本文转自《中国信息安全》杂志
封面人物简介:
林康,科来公司联合创始人,总经理。林康先生致力于网络流量分析技术的研究与发展,积极推动NTA技术在各行业的应用普及与推广。林康先生荣获由科技部颁发的《创新人才推进计划》科技创新创业人才称号、成都蓉贝软件人才技术领衔人称号。在林康的带领下,科来在网络流量分析领域已处于全球领先水平,斩获海内外数十项重量级大奖,包括蝉联Gartner NPMD魔力象限“远见者”称号、IDC调研报告科来连续三年在NPAM领域市场占有率第一、中国网络安全企业100强领军企业。
记者:“十四五”规划中明确提出“加快数字化发展”“加强网络安全保护”,您如何理解这两者之间的关系?网络安全行业该如何落实这些要求?
林康:2021年3月11日,十三届全国人大四次会议表决通过了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》(以下简称“十四五”规划纲要)的决议,网络安全已经确定成为未来中国发展建设工作的重点之一,时间跨度长、覆盖面广。“十四五”规划纲要在网络安全侧释放的国家战略信号明确,共提及“网络安全”14次,涉及数字经济、数字生态、国家安全、能源资源安全四大领域。其中所提出的“数字化转型”关键词引人瞩目,“迎接数字时代,激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革。”
事实上,“加快数字化发展”与“加强网络安全保护”二者是相辅相成的。网络安全是“数字化发展”的重要保障,同时又属于其重要数字产业之一,是数字化发展的关键基座,承托着上层技术发展的安全与稳定,发挥着基础性、支撑性、保障性的作用。网络与信息安全不再是信息系统的附属品,而是像日常生活中的“水电煤气”一样,逐渐成为新型基础设施、数字经济、数字社会、数字政府、数字生态发展的必需品,国家数字化进程越快,网络安全的重要性就越明显。
与此同时,“十四五”规划纲要也对网络安全产业提出了明确要求。网络安全与数据安全,不再是传统的外围加固、松散整合的模式,而是深深融入到数字化发展的方方面面,赋能安全保障。在“十四五”规划纲要网络安全保护章节中,还提出了要提升“网络安全威胁发现、监测预警、应急指挥、攻击溯源能力”,构成了网络安全的发现、预警、指挥、行动、溯源的多环节动态闭环管理,为网络安全统筹管理能力建设指明方向。
网络安全产业在发展网络安全技术的同时,要有家国情怀,要有国家利益高于一切的格局;不同细分领域的安全厂商,在各自专精的技术领域攻坚突破,勇于比肩世界前列;对标国际顶级技术的同时,对内赋能,形成合力。在坚持自主可控的大前提下,还要关注那些“卡脖子”的底层安全技术发展。目前中国网络安全市场重应用、轻技术的传统格局亟须重塑,促使市场转型进入技术驱动型市场,“关键核心技术实现重大突破,进入创新型国家前列”。落实“十四五”规划网络安全产业发展要求,我认为两个“既要、又要”至关重要:既要在精专领域各自为战,又要相互融合、对内赋能;既要在技术应用层创新发展,又要在关键核心技术投入研发。
记者:科来自2003年成立至今专注于流量分析领域,已经成为该领域的领军企业。请问科来为什么选择流量分析这个赛道?
林康:科来创始人是国内最早研究网络流量分析技术的专业人员。彼时流行的国外软件虽然功能强大,但操作非常复杂,而且界面使用不符合国人习惯。在2001年,我们决定独立研发面向国人的网络流量分析产品。而在安全领域,科来在与用户不断的深入沟通中,意识到网络流量分析技术在诸多方面可以满足网络安全的需求。传统的基于策略、特征的安全产品,在面临“针对性攻击”(当时还没有APT的说法)的时候,很难被发现。而通过网络全流量分析,尤其是科来全协议识别与解析的技术能力,效果则十分显著。于是科来开始在安全方面投入专门的团队和资源做相应的研究,衍生出一套跟传统信息安全在思路上截然不同的分析方法和平台。
科来专注从事研究的网络流量分析技术是底层基础信息技术,在不同领域有丰富的应用场景。类似于医学中的“血检”,作为检查身体健康的基础手段,它既可以检测内部器官衰弱,也可以检测外部感染病毒,例如“血检”最近一个新的应用场景,就是通过血液检测新冠疫苗是否在体内产生抗体。
网络流量分析技术是一个至关重要的基础技术,拥有丰富的应用场景。在我国多项核心技术被“卡脖子”后,科来更是坚定了在该项技术上持续投入研发的决心,中国科技的未来不仅要有中国心,还要有中国之骨血、发肤,才能撑起祖国崛起的身躯。
记者:从用户角度来看,流量分析对他们的大价值是什么?
