为什么说防火墙式思维带不来真正的安全?

文章正文
发布时间:2024-11-10 14:17

张亮的故事你可能似曾相识,他出生在 70 年代,大学时自学编程,随后加入被朗讯录用,并来到美国的贝尔实验室「深造」。

2000 年底,张亮回国,成为朗讯的一名通讯工程师。三年后,张亮离开朗讯,加入了一家硅谷安全公司 Ncircle Network Security。在 Ncircle 不到一年的时间,张亮已经变成了团队的骨干工程师,拿到了公司顶薪。这一年他只有 28 岁。2007 年,张亮加入 Palo Alto Networks,成为了这个公司最早的两个安全人员之一。

45ddd60204d5a8242f1c9b5789d5c243.jpg

2012 年底,36 岁的张亮决定创业,随后他在一周时间完成了 146 万美元的天使轮融资。2014 年初,Trustlook 推出了第一款 App,距离公司成立只过去了半年。根据 Trustlook 官方提供的数据,截止到今年 1 月 6 号,Trustlook 的用户已经达到了 1600 万。现在,张亮带着他的 Trustlook 回到了中国。

以下内容根据 Trustlook 创始人和 CEO 张亮在 GIF2016 极客公园创新大会「未来头条年度版」上的演讲整理而成。

在过去的十几年里面,我一直在安全行业里从业,从创业到工程师做了十几年的安全。今天我想和大家分享一下我对安全的想法,聊聊安全的过去、现在和未来。

通过防御的方式去解决问题

过去 20 年里,为了保护我们的公司,防御公司的主要方法是「筑长城」——我们认为如果能够修筑一条很长的长城,就能够更好地保护我们的公司。具体的做法是找到漏洞、病毒,对它们进行抽样和牵引,然后对它们进行快速查杀。

在这个基础我们做了很多产品,首先做的产品是防火墙——从家庭级的到企业级的甚至到国家级的,当你上不了 Facebook、Google 的时候就知道什么叫防火墙了。通过防火墙,我们对企业里暴露的一些应用和服务端口进行快速的过滤,只开放有限的服务,把不需要的服务端全部屏蔽掉,这个方法非常可行也很有效,但这些产品并不能做到有效的防控。为此,我们又创造了 IDS,也就是说我们要快速感知并进行人工分析。但没过多久,我们就发现 IDS 根本不可行,因为分析日志需要很多人员。于是我们又发明了 IPS,当精度达到一定程度时可以直接实现网络防护。接下来我们又做了各种各样的技术,有安全网关,有反病毒技术,还有服务器有各种各样的技术。然后我们又发明了 UTM,把所有的盒子并为一个盒子,让它们合作更紧密、更高效,为用户提供成本更低、保护更高效。

到了 web2.0 时代,我们发现用户所有行为都是在网页里面,以前的防火墙不能满足这个需求,所以我们在 08 年做了下一代防火墙,对网页请求做了更细的规定,比如我允许你看 Facebook,但是不允许你在 Facebook 里面上传软件;允许你发邮件,但是不允许把公司里面的源代码作为附件发到外面去。

我们真的变得更安全了吗?

N)V_IAH81(O3{@_)7~A{_ZS.png

做了这么多防护设备,我们真的足够安全了吗?我们安全防护的链条原来很小,现在变得体量越来越大,身子越来越长,最后发现把自己的身子累垮了。从 2005 年到现在,有记载的数据泄露事件有 5700 多个,比如 14 年底 15 年初著名的索尼数据泄露事件。进入 2015 年,医疗保险公司 Anthem 有 800 万份数据泄露,6 月份卡巴斯基也有数据泄露,美国人员管理办公室超过 2000 万政府雇员个人信息被泄露,包括他们的联系电话、家庭住址等等。

过去的几年里,我们是在「筑长城」,但后来我们发现这并不能解决问题,甭管你用了多少设备,你的防护都是有限的,因为现在攻防概念跟 5 年前、10 年前不在一个层面。现在随着网络数据在公司里的数据价值越来越高,小到黑客团体,大到一些机构甚至到政府、军方的黑客团体,不管怎么防黑客都可以攻击。比如我现在要拿下索尼公司,只要给索尼 CEO 写一封邮件,告诉你这是一个很重要的合作文件,过你的防火墙等等很容易,你的 CEO 打开这个文件,我就可以从这个点撕开。

