新闻资讯-行业科普

那家网络安全领域的“绿巨人”,如今怎么样了?

责任编辑:汇源科技2023-06-05 15:46:48

那家网络安全领域的“绿巨人”,如今怎么样了?

2000 年,技术出身的沈继业创立了绿盟科技。如今,这家已经上市、国资持股的安全企业总市值已经超过 131 亿,连续多年位居国内安全领域第一梯队。


只是,过往的安全圈子已经与今天完全不可同日而语,如今,安全领域已经不是当年那个“混沌”的世界了。二十多年前。安全还是一个新事物,用叶晓虎当时的感受来说,就是“那时候做安全,做和不做其实是可有可无的状态,”安全威胁也远不如今天复杂和危险。尤其是在新基建七个领域和数字化转型的推动下,新政策和法律的出台,都让大家对网络安全有了全新的认识,最直观的现象,就是现在走到企业中会发现,无论是传统业务还是新兴产业,对IT的应用已经非常普遍,考虑安全已经成为一个必要的需求。

在变迁的安全需求下,绿盟如何适应安全时代变化?对于安全,绿盟有哪些思考和判断?通过与叶晓虎的交流,我们也许可以有所收获。

一、五大实验室,基础研究的“底座”
在网络安全领域,绿盟科技已深耕二十载。二十年的时间,绿盟已经积累了很多有名和具有特色的产品和解决方案,比如绿盟 WEB 应用防护系统(WAF)、网络入侵检测系统 (NIDS)、网络入侵防护系统( NIPS)、绿盟NF防火墙( NF)、安全审计系统 (SAS)、综合威胁探针(UTS),等等。

绿盟的另一大特色,是在基础研究上极具实力的五大实验室,约有 100 多名专业研究人员。这五大实验室于 2018 年成立:

.星云实验室,面向云安全领域进行研究;
.天枢实验室,利用大数据技术进行关联分析,在知识图谱和数据建模等方面进行专项研究;
.天机实验室,主攻漏洞挖掘,聚焦新兴技术,研究新兴的安全威胁与漏洞;
.格物实验室,专注于工业互联网、物联网、车联网方面的安全研究;
.伏影实验室,则负责威胁追踪研究。
AI 是近几年火爆起来的技术领域,应用也逐渐走向成熟,绿盟科技天枢实验室在 AI 领域进行了哪些前沿研究,我们不妨来了解一下。

据叶晓虎介绍,天枢实验室目前有 10 多名研究人员从事 AI 算法和基础研究,同时将原型算法应用到产品方案中,是这个团队的工作内容之一。

近期,这支团队也取得了一些新的成果,很有参考价值。一是加密流量识别,使用深度学习方法从流量中找到恶意加密流量。叶晓虎认为,未来几乎所有的网站都是用 HTTPS,很多数据都是加密的,识别恶意和正常流量是对安全技术的挑战,从这一层来看,这一研究是很有价值的。二是 AISecOps,安全运维智能化是安全圈子里的老话题,用更少的工作完成安全事件处理,可以从技术手段上着手,绿盟在这项研究上一直在持续投入。第三,数据安全领域,绿盟尝试用 AI 算法对市面上的脱敏和隐私匿名化方案效果进行评估。

总之,如何在分析和运维过程中提高对应的准确率,是目前绿盟发展自身 AI 应用研究的思路。叶晓虎还不忘强调数学对于 AI 基础研究的重要性,他说道:“从未来的网络安全技术发展的趋势来看,越来越需要很多专业学科的人加入进来。今天做数据安全研究的专家很多都是原来做数学,搞基础学科研究的。”

二、主动性防御
在安全领域,威胁往往发生在防御链最薄弱的环节,就像木桶盛水,决定水不会从桶中流出的不是最长的那块木板,而是那块短板,这也是安全技术的挑战所在。为了更好地防范威胁,主动性防御是另一个思路。这是一个与被动防御相对应的概念,就是在入侵行为对信息系统发生影响之前,能够及时精准预警,实时构建弹性防御体系,避免、转移、降低信息系统面临的风险。

