在中國(guó)安全業(yè)內(nèi),一直存在“天派”和“地派”之分。“天派”安全企業(yè)張口就說(shuō):“兄弟我在美國(guó)RSA的時(shí)候……”,每當(dāng)我聽(tīng)見(jiàn)這句話時(shí),就會(huì)想起《圍城》中的教育部督學(xué)。其實(shí)呢?其實(shí)他們真沒(méi)抓住幾個(gè)APT。而“地派”安全企業(yè)要低調(diào)很多,他們也談理論,但更重視從應(yīng)用的角度琢磨,如何將理論落地為可用的安全體系。
安全產(chǎn)業(yè)不能靠口才
郭峰,大病初愈。修養(yǎng)期間翻看《皇帝內(nèi)經(jīng)》,書(shū)中有云:圣人不治已病治未病。其有所頓悟,“其實(shí)這正是下一代可落地安全保障體系的核心思想。”
郭峰現(xiàn)任太極股份(002368,股吧)信息安全與自主可控戰(zhàn)略本部副總經(jīng)理,而太極股份即是中國(guó)“地派”安全企業(yè)的代表。何為“地派”? 郭峰說(shuō):“信息安全涵蓋萬(wàn)萬(wàn)個(gè)話題,但現(xiàn)在講黑客的多,談防御的少;講威脅論的多,談落地的少。”
由此可見(jiàn),中國(guó)的安全產(chǎn)業(yè)已經(jīng)漸漸變?yōu)橐粋€(gè)講求“口才”的行業(yè),都在“忽悠”概念。站在三尺講臺(tái)上就敢說(shuō):“傳統(tǒng)安全體系已經(jīng)失效”;坐在用戶面前就談“何為下一代安全體系”,這都是不負(fù)責(zé)任的變現(xiàn)。
其實(shí)不管如何夸夸其談,參加一次美國(guó)RSA會(huì)議,就可知道中國(guó)信息安全產(chǎn)業(yè)的現(xiàn)狀,國(guó)內(nèi)市場(chǎng)一片欣欣向榮,但RSA的中國(guó)展區(qū),總是門前冷落車馬稀。原因何在?不能落地。原因又何在?不能解決用戶的業(yè)務(wù)戰(zhàn)略與信息化之間的匹配度。
在此方面,IT方案商似乎有得天獨(dú)厚的優(yōu)勢(shì),他們靠熟知用戶業(yè)務(wù)吃飯,長(zhǎng)期以信息化服務(wù)于用戶的業(yè)務(wù)戰(zhàn)略,而在信息安全方面,其能夠?yàn)橛脩籼峁I(yè)務(wù)戰(zhàn)略與信息化融合的安全咨詢。“因此,太極的定位是安全應(yīng)用提供商,這有別于安全產(chǎn)品提供商和安全服務(wù)提供商。我們必須讓不懂安全的業(yè)務(wù)管理人員,也能理解安全。”
再次回到“天派”與“地派”區(qū)別的話題上。不過(guò)在此之前,有必要先普及一下經(jīng)典的“馬斯洛”信息安全需求圖層,馬斯洛圖層將用戶在安全方面的需求進(jìn)行金字塔型排列,最底層為初級(jí)生存階段需求,包括:信息安全單點(diǎn)產(chǎn)品及工具;信息安全管理及數(shù)據(jù)平臺(tái)。中間層為中級(jí)認(rèn)證階段需求,包括:信息安全各領(lǐng)域體系化解決方案;信息安全一體化服務(wù)方案;信息安全管理咨詢規(guī)劃。頂層為高級(jí)成長(zhǎng)階段需求,包括:業(yè)務(wù)咨詢規(guī)劃;風(fēng)險(xiǎn)治理。
而“天派”安全企業(yè),雖然被稱為“天派”,只是眼光高,但在實(shí)際業(yè)務(wù)中往往眼高手低,只能以簡(jiǎn)單的產(chǎn)品組合,從用戶單點(diǎn)需求入手,解決底層初級(jí)需求。而如太極股份的“地派”安全企業(yè),此前更多的業(yè)務(wù)集中于金字塔的中層,即“用戶的中級(jí)認(rèn)證階段需求”,而用戶在高級(jí)成長(zhǎng)階段方面的需求,只會(huì)委托給全球四大咨詢公司。
