David Ulevitch是OpenDNS公司的創(chuàng)始人兼CED,這家DNS服務(wù)與安全企業(yè)坐落于加利福尼亞州舊金山市。Ulevitch最初建立的另一家企業(yè)EveryDNS公司是由一個大學(xué)研究項目衍生而來,并在隨后的發(fā)展中積累下10萬名用戶——不過他在2010年將其出售給了Dyn有限公司。
就在今年,Ulevitch被Inc. Magazine選入“35歲及35歲以下”企業(yè)家名錄。
他最近在由Box召開的BoxWorks年度大會上就互聯(lián)網(wǎng)安全作出發(fā)言。Ulevitch還曾在世界經(jīng)濟(jì)論壇上就這一話題進(jìn)行過評述,而就在之前其OpenDNS公司當(dāng)選為2011年技術(shù)先鋒企業(yè)。
記者:互聯(lián)網(wǎng)安全是一項規(guī)模龐大的業(yè)務(wù)類別,而且眾多企業(yè)都在斥巨資用于其網(wǎng)絡(luò)及數(shù)據(jù)的保護(hù)工作。但時至今日,我們?nèi)匀怀3D軌蚵牭疥P(guān)于重大安全事故的報道。為什么會這樣?
DU:盡管目前市面上的安全方案供應(yīng)商數(shù)量眾多,人們也愿意在安全工作上投入大量資金,但從安全性的切實提升角度來看、這一切并不一定就能帶來理想的結(jié)果。為什么會這樣?真正讓企業(yè)身陷困境的狀況是否真正得到了解決,特別是中小型企業(yè)所面臨的難題?他們又可以采取怎樣的安全實踐手段來在推行安全教育的同時、切實改進(jìn)自己在安全領(lǐng)域的地位,從而幫助自身徹底擺脫頭痛醫(yī)頭、腳痛醫(yī)腳的被動局面——或者解決更為糟糕的狀況,即根本拿不出足夠的資源來應(yīng)對出現(xiàn)在面前的攻擊活動?
記者:這些問題確實極具現(xiàn)實意義,那么答案又是什么呢?
DU:首先,我們需要理解云計算到底改變了什么——事實上,它不僅改變了問題本身,也改變了解決方案,即解決問題的方式。我們認(rèn)為IT的發(fā)展前景將迎來一次巨大的轉(zhuǎn)變。
記者:您所說的轉(zhuǎn)變到底是怎么一回事?
DU:從傳統(tǒng)角度講,人們走進(jìn)自己的辦公室后旋即坐在辦公桌前,利用自己的臺式機或者筆記本設(shè)備接入位于自有本地網(wǎng)絡(luò)中的文件服務(wù)器,而且他們所使用的應(yīng)用程序也都由內(nèi)部辦公環(huán)境負(fù)責(zé)托管。他們在辦公室內(nèi)使用文件,在辦公室內(nèi)使用計算機,就連他們自身也始終處于辦公環(huán)境當(dāng)中。因此從IT發(fā)展前景的角度來看,安全性的考量體現(xiàn)在將整個企業(yè)視為一座堅不可摧的城堡,而我們對城堡加以保護(hù)的方式當(dāng)然是圍繞著其外部構(gòu)建防御工事。我們會為其保留一個入口與一個出口,并在這里部署防范措施以監(jiān)控出入流量,這就是防火墻的職責(zé)所在。這可能說是實現(xiàn)安全保障的最簡單方式了,因為我們能夠輕松獲得對出入辦公環(huán)境的信息流量的控制權(quán)。
記者: 那么現(xiàn)在情況出現(xiàn)了怎樣的變化?
