本文轉自《中國信息安全》雜志

封面人物簡介:

林康,科來公司聯合創始人,總經理。林康先生致力于網絡流量分析技術的研究與發展,積極推動NTA技術在各行業的應用普及與推廣。林康先生榮獲由科技部頒發的《創新人才推進計劃》科技創新創業人才稱號、成都蓉貝軟件人才技術領銜人稱號。在林康的帶領下,科來在網絡流量分析領域已處于全球領先水平,斬獲海內外數十項重量級大獎,包括蟬聯Gartner NPMD魔力象限“遠見者”稱號、IDC調研報告科來連續三年在NPAM領域市場占有率第一、中國網絡安全企業100強領軍企業。


?

記者:“十四五”規劃中明確提出“加快數字化發展”“加強網絡安全保護”,您如何理解這兩者之間的關系?網絡安全行業該如何落實這些要求?

林康:2021年3月11日,十三屆全國人大四次會議表決通過了《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》(以下簡稱“十四五”規劃綱要)的決議,網絡安全已經確定成為未來中國發展建設工作的重點之一,時間跨度長、覆蓋面廣。“十四五”規劃綱要在網絡安全側釋放的國家戰略信號明確,共提及“網絡安全”14次,涉及數字經濟、數字生態、國家安全、能源資源安全四大領域。其中所提出的“數字化轉型”關鍵詞引人矚目,“迎接數字時代,激活數據要素潛能,推進網絡強國建設,加快建設數字經濟、數字社會、數字政府,以數字化轉型整體驅動生產方式、生活方式和治理方式變革。”

事實上,“加快數字化發展”與“加強網絡安全保護”二者是相輔相成的。網絡安全是“數字化發展”的重要保障,同時又屬于其重要數字產業之一,是數字化發展的關鍵基座,承托著上層技術發展的安全與穩定,發揮著基礎性、支撐性、保障性的作用。網絡與信息安全不再是信息系統的附屬品,而是像日常生活中的“水電煤氣”一樣,逐漸成為新型基礎設施、數字經濟、數字社會、數字政府、數字生態發展的必需品,國家數字化進程越快,網絡安全的重要性就越明顯。

?

與此同時,“十四五”規劃綱要也對網絡安全產業提出了明確要求。網絡安全與數據安全,不再是傳統的外圍加固、松散整合的模式,而是深深融入到數字化發展的方方面面,賦能安全保障。在“十四五”規劃綱要網絡安全保護章節中,還提出了要提升“網絡安全威脅發現、監測預警、應急指揮、攻擊溯源能力”,構成了網絡安全的發現、預警、指揮、行動、溯源的多環節動態閉環管理,為網絡安全統籌管理能力建設指明方向。

網絡安全產業在發展網絡安全技術的同時,要有家國情懷,要有國家利益高于一切的格局;不同細分領域的安全廠商,在各自專精的技術領域攻堅突破,勇于比肩世界前列;對標國際頂級技術的同時,對內賦能,形成合力。在堅持自主可控的大前提下,還要關注那些“卡脖子”的底層安全技術發展。目前中國網絡安全市場重應用、輕技術的傳統格局亟須重塑,促使市場轉型進入技術驅動型市場,“關鍵核心技術實現重大突破,進入創新型國家前列”。落實“十四五”規劃網絡安全產業發展要求,我認為兩個“既要、又要”至關重要:既要在精專領域各自為戰,又要相互融合、對內賦能;既要在技術應用層創新發展,又要在關鍵核心技術投入研發。

?

記者:科來自2003年成立至今專注于流量分析領域,已經成為該領域的領軍企業。請問科來為什么選擇流量分析這個賽道?

林康:科來創始人是國內最早研究網絡流量分析技術的專業人員。彼時流行的國外軟件雖然功能強大,但操作非常復雜,而且界面使用不符合國人習慣。在2001年,我們決定獨立研發面向國人的網絡流量分析產品。而在安全領域,科來在與用戶不斷的深入溝通中,意識到網絡流量分析技術在諸多方面可以滿足網絡安全的需求。傳統的基于策略、特征的安全產品,在面臨“針對性攻擊”(當時還沒有APT的說法)的時候,很難被發現。而通過網絡全流量分析,尤其是科來全協議識別與解析的技術能力,效果則十分顯著。于是科來開始在安全方面投入專門的團隊和資源做相應的研究,衍生出一套跟傳統信息安全在思路上截然不同的分析方法和平臺。

科來專注從事研究的網絡流量分析技術是底層基礎信息技術,在不同領域有豐富的應用場景。類似于醫學中的“血檢”,作為檢查身體健康的基礎手段,它既可以檢測內部器官衰弱,也可以檢測外部感染病毒,例如“血檢”最近一個新的應用場景,就是通過血液檢測新冠疫苗是否在體內產生抗體。

網絡流量分析技術是一個至關重要的基礎技術,擁有豐富的應用場景。在我國多項核心技術被“卡脖子”后,科來更是堅定了在該項技術上持續投入研發的決心,中國科技的未來不僅要有中國心,還要有中國之骨血、發膚,才能撐起祖國崛起的身軀。

?

