青藤云安全創(chuàng)始人&CEO

? ? 一、由外及內(nèi) 安全走向精細(xì)化

安全牛：自適應(yīng)安全的概念是你們首先在國內(nèi)提倡的，前幾年我只是大概了解青藤的產(chǎn)品，很少在市場上聽到你們的聲音，現(xiàn)在是否能談?wù)勀愕募夹g(shù)理念和對安全的看法？

張福：之前的確市場上很少發(fā)聲，因?yàn)檫@幾年集中了所有的資源和人，主要心思在打磨產(chǎn)品上。如今已經(jīng)積累了不少的客戶，反饋也普遍很好。倒是可以靜下心來聊一聊了。

談到看法，首先我認(rèn)為，目前的很多安全品類在未來會慢慢消失或者淡化，最主要的原因是保護(hù)對象產(chǎn)生了變化。國外這幾年一直在講去硬件化，其本質(zhì)反映的是一種敏捷的理念。因?yàn)楫a(chǎn)業(yè)互聯(lián)網(wǎng)化，業(yè)務(wù)數(shù)字化之后，在云環(huán)境下講的是DevSecOps（敏捷開發(fā)與運(yùn)維），因此安全也要相應(yīng)變得更加敏捷和高效。

再者，全球安全的大趨勢，是從邊界往內(nèi)部走的。比如，最近幾年很火的微隔離。從服務(wù)器到虛擬機(jī)再到容器，甚至是業(yè)務(wù)單元。安全變得更加精細(xì)，效果也變得更好。再比如，谷歌提出的零信任網(wǎng)絡(luò)，本質(zhì)上也是一種細(xì)粒度的安全。不再以網(wǎng)絡(luò)區(qū)域劃分，而是細(xì)化到以實(shí)體為單位劃分。一個(gè)人在一家公司能訪問哪些資源，能有哪些權(quán)限，不管是從他是從哪里來的，安全體系認(rèn)證的是實(shí)體，而不是籠統(tǒng)地把辦公網(wǎng)和業(yè)務(wù)網(wǎng)一分，互聯(lián)網(wǎng)和本地網(wǎng)簡單的隔離開。所以，未來安全的核心位置會從網(wǎng)絡(luò)挪到服務(wù)器，云化后就是虛擬機(jī)、容器、工作負(fù)載或業(yè)務(wù)單元。

【引用】“安全一要軟件化，二要平臺化?？蛻糇钕Ｍ少彽牟皇前踩a(chǎn)品，而是安全能力?！?/p>

各行各業(yè)都在數(shù)字化，因?yàn)闃I(yè)務(wù)運(yùn)轉(zhuǎn)效率是核心競爭力。比如銀行，以前更多拼網(wǎng)點(diǎn)，現(xiàn)在拼誰的數(shù)據(jù)更完整，誰基于數(shù)據(jù)的算法更好，數(shù)據(jù)+算法形成新的生產(chǎn)力。這些數(shù)字化的資產(chǎn)，核心的業(yè)務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)，才是最重要的保護(hù)對象。

所以在國內(nèi)不論是做SOC還是做態(tài)勢感知的廠商，誰跟我們公司合作，他們的產(chǎn)品就會成為國內(nèi)最好的產(chǎn)品，因?yàn)檫@些網(wǎng)絡(luò)安全的產(chǎn)品，不管是抗D、WAF，還是防火墻、IDS/IPS，大家的能力都差不多。但我們能夠提供核心的識別能力，則是網(wǎng)絡(luò)安全（編者注：指Network Security）廠商所不具備的，兩者一旦融合之后效果一定會出類拔萃。比如，Palo Alto這個(gè)防火墻廠商的都要做Agent，思科也不例外。沒有Agent，安全能力就會落后別人一個(gè)層次，因此一定是未來的主流，這應(yīng)該已是業(yè)內(nèi)的共識。

? ? 二、Agent的優(yōu)勢：敏捷、高效

安全牛：這就又回到技術(shù)上來了，我們知道你們要在服務(wù)器上或虛擬機(jī)上裝Agent，因此資產(chǎn)盤點(diǎn)會非常方便，尤其是在服務(wù)器非常多的場景。能否進(jìn)一步講述一下Agent在資產(chǎn)方面的優(yōu)勢所在？

