刘霖:各位领导,各位专家,大家上午好!
我是北京天空卫士网络安全技术有限公司的CEO刘霖,刚刚很多专家还有我们的一些前辈都已经讲了很多非常重要的内容,我想可能让我讲的时候,我就少讲一点我们的产品,多讲一点这个行业里的故事。我本人之前在跨国公司工作了差不多十五六年,最后在创业之前的一份工作是一家国外的安全公司在中国的业务负责人。非常感谢网络安全大会能给天空卫士这个机会和大家汇报一下我们对安全的一些看法和UCS,就是统一内容安全技术的一些情况。
我们讲的第一个小故事,我们可以看一看,因为在云时代,传统的信息安全技术面临着巨大的挑战,传统的信息安全技术面临着来自互联网新的威胁。我们看看这个例子,这个图可能很多专家都很熟悉,这是美国非常著名的爱因斯坦计划。美国人在这个方面已经花费了60亿美金,但是那个系统现在突然被证明是不安全的,中青在线在去年的6月做了一个报道,美国联邦认识管理局有400万联邦雇员的个人信息被攻击了,美国广播公司专门报了这个事,美国的媒体都在讲,花了这么多钱怎么还在出事?你这个东西究竟做得怎么样?很快美国国会在2016年的GAO,专门做安全评估的办公室给了一个报告出来,这个报告下了一个结论,就是我们标题上的,就是花了60亿美金,还不能安全的安全网络。因为这个安全网络面对APT攻击,面对新的安全威胁的时候,没有什么特别大的完全能解决的效果。其实很大的原因是因为他使用了太多传统的安全技术,没法应对现在新的安全威胁。
所以我们看到一个有趣的现象,就是很快加了一个盖子,美国第三大军口商,也是一家上市公司,跟美国国土安全部签了一个10亿美金的订单,这个订单其实是最近几年在安全圈里面全球最大的单一订单。这个订单就是给原有的系统,爱因斯坦系统加一个盖子,防护APT攻击,防护针对美国联邦政府各个部门的数据窃取。我们看到这张图,我今天所有得到的信息都是从互联网上公开拿到的,绝大部分都是在国内的媒体上我们可以直接获取的。我们可以看到这张图里面,实际上就是这10个亿美金大致的技术组成部分。我们可以再看一看,在它的右手边有很多技术,就是我们称之为叫统一内容安全技术,有包括Web安全的,包括邮件安全的,包括Mobile安全的,再包括我们今天会讲到的重点,数据防泄漏。
刚才我们谈到的是你要跟互联网连接就会面临的风险,但是是不是不跟互联网连接就没有风险了?就没有新的威胁可以影响到你的工作?不是的。我们再看一个全世界最大的内网。因为我在国内老听到很多朋友讲,我们跟外面是完全隔离的,我不需要考虑互联网的安全技术和威胁,其实这是不对的。全世界最大的内网我们可以看看出了一些什么事,因为我们认为这个世界上没有真正的内网,只有一张网,那就是互联网,没有绝对的内网安全。我们可以看一看,刚刚这张图是美国最大的一个军事内网,叫JWICS,最左边是DOD下面专门负责信息安全和信息建设的网络局,是一个工作图。右边是一个无人机的内部控制图,这张PPT其实主要看文字大家就可以明白了,就是说即便是作为一个内网,只要你是一个跨空间的,那么你的网络就会不安全,这个事情早就已经发生过了。外部的攻击要想进入是有非常多的方法的,刚刚我们也听到一个专家讲过,如果是这种带有政治目的和军事目的的攻击,其实这个内网是很脆弱的。第二层就是完全什么都不连,是不是也可以没有问题呢?“曼宁事件”就是一个很好的注解,也不行。如果里面的人要想把东西有权限,职位高的人想把里面的东西拿走,你没有办法去防备。在去年1月份,美国国会2015年的GAO计划里面说,他们的系统是达到了最低的安全标准,包括去年9月份,他们的部长专门讲,网络这个东西,我们的防御能力还很差,实际上就是存在着大量的数据泄漏的风险,而目前他们没有很好的解决方法。
