“互聯(lián)網(wǎng)是殘酷的，是黑暗的。”說這話的，是一位曾經(jīng)的黑客，現(xiàn)在的安全公司“青藤”的創(chuàng)始人張福。顯然他對于互聯(lián)網(wǎng)的這番理解來自于自身的黑客生涯。“很多小蝦米企業(yè)在黑客面前就是透明的，黑客甚至懶得動手指頭，掛個木馬就把你黑了。如果你有對他們有價值的信息，那么黑客可以盜取，如果沒有價值，他們也會用你的計算能力來進行DDoS攻擊”。

所謂DDoS攻擊，通俗來講就是一種網(wǎng)絡(luò)僵尸攻擊，把被攻擊者同化為黑客的傀儡，對新的目標進行攻擊。這個過程中，被黑的企業(yè)很可能都不知道自己正在助紂為虐。

　　張福

黑客的灰色產(chǎn)業(yè)鏈一直被認為是比地產(chǎn)行業(yè)還暴利的營生。他們盜取游戲服務(wù)器上有價值的虛擬貨幣，或者黑進有價值的企業(yè)盜取企業(yè)信息進行販賣。正如現(xiàn)實世界的犯罪一樣，總有人經(jīng)不住巨大的誘惑，鋌而走險。很多互聯(lián)網(wǎng)創(chuàng)業(yè)企業(yè)，全部的財富和估值都集中在服務(wù)器的資料上，所以更是讓黑客磨刀霍霍。

“整個黑客的產(chǎn)業(yè)鏈要比安全產(chǎn)業(yè)鏈龐大數(shù)倍。”這句話更像是張福對于安全行業(yè)的反諷。不過身處安全行業(yè)，他有理由比旁人見識更多的“血雨腥風(fēng)”。“我非常痛心，很多創(chuàng)業(yè)企業(yè)一夜之間變得一無所有。而且和傳統(tǒng)犯罪不同，法律無法界定，犯罪過程很難追溯。”

張福的話有沒有言過其實呢？不是有一種東西叫做防火墻嗎？

形象地講，這些年中國的安全企業(yè)逐漸形成了正規(guī)軍和綠林好漢兩派。正規(guī)軍興盛于政府采購或者國企銀行，就是所謂的2G（to government）。隨著互聯(lián)網(wǎng)創(chuàng)業(yè)成為全民運動，創(chuàng)業(yè)公司的成立速度遠超想象，針對互聯(lián)網(wǎng)公司的安全，武林中涌現(xiàn)了各派大俠，他們各有獨門絕技。剛剛被阿里收購的安全公司瀚海源采取了通過分析網(wǎng)絡(luò)數(shù)據(jù)通道，實時檢測漏洞和隱藏在文檔中的惡意代碼；被騰訊投資的安全公司知道創(chuàng)宇推出了代碼審計、漏洞評估和 Web 應(yīng)用防火墻產(chǎn)品。張福所推崇的“自適應(yīng)云安全”也成為武林中的一派。

　　日漫《進擊的巨人》中表現(xiàn)了堡壘攻防的狀態(tài)

云安全是一場城堡攻防戰(zhàn)

“一種技術(shù)如果做了二十年，還是不成功，那我們就要思考這究竟是技術(shù)問題還是道路問題。”張福為雷鋒網(wǎng)列舉了一些近年來轟動全球的黑客攻擊事件。

2014年索尼影業(yè)遭遇黑客攻擊，幾部未發(fā)行的影片和大量內(nèi)部數(shù)據(jù)遭到泄露，給索尼造成了重大的損失。索尼被迫宣布滿足黑客的要求，取消電影《刺殺金正恩》的公映。

美國通過侵入伊朗一位科學(xué)家的U盤，使之攜帶 Stunex 震網(wǎng)病毒侵入位于 Natanz 的伊朗核設(shè)施，致使離心機異常過載，離心機在被摧毀之前，數(shù)據(jù)會顯示一切正常。分析認為，Stunex拖慢了伊朗核進程數(shù)年之久。

2014年3月，當時最大的比特幣交易平臺Mt.Gox遭受黑客攻擊，丟失了用戶大約75萬枚比特幣，按照當時的匯率計算約合3.65億美元。

2011年4月美國EMC公司的安全部門RSA遭遇黑客攻擊，種子秘鑰被竊取，理論上黑客可利用種子破解上千萬個安全令牌，這些令牌服務(wù)于包括軍工企業(yè)在內(nèi)的大批美國企業(yè)和政府網(wǎng)絡(luò)。