林康:流量分析技术的价值体现在很多方面,例如在运维工作中保障业务的高效、稳定运行,提升整体运维成熟度的进阶;另一方面是成为企业数据分析与运营的核心,提供业务规划的决策支撑依据等等。
在网络安全方面,科来利用流量分析技术为用户提供了从“上帝”视角审视全局的方式和方法,通过全方向全流量的回溯分析,能够做到安全监测无死角,让企业具备对安全风险的发现能力、分析能力、识别能力和处理能力,帮助用户整体提升网络安全门槛。
传统的安全防护手段,只能解决已知安全威胁,无法判断入侵程度,无法感知新型未知攻击手段。它亟需加入新鲜视角,要“以‘全流量’构建未知威胁预警与处置框架”。科来认为在技术层面具备“三全”、“三可”才可以称为网络“全流量”,即通过全流量保存、全协议解析、全行为建模实现对流量数据的可回溯、可追溯、可拦截。但仅仅拥有全流量还是不够的,还需要拥有网络全协议的解析与识别能力。网络协议如同网络中的语言,只有掌握了语言能力,才能充分的理解网络中的流量。科来经过18年的积累,已经拥有针对上万种网络协议及应用的识别与解码能力。
科来还有18年的实战经验,用来连接技术与用户。这种完善的落地经验输出,直接降低了用户试错成本,正如科来创始人罗鹰所说,“今天的网络对抗已经上升到战争的层次,实战经验越来越重要。以医学为例,学医过程非常艰苦,但学完之后还要不断积累临床经验,才能做一名合格的医生。这里的经验积累发挥了非常重要的作用,我们把这种能力叫做实战经验。”
记者:在各行各业都在进行数字化转型的今天,您认为企业面对的主要安全风险都有哪些?企业如何利用流量分析,来提升新形势下自身的网络安全防护能力?
林康:事实上,我们在服务用户的过程中,确实发现了非常多的、容易被忽略的风险,具体归结为以下四点:
1. 用户根本不知道自己是否被黑或被黑过
随着我国数字化建设的推进,网络安全形势更加严峻。针对国家基础设施、企业数据的破坏、窃取相关的网络攻击增加,攻击手法复杂多变,传统安防手段只能解决已知安全威胁,无法感知未知手段和方法,更无法判断攻击入侵程度。
2. 要避免检测类告警日志数据的误报和漏报,就不得不面对海量告警
频繁的告警导致运维人员的工作量急剧加大,传统安全防护方式无法在短时间内快速定位问题、解决问题,导致攻击波及范围扩大,造成更加严重的损失。无法及时判断告警的准确性、严重性及威胁事件的结果,就无法及时采取相应的处置措施。
3. 无法溯源攻击,网络攻防场景中防守方处于被动
在网络攻防视角中,进攻方会占据较多的主动性,而防守方则略显被动,永远不知道攻击会在何时发生。而当攻击发生后,防守方无法迅速梳理攻击路径,溯源攻击过程,有可能造成更大的损失,一溃千里。
4. 发现网络攻击后取证困难、责任无法界定
当前针对性的高级攻击(如0-Day攻击、APT攻击等)越来越频繁,传统安全防御设备无法识别,安全防御容易被绕过。当攻击出现时、攻击解决时、甚至攻击消失后,如何对攻击进行判断、进行取证,进一步分析存在何种网络漏洞、系统漏洞还是人为漏洞,是客户急需了解的,也是以后完善安全防御的重要策略依据。
在以往的信息化进程中,企业的网络安全防御基本是被动的,重点在边界防御上。但近年来,随着《网络安全法》《关键信息基础设施安全保护条例》《等级保护2.0》《密码法》等法律法规的出台,对企业的网络安全防御也提出了更高的要求。企业改变被动防御,进行主动防护的需求越来越迫切。
科来认为,安全防御的能力取决于安全感知能力,安全感知能力的重点在于对未知安全威胁的感知能力,在流量侧,这种能力体现在协议理解上。
科来拥有针对上万种网络协议及应用的识别、解码的经验与能力,这让协议漏洞利用的网络攻击在科来面前无所遁形,能够更敏锐更迅捷的感知威胁存在。科来在全量数据的采集与保存的基础上,实现了全行为建模与分析、全流量回溯,能够在网络攻防对抗中发现更多未知威胁。更重要的是,科来的协议解析技术在做到精准解析的同时,全面广泛地覆盖各类协议,“全面而精准”的协议分析能力帮助用户透析更多网络流量内容,看得清、看得透、看得全,这也正是科来的协议解析技术的本质所在。
为此,科来推出网络安全解决方案,基于科来全协议分析技术,旁路采集、分析和存储所有网络流量,通过威胁情报系统检测已知威胁,通过回溯分析数据包特征、异常网络行为,发现潜伏已久的高级未知攻击。科来网络安全解决方案具备多维的数据分析及深度挖掘能力,能够实现数据包级的追踪取证,为用户提供“检测”和“响应”的能力,通过安全分析最终帮助用户提升安全防御水平,建立自适应网络安全架构。
记者:当前网络安全领域新技术概念层出不穷,从长期来看,您如何看待流量分析的发展方向,还会有哪些新场景新应用?对比国际,科来的流量分析有何优势?
