安全狗的云安全服務平臺目前已經保護超過百萬臺的(云)服務器,日均攔截超過千萬次攻擊。其SaaS服務平臺(服云)也已經對接了超過5家云計算平臺的API。未來用戶可通過該平臺實現在云計算環境下更多的安全運維場景。
在安全領域創業的門檻相對較高,不但需要創始人擁有很高的安全技術背景,更重要的是需要對安全領域的形勢有很好的掌控。安全狗創始人陳奮便是如此,他做過一家著名安全公司的研發總監,他的團隊也是自一家上市公司孵化而來。目前,安全狗云安全服務平臺已經保護超過百萬臺的(云)服務器,日均為用戶攔截超過千萬次的攻擊。同時,安全狗也積極參與到國內云計算安全生態的建設,目前已經跟阿里云、騰訊云、天翼云、華為云、亞馬遜AWS等云計算平臺建立合作伙伴關系。
云計算時代,各種安全和隱私問題層出不窮,各種安全漏洞或者用戶信息泄露的事件也幾乎每隔一段時間就會見諸于報端,而用戶也是在發現自己的隱私被侵犯之后才后知后覺,顯然已經晚矣。而安全狗正是從防御體系中的最后一道防線信息系統后端的服務器安全開始切入,并將傳統的單點端防御演化為云+端的整體防御體系,再通過大數據技術和前端的安全防護相結合,從而將黑客的攻擊行為秒殺。
安全狗的SaaS服務包括了云+端的云安全管理平臺(服云)為用戶解決公有云、私有云、混合云以及傳統環境中可能遇到的安全及管理問題。安全狗云安全服務平臺目前已經保護超過百萬臺的(云)服務器,日均為用戶攔截超過千萬次的攻擊。本期“SaaS先鋒”欄目為你帶來安全領域的SaaS先鋒——安全狗。
記者問:安全穩定一直備受關注,安全狗在云計算時代定位是什么?
陳奮:安全狗的安全方案切入點就是信息系統后端的服務器安全,可以認為是防御體系中的最后一道防線。隨著這兩年國內云計算的快速發展,越來越多用戶把服務器遷往云端,因此云計算安全就成為安全狗必然的戰場。安全狗的防御體系也從單點的端防御演化為云+端的整體防御體系,通過云端的大數據分析和前端的安全防護相結合,能更快的感知黑客對系統的入侵行為。
從亞馬遜AWS發展來看,云計算是一個開放的生態(可以類比為一個大的操作系統),在這個生態下有很多第三方應用來為用戶服務,安全應用是其中的一個大類;目前AWS上安全類應用已經達到200款。國內的幾個大的云計算廠商也開始在參考AWS的生態體系建立自己的應用市場,目前做的較好的是阿里云的應用市場。
因此安全狗希望能夠積極參與到國內云計算安全生態體系的建設中去,并通過自己微小的力量推動國內云計算安全生態體系的發展。目前安全狗已經跟阿里云、騰訊云、華為云、天翼云、AWS等云計算產商建立了密切的合作關系,安全狗相關產品也上架到相應的應用市場中,同時安全狗的SaaS服務平臺(服云)也已經對接了超過5家云計算平臺的API。未來用戶可通過安全狗的SaaS服務平臺實現在云計算環境下更多的安全運維場景。
記者問:安全領域創業的門檻很高,你們為什么會選擇從安全領域開始創業?
陳奮:確實這幾年國內創業氛圍如火如荼,但是安全領域的創業公司屈指可數,我認為這個是因為安全領域創業首先需要有相關背景的技術團隊,另外國內安全市場還不夠成熟(跟國外相比);當然這個也是機會所在。我們團隊能夠選擇這個領域創業首先應該跟我們團隊的背景有關,我們整個技術團隊原來都是從國內一家著名的安全上市公司孵化出來的,我本人之前也是在這家公司擔任研發總監的職位,因此自然而然的會選擇安全領域。另外也跟國內的互聯網服務器安全現狀有關,當時發現互聯網服務器安全問題非常嚴重,大部分互聯網服務器都存在著各種安全隱患,而且被黑的不在少數但用戶還一無所知;就算今天這些問題依然層出不窮,因為每隔一段時間都會爆發一些新的漏洞,就會帶來新的安全問題。
記者問:安全狗在兼容主流云平臺方面,遇到哪些挑戰?