張福：舉例來說吧，假設(shè)某用戶有一萬臺機(jī)器，上面跑了哪些應(yīng)用系統(tǒng)，這些系統(tǒng)是什么樣的版本，有沒有漏洞，有沒有引用第三方代碼，配置管理又可能存在什么樣的問題，等等這些信息資產(chǎn)的清點(diǎn)是最痛苦的事。人工填報(bào)，程序排查，掃描器掃，不僅費(fèi)時(shí)費(fèi)力，效果也不會很好。但上了Agent之后，整個(gè)過程可以完全自動化，反向生成信息資產(chǎn)庫，再也不需要依靠傳統(tǒng)的靠人做配置管理的CMDB（配置管理數(shù)據(jù)庫），無論云主機(jī)、云應(yīng)用再怎么彈性擴(kuò)張縮減，都可以做到自動梳理、一清二楚。

安全牛：除了資產(chǎn)的自動化管理，風(fēng)險(xiǎn)發(fā)現(xiàn)更是安全產(chǎn)品的重中之重，相比于傳統(tǒng)的漏洞掃描，Agent的優(yōu)勢又有哪些？

張福：傳統(tǒng)的掃描器最大的問題就是誤報(bào)，因?yàn)閽呙杵饕蕾噿呙鑒anner進(jìn)行版本的比對。很多情況下，已經(jīng)打補(bǔ)丁的系統(tǒng)Banner的版本號是不變的。還有一些更復(fù)雜的問題，如開源軟件，在被各發(fā)行廠商修改發(fā)布后，各種版本紛繁復(fù)雜，因此根據(jù)版本判斷漏洞誤差太大了。

安全牛：較新的掃描器已經(jīng)集成了POC（漏洞驗(yàn)證）和EXP（漏洞利用）來減少誤報(bào)。

張福：是的，但很多漏洞是POC不了的，即使國內(nèi)最好的漏掃， POC的數(shù)量也就幾千個(gè)，與漏洞數(shù)量不成比例。而且POC有風(fēng)險(xiǎn)，EXP就更加危險(xiǎn)了。如果裝上Agent之后，不管是什么系統(tǒng)、版本，還是補(bǔ)丁、配置，判斷就準(zhǔn)確很多。另外，與資產(chǎn)清點(diǎn)同理，范圍越大優(yōu)勢越明顯。當(dāng)機(jī)器到上萬量級，用掃描器一遍一遍的掃，先不說占用多大資源，只是掃完這些資產(chǎn)，會花多少時(shí)間？而利用Agent分析十臺服務(wù)器和分析一萬臺服務(wù)器耗的時(shí)間沒什么差別，幾分鐘即可，即敏捷又高效。

還有一種情況，某些種類的漏洞掃描器很難掃描出來，比如ImageMatch漏洞，上傳圖片服務(wù)器就會執(zhí)行代碼。這樣的漏洞掃描器是根本掃不到的，只能檢查是否安裝了這個(gè)軟件包，然后敲個(gè)命令看看能不能執(zhí)行，這種驗(yàn)證操作非常粗糙，有時(shí)也不可靠。

? ? 三、基于攻防為主的安全理念已經(jīng)落后

安全牛：之前聽你談過，有些想法可能與傳統(tǒng)的攻防思路不一樣。其實(shí)業(yè)內(nèi)許多資深人士也已經(jīng)認(rèn)識到，沒有攻不破的系統(tǒng)，未來的趨勢是注重檢測、分析與響應(yīng)，從基于規(guī)則走向基于行為。你是怎么看的呢？

張福：是的。以前主流的安全理念特別強(qiáng)調(diào)防御和控制，強(qiáng)調(diào)對攻擊方或黑客的認(rèn)知。典型的說法就是“不知攻，焉知防”，比如最典型的IPS、WAF，其識別和攔截能力取決于對黑客的認(rèn)知。但這種方法并不靠譜，任何一家公司不管是安全公司還是企業(yè)，對黑客的認(rèn)知永遠(yuǎn)是有限的、被動的，是去拿有限的規(guī)則和資源去對抗未知的無限的攻擊手段，在方法論上就已經(jīng)注定是落后的，被動的。

