現代公司必須盡快在其終端上擋住多種威脅

　　——F-Secure首席執行官薩姆·康提能

 2017年終將上升的數據泄露和網絡攻擊，注定要給安全人員帶來更多的不眠之夜。面對公司的IT基礎設施現狀，CSO們在網絡與終端這兩個安全領域的空白填補上大多十分困惑。薩姆·康提能，F-Secure總裁兼CEO，近期接受媒體采訪，回答了關于威脅態勢、競爭廠商，以及網絡安全的未來等問題：

問題1. 作為F-Secure的首席執行官，什么是您在這個職位上最關注的事？

答：F-Secure不是初創公司，但與賽門鐵克這樣的行業巨頭相比，我們還很弱小。我們不能裝作是你什么都能從中拿到的網絡安全超市。因此，我們特別專注于在我們經營的領域提供“一流”的解決方案。

在B2B領域，終端已經從傳統反病毒(AV)預防擴展到了檢測能力。有些廠商將之稱為下一代，有些叫做EDR(終端檢測與響應)。終端安全上已經出現了一種范式轉移，人們不能依賴安全解決方案來阻止所有威脅。壞人技術高明，且毅力持久，只要他們盯上你的公司，他們終將侵入到你的網絡。你的安全解決方案應該具備盡快檢測出入侵者的能力，因為你攔不住他們。在終端方面的擴展，更多是關于基于行為的異常檢測，這上面傳統AV或“一流”防火墻可做不到。

我們正朝著漏洞管理這個有趣的領域邁進。目前，F-Secure是唯一一家具有將終端和漏洞及補丁管理融合起來的價值主張的廠商(長期以來都作為終端投資組合的一部分)。終端防護、漏洞管理和補丁管理，為公司的CSO和CISO們，創建了一個合乎邏輯的整體解決方案。

我們還探索某些新的云端威脅及其攻擊方法。幾個月前，我們宣布成為Salesforce.com的唯一網絡安全供應商，為Salesforce環境提供額外的安全層。

問題2. F-Secure正將重點從消費類業務快速轉移到B2B上來，目前為止的成績如何？

答：到B2B業務的轉變從3年前就開始了。現在，50%以上的公司一線產品都涌自B2B。今天的App經濟下，隨著消費者轉向免費安全解決方案，消費市場已經發生了巨大改變。有些同行覺得這種模式也無妨。但如果免費產品實際上是在挖掘消費者信息和數據，那么該安全公司就是在侵害消費者隱私。我們不會進入這種廣告和數據驅動的免費商業模式，所以我們將投資從B2C轉移到了B2B。

我們狀況良好，增長高于市場增長速率。但我們也非常警惕與專注，因為我們無法忽視來自市場中安全巨頭的競爭。我們必須成為“安全專家”，以便提升我們在終端安全戰場的價值。

問題3. 終端安全是否已錯過了“網絡安全”這趟班車？

答：正好相反。3到4年前，網絡安全領域圍繞網關、下一代防火墻等概念掀起了掘金狂潮。但現在情況有變。終端又成為了新的性感迷人的小甜心。因為人們已經意識到，目標明確的罪犯想要侵入終端，終端才是他們的終極目標。個中原因就在于，終端上存放著密鑰。一旦他們從公司雇員的終端收獲管理員密鑰，他們就能黑了整個公司。事實也證明，今天終端總是發生大事情的地方。

如今出現了云端化的新興趨勢，包括像印度這樣的國家都在邁向云端。人們現在正將自己的IT，包括大部分應用，都遷移到云端。公司企業正將工作負載和App逐漸遷往云端，但終端不會消失。網絡安全和網關層，對沒有內部IT的公司而言，某種程度上變得比較受限或不太重要。

由于數據隱私和其他問題，銀行之類的大公司可能永遠不會采取云端路線。然而，很多公司正完全摒棄他們的內部IT，尤其是在中級市場上。有些IT團隊規模堪比軍隊的超級大公司，因為可能的IT裁員問題，而表現出對云端化的抵制。很多中級市場公司選擇了云IT，將自身主要精力放在公司業務上。F-Secure將繼續作為以終端為中心的安全廠商。

問題4. 如何看待安全公司的收購行為，如 Palo Alto 收購Cyvera，火眼收購曼迪安特，以及Sophos收購Astaro和Cyberoam，這種反向收購，全產品線戰略是否意味著能給安全廠商帶來更多的交易？