上圖是2008年，當時的總統(tǒng)艾哈邁迪.內(nèi)賈德在Natanz的控制室觀看SCADA的場景。面向攝影師的屏幕顯示兩個離心機已經(jīng)被隔離，但這并沒有影響整個工藝流程的持續(xù)運行。

不可否認，以上的幾個例子都發(fā)生在防火墻安全等級極高的公司和組織身上。但是，攻擊就是真實地發(fā)生了。

所謂道高一尺魔高一丈，在互聯(lián)網(wǎng)行業(yè)時常被驗證。張福力圖給記者描繪一幅黑客和防御者的攻防史詩，他把這個數(shù)字戰(zhàn)場比作一座城池。“過去20年里黑客的攻擊還是比較傳統(tǒng)，所以傳統(tǒng)的辦法——在外層樹立城墻（防火墻）——就是一個可行的辦法。但是現(xiàn)在的公司內(nèi)部生態(tài)復(fù)雜，對外交互越來越多。這就像你的城門有很多，需要進出貿(mào)易的人也很多，這就使得你被攻破的通路增多了。再加上你城墻內(nèi)的財富很多，誘使外面的攻擊火力不斷升級，過去主要依靠VPN、防火墻的城墻式防御就顯得越來越落后。”

自適應(yīng)云安全，是張福個人認為最為根本的安全方案。自適應(yīng)云安全的說法并不來自中國。從2014年開始，美國興起了一種新的安全理念，通過業(yè)務(wù)層面量身定做主動地防御系統(tǒng)，被一些安全領(lǐng)域的公司廣泛認可。通俗地來說，就是為賣炊餅的武大、賣脆梨的鄆哥和搞婚姻介紹的王媽媽根據(jù)日常商業(yè)行為各自生成一套安全機制。

2014年6月，美國安全公司Gartner發(fā)布了一個年度報告，把這種新的理論總結(jié)為“自適應(yīng)的訪問控制”。而張福所做的云安全指導(dǎo)思想正和這個理念不謀而合，當他看到了對這種理論詳細闡述的報告時，非常興奮。此時，他已經(jīng)研發(fā)了青藤云安全體系，由于Gartner提出的理論更加細致和完善，于是他用這套體系改進了自己的產(chǎn)品，形成了現(xiàn)在的青藤云安全服務(wù)。

讓機器來判斷靠譜嗎？

自適應(yīng)，表示安全系統(tǒng)會自查自糾，自我進步。這自然涉及到機器學(xué)習(xí)和大數(shù)據(jù)樣本。Gartner認為，一個完整的安全體系應(yīng)該包括“防御、檢測、響應(yīng)和預(yù)測服務(wù)”這四個方面。現(xiàn)實中大多數(shù)企業(yè)只優(yōu)先考慮攔截，就是下圖右上角的部分。但這一部分的防御已經(jīng)越來越容易地被黑客攻破，真正高級的安全是具有智能檢測和預(yù)測功能的智慧防御，是系統(tǒng)的主動改進和自我進化。

　　自適應(yīng)防御系統(tǒng)的四個階段(預(yù)測->防御->監(jiān)控->回溯)

為了展現(xiàn)出青藤產(chǎn)品的優(yōu)越性，張福給雷鋒網(wǎng)舉了例子：自適應(yīng)的云安全更像是一套免疫系統(tǒng)，企業(yè)可以自助提交自己的業(yè)務(wù)模式，由青藤進行分析，生成一套針對企業(yè)業(yè)務(wù)規(guī)模和流程的防御機制，企業(yè)也可以自行選擇不同安全級別的防御模塊。青藤云安全的工作機制大體可以描述為：機器通過對人的操作習(xí)慣進行深度學(xué)習(xí)，從而識別非本地管理員的操作。張福說：“這種安全是基于行為模式，而不是基于代碼特征。”

基于行為特征的安全防護，確實讓人有想象的空間。2014年，美國安全公司FireEye收購Mandian，看中的正是它可以基于情景進行評估、可視化處理，這樣一整套安全分析機制。而另一家以自適應(yīng)為核心特征的美國安全公司illumio在成立短短兩年內(nèi)就獲得多輪融資超過1億美元。