如何改變這種情況呢？需要對自身系統(tǒng)的透徹的認(rèn)知，達(dá)到了透徹認(rèn)知的適度，就無需擔(dān)心黑客，不需要了解他利用什么樣的漏洞，也不需要了解他使用什么樣的工具。

安全牛：達(dá)到這個(gè)地步恐怕很難吧？

張福：這里面其實(shí)有一個(gè)本質(zhì)上的思考。安全一定是從產(chǎn)品售賣走向持續(xù)的運(yùn)營服務(wù)，即持續(xù)的監(jiān)控和分析，響應(yīng)，不再是賣一個(gè)產(chǎn)品，不再是替客戶運(yùn)維這些產(chǎn)品。而是一種主動的、根據(jù)各種指標(biāo)做持續(xù)監(jiān)控，一旦有問題快速處理，這樣可以改善以前傳統(tǒng)安全領(lǐng)域巨大的問題。

防御和控制的落地很難，因?yàn)檎l都不愿意被層層圍起來、被控制，這種安全理念是跟人性、跟業(yè)務(wù)的發(fā)展相矛盾的，因此注定會被人性和業(yè)務(wù)強(qiáng)力制約，只有和它們不相悖的時(shí)候才能共同發(fā)展。真正符合人性的安全方法論，應(yīng)該把資源和精力投在認(rèn)知自我上，把理念從防御、控制、攔截，轉(zhuǎn)向持續(xù)的監(jiān)控、分析和快速的響應(yīng)。做到了這一點(diǎn)，安全就是“潤物細(xì)無聲”的，對客戶來說是無感的，因?yàn)橹皇窃诒O(jiān)測，就像在人體內(nèi)植入了很多傳感器，隨時(shí)監(jiān)控體內(nèi)的各項(xiàng)指標(biāo)，發(fā)現(xiàn)異常立刻做出診斷和治療，不給疾病發(fā)展嚴(yán)重的機(jī)會。

我一直在講，安全和醫(yī)學(xué)的發(fā)展非常類似，以前安全是想把人層層保護(hù)起來，而未來的大趨勢，要能夠像醫(yī)學(xué)一樣可以監(jiān)測身體內(nèi)部的各項(xiàng)指標(biāo)，只要發(fā)生異常變化就進(jìn)行分析和處置，并結(jié)合大數(shù)據(jù)和機(jī)器學(xué)習(xí)技術(shù)，越來越敏捷，越來越前置。終極的安全是，不再關(guān)心是什么樣的黑客，利用什么樣的漏洞，什么樣的工具，只要有攻擊跡象就會發(fā)現(xiàn)，只要發(fā)現(xiàn)就會進(jìn)行分析和響應(yīng)處置。

? ? 四、風(fēng)險(xiǎn)控制體現(xiàn)安全的 CWPP是未來

安全牛：現(xiàn)在的數(shù)字化環(huán)境造成無數(shù)的攻擊面，不僅極易發(fā)生安全事件，惡劣影響的傳播速度也是前所未有，因此要求更高級別的識別能力和更快速的響應(yīng)時(shí)間，也因此才能體現(xiàn)安全的價(jià)值所在。

張福：衡量安全價(jià)值最頂層的指標(biāo)，其實(shí)就兩個(gè)。第一個(gè)就是風(fēng)險(xiǎn)值，但由于誰也無法將其做到最精確，因此最科學(xué)的就是衡量風(fēng)險(xiǎn)的變化。如果風(fēng)險(xiǎn)是在逐漸收斂的，或可控范圍內(nèi)的，安全團(tuán)隊(duì)的工作就是有意義的。第二個(gè)指標(biāo)就是響應(yīng)速度，當(dāng)出現(xiàn)問題的時(shí)候，多久能發(fā)現(xiàn)，發(fā)現(xiàn)之后多久能把損失搞清楚，攻擊的來龍去脈是什么，這種能力最能體現(xiàn)安全的價(jià)值。