叶晓虎谈到,典型的欺骗式防御产品,包括蜜罐和蜜网,都是基于欺骗技术而用于企业内网威胁入侵检测与分析的系统。

蜜罐,顾名思义,就是用来当做诱饵的软件应用系统,引诱黑客前来攻击,黑客入侵后,通过监测与分析随时了解针对组织服务器发动的最新的攻击和漏洞,并通过窃听黑客之间的联系,收集黑客所用的工具、社交网络等。而把多个蜜罐用网络连接起来,组成大型模拟网络,就称为蜜网。

通过这样的技术手段,可以辅助企业运维人员能够及时发现未知异常行为,并及时推动应急响应流程,与信息化系统中原有的安全能力与机制共建企业纵深防御体系。

而在绿盟,目前主动防御型的产品是绿盟攻击诱捕系统(AES),主要是采用新型欺骗防御技术,通过诱骗攻击者入侵生成的蜜罐主机,不仅可以零误报检测攻击威胁,而且可在真实攻防对抗中,能够消耗攻击资源,溯源、反制攻击者,帮忙用户解决攻易守难的困境。同时,AES 还可以全面构造 IT 资产网,持续对内网进行安全漏洞风险监测,化攻防被动为主动。  三、要做,就要做的更好,更专业 正如文章开头就提到的,绿盟是一家以技术见长的安全企业,深植技术的基因。比如公司的创始人兼董事长沈继业毕业于清华大学,上市时的创始成员包括后来创立 Deepin(深度)操作系统的刘闻欢,核心成员袁仁广,后创办腾讯湛泸实验室并任负责人,陈庆(时任技术部总监)、左磊(时任公司安全研究部总监)、陈海卫(时任信息管理部总监)都是业内知名专家。  但这也是一家产品丰富全面的企业,这不禁让人好奇:什么是绿盟的“名片”,让大家一提起就会想起绿盟而不是别家?有人说是威胁情报,对此叶晓虎也并不否认,他说:“就以这几年的成果来讲,非要以产品来说,情报可以算是我们的一个名片。”  近年来,绿盟威胁情报(NTI)屡获肯定,根据 IDC 发布《中国威胁情报安全服务(TISS)市场,2018 年厂商评估》报告,绿盟科技凭借自身实力,在威胁情报领域的销量、能力、战略三方面均名列前茅,被列入领导者象限。2019 年,绿盟威胁情报平台荣获 2019 数博会领先科技成果;在不久前召开的 2020 年中国网络安全产业高峰论坛上,绿盟科技作为首批工信部网络安全威胁信息共享平台合作单位,凭借威胁报送与认定工作的突出贡献,成功入选 2020 网络安全威胁认定先进单位。  在交流中,叶晓虎谈到,绿盟为天枢实验室委派的另一个重要任务,就是从海量数据中挖掘出最新的安全检测模型,并落地到产品中,这是公司对这支团队的要求。本质上,天枢实验室的闭环,是围绕着如何赋能环节运转得更快。而实际上,不仅是天枢实验室,“天下武功唯快不破”这一点放在安全圈里四海皆准,因为正如叶晓虎所道破的那样,不管怎么设计安全,都不能保证百分之百安全,这几乎不可能做到。但是要努力做到的是,发生安全事件的时候能够以最短的时间减小损失。  在安全领域,MTD(平均故障检测时间)是一个经常用到的指标,而让人吃惊的是,这个数字在亚洲地区竟然高达 260 天,也就是说业务系统被攻破后,200 多天以后才会被发现!可想而知在修复之前会造成多大的损失,哪怕能缩短到 100 天、1 个月,安全事件带来的损失都会减少很多,这是绿盟一直在努力的方向——让循环过程变得更快,这是安全最核心的要素。  “绿盟科技很多领域的要求是:要做,就要做的更好、更专业,让客户、行业看得见绿盟的技术水平和研究实力,这是我们的要求”也许这样的高要求和专注度,才是绿盟这家低调的安全企业经久不衰的原因所在。  下一个二十年,绿盟会在 5 G、云计算、AI 等新环境变化下做出什么样不同的选择,我们静待其变。


关键词: 5 G、云计算、AI