文|陸玖財經(jīng)
在金庸先生的《天龍八部》里,喬峰和掃地僧都有驚人的實力,卻代表完全兩種不同的風格:一個積極主動大開大闔,一個重劍無鋒隨順而轉(zhuǎn)。
這正如頗有江湖氣的網(wǎng)安行業(yè),有些企業(yè)采用的是主動進攻的安全理念,而有些企業(yè)則采取被動防御的模式。
但無論是哪種風格,把視野放在全球頂尖的安全技術(shù),多去研究國際一流水準的安全方案,踏踏實實投入研發(fā)和技術(shù)的公司,靠“硬實力”和結(jié)果說話,或許都能撐起國內(nèi)網(wǎng)安企業(yè)的未來。
而在用戶層面,無論是位于什么地區(qū)、多大規(guī)模的企業(yè),只要存在勒索價值,很可能下一秒就是黑客的目標和對象。而且,勒索事件并不會只發(fā)生一次就會結(jié)束,很有可能會頻繁被勒索。
國內(nèi)當前的網(wǎng)絡安全形勢尤其嚴峻。我們需要尊重事實,多做功課,做好頂層設計,找到適合自己的安全防護方案。
網(wǎng)安江湖的兩大流派
喬峰從學于少林,實戰(zhàn)于丐幫,招式剛猛,進攻主動,擁有豐富的實戰(zhàn)和機變經(jīng)驗。而掃地僧以慈悲為體,武學為用,精修內(nèi)力,隨順而轉(zhuǎn),又是另一番境界。
在很多從業(yè)人士眼里,中國網(wǎng)安行業(yè)也是一個“江湖氣很重”的行業(yè)。這種“江湖氣”,不僅體現(xiàn)在做事多以情懷為先,也很講究靠技術(shù)吃飯,靠實力制勝。從風格上來說,也大可分為“喬峰派”和“掃地僧派”兩大流派。
“喬峰派”的網(wǎng)安企業(yè),通常采取的是比較主動的安全防護模式,主動檢測,主動封鎖。其中最為典型的當屬曾風靡一時的各種殺毒軟件,通過不斷地掃描和查殺符合數(shù)據(jù)庫特征的病毒,來提供有效的終端防護。此類企業(yè),當以“紅衣教主”周鴻祎麾下的三六零最為典型。
近些年,隨著殺毒軟件市場式微,喬峰派的網(wǎng)安企業(yè),更多的是以零信任模式的安全防護為主要手法。
零信任模式的安全防護,把任何無論是來自于外網(wǎng)還是內(nèi)網(wǎng)的訪問,都預設為“不可信任”,并提供嚴格的身份驗證、設備驗證、網(wǎng)絡隔離和訪問控制,對不同層次的管理權(quán)限和數(shù)據(jù)提供分級別保護。
而另一流派“掃地僧派”的網(wǎng)安企業(yè),起步通常采取的是被動防御的安全防護模式,不主張第一階段就能攔截到攻擊,而是采集、學習和發(fā)現(xiàn)黑客攻擊模式,默默觀察,后發(fā)制人,達到最終的防護目標。
其中最熱的便是EDR模式。率先提出這一安全防護模式的是著名的信息咨詢機構(gòu)Gartner,新型網(wǎng)絡安全公司Crowdstrike是這個模式踐行的佼佼者。據(jù)網(wǎng)思科平CEO仇新梁分析,Crowdstrike所創(chuàng)造的新價值,在于其為端點安全提供了一種新的思路:從預防性的殺毒模式,改為EDR(記錄查詢)模式。
“近幾年網(wǎng)絡攻擊的形式變化得很快,黑客以進入電腦和控制電腦為目標,但不一定以病毒的形式運行。EDR模式的本質(zhì)是學習黑客攻擊模式,通過記錄過程和模式匹配攻擊行為,及時發(fā)現(xiàn)系統(tǒng)防護薄弱的地方并進行修補和阻止,從而極大減少攻擊行為所持續(xù)的時間。類似于網(wǎng)絡界的‘天網(wǎng)’。”
通過監(jiān)控和記錄黑客的行為,達到對內(nèi)查缺補漏,對外設立陷阱、定位和制止攻擊的目的,這種安全思路或許更契合當前實際的安全需求。
“掃地僧派”更受資本歡迎
