《中國信息安全》專訪：以“全流量”看清數(shù)字時代安全風險

封面人物簡介:

林康,科來公司聯(lián)合創(chuàng)始人,總經(jīng)理。林康先生致力于網(wǎng)絡流量分析技術的研究與發(fā)展,積極推動NTA技術在各行業(yè)的應用普及與推廣。林康先生榮獲由科技部頒發(fā)的《創(chuàng)新人才推進計劃》科技創(chuàng)新創(chuàng)業(yè)人才稱號、成都蓉貝軟件人才技術領銜人稱號。在林康的帶領下,科來在網(wǎng)絡流量分析領域已處于全球領先水平,斬獲海內外數(shù)十項重量級大獎,包括蟬聯(lián)Gartner NPMD魔力象限“遠見者”稱號、IDC調研報告科來連續(xù)三年在NPAM領域市場占有率第一、中國網(wǎng)絡安全企業(yè)100強領軍企業(yè)。

記者:“十四五”規(guī)劃中明確提出“加快數(shù)字化發(fā)展”“加強網(wǎng)絡安全保護”,您如何理解這兩者之間的關系?網(wǎng)絡安全行業(yè)該如何落實這些要求?

林康:2021年3月11日,十三屆全國人大四次會議表決通過了《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標綱要》(以下簡稱“十四五”規(guī)劃綱要)的決議,網(wǎng)絡安全已經(jīng)確定成為未來中國發(fā)展建設工作的重點之一,時間跨度長、覆蓋面廣�！笆�四五”規(guī)劃綱要在網(wǎng)絡安全側釋放的國家戰(zhàn)略信號明確,共提及“網(wǎng)絡安全”14次,涉及數(shù)字經(jīng)濟、數(shù)字生態(tài)、國家安全、能源資源安全四大領域。其中所提出的“數(shù)字化轉型”關鍵詞引人矚目,“迎接數(shù)字時代,激活數(shù)據(jù)要素潛能,推進網(wǎng)絡強國建設,加快建設數(shù)字經(jīng)濟、數(shù)字社會、數(shù)字政府,以數(shù)字化轉型整體驅動生產(chǎn)方式、生活方式和治理方式變革�！�

事實上,“加快數(shù)字化發(fā)展”與“加強網(wǎng)絡安全保護”二者是相輔相成的。網(wǎng)絡安全是“數(shù)字化發(fā)展”的重要保障,同時又屬于其重要數(shù)字產(chǎn)業(yè)之一,是數(shù)字化發(fā)展的關鍵基座,承托著上層技術發(fā)展的安全與穩(wěn)定,發(fā)揮著基礎性、支撐性、保障性的作用。網(wǎng)絡與信息安全不再是信息系統(tǒng)的附屬品,而是像日常生活中的“水電煤氣”一樣,逐漸成為新型基礎設施、數(shù)字經(jīng)濟、數(shù)字社會、數(shù)字政府、數(shù)字生態(tài)發(fā)展的必需品,國家數(shù)字化進程越快,網(wǎng)絡安全的重要性就越明顯。

與此同時,“十四五”規(guī)劃綱要也對網(wǎng)絡安全產(chǎn)業(yè)提出了明確要求。網(wǎng)絡安全與數(shù)據(jù)安全,不再是傳統(tǒng)的外圍加固、松散整合的模式,而是深深融入到數(shù)字化發(fā)展的方方面面,賦能安全保障。在“十四五”規(guī)劃綱要網(wǎng)絡安全保護章節(jié)中,還提出了要提升“網(wǎng)絡安全威脅發(fā)現(xiàn)、監(jiān)測預警、應急指揮、攻擊溯源能力”,構成了網(wǎng)絡安全的發(fā)現(xiàn)、預警、指揮、行動、溯源的多環(huán)節(jié)動態(tài)閉環(huán)管理,為網(wǎng)絡安全統(tǒng)籌管理能力建設指明方向。