當(dāng)然,這是2016年之前的格局,目前太極已經(jīng)承接了多個(gè)業(yè)務(wù)咨詢規(guī)劃和風(fēng)險(xiǎn)治理項(xiàng)目,也就是說(shuō),太極已經(jīng)具備了自上而下,滿足用戶信息安全需求的能力。郭峰說(shuō):“不能為用戶進(jìn)行業(yè)務(wù)咨詢,用戶根本就不跟你談信息安全,不具備業(yè)務(wù)咨詢能力,就不可能為用戶分析信息安全的風(fēng)險(xiǎn)點(diǎn)和控制點(diǎn)。”
此外,安全體系“落地”的話題也依然繞不過(guò)去,郭峰十分不同意所謂“傳統(tǒng)安全防御體系已失效”、“APT如洪水猛獸”等論調(diào)。確實(shí),如今的現(xiàn)狀是,當(dāng)黑客打開(kāi)客戶第一道門時(shí),他們就會(huì)發(fā)現(xiàn),現(xiàn)金就放在桌上,珠寶首飾滿地都是。“但安全企業(yè)提供的保障體系并不是這樣,失效的不是傳統(tǒng)安全解決方案,而是安全管理策略。”郭峰說(shuō)。
由此也就導(dǎo)出,太極股份目前在倡導(dǎo)的下一代可落地的安全保障體系。郭峰認(rèn)為,其必須具備兩項(xiàng)核心特征:其一,持續(xù)建立IT免疫系統(tǒng);其二,安全能力疊加。“多數(shù)廠商只為客戶提供安全技術(shù)體系,而太極要圍繞用戶業(yè)務(wù)應(yīng)用,提供管理、制度、運(yùn)維、技術(shù)、標(biāo)準(zhǔn)等閉環(huán)服務(wù),只有提供閉環(huán)服務(wù),才能促使安全體系落地。”
其實(shí)無(wú)需太多的技術(shù)語(yǔ)言進(jìn)行描述,甚至一位家庭保潔工,都能很容易地理解太極的理念。首先將凌亂的用戶數(shù)據(jù)進(jìn)行進(jìn)行甄別和整理,并按重要程度,存儲(chǔ)在不同防御級(jí)別的“房間”中。同時(shí),通過(guò)設(shè)定安全策略,規(guī)劃出不同訪問(wèn)路徑。例如,房間的女主人進(jìn)入臥室即是合理路徑,半夜12點(diǎn),保姆進(jìn)入男主人的臥室,即為可疑路徑。當(dāng)然,這一切的前提是,實(shí)現(xiàn)安全策略的可視化。
郭峰說(shuō):“安全策略,才是構(gòu)建下一代信息安全防御體系的核心,而且現(xiàn)有的技術(shù)發(fā)展,已經(jīng)使可視化成為可能。太極的優(yōu)勢(shì)在于,對(duì)用戶的核心業(yè)務(wù)和業(yè)務(wù)流有深刻的理解,非常清晰用戶系統(tǒng)和數(shù)據(jù)之間的關(guān)系。而我們的目標(biāo)是:讓不懂安全的人,看透安全。”
當(dāng)然,太極也不能依靠一己之力構(gòu)架下一代信息安全防御體系,其在尋找“能力者”共同構(gòu)建“下一代信息安全防御體系能力者聯(lián)盟”。所謂“能力者”,并不是大而全的安全企業(yè),甚至可以是術(shù)業(yè)有專攻的“偏科生”。
通過(guò)對(duì)全國(guó)300家安全企業(yè)進(jìn)行篩選,目前太極首批已經(jīng)與圣博潤(rùn)、安博通、中興網(wǎng)安、科萊等十余家公司建立的聯(lián)盟合作關(guān)系。這些企業(yè)就是在內(nèi)控管理、安全回溯分析、抗DDoS等方面的“能力者”。 最后,郭峰表示,只有與“能力者”合作,太極才能提高用戶自身的可視、可管、可控能力,并最終建立IT免疫系統(tǒng)自適應(yīng)安全體系。
文章來(lái)源:微信公眾號(hào)商業(yè)伙伴
京公網(wǎng)安備 11010502049343號(hào)