阿裡巴巴安全第一人肖力：網路安全的五個洞見 | RSA 2017

摘要： 阿裡雲安全轉載自雷鋒網宅客頻道作者：史中原文連結：http://www.leiphone.com/news/201702/4NzX5SLlEv5kUqLG.html引言阿裡雲，這個國內最大的雲端運算平臺，服務著萬億企業的資料和商務。

阿里云安全

轉載自雷鋒網宅客頻道 作者：史中

原文連結：http://www.leiphone.com/news/201702/4NzX5SLlEv5kUqLG.html

引言

阿裡雲，這個國內最大的雲端運算平臺，服務著萬億企業的資料和商務。它所代表的雲端運算能力已經像水、電一樣成為了互連網國度的基礎設施。

難以想像如果一個城市的水源乾涸、電力枯竭，將引發怎樣的災難。對阿裡雲來說，安全是巨大的雲城邦腳下的基石。而肖力，作為2005年就上線阿裡巴巴的第一個安全工程師、阿裡雲安全團隊的締造者，正承擔著這份守土之責。

肖力是為數不多站在技術和戰略十字路口的人，他無時無刻不在尋找世界上最先進的武器和部隊來守衛阿裡雲計算。於是，他對於未來一年、五年、十年網路安全趨勢的洞見，也許會深切地影響中國互連網安全的發展脈絡。

每年，肖力都會出現在各大世界頂級安全會議的現場，感受最新安全技術形勢的變化。RSA 大會，是全球安全廠商一年一度的聚會，被視為全球安全產業的風向標。每年全球 Top500 的安全廠商都會積極參與 RSA的技術分享，並借此商機為自己的最新技術找到“用武之地”。

客觀地說，全球安全技術仍然以美國為中心，RSA 上的無數公司拼湊出了一幅安全界的清明上河圖，這番圖景，對於安全產業發展較美國有“代溝”的中國，有著極強的借鑒意義。

剛剛從三藩市 RSA現場歸來的肖力，帶回了從互連網安全高地轉譯的最新趨勢圖。雷鋒網(公眾號：雷鋒網)宅客頻道在第一時間採訪到肖力，讓他閱聽了這份最新的“作戰地圖”。

以下是肖力訪談實錄

（口述/肖力 | 文/史中）

一、安全沒有巨頭，“合作”才有意思

在標題今年 RSA所有的具體技術趨勢之前，我最願意分享一個今年的總關鍵字，那就是“合作”。這個詞聽上去不性感，卻是安全產業發展到現在，一個必然到來的總趨勢。

1、安全是“分散化”的

安全有點不一樣。

在互連網的其他領域，通常會出現巨頭一家獨大，能佔領70%-80%的市場。

但我感受到安全這片土地，一定不是巨頭霸佔的領域。為什麼這樣說呢？因為安全並不垂直，恰恰相反它涉及到互連網和商業世界的所有領域，可謂安全無處不在。這些領域太廣泛了，所以不可能有一個巨頭說：我的產品在所有領域都是最好的。

就算是我們耳熟能詳的安全大咖：McAfee、賽門鐵克，他們的收入在整個安全市場的占比還是很少的。我看到的是，安全的每個細分領域都有“頭牌公司”。

對於一個企業來說，它的安全需求是“分散化”的，這意味著企業要搞定各個方向可能存在的安全問題，就一定會選用多個領域的安全產品。根據我的觀察，每個公司都需要5-10個領域的安全產品。例如：

內網安全：企業員工的PC、移動端裝置安全；

資料中心安全：企業的核心商務資料強固安全；

系統安全：企業各大 OA、CRM 等辦公系統的安全；

Web 安全：企業對外服務的網路安全；

等等。。。

千里之堤潰於蟻穴。對於企業來說，所有的維度一旦出現任何一個短板，它的安全性都會破碎。這個屬性就要求各個方向的安全產品之間的聯動合作，它們只有拼成一個整體，才能為企業提供最安全的服務。