答：只要你在兩方面都是絕對強者就行。6個月前我們啟動了快速檢測服務(在托管檢測空間)。現在我們可以看到很多案例都是，客戶從 Palo Alto 買了機器學習，從火眼買了沙箱什么的，但攻擊者依然不斷涌進。還有很多案例，如已在客戶終端側部署了F-Secure的快速檢測傳感器的紅藍對抗中，攻擊者即使搞定了 Palo Alto 和火眼的工具，但只要黑手伸到密鑰存放的終端，我們的技術就能立即標識出來。

CSO和IT經理們都很欣賞我們那種火眼和 Palo Alto 之類網絡級防護到達不了的終端檢測。這就是今日終端檢測界的一股清流。在預防領域，包括傳統AV上，我們總能拿出品質優良的產品。

問題5. 2017年勒索軟件態勢如何？可能的觸發點會是什么？

答：只會更壞。很多勒索軟件家族雖已存在數年，卻僅僅是剛剛開始興風作浪而已。有很大的可能會出現第一例IoT領域的勒索軟件。在網絡犯罪控制了IoT的情況下，會有更多的Mirai型劫持案例出現。IoT空間將會繼續脆弱不堪，因為IoT提供商都只關注用戶體驗、酷炫界面之類的去了，安全不在他們的考慮重點之內。如果出現聯網汽車被鎖定的案例，我是一點都不會驚訝的。新美國總統上臺，可能會伴隨著更多的民族國家網絡入侵。

問題6. CSO和CISO往往最頭痛的是不甚明朗的威脅態勢，關于這一點您怎么看？

答：很多公司領導層都沒有理清CSO的明確路線，雖然網絡安全已經提上了他們的議事日程。CISO常會將自己看作擁有比之前的IT頭兒更大的預算來購買硬件設備和軟件的角色。很多CISO都會有這種完全錯誤的認知：購買更多東西就意味著不再有可怕的網絡安全問題出現。而這簡直大錯特錯！

CSO應有戰略眼光，是要認識到網絡防御更像是一個過程。他們需要將自己從IT框框里提升出來，成為更加戰略性的角色。CISO應是業務部門的伙伴，要將安全的實現與公司的業務目標相貼合，管控風險的同時推動業務。搞壞偉大技術的總是過程或人，而這一點大多數CSO并未真正理解。他們沒有從一個被升職的IT安全角色轉變過來，沒有全面理解自己的職責。

問題7. 相比于現有多條產品線的McAfee，F-Secure的優勢在哪里？

答：我們主要在歐洲受一點益。最近受益最大的，是在政治方面。斯諾登揭秘之后，更多的公司奔向我們，因為我們不是美國公司。他們可不愿意跟自己的網絡防御都被迫為NSA開個后門的公司合作。公司企業當然不會只依賴F-Secure一家。他們會采取多廠商策略，比如加進賽門鐵克或 Palo Alto Networks 的一些產品。這種多廠商的策略是很好的，畢竟我們是一個跟強權國家的全國監視機構毫無瓜葛的公司。

作為一家芬蘭的獨立公司而非北約的一部分，讓他們可以很放心地與我們合作。他們喜歡F-Secure的良好團隊、超棒產品、深刻視野，還有最重要的，我們不是源自美國的公司。

問題8. 最后的問題，為什么網絡罪犯和黑客總是比研發密集的安全行業中領先一步？

答：首先，壞人沒有領先一步，至少并不總是。壞人就像足球賽里的前鋒，而安全公司就是守門員。假設我們撲出了10個球中的9個，但只要有1個球漏過，造成了公司的巨大損失，那我們就輸了。這就是困難所在。

而且，很多公司都是黑客易于下手的目標，因為他們沒有運營良好的漏洞掃描解決方案，或者該軟件被很糟糕地配置。因此，壞人不需要有什么創新思維，只需用常見攻擊方法嘗試已知漏洞就夠了。很不幸，大部分公司對所有內容都在線上這一新的數字環境都有點犯懶。

公司企業可以快速推送App上線，但其安全的推進可能是超級笨拙的。安全很多時候更像是事后諸葛一樣的存在，而沒有融入大部分公司的DNA里。不過，其中一些公司現在開始理解整體網絡防御的真正意味了。對行業來講，這是個很好的跡象。

最后，是F-Secure的CEO薩姆·康提能給CSO/CISO列出的目標清單，來保證企業時刻處于最佳的安全態勢：

1. 將自己從IT框框里提升出來，成為更加戰略性的角色；
2. 做業務部門的伙伴，要將安全實現與公司目標相貼合，管控風險的同時推動業務；
3. CSO的職位并不意味著有更豐富的預算來采購相較于之前更多硬件和軟件產品；
4. 理解網絡防御策略更像是由過程驅動的旅程；
5. 你的關鍵結果領域(KRA)并不是升級的IT安全，而是更全面地履行你的職責。