访谈｜青藤云安全的安全观：持续监控与开放平台

青藤云安全上周在北京发布了其新品——青藤万相·主机自适应安全平台。

青藤云安全在市场方面的声音一向不大，四年来一直潜心打磨产品。但作为一家代表着新兴网络安全技术方向，同时作为安全领域首家B轮融资 2亿元 的初创企业，其扎实的技术和创始人张福的低调务实，很早就受到了安全牛的关注。在其新品发布之际，张福再次接受了安全牛的采访，从公司创始人的角度，清晰的阐述了他对企业的发展理念和对安全的深度思考。

青藤云安全创始人 张福

一、 由外及内 安全走向精细化

安全牛： 自适应安全的概念是你们首先在国内提倡的，前几年我只是大概了解青藤的产品，很少在市场上听到你们的声音，现在是否能谈谈你的技术理念和对安全的看法？

张福：之前的确市场上很少发声，因为这几年集中了所有的资源和人，主要心思在打磨产品上。如今已经积累了不少的客户，反馈也普遍很好。倒是可以静下心来聊一聊了。

谈到看法，首先我认为，目前的很多安全品类在未来会慢慢消失或者淡化，最主要的原因是保护对象产生了变化。国外这几年一直在讲去硬件化，其本质反映的是一种敏捷的理念。因为产业互联网化，业务数字化之后，在云环境下讲的是DevSecOps（敏捷开发与运维），因此安全也要相应变得更加敏捷和高效。

再者，全球安全的大趋势，是从边界往内部走的。比如，最近几年很火的微隔离。从服务器到虚拟机再到容器，甚至是业务单元。安全变得更加精细，效果也变得更好。再比如，谷歌提出的零信任网络，本质上也是一种细粒度的安全。不再以网络区域划分，而是细化到以实体为单位划分。一个人在一家公司能访问哪些资源，能有哪些权限，不管是从他是从哪里来的，安全体系认证的是实体，而不是笼统地把办公网和业务网一分，互联网和本地网简单的隔离开。所以，未来安全的核心位置会从网络挪到服务器，云化后就是虚拟机、容器、工作负载或业务单元。

安全一要软件化，二要平台化。客户最希望采购的不是安全产品，而是安全能力。

各行各业都在数字化，因为业务运转效率是核心竞争力。比如银行，以前更多拼网点，现在拼谁的数据更完整，谁基于数据的算法更好，数据+算法形成新的生产力。这些数字化的资产，核心的业务系统的正常运转，才是最重要的保护对象。

所以在国内不论是做SOC还是做态势感知的厂商，谁跟我们公司合作，他们的产品就会成为国内最好的产品，因为这些网络安全的产品，不管是抗D、WAF，还是防火墙、IDS/IPS，大家的能力都差不多。但我们能够提供核心的识别能力，则是网络安全（编者注：指Network Security）厂商所不具备的，两者一旦融合之后效果一定会出类拔萃。比如，Palo Alto这个防火墙厂商的都要做Agent，思科也不例外。没有Agent，安全能力就会落后别人一个层次，因此一定是未来的主流，这应该已是业内的共识。

二、Agent的优势：敏捷、高效

安全牛： 这就又回到技术上来了，我们知道你们要在服务器上或虚拟机上装Agent，因此资产盘点会非常方便，尤其是在服务器非常多的场景。能否进一步讲述一下Agent在资产方面的优势所在？

张福：举例来说吧，假设某用户有一万台机器，上面跑了哪些应用系统，这些系统是什么样的版本，有没有漏洞，有没有引用第三方代码，配置管理又可能存在什么样的问题，等等这些信息资产的清点是最痛苦的事。人工填报，程序排查，扫描器扫，不仅费时费力，效果也不会很好。但上了Agent之后，整个过程可以完全自动化，反向生成信息资产库，再也不需要依靠传统的靠人做配置管理的CMDB（配置管理数据库），无论云主机、云应用再怎么弹性扩张缩减，都可以做到自动梳理、一清二楚。

安全牛： 除了资产的自动化管理，风险发现更是安全产品的重中之重，相比于传统的漏洞扫描，Agent的优势又有哪些？

张福：传统的扫描器最大的问题就是误报，因为扫描器依赖扫描banner进行版本的比对。很多情况下，已经打补丁的系统Banner的版本号是不变的。还有一些更复杂的问题，如开源软件，在被各发行厂商修改发布后，各种版本纷繁复杂，因此根据版本判断漏洞误差太大了。