2、打通日誌和API是合作的重要一步

今年的 RSA，我感受到了一個關鍵字：合作。這說明安全產業也已經意識到了，合作是至關重要的。

但實際上目前安全廠商的合作現狀並不好。

以資料日誌為例，網路、系統、主機都會產生資料日誌，把這些日誌積存剖析，才能得到整體的安全態勢。但是，目前諸多安全廠商的日誌格式、標準都不同。甚至在安全領域專門出現了一個領域：安全性記錄檔的橫向管理剖析。產生了安全巨量資料產品——SIEM，SIEM 第一個核心競爭力就是翻譯各個安全產品的日誌。

由於日誌的分散化和不統一，翻譯的做法，一定不如原生的統一格式日誌。雲是一個非常好的商機,關閉不同日誌之間隔閡的商機。在這種統一的 API介面基礎上，安全產品的聯合才能變得更容易。

作為雲端運算的服務商，我們最希望看到各大安全產品能夠在我們的平臺上實現資料、日誌、介面的聯合。這樣才能讓我們平臺上的用戶更加堅不可摧。

二、安全產品全面轉轉向公共雲 SaaS服務

1、SaaS安全服務元年

在 RSA 上觀察各大廠商主推的產品，就可以清晰地看出安全產業的發展趨勢。

以前，全球的安全廠商都在賣“盒子”；

從去年開始，有一些廠商推出了基於 API介面提供的雲化服務；

今年，大部分安全廠商都在提供基於公共雲（即一些人理解的公用雲端）的雲安全SaaS 服務。

這說明 SaaS 安全服務已經成為了一個不可逆的主流趨勢。舉兩個例子：

Fastly是一家 CDN 廠商，在今年他們開始提供雲安全產品；

QUANTIL也是一家 CDN廠商，今年同樣推出了雲安全產品。

從這一點上看，可以看出美國和中國安全發展的最大不同：

根據我的觀察，美國雲端運算發展要領先中國兩年。之所以得出這樣的判斷，是參考了SaaS服務的成熟度等級。在美國，基於公共雲的SaaS 服務已經成為了企業服務的主要形式；而在中國SaaS 服務本身都還沒起來，所以SaaS 安全服務也同樣不成熟。

但是，我堅信公共雲端運算服務是未來互連網的趨勢。我可以舉一個例子：

前兩年我曾經和Gartner 的剖析師交流，我詢問他怎麼看未來雲端運算市場上“公共雲”和“私人雲端”的比例。他的判斷是50%-50%，也就是公共雲和基於 Spark 或 Hadoop 的私人雲端各占一半。

今年我又去詢問了安全界的同行，所有人都給出了公共雲超過80%，20%私人雲端的判斷。從廠商閱聽的雲解決方案來看也印證了這樣的說法。之前有的廠商把“支援私人雲端部署”作為賣點，但是今年，已經很少有人講這一點了。

雖然一些廠商還在私人雲端方面發力，但是我認為在美國這個趨勢已經很明顯了。

波音公司，全球頂尖的大飛機製造公司，所有的核心系統都跑在微軟的雲端運算上。

當高等級安全需求的大型企業、銀行、政府系統都上了公共雲，他們經過嚴格的評定，認可在公共雲上劃出的“邏輯隔離區”的安全性。良好的示範效應會使得其他產業迅速跟進，擁抱公共雲。

2、公共雲安全產品的“天然優勢”越來越明顯

從我的角度來看，公共雲至少有三點優勢：

1）彈性擴充。公共雲可以提供無限的算力和儲存空間。

2）快速反覆運算。公共雲可以做到每天更新，快速反覆運算。如果大企業選擇私人雲端，就沒有辦法享受到最新的技術紅利，有“被幹掉”的風險。

3）資料打通。資料智慧是未來的趨勢，初期大家都玩自己的資料，未來其他企業需要資料共用剖析。而私人雲端很難和外界打通資料。例如阿裡雲正在做的城市大腦，需要同時剖析十幾個資料來源的資料，這只在公共雲上有可能實現。

說了這麼多公共雲的優勢，不僅僅因為我們所做的是公共雲端運算，而是因為當公共雲端運算成為趨勢的時候，基於公共雲的安全產品才能真正被人認可，從技術上和易用性上成為首選。