陳奮:安全狗目前跟這些云計算平臺合作主要是解決用戶使用云主機時遇到的安全問題,包括系統和應用層面,如系統被黑被入侵,應用數據泄露等問題;因此并不存在太大的兼容問題,安全狗產品在這些云計算平臺上都可以順利運行。當然我們也需要配合產商做些安全性和規范性上的修改;另外我們在制作安全狗安全鏡像時也做了非常多的工作,融合了我們安全團隊多年的經驗,對鏡像系統做了12道的標準化安全加固工序,解決用戶在系統初始化時候的一系列安全工作。
安全狗服云平臺在對接各大云計算平臺的API接口這方面做了不少兼容性的工作,各家API接口雖然基本都采用Restful API接口風格,但并沒有統一的標準;因此這塊我們做了不少兼容性的開發工作,未來也可能會考慮把這塊功能進行開源,讓更多的第三方平臺可以借鑒。
同時我們在虛擬化底層安全和VPC(虛擬私有云)接入安全也做了很多技術儲備,后續國內云計算平臺底層接口逐步商業化后,我們都會進行開發接入,為用戶提供更多的方案選擇。
記者問:安全狗服云平臺是你們基于云+端的模式打造的,目前肯定積累了大量數據,你們對這些數據時如何處理的?對日后的安全防護有哪些作用?
陳奮:我們一開始就是以公有SaaS云服務模式來打造的,所以在技術架構上非常重視數據分析處理、存儲和未來的擴展。針對攻擊行為,我們除了系統本地有行為規則引擎進行識別和攔截外,還會將這些行為(包括可疑的行為)同步到云端進行分析和處理(基于Storm流處理引擎的快速分析);當發現為高級別的攻擊威脅,我們會第一時間短信郵件通知用戶進行關注。
我們目前積累了大量的攻擊行為數據,目前我們日均處理的攻擊數據超過2000萬條;這些數據在我們存儲上會描述為攻擊類型、攻擊時間、攻擊者IP、攻擊特征等信息。通過對這些信息的分析挖掘,我們會得出常見類型攻擊的IP黑名單庫、攻擊的時間分布等重要信息,并會將這些信息從云端分享給所有的終端,提升終端第一時間的防護能力和分析效率。
記者問:你們在海量數據分析方面有什么經驗可以分享給大家嗎?
陳奮:這個在去年云計算大會之前接受你們采訪的那篇文章中我有提到我們目前使用的技術,我們應該算是國內較早使用hadoop+storm+solr來進行數據處理和分析的安全團隊。安全數據相比互聯網公司的數據規模還算是比較小,我們目前用了大約50臺的機器作為處理和存儲集群。但是安全數據在分析處理上有自己特點:
實時性上的要求。在眾多的攻擊行為和常規行為日志中,要第一時間判斷系統是否有被入侵的風險并通知用戶。我們采用Storm來處理日志數據,并結合分布式緩存來最快速的處理這些數據并輸出結果。
準確性的要求。一臺對外提供服務運營的服務器平均一天大約會受到1到2萬次的攻擊,而這些攻擊中大部分是屬于探測性攻擊(攻擊者測試系統是否存在可利用的漏洞),只有少部分屬于入侵式攻擊(攻擊者可能掌握了一定的系統權限)。我們需要利用規則模型準確的從這些數據中分析出不同類型的攻擊并進行標記,以提升我們的準確性。
多維度的離線分析。我們會定期對這些數據從攻擊類型、攻擊IP、地理位置、時間等多個維度進行統計分析,并將這些統計結果轉換成知識庫和規則庫以便后續使用(減少后續的實時統計)。
記者問:目前用戶的規模如何,用戶關注的問題主要集中在哪些方面,你們如何應對?
