绿盟赵粮：今年RSA大会最关注“安全有效性闭环”的实战经验

为期5天，备受全球网络安全行业瞩目的2019RSA大会，已经从本周二（美国时间3月4日）开始在美国旧金山市莫斯科尼中心举行。

作为未来一年安全行业技术和商业发展的重要“风向标”，厂商和媒体对RSA大会的热情和关注，今年也有明显提高。据安全牛统计，2019年RSA大会的参展机构总数，各国均有明显增加。仅中国今年的参展企业（36家），较2018年就有38%的增长。同时，媒体角度，对RSA大会热词、创新沙盒入围企业的分析文章，威胁情报、云安全、隐私与身份等热点议题和技术趋势的讨论，也充斥各站点的安全频道。

绿盟科技（NSFOCUS）从2008年至今，已经连续12年作为中国网络安全产业发展的参与者，在RSA大会上与全球其他安全厂商探讨交流。今年RSA大会开幕之际，安全牛有幸采访到了绿盟科技国际业务的COO赵粮博士，就绿盟科技近年海外业务的运营经验，以及今年RSA大会的关键热点和趋势进行解读。

绿盟科技国际业务COO 赵粮博士

一、RSA大会背后的全球安全需求

安全牛：今年RSA大会的主题是“Better”，我们可以理解为“更好”。比如，更好的商业环境？或者，更好的安全技术或产品方案？

赵粮：确实是“更好”。从绿盟的角度，无论是参加RSA大会，还是实质性地拓展国际业务，都有十余年了。这十年的发展和积累，让我们已经可以更好的理解海外企业客户的安全需求和运营模式，以及更为重要的，在全球大量部署的安全产品和持续的运营，已经帮助我们更好的对抗全球范围的安全威胁，更为快速有效的作出响应，实质性的确保我们的客户拥有更好的安全防护水平。

安全牛：RSA大会作为全球安全行业风向标背后的重要推手就是汇聚了全球企业客户的安全需求。绿盟看到了哪些和国内市场不一样的内容？

赵粮：我认为主要是三点。

第一点，是 对抗D服务的普遍重视 。

不夸张的说，发达国家，各行各业对抗DDoS服务的需求，都是非常明显的。不只是传统我们认知的运营商、金融、游戏和流媒体，学校、医院、连锁餐饮和零售等细分行业也已经出现。而在发展中国家，对抗D的安全需求也在快速增长。原因在于，4G等移动通信技术带来了大量互联网用户，让这些国家直接跨过了发达国家经历的有线接入阶段，但互联网基础设施在安全防护方面的缺陷和不足就成为了摆在黑客面前的明显短板。各种各样的拒绝服务攻击也就成为了各种网络攻击和威胁中最为瞩目的一类。

第二点，是 看中运营效率和投入回报 。

安全人才的匮乏、资本整体对投资的谨慎态度、以及市场竞争等综合原因，导致全球的安全供应商都在压缩其提供安全服务的成本，这对于客户自身的安全体系建设也是种约束。基于客户对安全运营效率和投入回报的考量，安全厂商必须提供更低价格、能够快速推向市场、且不需较多人工干预的产品和服务。在客户采购时，以上这些点，无论是对于头部的巨型云服务商，还是中小型数据中心，都已经获得了前所未有的优先级。这个趋势，从今年入选RSA创新沙盒的公司中也能明显感受到。

第三点，是 智慧城市对安全关注在不断升温 。

过去的三到四年，安全资源池以及类似的需求在国内市场获得了很好的发展。这与国内云计算的广泛应用的大背景是相呼应的。有趣的是，这类安全建设项目在很多海外市场也在迅速增多，尤其是人口众多的发展中国家。简单来讲，以较低的总体拥有成本，快速补齐安全短板、提升总体安全水平、达到基本合规要求，是这类建设需求的轮廓。所以，特别是那些一站式、高性价比的安全解决方案，会得到更好的市场接受。当然，这个趋势对互联网的整体安全也是具有非常重要的积极意义的。互联网是相互连接的，要想成为安全孤岛很难。大规模减小低安全水平的占比，就相当于破坏了网络犯罪和灰产的肥沃土壤。

二、重点关注：AI、云地模式、以及安全有效性实战

安全牛：RSA大会这次也已经有很多安全热词和技术趋势分析的文章出来。绿盟关注哪些？

赵粮：其实近几年，从安全防护的基本原理和机制上，我们认为并未出现革命性和根本性的变革。但攻防双方的生态，确确实实已经从技术性的对抗，延伸、演化到更加全方位的经济型和效率型的对抗。

我个人这次RSA大会的关注点主要有三个：

一是AI的广泛应用。

人工智能（AI）无疑是近几年安全市场的热词。不管你把它作为一个市场营销词汇，还是把作为一个技术词汇，它已经在那里，深刻地影响着安全产品、攻防技术和运营。

2018年，AI几乎成为安全产品和专家们的“标配”。绿盟科技在2015年就推出了以“吸星”为代表，机器学习增强的下一代防护引擎。2018年，我们发布关于攻击团伙的研究报告，也成功利用AI将检测和防护能力，从互联网上的独立个体推进到有强相关行为关联的团伙级别。AI不是魔法，未来更会像四则运算那样基本。所以，我认为，“无AI不展”将会是今年RSA大会的一道重要“风景”。