DU:這個嘛,現(xiàn)在企業(yè)員工開始使用無數(shù)不同類型的設(shè)備——其中一部分歸屬于企業(yè),但也有一部分歸屬于員工自己——此外大家還需要面對移動設(shè)備,其中最典型的就是Android與iOS智能手機以及iPad平板設(shè)備。回顧過去,當(dāng)時整個企業(yè)當(dāng)中約有80%到85%的應(yīng)用程序運行在Windows環(huán)境之下,但如今這一數(shù)字在未來兩年中將下降至不足35%——這絕對是種巨大的變革,也給我們的應(yīng)用程序保護(hù)目標(biāo)設(shè)置了重重挑戰(zhàn)。如今,應(yīng)用程序開始向基于Web或者遷移至云端演變,因此大家原本所熟悉的內(nèi)部甲骨文應(yīng)用被現(xiàn)在的Salesforce所取代,原本的Exchange Server變成了現(xiàn)在的Google Apps,大家甚至開始使用Box、Dropbox乃至Office 365這類與內(nèi)部運行環(huán)境完全無關(guān)的不同工具。
有了這些新型設(shè)備,企業(yè)員工就能夠使用完全運行在企業(yè)環(huán)境之外的云應(yīng)用。他們可以在星巴克工作、在自己家中工作甚至在機場和路上都能工作。這種根本性的變化無疑將給IT的發(fā)展前景引導(dǎo)至完全不同的新方向。
記者:那么在這種新型IT前景之下,我們又該如何實現(xiàn)安全保障目標(biāo)呢?
DU:從安全角度出發(fā),由此帶來的負(fù)面作用在于,所有面向安全的傳統(tǒng)解決方案都已經(jīng)不再適用于當(dāng)下的新環(huán)境。大家根本沒辦法將應(yīng)用程序硬性控制在網(wǎng)絡(luò)邊緣,因為業(yè)務(wù)體系中的往來流量將被劃分成越來越多規(guī)模較小的片段——這是因為員工開始更多使用來自外部環(huán)境的云服務(wù)機制。
記者:這樣說來,如果防火墻已經(jīng)不再足以保護(hù)整座城堡,那么我們難道不能單純將設(shè)備作為保護(hù)對象嗎?
對于大多數(shù)安全方案供應(yīng)商來說,他們一直所秉持的安全實施思路就是檢查惡意軟件副本并構(gòu)建與之映射的防護(hù)模式,最終將這套模式交付至所有購買了該方案的客戶手中。
這種處理方式之所以無法繼續(xù)起效,或者說家得寶以及Target公司遭受數(shù)據(jù)泄露的原因所在,是因為當(dāng)下的惡意軟件擁有兩種足以成功突破傳統(tǒng)應(yīng)對措施的重要特性。
第一點,惡意軟件存在多態(tài)性。具體而言,惡意軟件每次對自身進(jìn)行復(fù)制時,生成的副本都會與原先存在一定程度的差別。就在我們獲取副本并根據(jù)其狀況構(gòu)建模式的同時,這種應(yīng)對模式已經(jīng)推動了實用意義、因為每套惡意軟件副本所遵循的模式都不完全相同。
第二個原因在于,如今很多惡意軟件其實是專門針對特定受害者群體的,因此大家所遭受的第一次攻擊實際上也就是最后一次攻擊。惡意人士所扮演的更像是狙擊手角色,而非拿著獵槍與我們正面對轟。
記者: 聽起來實在有些可怕。
DU:從積極的角度看,這也給了我們重新審視安全保護(hù)思路的大好機會。
這也正是如今眾多小型安全初創(chuàng)企業(yè)不斷涌現(xiàn)的原因所在。IT領(lǐng)域面臨的單一一種顛覆性現(xiàn)狀已經(jīng)足以創(chuàng)建出一套全新安全保障體系,而當(dāng)下我們則同時面臨著三種:移動生產(chǎn)機制、多設(shè)備介入與云應(yīng)用程序。
現(xiàn)在市場上的安全方案供應(yīng)商能夠替我們打理身份驗證方面的管理工作,幫助我們規(guī)劃面向不同服務(wù)的登錄方式,這樣我們在雇傭新員工的時候就用不著向其傳達(dá)太過復(fù)雜的規(guī)章制度。此外,我們也擁有足以承擔(dān)起數(shù)據(jù)加密任務(wù)的供應(yīng)商,他們能夠妥善處理我們保存在Salesforce或者Amazon當(dāng)中的業(yè)務(wù)信息,從而讓云端數(shù)據(jù)變得更加牢固可靠。
此外大家還擁有像OpenDNS這樣的服務(wù)供應(yīng)商,我們不會將保護(hù)職責(zé)完全寄托在一臺冷冰冰的設(shè)備身上; 我們認(rèn)為自己有能力帶來標(biāo)準(zhǔn)甚至更加理想的安全保障成效,而且是以服務(wù)的方式進(jìn)行交付——每天二十四小時、每周七天。這種服務(wù)會結(jié)合背景信息并擁有動態(tài)特性,因此它能夠根據(jù)客戶的業(yè)務(wù)定位、所在位置以及訪問對象來制定正確的安全與管理政策。
記者: 具體來講,OpenDNS是如何實現(xiàn)上述目標(biāo)的?