刚刚谈到的都是政府和军队的,那么对于企业来说是不是这样的威胁没有那么可怕?或者增长没有那么迅猛呢?也不是。对于企业来说信息安全就是数据安全,为什么这样说呢?我们可以看一看从标准普尔50强所掌握的无形资产,数据资产的部分已经变得非常高了。整个攻防为什么会朝着这个方向?因为这都是钱。全世界最大的安全泄漏防护的报告实际上是Verizon做的。这个报告的数据能显示,其实攻防,包括APT主要都是窃取你的数据,如果这个企业不能保护自己的核心资产,也就是数据资产,那么你的安全,你的系统做的再强,只能给犯罪分子提供快速获取的通道。
我们看到这里面有一个有趣的数字,就是2013年到现在,其实全球的这种网络犯罪,特别是数据窃取在不停的增加,最大的损失会到多少呢?会接近一个亿美金。我们大概估算了一下,其实按照今年统计的数字,每一笔如果说数据泄漏我们认为是10万美金的话,其实这个损失已经在全球高达100亿美金了。所以我的一个老师当时专门跟我讲说,世界一千强就分两种,一种是知道自己有事,一种是有事但是不知道。作为一个最好的例子就是Verizon自己也出事了,我们看到今年3月份,Verizon自己做了一个披露,就是它有150万的用户数据被黑客拿走了,而且这个黑客公然在网络黑市上叫卖,10万美金就可以把这150万用户卖出来。肆意我们可以看到,在这一块攻防的确像刚刚一位老师讲的,变得异常的激烈,因为大量的资源和财产都在被数据化。
我们刚讲完这些,再讲一个老故事。这个故事就是说,安全公司是不是就可以不会出这种问题?其实也不是。2010年的时候,在美国的国家安全实验室有一帮工程师收到一个邮件,这个邮件实际上是被他的安全系统过滤了以后,认为可以被进来的一个邮件。这个邮件说你好,我是一家猎头公司,我有一个非常好的职位,描述是怎么样,薪水比你现在高多少,你有没有兴趣加入,你要加入的话点一个链接就可以看到我们详细的介绍,这个其实就是APT攻击的典型。我先在网上找到你,然后给你一个诱饵。的确有人会点,因为这是一个很正常,很现实的事情。他点了以后,立刻就会跳转到一个恶意链接上面,这个恶意链接其实被定向的做了一个排查,看他用的这些APP本身有没有漏洞,有就直接被恶意注入一个程序,这个程序开始跟后台通过正常的访问建立一个链接,然后开始去控制这台机器,把这台机器能够拿的数据都传回去,分析完了以后进一步攻击。传统的安全设备都是看不到的,因为传统的安全设备不看内容,只看端口,他只要伪装成正常的访问就完了。等到黑客干完了这个活以后,抹干净了退出来了,这个安全公司是什么都不知道的。但是半年以后,他发现不得不披露了,为什么呢?因为他的客户,美国现在最大的军火商,生产F-35联合战略攻击机的洛克希德马丁公司,他们也是一个上市公司,他存放F-35联合战略攻击机的服务器被黑客入侵,黑客使用的所谓的访问动态的令牌口令都是合法的,但是在最后一个环节被拦住了,因为发现这个黑客不是来自美国本土,是美国本土以外的访问。他们出现这种问题,由于因为黑客把这个令牌技术破解了,他们使用的技术就是RSA的技术。所以RSA在2011年的时候,他也不得不讲这个事情,他发现的确被人APT了,而且还不能确定是谁把他APT了。但是毫无疑问,有可能他的令牌技术是被泄漏了,因为不知道究竟拿了多少东西。所以我们突然发现,特别是很多在外企的朋友,很爱在国外的银行开户,我原来都会用花旗和汇丰的,会突然接到一个通知,说你的令牌我得给你换了,后来我们一查才知道,是RSA自己出了问题。所以RSA前任的,对中国非常亲近的老头就提前退休了,他的CEO换了一个从美国国安局过来的人。这个对于RSA的损失是巨大的,因为光换这个东西就花了将近一亿美金,更不要说对企业的损失了。