所以，想要衡量風(fēng)險(xiǎn)，要做到夠真正的識別和響應(yīng)，Agent的重要性不言而喻。青藤的Agent觀測的并不是黑客的攻擊特征或者是用了什么工具，而是通過持續(xù)的學(xué)習(xí)來總結(jié)用戶信息系統(tǒng)的規(guī)律。比如有哪些IT資產(chǎn)，哪些資產(chǎn)和哪些資產(chǎn)是有關(guān)聯(lián)的，機(jī)器上哪一個(gè)程序代表了哪個(gè)業(yè)務(wù)，跟另外一個(gè)機(jī)器上的應(yīng)用連接代表了哪個(gè)業(yè)務(wù)等等。

安全牛：EDR不也是可以在端點(diǎn)上做這些事情嗎？

張福：不太一樣。雖然未來三五年，EDR和CWPP（云工作負(fù)載保護(hù)平臺）是最有前途的兩個(gè)細(xì)分領(lǐng)域，但許多資深專家包括Gartner分析師、全球知名安全廠商的首席戰(zhàn)略官、首席技術(shù)官普遍認(rèn)為，CWPP會更有前途。因?yàn)镋DR面臨著傳統(tǒng)終端安全廠商的即有優(yōu)勢競爭，CWPP不一樣，全球絕大部分服務(wù)器沒有安裝這樣的Agent。而且，Agent一旦部署進(jìn)去，占據(jù)的是安全的最核心位置，不管是做機(jī)器學(xué)習(xí)，去把規(guī)則變得更好，還是要做聯(lián)動響應(yīng)和處置，更加高效率的運(yùn)營，都離不開服務(wù)器或主機(jī)側(cè)的能力。

至于EDR，更多的是在終端設(shè)備上，我認(rèn)為它在經(jīng)濟(jì)層面的意義不大。因?yàn)槲磥淼男陆?jīng)濟(jì)也好，新零售也好，都離不開數(shù)據(jù)和算法所產(chǎn)生的結(jié)果。這個(gè)結(jié)果是在核心業(yè)務(wù)系統(tǒng)上計(jì)算的，不是在終端。這些數(shù)據(jù)的計(jì)算產(chǎn)生商業(yè)價(jià)值，我們只保護(hù)最有價(jià)值的東西，既不覆蓋PC，也不管IOT設(shè)備，我們保護(hù)的是整個(gè)企業(yè)未來的核心命脈，即企業(yè)用戶的數(shù)據(jù)和算法所帶來的新的商業(yè)價(jià)值。

五、放棄對抗模式 層層結(jié)網(wǎng)

安全牛：談到主機(jī)或服務(wù)器，以前很多安全公司都在做HIDS（主機(jī)入侵檢測），而且很多有實(shí)力的大安全公司，也完全可以切入到這個(gè)細(xì)分領(lǐng)域，青藤又怎么看待這種競爭的可能性？

張福：HIDS實(shí)際上已經(jīng)失敗，因?yàn)榭蛻艉茈y接受在關(guān)鍵業(yè)務(wù)服務(wù)器上裝這種即占資源又維護(hù)困難的Agent，更何況業(yè)務(wù)掛了怎么辦。而基于攻防對抗思維的大安全公司，很難去做這個(gè)產(chǎn)品。因?yàn)閷故怯写鷥r(jià)的，所以兼容性和穩(wěn)定性問題是端點(diǎn)安全最大的障礙，很可能會帶來嚴(yán)重后果，頂多有客戶容忍在辦公終端PC上這么干，但這還是EDR的概念。

【引用】“基于對抗思維的公司，是要Hook底層驅(qū)動的，因?yàn)閷Σ僮飨到y(tǒng)控制的更深，才更加有對抗黑客的能力?！?/p>

安全牛：對抗思維需要和操作系統(tǒng)底層驅(qū)動結(jié)合的很深，因此很難部署在關(guān)鍵業(yè)務(wù)服務(wù)器上，那你的解決思路是？