根據我的觀察，國內大的安全公司，已經把產品雲化，說明他們也非常認可這個趨勢。

三、不說“資料智能”，不好意思和別人打招呼

資料智慧是我在今年 RSA上看到的最明顯的趨勢。資料智慧在交通、金融等等方面都已經有大量的案例，安全的資料智慧也成為人人爭搶的高地。

我理解的資料智慧，包括了基於資料的機器學習服務和人工智慧。

以前，如果你的產品不叫“下一代防火牆”“下一代終端安全”，都不好意思和人打招呼；

今年，如果你不說自家的產品是基於巨量資料、人工智慧，也不好意思和人打招呼。

舉例來說：

Logtrust，可以即時收集企業各個方面的資料，並且利用資料智慧剖析即時給出安全狀況剖析；

Splunk，可以為來自任何套用、伺服器或網路裝置的資料即時建立索引，讓企業可以搜尋；

LogRhythm，通過資料智慧剖析，說明企業監測、剖析和抵抗網路威脅；

Cloudera，通過資料分析的手段，說明用戶保護自己的核心資產。

【Splunk將用戶資料同一匯入巨量資料平臺/圖片來自官網】

客觀來說，資料智慧也是技術發展的必然歸宿：

一家企業的存取量達到數億，如果靠人工來判斷每一個要求是否安全，顯然不可能做到。以前大部分人的方法是使用“規則”，把經驗寫成規則來“遮罩”非法要求。但是，隨著攻擊者的“玩法”越來越進階，傳統的遮罩方法可以被輕易繞過，安全研究員們必須找到一種“新的”“自動化”的方法來發現風險和攻擊者。

這就必然是資料智慧。

例如，知名的資料智慧公司Splunk，他們將用戶的各方面資料（包括主機、系統、Web日誌等等）統一匯入巨量資料平臺，製造出可以剖析威脅的引擎，這已經成為了產業的最佳實踐型號包。

再例如，RSA 今年的初創公司評比——“創新沙箱”大賽上，拔得頭籌的“UnifyID”，核心就是把來自 IoT 裝置的海量數居上傳到雲端，通過機器學習服務的方法決策：哪些裝置是可信的，從而辨識裝置背後的人的身份，保護系統、資料安全。

整個產業的趨勢就是：越是頂級的安全公司，越是重視資料智慧在安全領域的套用。

四、安全的“未來邊疆”和“明日黃花”

除了 RSA 上人人都在喊的方向，還有一些只有少數前瞻性公司涉獵的安全方向，這些方向一方面有可能在未來會是安全的新邊疆，但顯然在今年還沒有進入爆發期；一方面可能是一個並不正確或者尚未探明圖樣的方向。我試著對這些技術趨勢給出自己的判斷。

1、IoT安全是一個巨大的未來

有一個趨勢大家都可以看到：

遲交，人們面對的終端是PC，

目前，人們面對一個新的端：移動端，就是我們的Android 和 iPhone。

未來，人們將會面對 IoT和萬物互聯。

雖然大家都看好 IoT領域的安全市場，但是由於 IoT本身剛剛開始，所以在 RSA上自認為是 IoT方向安全廠商的人還很少。所以我認為 IoT安全的市場還沒有起來，因為 IoT本身的市場還沒辦法養活依附其上的安全市場。

但是我堅信一個判斷：

IoT市場和安全市場本身類似，都是分散化的領域。沒有一個廠商的安全方案可以把所有的 IoT安全都搞定。

舉個例子：

“汽車”這個 IoT領域最大的端，可能有專門的安全廠商只做汽車安全，由於面對的風險不同，它的方案很難完全複製到其他領域。智慧家居安全、工控機安全、醫療設備安全都是未來不同的安全領域。

這些領域非常細分，所有的方案都無法通用，另外對於同一個 IoT裝置來說，還存在不同類型的安全需求。例如：端本身的安全、傳輸程序中的認證和加密安全、雲端安全。這就造成了一個複雜的安全局面：