DU:我們的解決辦法就是,“沒錯,我們知道互聯(lián)網(wǎng)上足足有3億個站點允許大家自由訪問,”但對于北美地區(qū)那些平均員工數(shù)量在50人左右的企業(yè)而言,真正有可能引起他們注意的網(wǎng)站其實只有300萬個——剩下的他們可能這輩子都聞所未聞、見所未見。
有鑒于此,我們可以投入大量時間以確保從信譽、行為以及其它各類科學(xué)研究角度出發(fā)對目前擁有的數(shù)據(jù)進(jìn)行歸類,并為其所有活動添加背景信息。具體而言,如果與您規(guī)模相當(dāng)?shù)钠渌髽I(yè)當(dāng)中沒有任何一位員工訪問過來自東歐地區(qū)的某個IP地址,那么我們也不建議各位去當(dāng)這種實驗性小白鼠——我們會親自上陣對其進(jìn)行深入分析。當(dāng)然,如果大家對于自己的判斷很有信心,我們也尊重各位的訪問意愿。
我們擁有大量技術(shù)成果儲備,足以保證我們擁有比威脅更快捷的反應(yīng)速度,而且遠(yuǎn)早于那些只有在威脅真正出現(xiàn)在客戶計算設(shè)備上才能發(fā)現(xiàn)問題的安全設(shè)備。換句話來說,我們的目標(biāo)是搶在大家對惡意軟件進(jìn)行下載之前就阻止這種行為。
記者:那么您如何判斷威脅身在何處?您又是如何獲取安全保護(hù)所需要的數(shù)據(jù)的?
DU:我們的網(wǎng)絡(luò)體系每天承載著5000萬用戶的日常使用,單昨天一天我們就處理了600億次DNS請求; 我們會將其記錄、保存下來并加以分析。這還僅僅是我們分析對象中的一半。另一半則來自其它來源,例如域名注冊、互聯(lián)網(wǎng)上的BGP路由信息以及哪些網(wǎng)站負(fù)責(zé)托管其它網(wǎng)站。我們會將這些背景信息匯總在一起。我們的研究團(tuán)隊構(gòu)建起了大量分類引擎及算法,專門用于從這些數(shù)據(jù)當(dāng)中挖掘出使用模式; 因此,當(dāng)出現(xiàn)了偏離固有使用模式的狀況或者不同于原有分類機制的活動時,我們會通過算法進(jìn)行阻止或者為其設(shè)置紅色標(biāo)記。
記者: 這種服務(wù)所對應(yīng)的市場是怎樣的?