張福：我的思路是放棄跟黑客對抗，或是說不需要跟黑客在攻防技術(shù)做深層次的對抗。青藤的安全理念就像許多張網(wǎng)，雖然每張網(wǎng)上都有很多洞，但很多網(wǎng)層層疊在一起的時(shí)候，再小的魚也漏不過去。這些網(wǎng)其實(shí)就是指技術(shù)指標(biāo)，或說一種業(yè)務(wù)規(guī)則。當(dāng)黑客在系統(tǒng)內(nèi)部活動的時(shí)候，網(wǎng)就是他的障礙。每一張網(wǎng)不需要做得滴水不漏，只要保證整體協(xié)調(diào)下來的層層疊疊的網(wǎng)絡(luò)是穿越不過去的，就可以了。

放棄掉對抗思路之后，就不需要對系統(tǒng)做什么更改了。我們的Agent不需要給操作系統(tǒng)安裝任何的驅(qū)動，對整個(gè)系統(tǒng)都是只讀的，不寫入。因?yàn)橹皇怯^測，并不需要改變。我的目的不在于防得多好，或者控制得多死。我們只要能夠發(fā)現(xiàn)就能解決問題，因?yàn)楹诳妥钆碌牟皇腔硕啻蟮拇鷥r(jià)去阻擋它，大不了多嘗試幾次，黑客最怕的是被發(fā)現(xiàn)。

安全牛：但如果大廠轉(zhuǎn)變思維定式，豈不是也很容易做成這樣的東西？

張福：思維定式不是那么容易轉(zhuǎn)變的。而且，我們已經(jīng)有時(shí)間和資源上的先發(fā)優(yōu)勢。目前已經(jīng)有了上百萬行代碼，填平了大量的“坑”，積累了上百家客戶。我們做的每一個(gè)功能，都充分平衡了功能和性能，性能里面還要區(qū)分在Agent上跑，還是在服務(wù)器上跑。這些技術(shù)與經(jīng)驗(yàn)積累，即便是互聯(lián)網(wǎng)巨頭公司拉一個(gè)300人的團(tuán)隊(duì)去做，哪怕不像我們用了四年，但至少兩年時(shí)間也是需要的。而且關(guān)鍵在于，對產(chǎn)品內(nèi)在的邏輯缺乏深刻理解，很容易做著做著就脫離核心邏輯，這樣產(chǎn)品的能力和競爭力就會難以維持。最后，互聯(lián)網(wǎng)巨頭是以其主營業(yè)務(wù)為核心的，不可能在方方面面都投入足夠多的資源。

? ? 六、做網(wǎng)絡(luò)安全領(lǐng)域的“安卓”

安全牛：國內(nèi)具備較大規(guī)模的安全提供商，可以粗分為網(wǎng)絡(luò)通信設(shè)備廠商、傳統(tǒng)安全廠商和大型互聯(lián)網(wǎng)公司，作為安全初創(chuàng)公司，面臨的競爭壓力無疑是巨大的。在解決了生存問題之后，則面臨著未來的發(fā)展，青藤的企業(yè)戰(zhàn)略是什么，或者說青藤的愿景是做成一家什么樣的公司？

張福：我們公司的終極理想是做安全領(lǐng)域的安卓。目前國內(nèi)的安全還是比較封閉，每家都抱著自己的利益，打來打去。我的想法是，等企業(yè)經(jīng)過多年的商業(yè)沉淀，整個(gè)產(chǎn)品的技術(shù)核心基礎(chǔ)到了一定水平，就把產(chǎn)品開放出來做平臺，所有的安全場景都基于這個(gè)平臺。

安全牛：你的意思是如同安卓本身不賺錢，賺錢的是上面的應(yīng)用？

張福：是的。而且平臺有兩種模式，一種封閉式的，一家獨(dú)大。另一種是做共享社區(qū)，開源模式。

安全牛：如同蘋果iOS與谷歌安卓，微軟的Windows和GNU的Linux。

張福：對。國內(nèi)的某大型安全公司也在這樣做，但它憑借的是雄厚的資源和實(shí)力，試圖來做All in one 式的解決方案。對于青藤來說，則希望把解決方案的核心平臺做好，使得任何廠商都可以跟這個(gè)平臺結(jié)合在一起，讓大家的安全能力能夠流轉(zhuǎn)起來。