可能有十個 IoT安全的細分領域，每個領域又需要不同的埠和傳輸安全。每一種排列組合都需要一個細分安全公司來進行服務。

例如一些比較前沿的公司：

CovisintCorporation，可以提供多個物聯網裝置之間安全的資訊交流平臺。

CyberOwl，提供 IoT 裝置早期警示和威脅情報系統。

可見，這其中會孕育出超出想像的商機。

【CovisintCorporation 提供的安全接入能力/圖片來自官網】

2、移動安全市場並不美好

所謂移動安全市場，就是我剛才說到的以Android 和 iPhone 手機端為主的安全市場。雖然移動終端已經非常普及，但是我認為，這個市場和 IoT市場恰恰相反，並沒有很大的安全需求。

從今年 RSA 的參展商來看，做移動安全的公司非常少，總數500家企業中，移動安全公司只有個位元。這也支援了我的判斷。

我相信 99% 的 iPhone 都沒有裝安全軟體，而 Android 手機上的殺毒軟體重要性也在下降。這個現象背後有其原理：

當年之所以 PC 殺毒軟體、安全軟體可以做起來，是因為 PC 端的安全自身做得不夠好，有很多病毒。但是反觀移動端，目前已經進入了成熟期。iPhone的安全性一直水準很高，而Android 經過幾年的演進，安全性也比較高。可以說，歸根結底是因為移動安全市場沒有那麼多需求。

移動安全這個市場一度火爆，很多企業都準備大展拳腳，但是現在看來，很多企業都已經“死”了。根據我的判斷，這個市場也許並不會迎來新的發展商機。

3、CASB（CloudAccess Security Broker雲安全接入專員）將會開拓新邊疆

CASB是前年和去年剛剛興起的領域，意思是雲化的SaaS 服務中的資料安全。簡單來說，就是企業在接入SaaS 服務的程序中，可能產生資料、隱私方面的問題。

舉幾個例子：

•Salesforece 是全球最大的 CRM（客戶管理）SaaS 服務提供者，全球很多企業都接入它的系統來管理客戶資源；

•人力管理方面也有很多SaaS 服務提供者，比如之前在美國上市的Workday，微軟的幾十萬人管理都是通過SaaS 服務實現的；

•個人工作也會接入SaaS 服務，例如Office 365、各類網盤。

原來全球企業只用本地軟體，現在紛紛接入雲端SaaS，所以接入的程序本身產生了新的威脅。例如：SaaS服務本身安全性如何、敏感資訊是否越界上傳、接入身份是否合法等等。

面對這種威脅，一些安全廠商投身于此，例如：

CipherCloud，提供全套的雲端加密、監控、秘鑰管理服務。

Skyhigh，提供對 Office 365，Salesforece 等知名 SaaS系統進行安全保護的產品。

CloudLock，可以對所有購買和自建的雲端套用實施安全保護。

【Skyhigh產品適配的部份軟體】

就國內廠商來說，360 今年也發佈了 CASB 方面的產品，意在提前佈局市場。CASB的市場將會很廣闊，但是根據我的觀察，國內SaaS 服務的市場不超過 10億，很多公司還沒有使用 SaaS 服務，所以在國內現階段推出 CASB 產品，也許有些為時過早。

就全球來說，CASB也在成熟程序中。有一點可以作證這個觀點，那就是CASB 產品的形態還在一直變化。

目前大量的CASB 都是基於SaaS 服務商（財務、客戶、辦公）提供的 API介面來做的，根據SaaS 服務商的資料來做剖析，這種方法嚴重依賴 API的成熟度等級和完整度。如果SaaS 服務商本身提供的資料就不完整，CASB的監控能力就會很差。

基於此，今年有一些安全廠商選擇通過流量剖析的方法來追蹤資料。因為企業員工上網一定會通過網路介面，實際上在介面處的流量相對更加全面，所以最新的產品形態是：CASB廠商通過網路介面流量進行威脅剖析，試圖更完整地解決問題。