網(wǎng)絡安全產(chǎn)業(yè)在發(fā)展網(wǎng)絡安全技術的同時,要有家國情懷,要有國家利益高于一切的格局;不同細分領域的安全廠商,在各自專精的技術領域攻堅突破,勇于比肩世界前列;對標國際頂級技術的同時,對內賦能,形成合力。在堅持自主可控的大前提下,還要關注那些“卡脖子”的底層安全技術發(fā)展。目前中國網(wǎng)絡安全市場重應用、輕技術的傳統(tǒng)格局亟須重塑,促使市場轉型進入技術驅動型市場,“關鍵核心技術實現(xiàn)重大突破,進入創(chuàng)新型國家前列”。落實“十四五”規(guī)劃網(wǎng)絡安全產(chǎn)業(yè)發(fā)展要求,我認為兩個“既要、又要”至關重要:既要在精專領域各自為戰(zhàn),又要相互融合、對內賦能;既要在技術應用層創(chuàng)新發(fā)展,又要在關鍵核心技術投入研發(fā)。

記者:科來自2003年成立至今專注于流量分析領域,已經(jīng)成為該領域的領軍企業(yè)。請問科來為什么選擇流量分析這個賽道?

林康:科來創(chuàng)始人是國內最早研究網(wǎng)絡流量分析技術的專業(yè)人員。彼時流行的國外軟件雖然功能強大,但操作非常復雜,而且界面使用不符合國人習慣。在2001年,我們決定獨立研發(fā)面向國人的網(wǎng)絡流量分析產(chǎn)品。而在安全領域,科來在與用戶不斷的深入溝通中,意識到網(wǎng)絡流量分析技術在諸多方面可以滿足網(wǎng)絡安全的需求。傳統(tǒng)的基于策略、特征的安全產(chǎn)品,在面臨“針對性攻擊”(當時還沒有APT的說法)的時候,很難被發(fā)現(xiàn)。而通過網(wǎng)絡全流量分析,尤其是科來全協(xié)議識別與解析的技術能力,效果則十分顯著。于是科來開始在安全方面投入專門的團隊和資源做相應的研究,衍生出一套跟傳統(tǒng)信息安全在思路上截然不同的分析方法和平臺。

科來專注從事研究的網(wǎng)絡流量分析技術是底層基礎信息技術,在不同領域有豐富的應用場景。類似于醫(yī)學中的“血檢”,作為檢查身體健康的基礎手段,它既可以檢測內部器官衰弱,也可以檢測外部感染病毒,例如“血檢”最近一個新的應用場景,就是通過血液檢測新冠疫苗是否在體內產(chǎn)生抗體。

網(wǎng)絡流量分析技術是一個至關重要的基礎技術,擁有豐富的應用場景。在我國多項核心技術被“卡脖子”后,科來更是堅定了在該項技術上持續(xù)投入研發(fā)的決心,中國科技的未來不僅要有中國心,還要有中國之骨血、發(fā)膚,才能撐起祖國崛起的身軀。

記者:從用戶角度來看,流量分析對他們的最大價值是什么?

林康:流量分析技術的價值體現(xiàn)在很多方面,例如在運維工作中保障業(yè)務的高效、穩(wěn)定運行,提升整體運維成熟度的進階;另一方面是成為企業(yè)數(shù)據(jù)分析與運營的核心,提供業(yè)務規(guī)劃的決策支撐依據(jù)等等。

在網(wǎng)絡安全方面,科來利用流量分析技術為用戶提供了從“上帝”視角審視全局的方式和方法,通過全方向全流量的回溯分析,能夠做到安全監(jiān)測無死角,讓企業(yè)具備對安全風險的發(fā)現(xiàn)能力、分析能力、識別能力和處理能力,幫助用戶整體提升網(wǎng)絡安全門檻。