仅靠防御机制来阻断攻击是不可能的,我们对新兴的威胁要有感知,并且在数据被盗窃的第一时间进行阻断。

云端沙箱

过去 5 年里面我们看到的另一大趋势是移动智能,我们快速进入到移动互联网时代,我们的个人隐私、照片、视频、信用卡号全部转移到移动上面去了,更多黑产业会把注意力转移到移动上来,攻防领域会节节攀升。

Trustlook 在 2 年前开始专注于打造下一代移动安全的产品,因为我们发现如果不去打造它,移动互联网一定会重走过去 20 年 PC 走过的路——我们会做出一代代的产品,但周期一定会滞后于黑产业的发展。在 PC 上,我们要收集一个个样本,把每一个样本做人工分析,然后对这些病毒和木马甚至一个个牵引用户做分发,整个过程中要花上几个礼拜到几个月,我们在 PC 上平均对病毒的反应周期是 200 天,如果我们重复 PC 走过的路,在移动上可能也需要 200 天左右的平均反应周期。

Trustlook 第一时间丢掉所有的技术,我们要打造另一个技术,把对用户的保护拉近到 1 天之内、1 个小时之内甚至 5 分钟之内。具体的技术是云端沙箱,举个例子,我们知道世界上厉害的毒药有鹤顶红、断肠草等几十种,我们怎么去做防护?抓几个小太监过来吃一吃,如果小太监吃了没问题就可以给老佛爷供膳,这是我们的方法。

在未来,安全是一种能力

到 2020 年,世界上会有 59 亿的移动设备,再加上我们进入物联网时代,2020 年,物联网设备数量会达到 260 亿,加起来超过 300 亿设备,我们应该怎么防护?我们认为只有一种解决办法,就是让安全公司回归到安全的本位去,把安全转化成一种能力。

US5}0VW(P2{})~PUZHFR(LM.png

如何把安全转化成一种能力?我们认为安全公司应该到后台去,给前面的 APP,给前面的厂商,给芯片行业提供一套,帮助它们相对更安全。在上面的图中,左边是现在我们整个的架构,上面是各种各样的应用,中间各个安全厂商都有自己的 APP,接下来是 OS/Kernel,接下来是芯片组。现在很多安全公司都跑到了 OS/Kernel 和芯片组的前面。我们认为在未来要往后面走,为什么安全公司都需要做一个 APP?如果每家都弄个 APP,为自己的商业利益去抢用户,就没有经历和资源深挖到安全领域去沉淀技术。在未来只有把安全公司放下自己的 APP,把自己安全的 DNA 向下注入到厂商,把安全能力提供给芯片公司,把我们的安全能力给各个厂家,才能做到切实的保护。

我们希望的安全世界

我们正在从移动互联网时代快速进入物联网世界,那个世界里可能连屏幕都没有,这样的世界里压根就不存在 APP。未来要保证 260 亿的设备,只有把自己的安全沉淀下来,深挖技术,变成能力,才能更好地去保护这些设备。如果你和 10 家、20 家公司合作,可能就迎来几十亿用户。在移动领域也是相似的概念,我们认为所有的安全公司不应该到前台去抢渠道、做用户,那都是不健康的。我们认为应该把擅长的东西沉淀下技术,把自己的 DNA 注入给手机厂商,把安全方案开放给芯片厂商,把自己的安全能力送给在应用层面做工具的、做交易的公司,只有这样,我们才能够更好的保护用户。

GIF2016011Trustlook创始人及CEO张亮mark.jpg

在我们希望的安全世界里,未来安全是一个城,这个城不是几米高的城墙,我们不希望每家都有铁窗,也不希望每家都装上防盗门。我们希望每家都是简单的木门,都是巨大的落地窗,因为没有城墙的时候也不需要门口那些保安。我们怎么才能做到?其实很简单,让每一个家都具备安全防护的能力,比如人人都有枪,并且有完善的法律保护。只有让每个人都具备安全防护能力,不需要每个厂商、每个家庭把安全防护能力交给别人去做,这样就能够做到更好的安全的世界。