赛博英杰创始人谭晓生：大道至简，回归安全本质(组图)

其实我们一直想找到网络安全的终极真理，回归安全的本质，只要我把这个地方做好，但其实这很难。

业务发展的速度非常重要。在信息化进程中，业务发展的快慢往往可以决定一个企业的生死。如果你上网有问题，你可能会死于信息安全事故。但另一方面，如果你在信息安全方面投入过多，又非常保守，在业务发展速度上可能会被竞争对手赶超，还是会死。对于企业来说，死亡也不例外。

我们可以看到网络安全越来越细化，比如API级别的细粒度控制、数据分类和分类等等，但这真的是问题的最终解决方案吗？但这真的能解决所有问题吗？我要打很多问号。

——网络英杰创始人谭晓生

日前，在由中关村网络安全与信息产业联盟主办、智掌易科技承办的首届数字安全与信任高峰论坛上，赛博Invitrogen创始人谭晓生出席大会并围绕“数字业务安全第一”。分享了“大道至简，回归安全本质”的主题演讲。

在近30分钟的演讲中，谭院长详细分析了我国网络安全产业在不同发展阶段的不同特点，分享了他对网络安全本质的理解，以及自己对未来的判断和展望网络安全行业的发展趋势。. 安全419整理了相关干货演讲全文，分享给大家，与大家交流学习。

以下为谭校长讲话全文：

大家好，我叫谭小生。

我简单介绍一下我这两年一直在做的一些工作。两年多来，我一直在帮助一些网络安全创业者制定商业计划，做一些行业研究。我旗下有一家数字安全产业研究机构，出具了各种网络安全产业研究报告。同时，我也会在网络安全方面做一些投资。

接下来，我将与大家分享网络安全的三个发展阶段。这不是我发明的。刘欣然在2018年CCF计算机安全委员会年会上提到。我今天将与您分享。

网络安全发展的第一阶段属于典型的CIA模式，包括机密性、完整性和可能性，后来随着发展在其中扩展了可控性和不可否认性。在这个模型中，它仍然静态地看待信息安全。这个阶段的主要场景是防止信息被盗，防止篡改，防止损坏。

这个阶段对应一些早期的安全产品和技术，比如最早的终端安全、最早的杀毒等。在此期间主要的保护方法是对数据进行加密。如果攻击者无法获得密钥，即使他窃取了加密数据也无济于事。因此，您只需要关注单机损坏，防止病毒传播等。这些是我们最早的一些产品。

但是，在信息安全产业发展的三个阶段，它们是相互包容的，也就是说，到了后期，这些前期的产品和技术还是包含在内的，所以今天我们来看看各种信息安全产品。，加密技术仍在使用，防病毒产品仍在市场上。

那么网络安全的发展就进入了第二个阶段，称为网络安全阶段。这时，信息安全已经从静态防御转变为动态防御，因为通过局域网和广域网，攻击者可以直接接触到你被保护的对象。这时候，防御的对象其实已经从点防御拉到了一个。防线由静态防御转变为动态防御。这一时期典型的安全产品有防火墙、WAF和IPS。

所以现在，我们处于一个叫做网络空间安全的阶段。什么是网络空间安全？它结合了网络空间和物理空间。今天，我们的汽车都联网了，我们的智能工厂也联网了。这时候我们需要保护的对象不仅仅是电脑里的这些东西，而是它与真实业务结合后产生的产品，比如工厂生产系统、石油天然气等。诸如运输管道等一类，因此，现阶段的网络安全管理变得更加复杂。

当前我们所处的网络空间安全阶段具有三个特点。一是技术与管理的融合。事实上，技术已经不能完全解决安全问题。必须通过各种管理制度和管理方法，技术与管理相结合来解决。

第二个特点是虚实结合。这主要是因为我们今天的计算机技术已经成为一项基础技术。众所周知，工厂的生产系统是由计算机系统控制的。过去，操作机器生产也需要一些现场部件，操作系统和网络不是很连接，但是今天，随着我们数字化转型的加速，为了提高生产效率，我们的工控系统必须连接起来到供应链，还必须和企业ERP管理系统对接。，与企业的办公系统连接，通过与互联网的连接，将上下游的生产链结合起来。到了这个时候，他其实已经实现了虚实结合。比如我们今天的智能驾驶汽车，其实可以通过网络攻击对正常驾驶企业造成各种异常。这是虚实结合的体现。