記者:從用戶角度來看,流量分析對他們的最大價值是什么?

林康:流量分析技術的價值體現在很多方面,例如在運維工作中保障業務的高效、穩定運行,提升整體運維成熟度的進階;另一方面是成為企業數據分析與運營的核心,提供業務規劃的決策支撐依據等等。

在網絡安全方面,科來利用流量分析技術為用戶提供了從“上帝”視角審視全局的方式和方法,通過全方向全流量的回溯分析,能夠做到安全監測無死角,讓企業具備對安全風險的發現能力、分析能力、識別能力和處理能力,幫助用戶整體提升網絡安全門檻。

傳統的安全防護手段,只能解決已知安全威脅,無法判斷入侵程度,無法感知新型未知攻擊手段。它亟需加入新鮮視角,要“以‘全流量’構建未知威脅預警與處置框架”。科來認為在技術層面具備“三全”、“三可”才可以稱為網絡“全流量”,即通過全流量保存、全協議解析、全行為建模實現對流量數據的可回溯、可追溯、可攔截。但僅僅擁有全流量還是不夠的,還需要擁有網絡全協議的解析與識別能力。網絡協議如同網絡中的語言,只有掌握了語言能力,才能充分的理解網絡中的流量。科來經過18年的積累,已經擁有針對上萬種網絡協議及應用的識別與解碼能力。

科來還有18年的實戰經驗,用來連接技術與用戶。這種完善的落地經驗輸出,直接降低了用戶試錯成本,正如科來創始人羅鷹所說,“今天的網絡對抗已經上升到戰爭的層次,實戰經驗越來越重要。以醫學為例,學醫過程非常艱苦,但學完之后還要不斷積累臨床經驗,才能做一名合格的醫生。這里的經驗積累發揮了非常重要的作用,我們把這種能力叫做實戰經驗。”

?

記者:在各行各業都在進行數字化轉型的今天,您認為企業面對的主要安全風險都有哪些?企業如何利用流量分析,來提升新形勢下自身的網絡安全防護能力?

林康:事實上,我們在服務用戶的過程中,確實發現了非常多的、容易被忽略的風險,具體歸結為以下四點:

1. 用戶根本不知道自己是否被黑或被黑過

隨著我國數字化建設的推進,網絡安全形勢更加嚴峻。針對國家基礎設施、企業數據的破壞、竊取相關的網絡攻擊增加,攻擊手法復雜多變,傳統安防手段只能解決已知安全威脅,無法感知未知手段和方法,更無法判斷攻擊入侵程度。

2. 要避免檢測類告警日志數據的誤報和漏報,就不得不面對海量告警

頻繁的告警導致運維人員的工作量急劇加大,傳統安全防護方式無法在短時間內快速定位問題、解決問題,導致攻擊波及范圍擴大,造成更加嚴重的損失。無法及時判斷告警的準確性、嚴重性及威脅事件的結果,就無法及時采取相應的處置措施。

3. 無法溯源攻擊,網絡攻防場景中防守方處于被動

在網絡攻防視角中,進攻方會占據較多的主動性,而防守方則略顯被動,永遠不知道攻擊會在何時發生。而當攻擊發生后,防守方無法迅速梳理攻擊路徑,溯源攻擊過程,有可能造成更大的損失,一潰千里。

4. 發現網絡攻擊后取證困難、責任無法界定

當前針對性的高級攻擊(如0-Day攻擊、APT攻擊等)越來越頻繁,傳統安全防御設備無法識別,安全防御容易被繞過。當攻擊出現時、攻擊解決時、甚至攻擊消失后,如何對攻擊進行判斷、進行取證,進一步分析存在何種網絡漏洞、系統漏洞還是人為漏洞,是客戶急需了解的,也是以后完善安全防御的重要策略依據。

在以往的信息化進程中,企業的網絡安全防御基本是被動的,重點在邊界防御上。但近年來,隨著《網絡安全法》《關鍵信息基礎設施安全保護條例》《等級保護2.0》《密碼法》等法律法規的出臺,對企業的網絡安全防御也提出了更高的要求。企業改變被動防御,進行主動防護的需求越來越迫切。

科來認為,安全防御的能力取決于安全感知能力,安全感知能力的重點在于對未知安全威脅的感知能力,在流量側,這種能力體現在協議理解上。

科來擁有針對上萬種網絡協議及應用的識別、解碼的經驗與能力,這讓協議漏洞利用的網絡攻擊在科來面前無所遁形,能夠更敏銳更迅捷的感知威脅存在。科來在全量數據的采集與保存的基礎上,實現了全行為建模與分析、全流量回溯,能夠在網絡攻防對抗中發現更多未知威脅。更重要的是,科來的協議解析技術在做到精準解析的同時,全面廣泛地覆蓋各類協議,“全面而精準”的協議分析能力幫助用戶透析更多網絡流量內容,看得清、看得透、看得全,這也正是科來的協議解析技術的本質所在。

為此,科來推出網絡安全解決方案,基于科來全協議分析技術,旁路采集、分析和存儲所有網絡流量,通過威脅情報系統檢測已知威脅,通過回溯分析數據包特征、異常網絡行為,發現潛伏已久的高級未知攻擊。科來網絡安全解決方案具備多維的數據分析及深度挖掘能力,能夠實現數據包級的追蹤取證,為用戶提供“檢測”和“響應”的能力,通過安全分析最終幫助用戶提升安全防御水平,建立自適應網絡安全架構。

?