DU:我們銷售的產(chǎn)品名為Umbrella。我們很久以前就已經(jīng)決定采取這種獨立于設(shè)備之外的安保服務(wù)方式。我們并不在乎大家實際使用的到底是筆記本還是平板設(shè)備。我們的收費單位也并非每臺設(shè)備,而是每一位用戶。
我們的合作伙伴當(dāng)中包括2000家活躍MSP(即管理服務(wù)供應(yīng)商),他們一直以來都在幫助我們進(jìn)行服務(wù)產(chǎn)品銷售。作為虛擬CIO角色,他們負(fù)責(zé)現(xiàn)實層面上的服務(wù)銷售、配置與定價,并與客戶直接交流。我們的大部分MSP合作伙伴都會將這些服務(wù)融入到客戶的每月使用成本當(dāng)中,而我們則以每用戶每年的方式向其收取費用——理由很簡單,他們很清楚在我們服務(wù)的支持下,客戶能夠有效應(yīng)對惡意軟件帶來的負(fù)面影響、降低釣魚攻擊的危害并免受其它安全妥協(xié)問題的困擾。這樣一來,他們的運營收益也能得到良好的保障。有時候這些商家甚至?xí)⒎?wù)直接交付給客戶,我們并不在意他們具體采取怎樣的銷售方式。
記者:您與這些MSP之間是怎樣的一種合作關(guān)系?
DU: MSP幾乎為我們貢獻(xiàn)了整體業(yè)務(wù)收益的三分之一。他們能夠切實幫助我們更好地獲取客戶反饋與產(chǎn)品使用意見。我們也會投入大量工程技術(shù)資源來確保自身能夠為其提供足以肩負(fù)重任的安全解決方案。
我們也從MSP業(yè)界學(xué)習(xí)到了大量寶貴經(jīng)驗,其中最重要的一點就是他們在IT執(zhí)行流程中擁有非常出色的協(xié)作與溝通能力。正因為如此,我們才能夠在MSP領(lǐng)域中積累起強大的業(yè)務(wù)實力。目前這部分營收已經(jīng)成為我們業(yè)務(wù)體系內(nèi)發(fā)展速度最快的分支,因為我們擁有良好的口碑、信譽以及服務(wù)供應(yīng)商的強烈推薦。為了保持住這一發(fā)展勢頭,我們建立起完整的工程技術(shù)與產(chǎn)品團(tuán)隊來專門與MSP合作伙伴進(jìn)行對接。我們還將自身服務(wù)與Kaseya、Autotask以及其它工具進(jìn)行整合,幫助他們更好地為客戶帶來自動化配置方案。他們能夠利用這些工具直接實現(xiàn)OpenDNS產(chǎn)品的配置工作。
記者:您覺得這些變化給MSP業(yè)務(wù)帶來了怎樣的影響或者說轉(zhuǎn)變?
DU: MSP對我們的原有服務(wù)模式作出了調(diào)整,從而使其更適合他們自身以及客戶的實際需求。他們在扮演虛擬CIO角色的同時,也成為了技術(shù)的真正推動者。
他們過去一直將注意力集中在為小型企業(yè)、也就是他們支持服務(wù)的主體對象提供上門服務(wù)方面。他們需要親自前往現(xiàn)場并殺除筆記本電腦中的病毒他們會對筆記本進(jìn)行全新設(shè)置或者干脆配置新的設(shè)備; 他們還得管理并維護(hù)Windows Exchange Server或者微軟的小型企業(yè)服務(wù)器; 此外,他們基本上按小時收費。但現(xiàn)在情況已經(jīng)完全不同,前面提到的很多軟件已經(jīng)逐漸從業(yè)務(wù)環(huán)境中消失了。
換一種更為直白的說法,這些服務(wù)供應(yīng)商不再親身前往客戶處處理IT工作并從對方企業(yè)手中獲取報酬; 相反,他們現(xiàn)在轉(zhuǎn)而以客戶為單位計算服務(wù)成本,例如每月每位員工100美元,并包攬下其全部IT技術(shù)任務(wù)——設(shè)置電子郵件、部署備份機制、實現(xiàn)安全保障——而這也充分調(diào)動起了MSP合作伙伴的積極性。客戶感染情況更少、備份效果更好、系統(tǒng)運行狀態(tài)更可靠、需要進(jìn)行上門服務(wù)的比例也更低,一切都比原先更加理想。他們不再以現(xiàn)場工作的小時數(shù)來收費,現(xiàn)在他們無需前往客戶所在位置、但卻能夠賺到更為豐厚的回報。
記者: 也就是說,現(xiàn)在的處理方式更有利于他們的財務(wù)狀況?