三是军民融合。军民融合意味着信息系统成为当今军事打击的目标。对电力系统的攻击可能导致社会混乱。同时，病毒软件也可以通过互联网传播，对民用设施的攻击还可以达到军事目标。比如2010年的Stuxnet病毒，它的传播过程就是通过平民目标，最终达到最终目的。

去年，中国计算机学会新任主席梅红院士首次主持会议时表示，我们的计算机产业已经收获了过去30年的红利，相信我们可以享受再过30年。，那么接下来的30年主要在哪里？主要表现在传统行业的数字化转型。

今天我们谈论的是数字化转型。事实上，新冠疫情在去年加速了数字化转型。因为疫情，我们不能面对面地坐下来一起工作，而远程办公迫使曾经封闭在一些特定局域网中间的应用程序要通过互联网。开放，这是一个原因。

二是人与人之间的接触变得非常危险，这实际上进一步推动了自动化生产线。例如，去年京东的无人配送车研发又向前迈进了一步。接下来，我们可能不得不成为一个人。一种需要尽可能少与人接触的生活和生产方式需要一些改变。总而言之，数字化转型是一个大趋势，而且是不可避免的。

我想分享的第二点是，其实我们一直在尝试思考网络安全的本质。事实上，早在2016年的419讲话中，习总书记就曾表态，网络安全本质上是对抗、攻击和防御。两股势力的交锋。

那么回顾过去这么多年，我们在攻击方面主要依靠什么？首先是所谓的脆弱性。其实这个词的翻译并不好。应该叫漏洞，就是这样一种针对各种漏洞的攻击。第二次攻击是什么？其实就是欺骗，包括对身份的欺骗，包括对人的欺骗。第三个是什么？就是停止你的服务，不管是DDoS还是DoS。主攻面，主攻点其实都集中在这三个点上。

那么目前有哪些防御手段呢？防御性网络安全框架中也有相应的模型。该模型使用IDPRR，即预测、检测、拦截、保护，然后响应和恢复。

首先是预判。我需要预测系统的漏洞，预测敌人会从哪里进来。第二是我要检测，检测是否有人在攻击我，是否被攻击。三是拦截。当然，拦截只是第一步。如果你能阻止它，你必须尽可能地阻止它，但你不能期望阻止它。当你无法阻止它时，你应该怎么做？

所以我们有两个对策，第一个叫做欺骗防御，意思是我为攻击者“挖坑”。比如，近年来，真人网锻炼推动了蜜罐产品的兴起。蜜罐产品的作用其实就是先帮你做检测。比如，如果命中了蜜罐，这一定是攻击，因为蜜罐在正常情况下不应该被访问，二来攻击者访问蜜罐的时候可以消耗掉。他们能量的一部分。

另一种应对措施是什么？它用于可追溯性和对策。例如，在近两年的实际网络攻防演练中，对银行攻击源头的溯源效果特别好。为什么？

因为攻击者需要拿自己的银行卡进行测试，卡号一输入银行的客户系统，银行就可以知道这个人属于哪个单位，叫什么名字。因此，银行具有信息优势，可以借此做追溯对策。除了这个例子，近年来在实战网络演习中还有很多其他的技术手段可以追根溯源和对策，而且效果也很有效。即便是在国际关系上，如果你们能拿出确凿的证据说，如果你们查出你们谁在攻击我，也可以在外交上获得一定的筹码。