國內(nèi)一家云計算服務(wù)公司W(wǎng)ilddog（野狗）的老大劉之對“自適應(yīng)云安全”很有興趣，“這個概念非常棒，一直以來大部分安全策略都采取規(guī)則式的，這就存在規(guī)則庫不夠彈性的問題。后來有人引入機器學(xué)習(xí)，這樣規(guī)則產(chǎn)生的確會更加容易。”不過劉之同時表示，這個技術(shù)在發(fā)展過程中也面臨很多挑戰(zhàn)，因為機器的自我進化技術(shù)有相當?shù)碾y度，“問題在于誤判率，根據(jù)現(xiàn)有的技術(shù)，學(xué)習(xí)不僅必須要大的樣本量和數(shù)據(jù)，而且誤殺率會比較大。”

對于誤判的情況，張福表示理論上確實存在這樣的可能，他簡單闡述了降低誤判的方法：一旦潛在問題被檢測到，就需要經(jīng)過多角度的確認。張福還表示：”現(xiàn)在我們的防護機制，是機器無法判斷的情況下，交給人來判斷。一個好的安全機制，可以自動化產(chǎn)生新特征、規(guī)則和模式來應(yīng)對最新發(fā)現(xiàn)的高級攻擊。這也正是青藤的努力方向。“

　　青藤的行為模式識別示意圖

安全領(lǐng)域的風(fēng)口來了

張福判斷：安全的風(fēng)口來了。直接的表現(xiàn)就是在美國硅谷和以色列這些互聯(lián)網(wǎng)企業(yè)高度聚集的地方，云計算的興起速度前所未有。而最為確鑿的證據(jù)，就是這兩年大規(guī)模的安全行業(yè)的并購。在張福眼里，國內(nèi)針對互聯(lián)網(wǎng)企業(yè)的安全公司，只要有技術(shù)優(yōu)勢，無論是老牌的還是新生的，從大樹到幼苗，最近都被BAT3等大公司收購，如“知道創(chuàng)宇”、“Keen團隊”被騰訊戰(zhàn)略控股；“安全寶”被百度并購；“瀚海源”被阿里收購等等。這些僅僅是一部分，還有很多的并購未被披露。

根據(jù)青藤所掌握的資料，企業(yè)在A輪的時點最容易受到對手的攻擊。那么是否因為很多企業(yè)沒有安全意識，所以才會造成如此多的入侵事件呢？張福認為并不是這樣，“近些年很多企業(yè)也逐步認識到安全是一個必須要做的事情。只是很多時候門檻比較高，限制比較多，價格比較貴。市場在期待好的產(chǎn)品。”青藤就在挑選對安全有需求且愿意以開放的姿態(tài)接納安全服務(wù)的企業(yè)作為服務(wù)對象。由于青藤的產(chǎn)品還在逐步優(yōu)化中，尚未公開推廣，所以青藤所服務(wù)的企業(yè)都是種子用戶。對于具體有哪些企業(yè)接受青藤的服務(wù)，張福表示暫時不能透露，不過“服務(wù)的企業(yè)很廣泛，從營收20億的大塊頭到只有一臺服務(wù)器的小企業(yè)，我們都在服務(wù)。”

張福特意強調(diào)，實驗證明這種防御機制低成本高效率，因為服務(wù)器在云端，所以企業(yè)幾乎不用投入任何硬件成本，小企業(yè)也有機會保護自己的資料安全。

在和雷鋒網(wǎng)交流的過程中，張福不斷提到國內(nèi)安全企業(yè)的并購，以及安全領(lǐng)域的大牛跳槽進入大公司。難道張福也準備把自己的公司賣個好價錢嗎？對于這個疑問，張福看起來早有準備，“很多人想來投資我們，但是從我的初衷來講，我想把這件事做大。因為做安全，最好是有獨立干凈的資金背景，所以我們只接受了一些純財務(wù)的風(fēng)險投資。如果接受戰(zhàn)略投資，可能會遇到掣肘。”他坦言不接受巨頭的戰(zhàn)略投資，并且表示“在競爭中我們寧可被干死，也不愿格局受限。”

從技術(shù)牛到創(chuàng)業(yè)狗，張福強調(diào)他從不為自己的選擇后悔，他說：”我不斷把自己變得更自由。有了自由之后，才有能力選擇自己的道路。”