記者問(wèn):安全狗下一步的打算方便透露嗎?
陳奮:我們還是會(huì)繼續(xù)堅(jiān)持打造好我們這個(gè)云+端的安全SaaS平臺(tái),同時(shí)我們還會(huì)繼續(xù)跟更多的云計(jì)算產(chǎn)商合作,解決用戶在云環(huán)境下的安全運(yùn)維問(wèn)題,讓用戶更好的遷移