知道创宇 CTO 杨冀龙:用 SaaS 模式做互联网安全

阅读数:2 2019 年 12 月 30 日 17:12

知道创宇CTO杨冀龙:用SaaS模式做互联网安全

从一名黑客到公司技术人员再到创业者,他是中国网络安全行业发展的见证者,更是一个“老兵”。从业几十年,他从黑客 BBS 到绿盟再到知道创宇,时代再变,但“大侠精神没变”。他就是知道创宇 CTO 兼 COO 杨冀龙。

他的其他身份有 TGO 鲲鹏会北京董事会服务委员。中国民间著名白帽黑客团队“安全焦点”核心成员;《网络渗透技术》作者之一;兰州大学荣誉教授。

在 2019 ArchSummit 全球架构师峰会(北京站)上,InfoQ 技术编辑对杨冀龙进行了独家专访。两人聊了很多话题,包括黑客是一群什么样的人?黑产是怎样发展起来的?如何看待现在频发的数据泄露事件?为什么去创业?知道创宇怎样布局互联网安全?…

黑客的“两种精神”

在国内,“黑客”一词有时会被误解,他们被视为一群干坏事的人。但是,杨冀龙在一些公共场合演讲,经常称自己是一名黑客。

在他眼中,极端追求技术的人,叫极客,极客包括黑客的一部分。黑客是极端追求技术,追求到极致,“他甚至反向来看整个技术,有没有错误,有没有安全问题。如果有的话,把问题修复过来”。

杨冀龙说,“黑客一方面代表了技术,另外还代表了一种精神。这种精神是一种正义的力量。”

什么叫正义的力量?他举了斯诺登的例子。“像斯诺登这种,他就看不惯美国政府干监控全球,他要站出来,向社会、全世界去揭露,传达这种公平正义。”他补充说。

黑客代表两种精神,一是技术精神,一是思想精神。

2000 亿 VS 400 亿

这种黑客精神与中国古代的“大侠精神”有类似之处。2007 年,杨冀龙被朋友赵伟拉着一起创立知道创宇,确定公司的一个使命是“侠之大者,为国为民”。

知道创宇CTO杨冀龙:用SaaS模式做互联网安全

他这样解释这个使命。“我比较喜欢引用爱因斯坦的一句话。爱因斯坦说过,‘这个世界是一个危险的地方,不是因为那些邪恶的人,而是那些无动于衷的人。”杨冀龙说。

据悉,中国黑产的产值每年是 2000 亿(注:中国网络安全产业规模 2018 年仅为 393 亿),“我们是能看到很多黑产在洗劫中国老百姓的’网上财产‘”,这对社会是巨大的损失。

“而且,我们知道他们的手段、方法。如果我们不站出来保护人民(网民)、保护群众,我们就是属于’那些无动于衷的人‘。”他强调。

或许,正是这种想法驱动着杨冀龙出来创业。创业前,他任职于绿盟科技(前身是绿色兵团),亲眼见证了一个小 team 十来个人一直发展到上千人的过程。

但是,问题是绿盟科技主要是卖标准安全设备,面向大型企业

杨冀龙说:“但其实我们看到,当时整个民间的黑产发展起来,黑产洗劫整个网民。这个时候要出来保护网民的话,以前的那些设备和产品,没有面向网民和互联网。因此,我们当时想做一个服务的形式,来保护整个互联网。”

比如,黑产干的最多的事就是薅羊毛,像 2019 年初,黑产利用某电商巨头的系统 bug,一夜盗取数亿元平台优惠券,“举世震惊”。

那么,黑产是通过怎样的手段“薅羊毛”?薅羊毛有三个环节:第一是注册,注册时需要手机信息、身份信息。因为要用实名制,不实名无法实施。第二个环节是通过技术手段,将里面的一些钱财进行挪用、占用或窃取。第三个环节,把这些钱财洗成“真金白银”。

据杨冀龙透露,黑产薅羊毛早期有一个技术资源。早期的话,来自运营商。因为如果黑产没有手机号、身份证号和实名的银行卡号,薅羊毛很难实施。

知道创宇CTO杨冀龙:用SaaS模式做互联网安全

“以前,各个管理环节出问题了,就有非实名的(账号)’流露出来‘。黑产有这些账号在,最后的变现途径还是通过手机、银行卡或身份证,这个环节没卡住,后端就都能出来。“他说。好在现在国家重视了,这块管理非常严格了。