傳統(tǒng)的安全防護手段,只能解決已知安全威脅,無法判斷入侵程度,無法感知新型未知攻擊手段。它亟需加入新鮮視角,要“以‘全流量’構建未知威脅預警與處置框架”�？苼碚J為在技術層面具備“三全”、“三可”才可以稱為網(wǎng)絡“全流量”,即通過全流量保存、全協(xié)議解析、全行為建模實現(xiàn)對流量數(shù)據(jù)的可回溯、可追溯、可攔截。但僅僅擁有全流量還是不夠的,還需要擁有網(wǎng)絡全協(xié)議的解析與識別能力。網(wǎng)絡協(xié)議如同網(wǎng)絡中的語言,只有掌握了語言能力,才能充分的理解網(wǎng)絡中的流量。科來經(jīng)過18年的積累,已經(jīng)擁有針對上萬種網(wǎng)絡協(xié)議及應用的識別與解碼能力。

科來還有18年的實戰(zhàn)經(jīng)驗,用來連接技術與用戶。這種完善的落地經(jīng)驗輸出,直接降低了用戶試錯成本,正如科來創(chuàng)始人羅鷹所說,“今天的網(wǎng)絡對抗已經(jīng)上升到戰(zhàn)爭的層次,實戰(zhàn)經(jīng)驗越來越重要。以醫(yī)學為例,學醫(yī)過程非常艱苦,但學完之后還要不斷積累臨床經(jīng)驗,才能做一名合格的醫(yī)生。這里的經(jīng)驗積累發(fā)揮了非常重要的作用,我們把這種能力叫做實戰(zhàn)經(jīng)驗�！�

記者:在各行各業(yè)都在進行數(shù)字化轉型的今天,您認為企業(yè)面對的主要安全風險都有哪些?企業(yè)如何利用流量分析,來提升新形勢下自身的網(wǎng)絡安全防護能力?

林康:事實上,我們在服務用戶的過程中,確實發(fā)現(xiàn)了非常多的、容易被忽略的風險,具體歸結為以下四點:

1. 用戶根本不知道自己是否被黑或被黑過

隨著我國數(shù)字化建設的推進,網(wǎng)絡安全形勢更加嚴峻。針對國家基礎設施、企業(yè)數(shù)據(jù)的破壞、竊取相關的網(wǎng)絡攻擊增加,攻擊手法復雜多變,傳統(tǒng)安防手段只能解決已知安全威脅,無法感知未知手段和方法,更無法判斷攻擊入侵程度。

2. 要避免檢測類告警日志數(shù)據(jù)的誤報和漏報,就不得不面對海量告警

頻繁的告警導致運維人員的工作量急劇加大,傳統(tǒng)安全防護方式無法在短時間內快速定位問題、解決問題,導致攻擊波及范圍擴大,造成更加嚴重的損失。無法及時判斷告警的準確性、嚴重性及威脅事件的結果,就無法及時采取相應的處置措施。

3. 無法溯源攻擊,網(wǎng)絡攻防場景中防守方處于被動

在網(wǎng)絡攻防視角中,進攻方會占據(jù)較多的主動性,而防守方則略顯被動,永遠不知道攻擊會在何時發(fā)生。而當攻擊發(fā)生后,防守方無法迅速梳理攻擊路徑,溯源攻擊過程,有可能造成更大的損失,一潰千里。

4. 發(fā)現(xiàn)網(wǎng)絡攻擊后取證困難、責任無法界定

當前針對性的高級攻擊(如0-Day攻擊、APT攻擊等)越來越頻繁,傳統(tǒng)安全防御設備無法識別,安全防御容易被繞過。當攻擊出現(xiàn)時、攻擊解決時、甚至攻擊消失后,如何對攻擊進行判斷、進行取證,進一步分析存在何種網(wǎng)絡漏洞、系統(tǒng)漏洞還是人為漏洞,是客戶急需了解的,也是以后完善安全防御的重要策略依據(jù)。

在以往的信息化進程中,企業(yè)的網(wǎng)絡安全防御基本是被動的,重點在邊界防御上。但近年來,隨著《網(wǎng)絡安全法》《關鍵信息基礎設施安全保護條例》《等級保護2.0》《密碼法》等法律法規(guī)的出臺,對企業(yè)的網(wǎng)絡安全防御也提出了更高的要求。企業(yè)改變被動防御,進行主動防護的需求越來越迫切。