接下来，让我们看看针对漏洞的保护。这些年的演变是怎样的？

在漏洞发现方面，漏洞扫描器出现的比较早，多年来一直有人从事各种漏洞挖掘工作。甚至现在各种发现工具都在使用深度学习技术进行漏洞挖掘。

让我们来看看防止漏洞被利用的方法。比如我们都知道漏洞需要打补丁，我们说要加强系统，让你不能成功利用漏洞。后来有针对Web漏洞的WAF，所以现在大家都在说安全左移，开发过程中引入了漏洞，所以我在开发过程中使用各种工具来支持大家，尽快扫一扫，找到这个尽快修复漏洞，然后尽快修复。还需要进行安全意识教育。我对我的系统的程序员和用户进行安全教育，使他们不会生成不安全的代码，并让他们注意他们在操作过程中收到的电子邮件，他们不能随便点击。里面的链接，然后如果发现别人发钓鱼邮件，及时去组织公布等等。

在漏洞检测方面，主要有蜜罐和当前程序行为分析。最早对此类漏洞的预防实际上是基于特性的。所以在今天发现这个功能不是很有效之后，就变成了数据分析，比如说，为什么CrowdStrike是世界上最有价值的安全公司之一？因为它可以采集客户端和终端中程序的行为，然后通过大数据分析，帮助你发现某个程序的执行异常，所以实际上超过了以往终端安全控制的能力。这些是对抗脆弱性的一些方法。

脆弱性方面的挑战是什么？首先就是说系统中总有没有被发现的漏洞，还有不为人知的漏洞。另外计算机安全的属性是指，有些系统没有补丁，比如Win XP和Win7，它们没有补丁，有些系统不能打补丁。这些系统 7×24 小时运行。如果打了补丁，需要重启，重启过程中业务会中断。然后是人提出的挑战，即所谓的社会工程攻击，表明人是极其不可靠的。

现在有什么办法处理这个问题？一是在利用过程中发现漏洞，二是提出智能漏洞管理。如果当前存在漏洞，不能只告诉用户，如果遇到漏洞，必须要修补，不能修补的时候要考虑怎么办？

比如在防火墙上设置一个特性，设置一些策略，或者在终端上安装一些加固软件，都可能会很难成功。另一个是基于社区的漏洞管理。社区利用群众的力量，然后告诉群众如何处理一些漏洞。最后，我们还需要对整个人口进行网络安全意识教育，并对开发人员和系统用户进行安全教育。

然后我们来谈谈主要针对身份欺骗的攻击。身份欺骗主要是密码强度管理问题。早些年我在360工作的时候，规定所有员工的密码必须是15位以上的密码，并且至少每六个月更新一次。虽然我也知道它实际上很难实施，但它仍然是强制性的。只需执行此策略。

防护方面，有各种身份管理系统、多因素认证、权限管理系统、近两年特别流行的零信任，以及针对行为的UEBA等。

那么身份欺骗的挑战在哪里？

首先，密码本身就是违背人性的。您确实要求您使用 15 位或更多位的复杂密码每 6 个月更改一次。两年后，你会发现脑海中能想到的密码开始混乱。. 作为我自己的用户，我认为复杂的密码实际上是一种痛苦。

二是安全性和便利性之间存在矛盾。一旦你的认证过程变得非常复杂，它肯定会对业务产生影响。此时的应对策略是什么？第一个是密码强度的管理，第二个会使用各种硬件密码设备，比如以前用的hard KEY，还有生物识别功能，比如一些进入我们公安系统，必须使用指纹，或者说其他生物特征验证有这样的功能。

还有基于风险的身份管理、泄露身份信息监控、微隔离、UEBA、零信任等，都是应对身份欺骗的新方式。

最后，给大家说说目前网络安全防御思路的几点思考。这是一个有点不成熟的考虑。其实，我们一直想找到网络安全的终极真理，回归安全的本质。这很好，但实际上非常困难。而且，网络安全的细分越来越分散。通过今年的网络安全全景图，我们把它分为了13大类和81个小类，而且看起来这个小类还可能变得更多，很难从中提炼出一两个甚至三个发展趋势. 我会尽我所能与你分享。

首先，我们看到网络安全的一个演进趋势是管控力度逐渐变薄。从一开始，我只需要管理终端上的东西。稍后，我需要管理网络的边界。在边界上，我只需要做好检查就足够了，比如部署防火墙、IPS、IDS、WAF等，它面对的对象都是我身后被保护的对象。它有非常清晰的边界和比较清晰的物理类别和网络。类别。