相比以前,杨冀龙认为现在黑产状况有所改善。在他看来,最近几年,在工信部、网信办和公安部的联合打击下,黑产正在下降。

数据泄露和个人隐私—技术非全能

从业几十年,从黑客到技术人员再到创业者,这种身份的转变让杨冀龙对网络安全的看法影响很大。

在他看来,早期做安全的时候,只看到技术,一个技术的点。后来做产品,就看到社会责任,因为一个产品的确能解决很多社会问题,能帮一些有关部门或有关行业在一些环节加强它的安全性。比如,帮助一个大型国企解决一个安全问题,就能解决好多问题。

后来创业,他认为“很多问题不是靠技术就能解决的,必须靠政策法规来解决”。

“甚至有些年,我认为连法律都无法解决,必须靠道德。比如黑产里的一些事。”杨冀龙说。

事实上,今年有很多大数据公司因“爬虫业务”被查,有统计至少有 15 家公司,比如闹得沸沸扬扬的考拉征信一事。

知道创宇CTO杨冀龙:用SaaS模式做互联网安全

这些公司被查,源于数据采集过程中的非法性。他认为,那些在公司里爬虫的技术人员,不一定知道爬虫最后用来干嘛。“这个时候,有些人可能要扪心自问,‘我干这件事是为什么?符不符合道德?而不是老板叫他干啥就干啥”。

实际上,现在好多公司打着大数据旗号搞诈骗,公然而然地抢劫公民的个人隐私数据。

杨冀龙表示,“公民数据,比如我在哪个地方注册我的信息,数据所有权是我的,不是那个公司的,但很多公司拿去买卖,而且卖很多遍。而且它又说你同意过,说注册时有个很长很长的授权协议书,其中有那么 10 个字说你同意,这个就是道德问题了。”

从法律上讲,用户确实点同意了,但不一定注意到。“你本来要用它的服务,怎么可能点否了。”他补充说。

对于数据泄露,杨冀龙认为这是个老话题了,(要解决)还是很难。据笔者统计,2019 年总计发生 43 起数据泄露事件(从公开渠道统计得出)。“不过,现在国家有相关法律法规,(情况)已经好多了。比如’等级保护法‘要求,有公民隐私数据的企业必须过等保安检,必须保护数据。”

知道创宇CTO杨冀龙:用SaaS模式做互联网安全

无论是欧盟《GDPR》、美国加州《CCPA》,还是中国《网络安全法》,在他看来,这类法律的颁布和实施会产生两个大的影响:
第一,数据本地化。所有互联网服务商的数据不能跨国,这是为了保证国家安全;
第二,保护公民隐私。所有包含公民隐私的数据,它就不能进行买卖,或者说必须脱敏后才能进行交易,甚至脱敏后也只有在一定限定条件下能进行数据挖掘和使用。不能像以前一样,直接将原始数据卖给别人。

据杨冀龙透露,几年前个人数据或信息买卖非常猖獗,很多都是明码标价,比如手机号多少钱一个、身份证号多少钱一个、银行卡号多少钱一个,全部明码标价。

互联网安全的“打法”:SaaS 化服务模式

从 2007 年创立公司至今,知道创宇快速发展,不仅成长为独角兽公司,而且拥有 1600 多名员工。在整个公司业务中,互联网安全占了一半。

那么,知道创宇是如何做互联网安全的?

据杨冀龙透露,知道创宇做了两个事。

第一个是云防御,即用云的弹性计算为客户提供防御。第二个是 SaaS 化的服务模式和收费模式。

举个例子。企业使用传统的防火墙产品,本来该防火墙的能力,它可以保护企业 10 个业务系统。“你给一个企业后,CPU 跑不满,内存跑不满,它只能保护 1 个业务系统。这很浪费。那么现在,我一个系统可以服务十家,大家均摊成本,成本就低了。成本低了,大家就都能用得上。这样,初创企业也能用得上。”他说。

以前,初创企业不用这个东西,是因为它太专业或者太贵,超出它早期的承受能力。

“我们通过这种 SaaS 服务的模式将资源共享,把成本降低。”杨冀龙称。

并且,SaaS 服务带来的第二个好处是弹性扩张。一旦客户需求量增加,可以用云技术随时扩展所需资源。假如你现在需要一个防火墙的性能,过一段时间后,你可能需要十个。从后端角度而言,可以弹性计算,扩展方便,很容易解决问题。相对小企业的发展,安全建设也很容易实施。