我刚刚讲的这个故事就是跟大家分享,如果你没有这样足够的安全意识,其实这个很多时候不是安全技术,而是管理意识,如果不够强的话,即便是安全公司自己也会出这样的问题。另外攻防一定是非常激烈的,如果你不能使用最新的技术,那么你的东西又非常值钱的话,其实你是暴露在犯罪分子的直视之下的。
APT攻击我们通过这个故事给大家介绍完了,其实全球有很多防范APT攻击技术的国外公司,但是我们发现都有一个问题,就是他们都做的不完善,即便是以赛门铁克为例,他要防范APT攻击,需要至少三套技术整合,而且有的技术非常弱。比如说针对Web安全防护的,所以赛门铁克前几天宣布他们46.5美金收购Blue Coat公司,但是仍然不具备全体的防护,我们说全体的防护技术,统一内容安全技术,目前天空卫士是在中国唯一掌握这个技术的公司。
我们再回头看一下,刚刚谈到的都是特别细的技术,再看一下展望的方向。我的很多老师都会跟我谈新一代的安全,因为这个跟传统的安全真的不太一样。传统的安全我们都是基于端口、协议、特征码、口令或者说强制性的一些行为。新的安全技术不是这样的,它正在被颠覆,是因为新的安全技术是基于大数据,基于机器学习,基于智能的内容分析,甚至有很多人他原来都不是安全圈的,但是只有这些技术能够解决我们现在看到的威胁问题。
我们看到现在大家所谈的最热的大数据安全,毫无疑问是新的接下来整体大家看到的安全发展的方向。但是大数据安全里面最重要的两个部分,第一是对行为的分析,第二是对内容本身的实时智能的分析,其实都需要我们所看到的技术,就是统一内容安全技术来做支撑。我们看到统一内容安全技术其实跟传统的安全技术不一样,是因为它只去关注你的应用和内容,它不关注你本身的基础安全。因为基础安全大家都做得很好,而且我们看到出问题的公司和单位,在基础问题上的投资都非常巨大,没有什么问题。但是攻防在演进的过程当中,一定要有新的手段。对于传统的安全网络来讲,统一内容安全技术是一个极其好的补充和提升。统一内容安全技术里面第一个重点就是数据防泄漏技术,这种跟我们传统使用的加解密完全是两回事。因为出现“曼宁事件”以后,美军全军在三张大网上面都部署了这个DLP,700万台的主机安全都是用这个东西现在来覆盖。坦白来讲,那个系统在我们圈里来看是做得比较烂的,所以他们才老出事。关于详细的情况大家可以在网上查或者找我们要,这些都是公开的资料。
跟大家报告去年,去年11月12日我们在钓鱼台已经发布了第一款真正的国产内容安全里面的DLP产品。我们为什么要首发DLP呢?其实有两个原因。从技术本身来讲,它是APT攻击的最后一道防线,目前找不到其他的解决方案,因为丢不了。即便是银行的行长,也不能随意把金库里面的钞票拿走,因为制度是不允许拿走的。第二就是内部泄漏最后的一道防线,不管你是内部的高管还是伪装成内部高管的犯罪分子,而且可能还有一个问题,就是我刚刚讲过,原来一家美国的安全公司做业务的负责人,UCS这个公司在国外已经掌握了很多年,在中国很多大型企业都用了。这张表上有很多企业都是我销售的产品,特别要强调的是,国内的很多安全公司,他自身在使用这样的技术,特别是数据防泄漏技术,在保护他的核心数据、源代码、科技文档。但是我们知道,就像我原来所在的公司已经被圈内最大的军火商收购了,其实这个本身就是不安全的。所以我们急于推出的技术,就是要解决国内企业现在所面临到的这个窘境,我们不能只一套一个不可控、不可靠的技术来源。
我们从去年11月12日发布以后到现在,我们整个研发都铺在新的产品上,这个很快7月份我还会在钓鱼台做发布会,这个产品的发布也都已经出来了,就是针对各种基于云的DLP的解决方案。原因很简单,因为我们发现DLP这个产品其实原来是被国外的公司所垄断的,价格都非常昂贵。中国有6千万中小企业,其实他们都有非常多的数据,长三角、珠三角的很多工商都要保护他的数据,但是资金不够。我们现在会推出云的DLP方案,让中国的中小企业有权利使用到这些先进的技术来保护自己的数据资产。
