安全狗：云时代的服务器安全守护者

受访者简介：陈奋，厦门服云信息科技有限公司 CEO，国内知名互联网安全品牌安全狗创始人。从 2004 年涉足信息安全领域以来，在网络安全、数据安全方面都有深入的研究，共获得 3 项安全领域的个人发明专利。2012 年带领团队推出免费的服务器端安全软件——安全狗，获得 2012 年最佳互联网安全产品奖；截至目前安全狗已拥有超过百万级用户。2013 年推出全国首创的云 + 端安全理念产品，安全狗·服云，并获得 2013 年 CIO 最信赖解决方案奖以及 2014 年最佳云解决方案奖，成为云安全领域新锐的互联网安全公司。

InfoQ：这几年安全越来越成为企业关注的焦点，各大公司也更为重视自己的业务安全。是什么让你下定决心走上安全创业这条道路？

陈奋：当时我们在做一个安全项目过程中发现接触到的互联网服务器基本每台都有黑客留下的后门，那时候就感觉中国互联网服务器的安全形势比较严峻，而且市面上都没有一款非常方便有效的产品可以帮用户解决这方面的问题；因此我们团队就决定切入这个领域开发一款优秀的产品，帮助用户的服务器扛的起攻击、防得住入侵。这也是我们这几年一直坚持的产品目标。

随着云计算的发展，不少用户迁移到云上，我们的保护范围也就从物理服务器扩展到云服务器上。

InfoQ：安全创业的门槛很高，安全狗这两年多一路走下来你最大的感触是什么？

陈奋：作为安全技术类的创业公司，我觉得以下几个问题是我们比较有感触的：

1. 如何招聘和培养适合我们自己的安全技术人才（目前安全人才是比较紧缺的）。我们除了通过较好的条件去吸引优秀安全人才（我们公司在厦门和成都，空气环境上有优势，^_^），还要通过跟学校合作培养优秀的应届毕业生。
2. 如何让更多用户理解安全的重要性。安全相比公司业务来讲用户会认为是后知后觉的东西，出问题了才会考虑。但事实上 80% 的入侵是因为系统或应用配置不当引起的。我们目前一直在做一件事情，就是跟很多云计算产商合作制作安全镜像，目的就是希望能够帮助用户在构建环境的时候就同步解决安全的问题，防范于未然。

InfoQ：最近，安全狗产品启用了全新的网站后门查杀引擎“啸天”。这是一种怎样的引擎？“啸天”的启用将会给客户带来哪些好处？

陈奋：“啸天”是我们自研的第二代网站后门查杀引擎。网站后门是黑客攻击网站服务器时常用的手段，与二进制后门木马相比具有很强的变形性；传统的针对网站后门的检测引擎一般都是采用固定的特征或利用正则表达式进行匹配，很容易就被变形绕过。

安全狗“啸天”引擎利用了虚拟机技术可以很好的对各种变形进行还原，再利用行为规则进行匹配，可以帮助用户准确和全面地发现隐藏在网站中的后门文件。

InfoQ：安全狗服云平台的“云安全、新运维”是一个什么样的产品理念？

陈奋：“云安全、新运维”这个产品口号正好涵盖了安全狗•服云平台的 2 个核心功能：（1）云安全：利用云 + 端的安全防御体系帮助用户抵抗攻击和入侵，降低运营风险。（2）新运维：服云平台也提供安全运维的功能，“新”主要体现在充分利用云计算架构的特性来解决一些传统运维手段存在的问题，包括制作安全镜像来减少安全基线的工作、利用云监控来替代自己搭建监控系统、利用云端数据分析来解决运维审计问题，等。

InfoQ：安全狗推出的安全云主机目前已经接入超过 5 家云平台。据了解，其实各大云平台本身已经做了一些安全防护工作（比如 AWS 的 VPC、阿里云的云盾等），那么安全狗的安全云主机有哪些优势呢？

陈奋：安全狗安全云主机是在各家云计算产商的云主机上封装了安全狗的安全解决方案，跟各大云平台的安全措施是互补关系和云计算生态链关系。云计算应该是一个开放的体系，由云计算产商搭建应用市场，各家应用厂商共同为云计算用户服务；安全应用就是其中一个非常重要的门类，安全狗也是云计算安全应用生态的积极参与者。

安全狗安全云主机具有以下几个优势：
（1）对云主机镜像进行了 12 道的安全加固，大大提高用户制作安全基线的效率；
（2）内置了安全狗防护软件，用户创建完云主机后即可获得保护；
（3）连接安全狗服云平台，可对安全数据进行实时分析；
（4）可获得云主机厂商和安全狗的双重服务。