科來認為,安全防御的能力取決于安全感知能力,安全感知能力的重點在于對未知安全威脅的感知能力,在流量側,這種能力體現(xiàn)在協(xié)議理解上。

科來擁有針對上萬種網(wǎng)絡協(xié)議及應用的識別、解碼的經(jīng)驗與能力,這讓協(xié)議漏洞利用的網(wǎng)絡攻擊在科來面前無所遁形,能夠更敏銳更迅捷的感知威脅存在�？苼碓谌�量數(shù)據(jù)的采集與保存的基礎上,實現(xiàn)了全行為建模與分析、全流量回溯,能夠在網(wǎng)絡攻防對抗中發(fā)現(xiàn)更多未知威脅。更重要的是,科來的協(xié)議解析技術在做到精準解析的同時,全面廣泛地覆蓋各類協(xié)議,“全面而精準”的協(xié)議分析能力幫助用戶透析更多網(wǎng)絡流量內容,看得清、看得透、看得全,這也正是科來的協(xié)議解析技術的本質所在。

為此,科來推出網(wǎng)絡安全解決方案,基于科來全協(xié)議分析技術,旁路采集、分析和存儲所有網(wǎng)絡流量,通過威脅情報系統(tǒng)檢測已知威脅,通過回溯分析數(shù)據(jù)包特征、異常網(wǎng)絡行為,發(fā)現(xiàn)潛伏已久的高級未知攻擊�？苼砭W(wǎng)絡安全解決方案具備多維的數(shù)據(jù)分析及深度挖掘能力,能夠實現(xiàn)數(shù)據(jù)包級的追蹤取證,為用戶提供“檢測”和“響應”的能力,通過安全分析最終幫助用戶提升安全防御水平,建立自適應網(wǎng)絡安全架構。

記者:當前網(wǎng)絡安全領域新技術概念層出不窮,從長期來看,您如何看待流量分析的發(fā)展方向,還會有哪些新場景新應用?對比國際,科來的流量分析有何優(yōu)勢?

林康:由于早些年,網(wǎng)絡流量分析(NTA)技術被GARTNER列入十大網(wǎng)絡安全頂級技術,各種NTA網(wǎng)絡安全產(chǎn)品如雨后春筍般問世,但不“懂行”很難有發(fā)展。正如之前所說,網(wǎng)絡流量分析技術是底層技術,可以衍生出更多上層應用與場景。

比如在安全方向,在不久前發(fā)布的《威脅檢測與響應(TDR)市場指南》報告中,全流量回溯技術分別在威脅檢測場景和攻擊行為分析場景中起到了核心作用。通過對資產(chǎn)的全面盤點實現(xiàn)對攻擊暴露面的收斂;同時可以前置威脅情報,通過流量檢測環(huán)節(jié)即可實現(xiàn)判定檢測,提升告警的準確度,降低誤報率,為接下來的響應溯源環(huán)節(jié)提供準確線索;在對歷史流量日志進行回溯分析時,發(fā)現(xiàn)長期潛藏的未知高級威脅。

除了縱深應用外,橫向跨行業(yè)的探索,也可以為行業(yè)網(wǎng)絡安全發(fā)展貢獻新思路。

工業(yè)互聯(lián)網(wǎng)安全:對工業(yè)互聯(lián)網(wǎng)絡通信協(xié)議進行解碼分析,可實現(xiàn)入侵檢測與安全審計,發(fā)現(xiàn)和分析其脆弱性及安全漏洞,提高工業(yè)網(wǎng)絡安全檢測和事后取證追查能力,強化對工業(yè)互聯(lián)網(wǎng)系統(tǒng)的安全態(tài)勢感知與防御能力。