此外,通过 SaaS 的服务,也能提供更有效的安全防护。在他看来,最终的攻击来自人,黑客是有限的。“既然黑客有限,他会攻击这个电商,也会攻击那个电商;既会攻击这个游戏,也会攻击那个游戏。它的攻击手段、作息时间、使用的工具都是一致的。”杨冀龙表示。

据他介绍,通过机器学习能很快定位到它们,这非常明显。通过大数据和人工智能技术,可以非常快速的调整规则。“像我们的规则都是这种系统自动调整,每 10 秒自动调整一次“。

知道创宇CTO杨冀龙:用SaaS模式做互联网安全

基于收集的黑客线索数据,知道创宇的团队会使用深度学习和随机森林将样本标注出来,哪些是正常的,哪些是攻击的。利用深度学习技术,系统一直在调整,知道创宇(有个)机器学习的中心专门来调整算法。

系统每天会收到 500 亿次请求,它会时时刻刻处理所有请求。针对请求,它可以快速处理,进行分类,比如分成带攻击的、不带攻击的和疑似攻击的。在攻击中再细分,比如分成 SQL 注入、跨站脚本、CSRF(跨站请求伪造)的等。

还有一种分类器会划分黑客等级,分成黑客等级一、二、三、四、五、六、七、八;还有一种分类器会分工具名称,比如扫描工具,如果里面有一些未知攻击工具的,再让专家人工去看。人工查看后进行标注,再把样本返回给机器,机器进一步学习。

“这种人工智能的技术在未来的网络安全中可能成为必备手段。”他认为。

经过十几年的发展,杨冀龙总结出知道创宇在互联网安全方面积累的一些经验和能力。

第一是黑客的培训培养体系和招募体系,他将其称为公司的“一个核心能力”。第二是利用大数据进行深度学习和进行自动防御调整的体系。第三是网络空间测绘能力。第四是全球黑客组织的历史数据和黑客组织画像。

杨冀龙表示,“这些数据和能力支撑了我们很多业务。最后是对 SaaS 的理解。我们在外网布置了数千台服务器,分布于全球 30 个数据中心。这种 SaaS 的弹性计算、弹性调度和网络的分布式配置及管理也是一大优势。”

网络安全的发展机会在哪?

一般来说,网络安全行业可以分成两部分:传统安全和互联网安全。传统安全比较稳,市场有限,发展缓慢;而互联网安全则发展迅速,市场空间大,前景好。

在杨冀龙看来,无论是传统安全,还是互联网安全,发展潜力都很大。

为什么这么说?他解释,“传统安全上,第一是国家实行《网络安全法》,法律有规定,关键基础设施所在单位必须过等保。它必须加强安全。第二是很多互联网公司也被拉入等保范围,它也必须达到相应的安全等级。”

在中国,关键基础设施所在单位几乎大多是国企或央企,它们处于一个长期的战略性的地位,对民生影响很大。而新兴的互联网公司与人们生活息息相关,对民生也会产生重要影响,因此也很重要。

杨冀龙表示,“安全是受事件驱动和法规驱动的。安全,一般来说没什么法规强制,它说起来重要,做起来次要,一看预算砍掉。现在有了外部的法律法规要求后,最后想砍也不能砍掉。

打个比方,一些传统安全行业,本质上是个“基建行业”

比如新修建一栋楼,里面必须配备消防器材,还有消防控制室、火灾自动报警系统、固定喷淋系统、灭火器及相关辅助系统、消防联动控制设施和消防广播系统等。这些都是基础,属于“基建”。

传统安全行业更像是一个“基建公司”,任何一个公司部署网络信息化,必须采购其产品和设备。目前,信息化建设大潮还在推进、扩大,因此“基建行业的基础器材还会持续增加”。

并且,国家现在有要求,以前没有配备这些产品和设备的企业和公司如今必须有。比如,“等级保护法”规定,关键基础设施所在单位必须符合等保三级要求,存储公民大量隐私数据的企业也必须过等保三级。

“要过等保三级,你必须把这些安全产品配齐,因此这对网络安全公司是一个大机会。”他说。

第二个大机会就是服务。

服务是什么?如果你的“消防器材”已经配好,但真正救火还得消防人员来。我们知道,消防人员为社会提供公共服务,比如发生火灾或者消防检查,这些都是应急或临时服务。

但是在互联网时代,攻击无处不在,随时发生,这时企业就需要网络安全人员随时提供支持和服务。这种对服务的需求也是一种新的发展机会。

第三个是新技术趋势的到来。比如物联网安全,未来一定是个万物互联的时代。这个时候,面对千亿连接,安全是基础,自然对安全的需求也会不断增加。

评论

发布