DLP技术不止是UCS的全貌。其实我们可以看到,有很多针对行为的分析,行为威胁的排查。这个不是简单的一个技术,其实它最早的源头,现在在美国唯一一个没有上市,但是估值超过200亿美金的独角兽公司,他们都是从黑帮出来的。有一本书叫《零到一》,里面简单的提到了,我今天在这里不多讲了。我们相应针对内容分析以外,针对行为分析的很多技术,我们跟它是同源的,这也是我们看到的美国国土安全部,就是DHS加到盖子里面的那一块,除了UCS以外目前看到的东西,其实它的技术含量非常高。但是我们非常欢迎跟中国的同行,包括很多专家前辈,我们一直来研讨这个东西。即便是DLP本身也是在演进和进化的,我们看到这些都是DLP的细节,在这里就不过多讲了。
我们做云DLP的同时,我们对整个DLP技术还有很大的提升,也就是说没有什么东西是中国人做不了的。我们可以跟其他的安全设备进行联动,我们不会像国外一些掌握这种技术的公司,像AWS非常想跟这些国外做DLP的公司在云上做联动,他是不同意的。因为他认为用户不能掌握在他自己手里,如果跟云公司合作,生意就会被颠覆了。我们不怕,因为对我们来讲,我们是希望中国的网络世界变得更安全。很多管理者本身是不太看信息安全细节的,因为太复杂,看不懂。我们针对中国的老板们也推出了,用手机就可以简单的看到你的DLP,你的数据防泄漏有什么问题,发现什么问题,你花钱是可以花到实处上的。而这种其实我们发现在国外的公司,我们说了很久都不可能做到,因为他不能理解这种对中国用户的需求。
还有一点就是DLP技术最重要的是拦截,不只是当监控头和监控器。有很多人DLP上来以后就是做一个监控,看看有没有违规事件发生,实际上真正出大事的时候就是你拦截他的时候,否则像斯诺登那个事,等暴露出来的时候再查的时候就很晚了。但是高可靠的拦截是需要高强度的性能,包括很多国外的DLP厂商不敢承诺拦截,或者是要求先在旁边监控试试,就是因为它的性能太差。因为原来DLP技术有太多基于智能分析的东西,不是像我们看到传统的很多基于端口协议特征码的技术,都可以固化到芯片上,这个技术太复杂,基本上就是靠强的运算能力和隐形,隐形做得差,再好的资源都用不上。我们至少比国外厂商的性能提高五倍以上,在这个地方我可以负责任的讲。有很多中国公司原来采用国外技术的时候,他要花很多钱,现在我们这种冤枉钱是可以不用花的。
最后稍微说一下为什么我要做这家公司。我们做这家公司是真诚的对待用户合作伙伴的,我们有三个原则:第一产品不非法使用集成的第三方软件,绝不盗版,绝不破解,我们跟合作伙伴合作是真心诚意的,用了你的技术是会付费的,无论是国内还是国外;第二我们不会把用户当小白鼠;第三不会为了测试而测试。为什么要做这家公司呢?也很简单,就是我们认为,中国人在全球的信息安全领域不是只能在硅谷做码农,不是只能给人家当工程师,而是可以去引导他们。两弹一星我们都能研究得出来,信息安全领域我们可以做领导者,我们有能力可以成为领导者。
最后稍微打一下广告。我们现在会有一个试用计划,而且这个试用计划就像我刚才所承诺的提升品质,在这个里面我们也可以看一看,这个计划对于我们来讲是有偿的,我们对我们的产品很有信心,所以借助今天的大会我们宣布,我们这个试用计划是一个百万奖金的计划,欢迎试用单位来挑错,我们最高可以给很高的奖励。我们的展位在T2,如果有兴趣参加我们活动的朋友们可以到我们的展位或者跟我们的具体负责人联系,或者给我们发邮件进行联系。我的演讲就到这里,谢谢大家!