4、威脅情報、UBA、安全運維自動化

除了以上比較明朗的技術趨勢外，還有一些更加細分的領域。但是在我看來，這些細分領域並不是產品的最終形態，而更像是面對安全廠商的技術。

1）威脅情報

威脅情報不應該面對終端使用者，應該面對安全廠商。我認為終端使用者用不了威脅情報的資料，這些資料應該由具體的安全服務廠商進行剖析之後，落實到具體的產品中，才可以為用戶所用。

例如，威脅情報可以用在巨量資料剖析平臺、WAF、終端安全、資料安全等等產品上。

據此，我認為直接面向終端使用者的威脅情報可能走不通。

2）UBA

UBA 全稱是用戶行為剖析（user behavior analytics），簡單來說就是從企業使用者的角度來入手，通過剖析用戶的一般行為，對用戶的安全等級進行標注，一旦感知到異常行為，就可以進行通知。這種技術同樣可以套用在安全產品之中。

3）安全運維自動化

安全運維自動化，是一個更激進的安全管理形態。顧名思義，這種技術想要實現在無人值守的情況下進行自動安全運維，目前這種技術仍然處在初期階段。同樣，這也不是一個產品形態，目前，有一些運維自動化的方案已經出來，但是在後期可能會和具體的產品相結合。

五、冷清的中國展臺，我們長路漫漫

今年的 RSA，有來自中國的 30家安全廠商，包括華為、360 在內的大廠商，還有很多中小廠商。但是一個普遍的感覺就是：中國展臺很冷清。

我覺得原因在於，中國的安全企業商務沒有全球化。簡單來說就是，安全產品沒有賣給國外的使用者。

這其中又反映出中美安全廠商的不同點：

•美國的安全廠商，一個公司通常只做一個領域的產品。例如美國廠商Rapid 7，它只做“弱點管理”這一項商務，非常專一；例如 Palo Alto Networks，就是防火牆做得最好，它的核心能力就是“流量解析”。

•中國的安全廠商，一般會覆寫很多安全領域。國內的 Top安全廠商，沒有二三十個產品都不敢和別人打招呼。

究其原因的話，很重要的一點應該是：中國市場還沒有形成足以養活“專一”安全企業的級別。受限於目前的市場級別，所以國內的安全市場是“銷售主導”。也就是說本來客戶就這麼多，但是企業要多收錢，所以只好開發出其他的產品。

當然，市場最終拼的是能力，而不是銷售。如果一家廠商未來要做到百億美金的安全公司，至少有一點要做到“全球最好”。而在一點上做到最好，顯然就不會有其他的資源和精力去做其他領域。

以阿裡雲安全為例，我們的核心任務就是把平臺的穩定性做到最好，據此我們最需要的底層能力就是“抗 DDoS”，所以在抗 DDoS 方面，我們的能力就要做到全球最好。至於其他商務，我們會和全世界最好的 IoT安全公司合作，和最好的資料安全公司合作，和最好的Docker 安全公司合作，和最好的威脅情報公司合作等等。

對於中國安全企業來說，做到某一個點的全球最好，仍然前路漫漫。中國企業展位元門庭若市的那一天，仍然需要我們共同的努力。

小結·採訪手記

中國頂級安全公司紛紛出海，但是肖力卻冷靜地看到了我們某種程度的“自說自話”。這種冷靜可以解讀為一個安全研究員的職業直覺；從另一個角度來說，認清我們的優勢和劣勢，正是攻城掠地前的寂靜。

公共雲 SaaS 安全服務、安全資料智慧、IoT 安全、CASB，是肖力熱情讚頌的四座高地。這四個領域有著一個共同點，那就是在現有基礎上，賽博世界的元素（服務、資料、終端）更密碼編譯集、頻繁、安全地串連。

幾十年前，從全世界第一台電腦接入互連網開始，我們就在期待每一個新的賽博世界的子民。而當億萬裝置裹挾著重若泰山的資料向我們的互連網點頭致意的時候，我們需要有足夠的自信，給它們安全的承諾。據此，肖力的洞見，值得玩味。

相關產品：

1. 阿裡聚安全
2. 伺服器安全(安騎士)
3. 移動安全
4. 雲端服務器ECS