記者:當前網絡安全領域新技術概念層出不窮,從長期來看,您如何看待流量分析的發展方向,還會有哪些新場景新應用?對比國際,科來的流量分析有何優勢?

林康:由于早些年,網絡流量分析(NTA)技術被GARTNER列入十大網絡安全頂級技術,各種NTA網絡安全產品如雨后春筍般問世,但不“懂行”很難有發展。正如之前所說,網絡流量分析技術是底層技術,可以衍生出更多上層應用與場景。

比如在安全方向,在不久前發布的《威脅檢測與響應(TDR)市場指南》報告中,全流量回溯技術分別在威脅檢測場景和攻擊行為分析場景中起到了核心作用。通過對資產的全面盤點實現對攻擊暴露面的收斂;同時可以前置威脅情報,通過流量檢測環節即可實現判定檢測,提升告警的準確度,降低誤報率,為接下來的響應溯源環節提供準確線索;在對歷史流量日志進行回溯分析時,發現長期潛藏的未知高級威脅。

除了縱深應用外,橫向跨行業的探索,也可以為行業網絡安全發展貢獻新思路。

工業互聯網安全:對工業互聯網絡通信協議進行解碼分析,可實現入侵檢測與安全審計,發現和分析其脆弱性及安全漏洞,提高工業網絡安全檢測和事后取證追查能力,強化對工業互聯網系統的安全態勢感知與防御能力。

物聯網安全:對物聯網協議的識別與解碼,能夠幫助深入而系統地了解IoT網絡,理解IoT網絡中的數據流動。通過不斷挖掘數據之間復雜聯系的價值,讓其成為企業重要的數據資產,實現對周邊世界認知能力的革命性飛躍。

科來也在不斷對內求變,積極推動技術在適合的領域、場景落地,并于2020年9月正式推出“科來工控大數據安全態勢感知平臺”,服務于我國關鍵基礎設施網絡安全與運維保障工作,實現了工控生產的全流量數據接入,全面覆蓋我國工控領域。

對比國際廠商,科來在技術上的優勢,實際上是一種價值觀的優勢、是國家政策正確引導的優勢。中國已邁入創新型國家行列,引領全球率先開展新型基礎設施建設。科來屹立于中國軟件之林,在運維與安全領域不斷創造出新高度,也不斷被賦予新的使命、承擔更多新的職能與責任,面臨著新的挑戰。十八年來,科來憑借在網絡安全領域的技術優勢,服務于國家關鍵行業領域、重大國家級活動的網絡安保,貢獻力量的同時也沉淀下了難得的實戰經驗,以實戰倒逼技術革新、技術創新,再反哺產品,服務用戶,構建了一套技術創新的閉環循環。這種國家、廠商、用戶三方參與的技術創新模式是中國獨有的,國際廠商無法模仿。

另外,科來人秉承“堅持、責任、進取”的價值觀,堅信科技創造未來,切實為用戶網絡保駕護航,追求極致。正是這份始終不變的初心,使科來能夠在順境中揚帆,在逆境中無畏,在成為全球領先的網絡流量分析企業之路上奮勇前行。

?

記者:網絡安全已成為國家安全的重要組成部分,其中核心技術自主可控至關重要,請問科來在核心技術自主創新上有哪些舉措?

林康:知識創新、技術創新已成為國與國之間競爭的核心,科來通過提升自主創新能力,掌握更多自主知識產權,為推動國家信息安全產業的持續發展提供支撐和服務。以“全協議分析技術+回溯分析技術”為核心,科來不斷完善技術研發,持續進行產品打磨,著眼網絡安全及運維新態勢。向下深入聚焦協議分析,專注技術研發與產品打磨,為求索行業創新與變革夯實基礎;向上則持續延伸對安全、運維領域的探尋,繼續落實對每一位用戶的責任與承諾,為用戶業務穩固保駕護航,繼續做國家網安堅實后盾。

科來始終視保衛國家信息安全為己任,多年來投入大量資源,持續在網絡流量和協議分析領域進行技術研究并生產實踐,保衛國家信息安全;而國家信息安全的建設和發展是一個全產業鏈長期行為,科來不斷強化國產化廠商之間的聯系,攜手產業鏈各方,在市場、銷售、服務等方面疊加能力、通力合作,為推進國家網絡空間強國戰略作出積極貢獻。

?

(掃碼閱讀,手機端可獲更優觀看體驗)

–?End –