對應到國內(nèi)的投資市場上,“喬峰派”和“掃地僧派”所受到的待遇不太一樣。
國內(nèi)的上市公司中,深信服、奇安信、綠盟科技等都推出了零信任模式的相關(guān)產(chǎn)品和方案。不過,由于國內(nèi)私有云比例較高,部署環(huán)境復雜,用戶接受度還不高,目前,能夠?qū)⒘阈湃芜@一模式具體落地的,還是以密碼技術(shù)等較小的切入點為核心的企業(yè),而這些企業(yè)在二級市場的表現(xiàn)也相對較好。其中,衛(wèi)士通2021年股價的最高點比最低點漲幅高達4倍以上,信安世紀2021年股價最高點比最低點漲幅近2倍。
而“掃地僧派”所對應的EDR市場,表現(xiàn)更為火爆。
首創(chuàng)者Crowdstrike創(chuàng)立十年,上市三年,市值一路漲了將近10倍。近期,CrowdStrike發(fā)布2022財年Q3財報,營收為3.80億美元,同比增長63%,超出市場預期。這些都側(cè)面證明了EDR模式在安全防護市場的影響力。
網(wǎng)思科平是國內(nèi)眾多初創(chuàng)型企業(yè)當中,從創(chuàng)立之初便選擇對標Crowdstrike,采取EDR安全防護模式的公司之一。目前,該公司已獲得上億元的融資。據(jù)仇新梁介紹:“我們在尋找未知攻擊方面的實力,已經(jīng)可以和Crowdstrike比肩。”
除了網(wǎng)思科平這樣的初創(chuàng)企業(yè)之外,國內(nèi)的很多上市公司,諸如奇安信、天融信、深信服、綠盟科技等,也都關(guān)注到了端點安全的發(fā)展趨勢,相繼宣稱自己擁有EDR技術(shù)。
以奇安信的天擎EDR為例,其在賽可達威脅檢測能力測試中,綜合能力處于領(lǐng)先地位,并在《IDC MarketScape: 中國終端安全檢測與響應市場 2020,廠商評估》報告中位列“市場份額”和“產(chǎn)品戰(zhàn)略”雙第一。
市場需求成倍增長
在新冠疫情的倒逼下,我國的數(shù)字化進程在加速。目前,國內(nèi)擁有數(shù)目龐大的終端數(shù)量,多維度的信息內(nèi)容,還有包括個人、企業(yè)、政府等多種角色。這不僅造成更多的安全漏洞,且一旦有安全問題發(fā)生,影響面更廣,危害程度更嚴重。
“在全球黑客的眼里,中國是一塊特別巨大的市場。”一位安全專家不無憂慮地說道。
而黑客們攻擊常用的手法,一個是勒索,一個是竊密。背后的原因不言而喻:二者最可能給攻擊方帶來可觀的經(jīng)濟價值。
業(yè)內(nèi)人士指出,近兩年,由于新冠疫情造成全球經(jīng)濟形勢惡化,勒索攻擊也隨之愈演愈烈。例如,有一種“雙重勒索”,不僅會竊取和加密受害者的數(shù)據(jù),如受害者拒絕被勒索,則會進一步威脅將被盜數(shù)據(jù)公開。這種升級的“勒索”模式給受害者帶來更大的壓力,從而達到勒索方的最終目的。
有網(wǎng)安公司透露:“我們目前防護的對象,除了大型企業(yè)以外,小型客戶被勒索的情況也特別嚴重,有些企業(yè)剛剛上了等保(信息安全等級保護,是對信息和信息載體按照重要性等級分級別進行保護的一種工作),便成為勒索的對象?!逼姘残偶瘓F董事長齊向東也曾表示,“勒索已成為黑客最好的變現(xiàn)途徑”。
此外,互聯(lián)網(wǎng)常用的“免費”商業(yè)模式,在一定程度上也助長了流氓軟件的盛行。出于營收需要,一些互聯(lián)網(wǎng)廠商會預留后門,竊取用戶的流量,這些后門都會成為黑客攻擊的入口,給用戶帶來極大的安全隱患。
嚴峻的安全問題倒逼出迫切的市場需求,也吸引了越來越多的企業(yè)進入這個市場。