我是做安全攻防和運(yùn)維出身的，一路走過來，有許多切身體會。安全工作落地最大的困難其原因無外乎兩個(gè)，一是強(qiáng)調(diào)防御和控制，方法論上就有著天然的劣勢。二是人才匱乏。兩者造成安全成本居高不下。我的解決思路就是平臺。

通過平臺底層的技術(shù)框架，把上層的解決方案統(tǒng)一起來，去除安全能力流轉(zhuǎn)的門檻。某客戶對某個(gè)問題的解決手段和經(jīng)驗(yàn)，形成可以被其他用戶復(fù)用的工具或方案，不再需要經(jīng)歷同樣的分析研究過程。比如處置挖礦或勒索病毒，一萬家公司都要經(jīng)歷同樣的流程，能夠復(fù)用的話，就可以把成本史無前例地降到最低。更重要的，隨著經(jīng)驗(yàn)?zāi)芰凸ぞ咴谄脚_上的沉淀，對人的要求就會降低，一開始需要安全專家，后來需要素質(zhì)高的畢業(yè)生，再后來稍具專業(yè)知識的人都可以使用。

安全牛：做平臺還可以在某種程度上解決安全市場碎片化的問題。

張福：中國的安全產(chǎn)業(yè)兩三百億的年收入，排在前列的公司才一、二十億，碎片化的原因就在于過去用戶主要是遵循合規(guī)來應(yīng)付檢查，誰關(guān)系好就買誰的產(chǎn)品。但是現(xiàn)在客戶對安全的需求越來越大，對效果的要求越來越高，需要真正的價(jià)值，光靠關(guān)系是不行的。所以，對于沒有核心技術(shù)的公司來講，未來幾年就是生死存亡的幾年。

青藤的平臺是一種按年付費(fèi)的模式，不僅能夠跟客戶一直保持關(guān)系，并且收入也是源源不斷。往后看七八年，如果我們的道路走得正確，就能夠覆蓋中國絕大部分的服務(wù)器，哪怕是只覆蓋一半，也成為了平臺型的企業(yè)，即使覆蓋5%到10%，也足夠成就一家獨(dú)角獸或是上市公司。

我始終認(rèn)為未來在安全領(lǐng)域會產(chǎn)生年?duì)I收過百億的公司，而且毫無疑問，整合是必經(jīng)之路。有的公司靠著強(qiáng)大的資源、資金能力，在強(qiáng)行整合，但這不是唯一的道路。我理想中的道路不是強(qiáng)行統(tǒng)一，而是通過和別人真正合作，通過共贏來實(shí)現(xiàn)目的。這也是我們要做安全領(lǐng)域的安卓的最大意義。

安全牛評：

如果說自適應(yīng)安全、PPDR模型是青藤云安全的技術(shù)標(biāo)簽，那么專注與務(wù)實(shí)則是這家初創(chuàng)公司的形象標(biāo)簽。創(chuàng)始人張福在本次采訪中提出兩個(gè)重要理念，一是弱化對抗思維，強(qiáng)調(diào)持續(xù)監(jiān)控。二是提倡平臺模式，整合安全，降低成本。無一不是基于實(shí)踐經(jīng)驗(yàn)和深度思考得出的精華結(jié)論。實(shí)際上這兩種安全理念，也已經(jīng)得到了許多資深人士的支持，并正在業(yè)內(nèi)形成共識。

青藤云安全時(shí)間線

2014年，公司成立，并獲天使輪投資

↓

2015年，推出青藤自適應(yīng)安全架構(gòu)，A輪融資6000萬元

↓

2016年，首次獲《中國網(wǎng)絡(luò)安全企業(yè)50強(qiáng)》最具潛力初創(chuàng)企業(yè)推薦

↓

2017年，首次入選Gartner全球安全指南（CWPP領(lǐng)域）

↓

2018年，B輪融資2億元，并于近日發(fā)布新品青藤萬相

zhangnn