目前安全狗的产品已经兼容阿里云、腾讯云、亚马逊 AWS、微软 Azure 等各大云计算平台，同时构建了一套云 + 端的安全防御体系，可以更好的帮用户监测和防御各种类型的攻击。

InfoQ：在 4 月 14 日的微软例行安全公告中，IIS 远程执行漏洞（ MS15-034 ）格外引人关注。能讲讲安全狗应急响应这一威胁的过程吗？由于修复漏洞需要重启系统，你们是怎样消除这个影响的？

陈奋：安全狗的安全团队有一套标准的安全事件应急响应流程：首先发现漏洞后会对漏洞的原理和危害程度进行分析；其次会根据漏洞的危害程度进行预警，预警通道包括安全狗的自媒体渠道、云端平台、客户端软件、邮件及短信；另外安全狗全线产品会同步更新相应的防护规则策略，云端会分析相应的攻击走势。

针对 IIS 远程执行漏洞（MS15-034），也是走了以上提到的应急响应流程；同时安全狗软件同步推送了微软升级补丁。由于该漏洞属于系统内核漏洞，升级完补丁需要重启服务器；为了进一步降低用户风险，安全狗同步推送了网络层防护的热补丁，可以在用户重启服务器前抵抗漏洞攻击。

InfoQ：我们了解到，安全狗的防御已经从单点端防御演化为云 + 端的整体防御。在你看来，把安全产品做成 SaaS 服务相比之前的单点防御挑战在哪里？你们的云平台是架构是如何实施的？

陈奋：云 + 端的防御体系是所有安全产品发展的方向和趋势。任何的安全产品都无法依赖单点能够做到很好的防御，需要结合云端的数据分析能力来加强终端的防护效果。安全狗 SaaS 平台服云跟安全狗终端安全软件是一个整体，我们希望能够利用 SaaS 服务模式更好的为用户提供安全服务；采用 SaaS 服务模式最大的挑战就是提供安全、高效、稳定、7*24 小时不间断的服务，这需要充分借鉴互联网产品的运营模式。

我们整体数据分析架构采用了 hadoop+storm+solr 组合来进行数据处理和分析，安全数据相比互联网公司的数据规模要小很多。目前我们用了大约 50 台的机器作为处理和存储集群。但是安全数据在分析处理上有自己特点：

（1）实时性上的要求。在众多的攻击行为和常规行为日志中，要第一时间判断系统是否有被入侵的风险并通知用户。我们采用 Storm 来处理日志数据，并结合分布式缓存来最快速的处理这些数据并输出结果。

（2）准确性的要求。一台对外提供服务的服务器平均一天大约会受到 1～2 万次的攻击，而这些攻击中大部分是属于探测性攻击（攻击者测试系统是否存在可利用的漏洞），只有少部分属于入侵式攻击（攻击者可能掌握了一定的系统权限）。我们需要利用规则模型准确的从这些数据中分析出不同类型的攻击并进行标记，以提升我们的准确性。

（3）多维度的离线分析。我们会定期对这些数据从攻击类型、攻击 IP、地理位置、时间等多个维度进行统计分析，并将这些统计结果转换成知识库和规则库以便后续使用（减少后续的实时统计）。

InfoQ：根据安全狗发布的《2014 互联网服务器安全分析报告》，全国网站被黑客入侵并植入后门和利用的比例高达 25%，这一数字近期又上升至 33.7%，数量超过 100 万。在你们看来，我国网站安全性较低的原因是什么？用户应该如何防御诸如 SQL 注入、XSS 漏洞等常见的安全问题？

陈奋：网站安全性低主要由几个方面原因引起的：（1）很多用户的网站都是直接采用第三方开源或免费的网站系统搭建。而这些第三方系统往往存在安全漏洞，当一个漏洞被披露后，就会影响到一大批的网站；（2）用户对网站及服务器的安全配置缺乏相应的专业知识，容易产生很多被黑客利用的攻击点；（3）对于存在漏洞的网站或者可能已经被黑的网站长时间没有修复，导致后续更加严重的攻击。

防范常见的网站安全问题，可以通过以下几个方面：（1）最直接的就是使用安全防护措施，如使用 CDN 原理的 Web 防火墙或者安装安全狗软件进行防御；（2）最好的方式就是从 Web 开发阶段就开始重视安全，引入 Web 安全开发流程和规范，比如 SQL 语句禁止使用字符拼接方式、在不同的输入输出场景采用不同的编码方式来避免 XSS 漏洞问题，等。推荐开发技术人员可以关注 OWASP 提供的一些 Web 安全开发组件，来提升 Web 安全开发的效果和效率；（3）在 Web 系统上线前最好做一次详细的安全扫描和评估，将风险降到最低。