第二个点是 “云地模式”的普遍采用 。

简单解释一下，所谓云地模式，云是指远程的力量，地是指本地，或安全防护现场。安全攻防的对抗性和快速变化，使得任何想一劳永逸解决安全威胁的冷“产品”越来越难以维持实际的安全防护水准。传统的固件升级、插件升级等手段，在数月、数周频度层面上工作的安全机制，是无法满足企业快速响应、迭代的安全需求的。虽然威胁情报的出现，让这个“载体”可以在一定程度满足防护体系的诉求，但只有威胁情报还远远不够。各个传统的安全控制点，如防火墙、IDS/IPS、身份与访问控制等，还需要进一步变革，基于“云地模式”的安全运营思路，安全防守方才有可能在整体生态上和攻防集团抗衡。

最后一个点，是 安全有效性的实战闭环 。这也是我个人最为关注的一个点。

过去几年发生的若干起重大安全事件，相关安全设备大多能产生或多或少的告警。最后，不管这个“板子”是打在用户的安全运营团队上，还是SIEM类产品上，又或是某个具体安全产品上，我们应该反思，某类安全产品、某个厂商的安全产品、某个实际运营中的安全产品实例，如何来监视、收集、确认、反馈、和评价其实际的有效性？可以说，所有的产品评测都是有“缺陷”的，因为不可能模拟、穷尽出攻防实战的所有场景参数。如何从实战这个角度，做到安全有效性的闭环，这方面也会是此次绿盟和同行交流讨论的重点。

安全牛：除了“无AI不展”外，集成威胁情报也已经成为了安全产品的必备能力。国内的威胁情报生态也已经成型，但如何有效地应用，这也一直是我们的一个关注重点。关于威胁情报，今年RSA会有哪些不一样的点？

赵粮：可以肯定，威胁情报是一个很好的“知彼”渠道。目前市场上充斥着数百种威胁情报源，这里面有免费开源的，也有商业的。但是在实际安全运营中，这些威胁信息有时候显得太多，需要占用大量资源才能加以分析利用；有时候又显得太少，当重大安全事件发生时，诸多威胁情报“面面相觑”，都不能提供有价值、强关联的可行动信息。

之前数年的实践，业界已经意识到威胁情报只有在不断的消费分析闭环中“提炼”，才能展现价值，威胁情报自身也才能变得越精准。在这个闭环中，消费到分析的阶段最为关键。威胁情报的消费过程本身构成了新的“情报”，新的情报也会再次加入到新的“消费”环节。可以说，威胁情报的用户和提供商，两者一起构成了一种事实上的网络防护生态。这种“生态”是我们实现安全可持续的、可运营的重要手段。

2017年，绿盟从IP层面，持续监控了超过390万个攻击源。我们发现大约20%的IP对多个目标进行过攻击，而0.39%的攻击源要对90%的攻击事件负责。对于这一少部分高危IP，基于威胁情报，我们能够直接阻断他们的网络活动，这可以大量减少企业日常安全运营的负担。对这些网络惯犯的针对性跟踪、分析、画像和对抗，已经成为了绿盟威胁情报中心（NTI）的重要能力。这也是一种威胁情报的重要实际应用方向。

可以说，产品层面，威胁情报已经越来越像一种后台能力。通过嵌入各个安全产品和运营体系，例如刚才谈到的“云地模式”，从而在深层次上影响它们的能力。而作为独立产品呈现的的威胁情报Feed、平台和门户（TIP），并没有达到人们一开始预期的那样快速发展。

今年的RSA大会，我认为会有更多的结合和集成威胁情报的方式，我们可以期待。

三、RSA大会绿盟展台概况

安全牛：介绍下今年绿盟在RSA大会的参与情况。

赵粮：今年绿盟科技的展台在莫斯科尼中心南厅1553，主要有四个主题，威胁情报、云清洗服务、针对中小型安全服务提供商的CiaB方案、以及一款从安全团伙角度进行安全检测的新品ATM。

CiaB（Cloud-in-a-Box）这个方案的最大特点是简单易用。不久前，CiaB获得了硅谷通讯《信息安全产品指南》颁发的2019全球卓越奖（云安全创新类）。中小型安全服务供应商，以及云的广泛应用后某些云服务商，他们在提供专业安全资源方面是有技术瓶颈的。CiaB就是要帮助他们快速推出安全服务，降低对他们自身安全运营能力和知识技能的要求。

ATM这款新品，是通过本地和云端的实时云地交互，在云端利用机器学习来帮助进行安全运营。它的最大价值在于，第一次把安全检测和防护从独立IP提升到了“安全团伙“级别，消除了单个IP视角与生而来的偶发性，从而让安全团队做出更准确的行动决策。

安全牛：从安全研究这个角度，这次RSA大会有没有带来新的成果？

赵粮：去年年末，绿盟正式对外发布了五大安全实验室（格物实验室、星云实验室、天枢实验室、天机实验室、伏影实验室）。这些安全实验室的研究成果，我们会一直以安全报告或公开技术文档的形式发布，与业界共享。

可以说，绿盟科技的安全实验室主要特质就是“研以致用”，不止于技术研究。对于我们而言，研究成果最重要的服务客户。这就包括我们最新的安全产品、解决方案和服务运营业务。而研究能力也必会在SecDevOps运营实战中得到持续提升。所以，最新的研究成果，也可以持续关注我们的网站和产品、方案的发布。

安全牛：谢谢，祝绿盟此次RSA大会交流顺利。