安全牛： 较新的扫描器已经集成了POC（漏洞验证）和EXP（漏洞利用）来减少误报。

张福：是的，但很多漏洞是POC不了的，即使国内最好的漏扫， POC的数量也就几千个，与漏洞数量不成比例。而且POC有风险，EXP就更加危险了。如果装上Agent之后，不管是什么系统、版本，还是补丁、配置，判断就准确很多。另外，与资产清点同理，范围越大优势越明显。当机器到上万量级，用扫描器一遍一遍的扫，先不说占用多大资源，只是扫完这些资产，会花多少时间？而利用Agent分析十台服务器和分析一万台服务器耗的时间没什么差别，几分钟即可，即敏捷又高效。

还有一种情况，某些种类的漏洞扫描器很难扫描出来，比如ImageMatch漏洞，上传图片服务器就会执行代码。这样的漏洞扫描器是根本扫不到的，只能检查是否安装了这个软件包，然后敲个命令看看能不能执行，这种验证操作非常粗糙，有时也不可靠。

三、基于攻防为主的安全理念已经落后

安全牛： 之前听你谈过，有些想法可能与传统的攻防思路不一样。其实业内许多资深人士也已经认识到，没有攻不破的系统，未来的趋势是注重检测、分析与响应，从基于规则走向基于行为。你是怎么看的呢？

张福：是的。以前主流的安全理念特别强调防御和控制，强调对攻击方或黑客的认知。典型的说法就是“不知攻，焉知防”，比如最典型的IPS、WAF，其识别和拦截能力取决于对黑客的认知。但这种方法并不靠谱，任何一家公司不管是安全公司还是企业，对黑客的认知永远是有限的、被动的，是去拿有限的规则和资源去对抗未知的无限的攻击手段，在方法论上就已经注定是落后的，被动的。

如何改变这种情况呢？需要对自身系统的透彻的认知，达到了透彻认知的适度，就无需担心黑客，不需要了解他利用什么样的漏洞，也不需要了解他使用什么样的工具。

安全牛： 达到这个地步恐怕很难吧？

张福：这里面其实有一个本质上的思考。安全一定是从产品售卖走向持续的运营服务，即持续的监控和分析，响应，不再是卖一个产品，不再是替客户运维这些产品。而是一种主动的、根据各种指标做持续监控，一旦有问题快速处理，这样可以改善以前传统安全领域巨大的问题。

防御和控制的落地很难，因为谁都不愿意被层层围起来、被控制，这种安全理念是跟人性、跟业务的发展相矛盾的，因此注定会被人性和业务强力制约，只有和它们不相悖的时候才能共同发展。真正符合人性的安全方法论，应该把资源和精力投在认知自我上，把理念从防御、控制、拦截，转向持续的监控、分析和快速的响应。做到了这一点，安全就是“润物细无声”的，对客户来说是无感的，因为只是在监测，就像在人体内植入了很多传感器，随时监控体内的各项指标，发现异常立刻做出诊断和治疗，不给疾病发展严重的机会。

我一直在讲，安全和医学的发展非常类似，以前安全是想把人层层保护起来，而未来的大趋势，要能够像医学一样可以监测身体内部的各项指标，只要发生异常变化就进行分析和处置，并结合大数据和机器学习技术，越来越敏捷，越来越前置。终极的安全是，不再关心是什么样的黑客，利用什么样的漏洞，什么样的工具，只要有攻击迹象就会发现，只要发现就会进行分析和响应处置。

四、风险控制体现安全的价值 CWPP是未来

安全牛： 现在的数字化环境造成无数的攻击面，不仅极易发生安全事件，恶劣影响的传播速度也是前所未有，因此要求更高级别的识别能力和更快速的响应时间，也因此才能体现安全的价值所在。

张福：衡量安全价值最顶层的指标，其实就两个。第一个就是风险值，但由于谁也无法将其做到最精确，因此最科学的就是衡量风险的变化。如果风险是在逐渐收敛的，或可控范围内的，安全团队的工作就是有意义的。第二个指标就是响应速度，当出现问题的时候，多久能发现，发现之后多久能把损失搞清楚，攻击的来龙去脉是什么，这种能力最能体现安全的价值。