iiMedia Research(艾媒咨詢)數(shù)據(jù)顯示,中國網(wǎng)絡安全服務相關(guān)企業(yè)數(shù)量持續(xù)增長,2020年增速尤為明顯,新增企業(yè)數(shù)量超17萬家,同比增長135.0%。2021年1-10月,新增企業(yè)數(shù)量超27萬家。截至2021年10月29日,中國共有網(wǎng)絡安全服務在營企業(yè)超70萬家。
聯(lián)手或是最佳選擇
但是,數(shù)量并不一定代表質(zhì)量。與海外相比,國內(nèi)網(wǎng)安企業(yè)無論是在技術(shù)還是在理念上,仍具有一定的差距。
據(jù)國際電信聯(lián)盟所發(fā)布的2020年全球網(wǎng)絡安全指數(shù)(GCI)排名,通過對全球194個國家的法律、技術(shù)、組織、能力發(fā)展和合作這5個項目進行評估,美國、英國和沙特阿拉伯排在全球前三位。中國全球排名第33位,在亞太地區(qū)排名第8位,尚有很大的成長空間。
有從業(yè)人員認為,目前國內(nèi)大部分網(wǎng)安企業(yè)還是靠商務手段開拓市場,這也是營銷費用居高不下的原因?!霸诋a(chǎn)品和技術(shù)方案上,大部分公司還是在吃老本。技術(shù)創(chuàng)新的事情,主要是大廠的實驗室,還有一些創(chuàng)業(yè)公司在做?!?/p>
包括EDR模式本身,由于技術(shù)水平的差異,目前市場上還存在著真假EDR之分。有些廠商純粹出于競爭需要,例如為了避開殺毒軟件的標簽,把原有的防病毒模塊包裝成EDR模式。“但是,從應用的結(jié)果來看,并不屬于真正的EDR。”
由此可見,無論是“喬峰派”還是“掃地僧派”,國內(nèi)的網(wǎng)安企業(yè)都需要切實打造和展現(xiàn)出自己的硬實力。
像奇安信這樣同時關(guān)注零信任模式和EDR模式的公司,目前在資本市場也頗為引人注目,更為“喬峰派”和“掃地僧派”的聯(lián)手提供了新的思路。
正如一位業(yè)內(nèi)人士所說的:一些被公眾寄予厚望的公司,假如能夠把視野放在全球頂尖的安全技術(shù),多去研究國際一流水準的安全方案,而不是光想著在國內(nèi)跑馬圈地,或許更能撐起國內(nèi)網(wǎng)安企業(yè)的未來。
小貼士:專家給出的安全防護建議
“對于企業(yè)用戶來說,決策者有必要主動去了解全球頭部同行所選擇的安全解決方案,對比一下該方案在國際上有沒有標準的解釋,假如能夠?qū)φ者@些標準去制定自己的安全策略,則有望獲得事半功倍的效果。”
“對于普通個人用戶來說,則建議養(yǎng)成良好的終端使用習慣,注重保護個人隱私,也要多關(guān)注法律方面的政策。一旦發(fā)現(xiàn)個人數(shù)據(jù)和隱私被泄露,要堅決拿起法律武器捍衛(wèi)自己,對數(shù)據(jù)泄密的始作俑者、包括經(jīng)營方也要施加壓力,從而督促整個安全環(huán)境的改善。”
“而對于監(jiān)管層來說,也要客觀地看待安全問題,個人和機構(gòu)很難對抗犯罪集團和國家組織的攻擊行為,要合理界定各層面的責任。有一些安全防護觀念也需要更新,比如數(shù)據(jù)資產(chǎn)的安全問題,在當前的大數(shù)據(jù)環(huán)境下,一些隱私文件的泄露,比密級文件的泄露帶來的危害還要大?!?/p>
安全沒有小事,不要存在任何僥幸心理。無論是什么地區(qū)、多大規(guī)模的企業(yè),只要存在勒索價值,很可能下一秒就是黑客的目標和對象。而且,勒索事件并不會只發(fā)生一次就會結(jié)束,很有可能會頻繁被勒索。