但是今天我们处理的是云计算，它非常打破了企业应用程序的界限。很多企业往往已经开始使用多云，有办公网络，然后是多云应用。此外计算机安全的属性是指，用户使用的终端也越来越复杂。

以指纹为例，他其实做的是终端安全，为什么要做终端产品？因为现在越来越多的公司允许员工在手机和PAD上进行工作，而他的工作地点不一定是在办公室，可能是在出差的时候，也可能是在工厂的实施现场。网络的边缘实际上是泛化。

那么这次的战斗方式是什么呢？事实上，它在时间粒度和空间粒度方面更精细。

现在比如说云计算中最流行的容器，容器也带来了一个问题，就是让程序运行的生命周期很短。当你过去买了一台物理机时，这台机器在过去几年里是属于你的。在云计算中，可能会变成几天或几个小时。这台机器属于你。现在在容器期间，是多少秒，多少毫秒，这些资源在你运行一次之后就消失了。所以这个时候，我们想要控制的对象的时间粒度就变得很细了。

再举个例子，过去，我们必须管理每个应用程序，但现在我们不能。昨天，我们在北京星澜科技参加了一次API安全会议，这表明目前的管控力度已经控制到了每个API的层面，已经微调到了这样一个控制粒度。

当然，既然我们说的是细粒度的控制，就需要一些技术支持。首先，你必须能够看到和收集这些细粒度的信息，其次，你必须能够计算它。随着算力的提高，网络的进步，技术本身的绝对进步，我们可以更详细地看到这样的消息。此外，它可以在当今算法的计算能力下进行计算，从而提供决策能力。

例如，零信任的元素是微隔离的。您最终实施的微隔离是什么？正是当今 SDN 技术的成熟，使您能够轻松控制这些细粒度的工作单元。还有身份管控、UEBA等技术，因为现在的算力算法可以在足够短的时间内计算出这个人的身份风险。

第一个是细粒度的控制和对抗。我要讲的第二个是基于风险的动态管控，因为在今天的世界里我们还是有变化的。虽然我有风险，但我还是要往前走。

业务演进的速度还是很重要的。在信息化、网络化的过程中，业务发展的速度往往可以决定一个企业的生死存亡。如果您上网遇到问题，您可能会死于信息安全事故。. 但另一方面，如果你在信息安全方面投入过多，又非常保守，在业务发展速度上可能会被竞争对手赶超，还是会死。对于企业来说，死亡也不例外。

最后，企业往往会选择更激进的前进方式，先做生意，先拿到用户，然后有一定概率我不会出信息安全事故，我会越快越好当我赤脚时。然后当我穿上鞋子时，我会处理信息安全方面的事情。

事实上，早在几年前，Gartner就提出了自适应安全架构的动态评估模型。今天流行的 DevSecOps 实际上将开发操作和安全性结合到一个过程中。他和 Gartner 提出自适应安全架构之间存在密切联系。所以今天我们看到像 DevSecOps 这样的公司正在兴起，这意味着我们将不得不在很长一段时间内在开发速度和安全性之间取得平衡。

我要讲的第三点是分工，即安全即服务的兴起。

事实上，几年前，我说过安全即服务肯定会上升。教委曾经给出一个数字，说中国网络安全人才短缺140万，然后第二年又说是150万。我在想，我们需要如何培训这么多保安人员？我们来做个简单的计算，全国各大高校一年只能培养几万人，加上私营部门培养的几万人，加起来一年也就10万人左右。在这种情况下，根据需求，我们要经过十几年的训练，你要假设没有人退休。这时候就可以填补安保人员的空缺了。显然，这既不可行也不经济。