所以，想要衡量风险，要做到够真正的识别和响应，Agent的重要性不言而喻。青藤的Agent观测的并不是黑客的攻击特征或者是用了什么工具，而是通过持续的学习来总结用户信息系统的规律。比如有哪些IT资产，哪些资产和哪些资产是有关联的，机器上哪一个程序代表了哪个业务，跟另外一个机器上的应用连接代表了哪个业务等等。

安全牛： EDR不也是可以在端点上做这些事情吗？

张福：不太一样。虽然未来三五年，EDR和CWPP（云工作负载保护平台）是最有前途的两个细分领域，但许多资深专家包括Gartner分析师、全球知名安全厂商的首席战略官、首席技术官普遍认为，CWPP会更有前途。因为EDR面临着传统终端安全厂商的即有优势竞争，CWPP不一样，全球绝大部分服务器没有安装这样的Agent。而且，Agent一旦部署进去，占据的是安全的最核心位置，不管是做机器学习，去把规则变得更好，还是要做联动响应和处置，更加高效率的运营，都离不开服务器或主机侧的能力。

至于EDR，更多的是在终端设备上，我认为它在经济层面的意义不大。因为未来的新经济也好，新零售也好，都离不开数据和算法所产生的结果。这个结果是在核心业务系统上计算的，不是在终端。这些数据的计算产生商业价值，我们只保护最有价值的东西，既不覆盖PC，也不管IOT设备，我们保护的是整个企业未来的核心命脉，即企业用户的数据和算法所带来的新的商业价值。

五、放弃对抗模式 层层结网

安全牛： 谈到主机或服务器，以前很多安全公司都在做HIDS（主机入侵检测），而且很多有实力的大安全公司，也完全可以切入到这个细分领域，青藤又怎么看待这种竞争的可能性？

张福：HIDS实际上已经失败，因为客户很难接受在关键业务服务器上装这种即占资源又维护困难的Agent，更何况业务挂了怎么办。而基于攻防对抗思维的大安全公司，很难去做这个产品。因为对抗是有代价的，所以兼容性和稳定性问题是端点安全最大的障碍，很可能会带来严重后果，顶多有客户容忍在办公终端PC上这么干，但这还是EDR的概念。

基于对抗思维的公司，是要Hook底层驱动的，因为对操作系统控制的更深，才更加有对抗黑客的能力。

安全牛： 对抗思维需要和操作系统底层驱动结合的很深，因此很难部署在关键业务服务器上，那你的解决思路是？

张福：我的思路是放弃跟黑客对抗，或是说不需要跟黑客在攻防技术做深层次的对抗。青藤的安全理念就像许多张网，虽然每张网上都有很多洞，但很多网层层叠在一起的时候，再小的鱼也漏不过去。这些网其实就是指技术指标，或说一种业务规则。当黑客在系统内部活动的时候，网就是他的障碍。每一张网不需要做得滴水不漏，只要保证整体协调下来的层层叠叠的网络是穿越不过去的，就可以了。

放弃掉对抗思路之后，就不需要对系统做什么更改了。我们的Agent不需要给操作系统安装任何的驱动，对整个系统都是只读的，不写入。因为只是观测，并不需要改变。我的目的不在于防得多好，或者控制得多死。我们只要能够发现就能解决问题，因为黑客最怕的不是花了多大的代价去阻挡它，大不了多尝试几次，黑客最怕的是被发现。

安全牛： 但如果大厂转变思维定式，岂不是也很容易做成这样的东西？

张福：思维定式不是那么容易转变的。而且，我们已经有时间和资源上的先发优势。目前已经有了上百万行代码，填平了大量的“坑”，积累了上百家客户。我们做的每一个功能，都充分平衡了功能和性能，性能里面还要区分在Agent上跑，还是在服务器上跑。这些技术与经验积累，即便是互联网巨头公司拉一个300人的团队去做，哪怕不像我们用了四年，但至少两年时间也是需要的。而且关键在于，对产品内在的逻辑缺乏深刻理解，很容易做着做着就脱离核心逻辑，这样产品的能力和竞争力就会难以维持。最后，互联网巨头是以其主营业务为核心的，不可能在方方面面都投入足够多的资源。