林康:由于早些年,网络流量分析(NTA)技术被GARTNER列入十大网络安全顶级技术,各种NTA网络安全产品如雨后春笋般问世,但不“懂行”很难有发展。正如之前所说,网络流量分析技术是底层技术,可以衍生出更多上层应用与场景。
比如在安全方向,在不久前发布的《威胁检测与响应(TDR)市场指南》报告中,全流量回溯技术分别在威胁检测场景和攻击行为分析场景中起到了核心作用。通过对资产的全面盘点实现对攻击暴露面的收敛;同时可以前置威胁情报,通过流量检测环节即可实现判定检测,提升告警的准确度,降低误报率,为接下来的响应溯源环节提供准确线索;在对历史流量日志进行回溯分析时,发现长期潜藏的未知高级威胁。
除了纵深应用外,横向跨行业的探索,也可以为行业网络安全发展贡献新思路。
工业互联网安全:对工业互联网络通信协议进行解码分析,可实现入侵检测与安全审计,发现和分析其脆弱性及安全漏洞,提高工业网络安全检测和事后取证追查能力,强化对工业互联网系统的安全态势感知与防御能力。
物联网安全:对物联网协议的识别与解码,能够帮助深入而系统地了解IoT网络,理解IoT网络中的数据流动。通过不断挖掘数据之间复杂联系的价值,让其成为企业重要的数据资产,实现对周边世界认知能力的革命性飞跃。
科来也在不断对内求变,积极推动技术在适合的领域、场景落地,并于2020年9月正式推出“科来工控大数据安全态势感知平台”,服务于我国关键基础设施网络安全与运维保障工作,实现了工控生产的全流量数据接入,全面覆盖我国工控领域。
对比国际厂商,科来在技术上的优势,实际上是一种价值观的优势、是国家政策正确引导的优势。中国已迈入创新型国家行列,引领全球率先开展新型基础设施建设。科来屹立于中国软件之林,在运维与安全领域不断创造出新高度,也不断被赋予新的使命、承担更多新的职能与责任,面临着新的挑战。十八年来,科来凭借在网络安全领域的技术优势,服务于国家关键行业领域、重大国家级活动的网络安保,贡献力量的同时也沉淀下了难得的实战经验,以实战倒逼技术革新、技术创新,再反哺产品,服务用户,构建了一套技术创新的闭环循环。这种国家、厂商、用户三方参与的技术创新模式是中国独有的,国际厂商无法模仿。
另外,科来人秉承“坚持、责任、进取”的价值观,坚信科技创造未来,切实为用户网络保驾护航,追求极致。正是这份始终不变的初心,使科来能够在顺境中扬帆,在逆境中无畏,在成为全球领先的网络流量分析企业之路上奋勇前行。
记者:网络安全已成为国家安全的重要组成部分,其中核心技术自主可控至关重要,请问科来在核心技术自主创新上有哪些举措?
林康:知识创新、技术创新已成为国与国之间竞争的核心,科来通过提升自主创新能力,掌握更多自主知识产权,为推动国家信息安全产业的持续发展提供支撑和服务。以“全协议分析技术+回溯分析技术”为核心,科来不断完善技术研发,持续进行产品打磨,着眼网络安全及运维新态势。向下深入聚焦协议分析,专注技术研发与产品打磨,为求索行业创新与变革夯实基础;向上则持续延伸对安全、运维领域的探寻,继续落实对每一位用户的责任与承诺,为用户业务稳固保驾护航,继续做国家网安坚实后盾。
科来始终视保卫国家信息安全为己任,多年来投入大量资源,持续在网络流量和协议分析领域进行技术研究并生产实践,保卫国家信息安全;而国家信息安全的建设和发展是一个全产业链长期行为,科来不断强化国产化厂商之间的联系,携手产业链各方,在市场、销售、服务等方面叠加能力、通力合作,为推进国家网络空间强国战略作出积极贡献。