过去多年从事安全教育相关工作。保安人员不是学电脑的人。经过培训，他可以成为一名安全工程师。安全研究人员需要一些特定的思维方式。我认为在人群中属于稀缺的少数。

另外，我们自己的安全是做信息化的，所以如果我们做这么多人做安全，从某种程度上来说，其实是一笔额外的开支。

我认为这就像云计算。归根结底，应该是通过我们培训的少数安全专家，通过集中服务帮助中小企业，让他们在不部署安全人员的情况下，通过购买安全服务，达到一定的安全水平。安全级别，这是可行的解决方案。今天，我们也看到安全即服务逐渐流行起来。在今年各家证券上市公司的年报中，我们看到他们加大了对MSS、MDR等业务的投入。这是一个进步，也是对网络安全的积极影响。解决人才缺口大的问题。

对于大企业来说，肯定会有自己的安全团队来构建自己的安全防线，但对于更广泛的中小企业来说，最终还是要通过安全服务来解决自己的安全问题。

我想分享的最后一个趋势是网络安全的融合。我们可以从中西医在应对新型冠状病毒方面的差异来谈这个。

西医是怎么做到的？在过去这么多年的研究中，每次出现一种新的冠状病毒，他们就去研究病毒的工作机制是什么，是什么蛋白质在起作用，然后做出有针对性的疫苗和药物来杀灭病毒。

我有一个朋友在做抗病毒药物。十多年来，我每次去硅谷看他们家，他都会告诉我医学方面的进展。我真的可以看到他十多年的进步。那么在这个过程中，使用了某种药物之后，它变成了另一种蛋白质，然后如何改变它等等。在这个过程中，我可以看到进步，但我也可以看到他的绝望。

比如治疗癌症，西医生产一种药物，然后病毒的基因就会发生变异。变异后，他们要跟着药物，然后来回走动。这个过程什么时候结束？这是他们的问题。

回到我们网络安全这个话题，可以看到网络安全越来越细化，在各个子领域都在发展，比如API级细粒度控制、数据分类分级等，但这真的是问题的最终解决方案吗？但它真的能解决所有问题吗？我要打很多问号。

在网络安全对抗战中，我们确实需要越来越强的控制力，但攻击者也会想方设法进行越来越细分的攻击。说到底，其实是一场永恒不断的对抗。

第二种方法其实就像中医的方案。就如这一次，中药的效果能直接杀死病毒吗？不，其实是从一个人的整体考虑出发，去调整和调节人的免疫力，让身体本身变得更强壮。

这就像企业的业务安全。例如，去年，一家数字货币交易所被 APT 攻击。攻击者历时8个月攻破本次数据交换的办公系统，最终通过办公系统重新进入数据交换。当他到了自己的代码服务器，篡改了代码的时候，应该说这个时候兑换完成了吧？但最终，当他们试图窃取数字货币时，他们没有成功。为什么？因为他的商业风控策略奏效了！

今天我们来聊一聊网络安全和业务安全的关系。在业务逻辑上，如果你具备了一定的容错能力，那么这个时候你其实也就具备了相应的网络攻击防范能力。这就是我想说的关于网络安全的内容。以及业务安全的融合趋势。

今年RSA峰会的主题是“resilience”，这个词就是resilience，什么是resilience？也就是说，就像竹子一样，可以允许它弯曲到一定程度，也就是说，对于一个信息系统来说，我可以允许它被破坏到一定程度，但最后，不要让我们的系统崩溃，或者造成其他巨大损失，我可以容忍你的攻击。

那么这就是一个解决方案，就是网络安全和业务安全的融合。在业务流程上，如果他能考虑到网络安全问题，他可以有一定的容忍度，可以避免最坏的情况发生，检测攻击。

最后，我们拭目以待。我认为我们安全的发展方向是走向两端。一是攻防的细节会越来越细。其中之一就是我们的技术手段具备更细致的信息采集能力。有了更快的计算能力和更智能的模型，你可以进行更细致的对抗，但不要执着于细节对抗，这会让你失去对整体方向的把握。

第二个方向我觉得应该延伸到业务层面，因为我们网络安全的最终保护对象是业务。其实一直有争论一直持续到今天，还没有下定论，说我们的网络安全会是一个独立的行业吗？在未来的信息化和数字化过程中，我们还会是一个属性吗？其实我觉得如果能把网络安全和业务安全结合起来，肯定会是一个更好的答案。