陳奮:目前我們保護的互聯網服務器(包括云服務器)規模已經超過百萬臺,用戶涵蓋了電商、游戲、APP應用、互聯網金融、政企單位、中小企業以及大量的中小站長用戶。不同類型的用戶會有不一樣的安全關注點,以下幾類的問題是大部分用戶會遇到的:
受到攻擊會不會導致系統被入侵。一般用戶都會遇到各種不同類型的攻擊,就會擔心是否存在被入侵的風險;我們通過攻擊類型的劃分和評級來告訴用戶可能存在的風險以及應對措施。
系統環境和應用環境的安全性問題。一般企業的技術人員或者運維人員對應系統和應用環境的安全性缺乏相應的專業知識,我們通過自動化的系統安全和應用安全風險識別和加固幫助用戶解決這類問題。
DDOS攻擊和CC攻擊問題。對于運營類的網站服務器比較關注DDOS攻擊和CC攻擊問題,這個直接影響到業務的穩定運行。安全狗作為軟件型防火墻可以解決中小流量的攻擊,對于大流量攻擊我們采用跟其他云產商合作模式,當用戶遭受到較大流量攻擊時候幫用戶把異常流量遷移到第三方云產商清洗中心進行過濾。
記者問:能否對未來的安全形勢做下預測?眼下DDos攻擊非常猖獗,未來的安全軟件會呈現哪些特征?
陳奮:從2014年的互聯網服務器安全、網站安全攻防來看,針對服務器和網站攻擊、漏洞的利用愈來愈多。很多的漏洞被發現,其中包括埋藏在系統中多年未被發現的漏洞,影響面非常廣泛。據此可以預見2015年安全問題依然十分嚴峻,并且會有一些新的情況出現。
1. 針對操作系統和應用系統的漏洞攻擊依然是攻擊的主要手段,并且可能會繼續發現隱藏多年的漏洞 2014年連續爆發了幾個隱藏多年的操作系統和通用性組件的漏洞(如Openssl心血漏洞、shell shock破殼漏洞),這方面的安全問題將會持續受到關注;因此2015年這方面的安全漏洞將可能會繼續出現,需要我們及時響應這方面的漏洞情況,并及時升級補丁。
2. 網站類應用系統的安全問題仍然十分嚴峻網站類應用系統已經從傳統的網站形式擴展到了手機本地APP應用、WEB APP應用等,這些應用從本質上看都還是利用HTTP協議;因此針對網站的攻擊手段在這些新的應用形式上仍然適用,在2015年這方面的安全問題仍然十分嚴峻,需要廣大用戶做好防范并能在開發階段杜絕這方面的安全問題。
3. 應用系統的配置風險漏洞將會被大面積利用從2014年用戶服務器安全來看,應用系統的配置風險是眾多用戶不太重視的問題;另外隨著新的應用系統類型不斷增加并被應用到生產環境中,2015年這方面的安全漏洞將會被大面積利用;這里面除了傳統的數據庫應用,WEB容器、開源監控系統(如Zabbix),MongoDb、Redis、Hadoop等新型應用配置風險漏洞也將成為黑客利用的目標。
4. DDOS流量攻擊事件會繼續增加,攻擊峰值將再攀高峰可以預見2015年的DDOS攻擊流量峰值將可能超過500G或者更高的規模,對用戶系統的穩定運行帶來了巨大的威脅。
5. 針對云服務器的攻擊事件將會越來越頻繁隨著越來越多的應用系統遷移到云計算環境,針對云服務器的攻擊將會更加頻繁;另外攻擊者也會繼續尋找新的攻擊方式,以達到控制更多優質云服務器的目的。
記者問:安全狗下一步的打算方便透露嗎?
陳奮:我們還是會繼續堅持打造好我們這個云+端的安全SaaS平臺,同時我們還會繼續跟更多的云計算產商合作,解決用戶在云環境下的安全運維問題,讓用戶更好的遷移
京公網安備 11010502049343號