DU:現(xiàn)在的這種業(yè)務(wù)模式以更為高效的方式實現(xiàn)資源利用。MSP合作伙伴如今能夠以數(shù)量更少的員工為更多客戶提供支持。舉例來講,如果他們有30家客戶現(xiàn)場需要處理,每個現(xiàn)場的工作需要耗時3個小時,那么現(xiàn)在的新方案能夠為其提供十倍以上的處理效率。這顯然意味著更為可觀的利潤、更理想的穩(wěn)定性收入并為客戶帶來更具可預(yù)測性的成本支出。
這才是真正的雙贏結(jié)果。由于現(xiàn)在大部分工作是以虛擬方式而非上門服務(wù)實現(xiàn)的,因此客戶能夠擁有更多供應(yīng)商選項——他們用不著再單純從公司所在地周邊的五英里范圍內(nèi)進(jìn)行搜索了。除此之外,新機制也使得小型企業(yè)擁有者能夠享受到其原本根本無法承受的大型工具與大規(guī)模服務(wù)方案。
記者:讓我們再回到OpenDNS本身。是不是必須首先成為DNS服務(wù)的客戶,才能進(jìn)一步享受到您所提供的Umbrella安全平臺?
DU:沒錯,我們確實提供一項遞歸DNS服務(wù),而這也正是瀏覽器準(zhǔn)確找到目標(biāo)網(wǎng)站的方式所在。大家必須要使用這項服務(wù)才能訪問到我們的安全服務(wù)。
我們的客戶其實并不一定是為了DNS服務(wù)才購買我們的產(chǎn)品,事實上他們購買的其實是安全保障。我們運行的DNS服務(wù)只不過是其中的一個側(cè)面,我們同時也為其解決各類其它問題。
記者:那么與傳統(tǒng)解決方案相比,通過云交付的安全機制有著哪些不同?OpenDNS又是如何利用這些潛在優(yōu)勢的?
DU:二者的區(qū)別絕不僅限于員工開始在辦公環(huán)境之外處理日常業(yè)務(wù),也不單純在于能夠讓這些虛擬CIO更輕松地實現(xiàn)部署。事實上,云安全——也就是我們所采用的安全機制——從本質(zhì)層面上更具吸引力,即使使用者并未真正離開自己的辦公室。這是因為我們以實時方式找出包含在全局體系中的威脅因素,并通過智能化方式對各個客戶加以保護(hù)。想象一下,每天有5000萬用戶通過我們的網(wǎng)絡(luò)進(jìn)行協(xié)作,這將迸發(fā)出多么巨大的能量。
我們同時也在對受感染用戶以及非感染用戶的流量模式進(jìn)行審查,而且整個實施過程真的非常快捷。我們擁有一個研究團(tuán)隊,專門負(fù)責(zé)分析數(shù)據(jù)并向其中添加大量背景信息,從而真正識別出互聯(lián)網(wǎng)當(dāng)中不同部分是安全還是危險——通常能夠在大家下載惡意軟件或者受到感染之前就加以阻止。
與此同時,我們現(xiàn)在已經(jīng)擁有越來越多追蹤記錄以及安全威脅識別信息,甚至能夠在問題出現(xiàn)之前就將其揪出來。我們還會經(jīng)常發(fā)布這些數(shù)據(jù),至少是以半公開方式交付給安全研究業(yè)界。
京公網(wǎng)安備 11010502049343號