物聯(lián)網(wǎng)安全:對物聯(lián)網(wǎng)協(xié)議的識別與解碼,能夠幫助深入而系統(tǒng)地了解IoT網(wǎng)絡,理解IoT網(wǎng)絡中的數(shù)據(jù)流動。通過不斷挖掘數(shù)據(jù)之間復雜聯(lián)系的價值,讓其成為企業(yè)重要的數(shù)據(jù)資產(chǎn),實現(xiàn)對周邊世界認知能力的革命性飛躍。

科來也在不斷對內求變,積極推動技術在適合的領域、場景落地,并于2020年9月正式推出“科來工控大數(shù)據(jù)安全態(tài)勢感知平臺”,服務于我國關鍵基礎設施網(wǎng)絡安全與運維保障工作,實現(xiàn)了工控生產(chǎn)的全流量數(shù)據(jù)接入,全面覆蓋我國工控領域。

對比國際廠商,科來在技術上的優(yōu)勢,實際上是一種價值觀的優(yōu)勢、是國家政策正確引導的優(yōu)勢。中國已邁入創(chuàng)新型國家行列,引領全球率先開展新型基礎設施建設�？苼硪倭⒂谥袊�軟件之林,在運維與安全領域不斷創(chuàng)造出新高度,也不斷被賦予新的使命、承擔更多新的職能與責任,面臨著新的挑戰(zhàn)。十八年來,科來憑借在網(wǎng)絡安全領域的技術優(yōu)勢,服務于國家關鍵行業(yè)領域、重大國家級活動的網(wǎng)絡安保,貢獻力量的同時也沉淀下了難得的實戰(zhàn)經(jīng)驗,以實戰(zhàn)倒逼技術革新、技術創(chuàng)新,再反哺產(chǎn)品,服務用戶,構建了一套技術創(chuàng)新的閉環(huán)循環(huán)。這種國家、廠商、用戶三方參與的技術創(chuàng)新模式是中國獨有的,國際廠商無法模仿。

另外,科來人秉承“堅持、責任、進取”的價值觀,堅信科技創(chuàng)造未來,切實為用戶網(wǎng)絡保駕護航,追求極致。正是這份始終不變的初心,使科來能夠在順境中揚帆,在逆境中無畏,在成為全球領先的網(wǎng)絡流量分析企業(yè)之路上奮勇前行。

記者:網(wǎng)絡安全已成為國家安全的重要組成部分,其中核心技術自主可控至關重要,請問科來在核心技術自主創(chuàng)新上有哪些舉措?

林康:知識創(chuàng)新、技術創(chuàng)新已成為國與國之間競爭的核心,科來通過提升自主創(chuàng)新能力,掌握更多自主知識產(chǎn)權,為推動國家信息安全產(chǎn)業(yè)的持續(xù)發(fā)展提供支撐和服務。以“全協(xié)議分析技術+回溯分析技術”為核心,科來不斷完善技術研發(fā),持續(xù)進行產(chǎn)品打磨,著眼網(wǎng)絡安全及運維新態(tài)勢。向下深入聚焦協(xié)議分析,專注技術研發(fā)與產(chǎn)品打磨,為求索行業(yè)創(chuàng)新與變革夯實基礎;向上則持續(xù)延伸對安全、運維領域的探尋,繼續(xù)落實對每一位用戶的責任與承諾,為用戶業(yè)務穩(wěn)固保駕護航,繼續(xù)做國家網(wǎng)安堅實后盾。

科來始終視保衛(wèi)國家信息安全為己任,多年來投入大量資源,持續(xù)在網(wǎng)絡流量和協(xié)議分析領域進行技術研究并生產(chǎn)實踐,保衛(wèi)國家信息安全;而國家信息安全的建設和發(fā)展是一個全產(chǎn)業(yè)鏈長期行為,科來不斷強化國產(chǎn)化廠商之間的聯(lián)系,攜手產(chǎn)業(yè)鏈各方,在市場、銷售、服務等方面疊加能力、通力合作,為推進國家網(wǎng)絡空間強國戰(zhàn)略作出積極貢獻。