对话OneASP何迪生:回归安全之路,从“0”到“1”
2034
2017-01-03 16:07
文章摘要:如果时光可以倒流,相信何迪生仍不改其初衷。采访中,他提到:“人生必须要往前走,不断施给自己新的挑战。你必须保持一颗年轻的心态,才能学得更多,走得更快,跑得更远。”

对话嘉宾:OneASP总裁兼首席安全顾问 何迪生

如果时光可以倒流,相信何迪生仍不改其初衷。采访中,他提到:“人生必须要往前走,不断施给自己新的挑战。你必须保持一颗年轻的心态,才能学得更多,走得更快,跑得更远。”

目前负责OneASP产品研发和团队培养的何迪生,之前有着28年辉煌的IT行业和安全方面的从业经历。在这28年间,何迪生放弃了北美良好的工作前景而归国,后又因赛马会的一次与安全行业的机缘巧合,由香港辗转北上,在北京一待就是10年。

在2015年年中,何迪生应好友邀请与OneAPM创始人何晓阳见面。后来,何迪生提到:“起初,双方对应用安全的认识不谋而合,有着共同的愿景,而何晓阳本人也希望将公司业务线拓展到安全领域;所以我最后决定加入这支有胆量、有魄力、有活力的团队。”

经过何迪生与团队的共同努力,短短数月之后,也就是在2016年3月左右,OneRASP上线的版本已有SaaS版和企业版。

回归国内,人才缺失

通常,提到安全基础架构,我们会将其按纵深防御体系划分为五层:物理层,网络层,主机层,应用层和数据层。

如网络层有防火墙、IDS(入侵防御体系),主机层有杀毒软件、补丁管理,应用层有AST、应用防火墙。“但是,80%的攻击主要发生在应用层。”何迪生谈到这个数字时非常敏感。然后,他继续补充道:“传统的安全团队基本围绕在网络层和主机层,而对应用层的安全防御很多安全团队也不太有经验。”

结果,有一个数字十分触目。假设2015年需要100万左右既有经验又有证书的安全专家,但真实情况是只有两万多这样的人才,将近有98%的缺口。何迪生认为,棱镜门事件使得国家越来越重视信息安全,而在安全方面的技术追赶速度比国外也差不了多少。但是,人才培养上的缺失,即使有这样的技术和硬件设备都不一定能找到管理这部分工具的人才。

因此,国内许多像何迪生这样的安全领域资深专家开始借助国家政策的力量,利用自身多年的人脉资源和经验积累,开始参与到培养安全人才的浪潮当中。如今年在武汉举行的国家安全周重点将人才培养放在首位,何迪生就非常看好。或许,这也是何迪生选择达到人生巅峰之后,再次迎难而上,从“0”开始,书写人生“1”的篇章。

RASP概念,如何落地?

根据全球权威分析机构IDC、Gartner在近几年和对未来的数据报告,何迪生认为,预计到2020年,中国安全市场份额可达到54亿美金,将近374亿人民币,而在应用层安全方面的支出预计达30%左右。

RASP(Runtime Application Self-protection实时应用自我保护),这个概念于2014年9月由Gartner分析师Joseph Feiman提出。据介绍,RASP运行在应用程序内部,它的安全数据保护控制点通常放在应用程序和其他系统的交互连接点上,能够结合应用的逻辑和数据流,在运行时对访问应用的代码进行检测。RASP可精准分析用户输入在应用里的行为,根据分析结果对SQL 注入攻击、XSS 和未经授权的访问等攻击进行拦截。这个技术的出现恰恰弥补了WAF的技术缺陷。

而OneRASP则成功将这项技术落地实践,目前OneRASP探针可像一段注入应用程序内部的“基因”编码,当一个访问数据包进入应用程序内部后,该段“基因”则可以将该数据包打开对其上下文进行访问,从而洞察这个数据包是否存在攻击行为。

实际上,利用这个概念进行产品研发的不止OneASP一家,国外的Waratek,Prevoty等创业公司也在近年凭借这个概念获得大奖,成为资本眼中的香饽饽。

何迪生认为,原理是一样的,但这几家的产品设计路径则各有不同。如Prevoty强调轻探针,OneASP强调重探针,而Waratek以container为技术核心,相对来说,轻探针简便好用,重探针则针对国内用户安全体系,可在服务器内部嵌入后,反应最快,Container则在设计思路上更为复杂。如果企业用户的安全响应方案非常健全,则以上三种方案的选择则无太大差别。确实,在笔者看来,产品技术并无太多优劣之分,只有好不好用,能不能为用户所用,以及如何帮助用户快速用好等问题。

因此,OneASP推出的SaaS版本和企业版,前者主要针对中小型企业提供标准化服务,后者则针对大型企业提供本地化软件许可的部署方式。这与OneAPM在商业思路有相似之处,何迪生提到,目前OneASP与OneAPM在产品研发、市场营销、销售和售前售后等方面基本分开,也就是这套产品将单独推出提供给客户服务,但是未来期望能够与OneAPM的核心技术Ai探针结合为一,而这将是一个不小的挑战。

挑战不断,沉着应对

不过,何迪生认为最本质性的挑战还是在于RASP技术本身,实际上这是个带有“自适应”基因的技术,归根究底就是在未来能够做到更智能化。比如说在未来加入人工智能技术,但目前人工智能技术在国内落地情况并未达到极为理想的状态,智能意味着机器需要不断训练获得学习的能力,才能在问题来临之前提前预测,给出解决方案。而这个挑战不仅限于安全领域。因此,何迪生坦言,现在这还是一种“人+机器”的过程, 业界还需要继续努力把技术优化才能达到“安全自适应”的标准。

在笔者看来,这尽管看起来迫不得已,但也极为适合国内当前市场需求,因为安全问题的产生并非来自于外界黑客的攻击,而是更多来自于用户——人,基于不成熟的合规体系而操作不当导致安全性问题,这并非基于过去行为模式而得出判断的机器可以匹及的。

此外,何迪生还提到“只有两类企业,一种是受到攻击自己知道,一种是受到攻击自己并不知道” 。今天企业购买安全产品或服务就如同买保险一样,如果没有“实在的” 知道遇到黑客攻击,用户是不会真切感到这个“保险”的价值。

目前国内企业用户对安全还并未有完全清晰的认识,认为只要能得到数据报告,将风险拦截就可以,但实际上必须要有一个安全的架构和治理体系。“安全不是一个产品,也不是一个方案,而是一个整体的架构,一个风险控制体系,首先要做风险评估,风险定位,然后思考安全架构,最后才是用哪种安全技术和产品来实现。”

后记:

目前,OneASP是蓝海讯通占股的独立公司,之前蓝海讯通有两个品牌OneAPM和OneASP,将OneASP成为子公司单独出去,是希望以子公司的方式进行集资,并以独立运营的方式快速发展。

评论