六、做网络安全领域的“安卓”

安全牛： 国内具备较大规模的安全提供商，可以粗分为网络通信设备厂商、传统安全厂商和大型互联网公司，作为安全初创公司，面临的竞争压力无疑是巨大的。在解决了生存问题之后，则面临着未来的发展，青藤的企业战略是什么，或者说青藤的愿景是做成一家什么样的公司？

张福：我们公司的终极理想是做安全领域的安卓。目前国内的安全还是比较封闭，每家都抱着自己的利益，打来打去。我的想法是，等企业经过多年的商业沉淀，整个产品的技术核心基础到了一定水平，就把产品开放出来做平台，所有的安全场景都基于这个平台。

安全牛： 你的意思是如同安卓本身不赚钱，赚钱的是上面的应用？

张福：是的。而且平台有两种模式，一种封闭式的，一家独大。另一种是做共享社区，开源模式。

安全牛： 如同苹果iOS与谷歌安卓，微软的Windows和GNU的Linux。

张福：对。国内的某大型安全公司也在这样做，但它凭借的是雄厚的资源和实力，试图来做All in one 式的解决方案。对于青藤来说，则希望把解决方案的核心平台做好，使得任何厂商都可以跟这个平台结合在一起，让大家的安全能力能够流转起来。

我是做安全攻防和运维出身的，一路走过来，有许多切身体会。安全工作落地最大的困难其原因无外乎两个，一是强调防御和控制，方法论上就有着天然的劣势。二是人才匮乏。两者造成安全成本居高不下。我的解决思路就是平台。

通过平台底层的技术框架，把上层的解决方案统一起来，去除安全能力流转的门槛。某客户对某个问题的解决手段和经验，形成可以被其他用户复用的 工具 或方案，不再需要经历同样的分析研究过程。比如处置挖矿或勒索病毒，一万家公司都要经历同样的流程，能够复用的话，就可以把成本史无前例地降到最低。更重要的，随着经验能力和工具在平台上的沉淀，对人的要求就会降低，一开始需要安全专家，后来需要素质高的毕业生，再后来稍具专业知识的人都可以使用。

安全牛： 做平台还可以在某种程度上解决安全市场碎片化的问题。

张福：中国的安全产业两三百亿的年收入，排在前列的公司才一、二十亿，碎片化的原因就在于过去用户主要是遵循合规来应付检查，谁关系好就买谁的产品。但是现在客户对安全的需求越来越大，对效果的要求越来越高，需要真正的价值，光靠关系是不行的。所以，对于没有核心技术的公司来讲，未来几年就是生死存亡的几年。

青藤的平台是一种按年付费的模式，不仅能够跟客户一直保持关系，并且收入也是源源不断。往后看七八年，如果我们的道路走得正确，就能够覆盖中国绝大部分的服务器，哪怕是只覆盖一半，也成为了平台型的企业，即使覆盖5%到10%，也足够成就一家独角兽或是上市公司。

我始终认为未来在安全领域会产生年营收过百亿的公司，而且毫无疑问，整合是必经之路。有的公司靠着强大的资源、资金能力，在强行整合，但这不是唯一的道路。我理想中的道路不是强行统一，而是通过和别人真正合作，通过共赢来实现目的。这也是我们要做安全领域的安卓的最大意义。

附：青藤云安全时间线

2014年，公司成立，并获天使轮投资

↓

2015年，推出青藤自适应安全架构，A轮融资6000万元

↓

2016年，首次获《中国网络安全企业50强》最具潜力初创企业推荐

↓

2017年，首次入选Gartner全球安全指南（CWPP领域）

↓

2018年，B轮融资2亿元，并于近日发布新品青藤万相

安全牛评

如果说自适应安全、PPDR模型是青藤云安全的技术标签，那么专注与务实则是这家初创公司的形象标签。创始人张福在本次采访中提出两个重要理念，一是弱化对抗思维，强调持续监控。二是提倡平台模式，整合安全，降低成本。无一不是基于实践经验和深度思考得出的精华结论。实际上这两种安全理念，也已经得到了许多资深人士的支持，并正在业内形成共识。

相关阅读

这家初创公司做自适应安全

青藤云安全B轮融资2亿元

以不变应万变：青藤云安全的自适应

持续监控与分析：黑客攻防的以不变应万变