王盈

当前网络安全形势日益严峻复杂，网络攻击已经成为了国与国、企业与企业之间的主战场。进入大数据时代，一旦发生网络攻击或者泄密事件，产生的后果将不堪设想。同时，未来大数据应用能否迅速地推广，取决于安全。如果不安全，数据的开放程度会大打折扣。

北京网思科平科技有限公司CEO仇新梁认为，大数据的安全问题至关重要。如何充分利用好外部的大数据，让大数据在安全上产生价值，是我国亟待解决的重要问题。

用黑客的思维思考安全

“经常有人问我，我們跟杀毒有什么关系？”仇新梁回答道，“我们会使用一些组件杀毒，但我们最关心的是，病毒不是单纯地存在，还会被人利用做非法的操作。”

数据为什么不安全？被入侵、异常访问、系统内部问题，甚至是正常访问都可能导致数据不安全。仇新梁表示，“网思科平优先解决的是被入侵和异常访问这些‘非法的操作，而非系统内部问题。系统内部采用的解决方案涉及权限管理和访问控制。而入侵则可以绕过这套体系，找到系统的漏洞，即不管系统是否设置了权限控制，入侵都能获取系统不具备的权限。”

知己知彼，百战不殆。“防护的基础是要先了解攻击者。如果你都不了解别人，防护就是一个玩笑。”仇新梁说道。因此，网思科平传感器的立足点和关注点，不在于搭建安全体系，而是在于用黑客和攻击者的思维去思考安全，并把这种思维引入传感器中。“为此，我们采集和入析与黑客的攻击思维和入侵思维相关的数据，从中提取更多有价值的数据，或许这些数据才是最有价值的！”仇新梁一语中的。

仇新梁解释道，“入侵者关注的是入侵方法，这只能解决20%～30%的问题，剩下的70%～80%的问题，就要依靠木马。木马的一些行为是一般的入侵检测设备所不能识别的，这就需要我们逐步地补充和解决。事实上，木马并不能绕过所有的系统，因而即使面对从未见过的木马，我们也有能力把它分析出来。”

在仇新梁看来，识别和解决木马的这些行为，也是一种革命，这将成为未来攻击检测的趋势之一。

分析和挖掘能力—安全的题中之义

数据量的不断增大，对数据分析能力提出了越来越高的要求。从无线检测到安全分析，再到近几年大数据分析开始受到热捧，数据分析能力无疑已成为大数据公司的重要支撑之一。

作为当前硅谷估值最高的大数据公司，Palantir声名在外。Palantir成立后默默无闻了十年，而在2014年后，Palantir在短时间内神秘崛起。从鲜为人知到而今的被人津津乐道，重要原因之一就在于其大数据分析平台、分析工具在各行业很好的应用。

网思科平的强项也在于安全分析。仇新梁指出，“在传统意义上，安全对用户来说是固化的。我们首先想做的是降低成本—用普通的服务器搭建数据中心，基本采用分布式处理架构，同时支持信息扩展。用户只需要迭代一些普通的计算单元，就可以完成过去难以想象的运算，从而对数据进行处理分析。”

要分析数据，我们需要充分地挖掘数据。“在对数据进行挖掘的过程中，我们与很多国外顶尖的数据公司不谋而合。在这些公司中，一部分前期知名度并不高，甚至默默无闻。但似乎在一夜之间，因为优秀的解决方案或‘意外的收效，就得到了众多认可。”仇新梁如是说。

不同于“养兵千日，用兵一时”，在仇新梁看来，用“养兵千日，用兵千日”形容打赢安全这场持久战更为贴切。“安全是一个对抗科学。是在实施的过程中，产生对抗应急来持续优化系统。原因在于，传感器采用的纬度特别多，需要在各种纬度中找到更多的隐藏点，将能识别的数据挖掘出来。”

“攻击者只要干坏事，我就能把他抓出来。”在这点上，仇新梁信心满满。

传感器+平台：解决用户痛点

相比传统的安全防护系统，网思科平的系统有了一些颠覆性的变化：第一个变化，体现在用户体验。“因为用户从来没有见过这样的传感器，不知道传感器能够收集和提供这么丰富的数据。”仇新梁解释道。

第二个变化，体现在为用户提供深度挖掘数据的平台。当用户想要知道自己是否被攻击，但因为检测病毒的软件可能已经被病毒软件杀掉，而苦于没有相应的解决途径和方法时，就可以借助网思科平的平台解决这个痛点。

第三个变化，体现在传统的检测单元是各自独立、不成体系的，因而检测能力有限，不具备二次分析的能力。由于这种弊端，检测软件虽然告知用户受到入侵了，但没有提示任何信息，用户无法准确判断是否受到入侵。同时，系统管理员管理系统的时间有限。仇新梁表示，网思科平所采用的检测方法和传统的方法大不相同，“系统管理员通过设备检测的频率可以按分钟级来计算。另外，我们自己内部做了大量的木马演练，运用模型发现了很多未知的木马入侵，再通过大量相关的工作，为最终的判断提供了充分的数据依据。未来，管理员仅依靠这个检测平台就能处理这些问题，因此在平台上停留的时间将更长。”

第四个变化，体现在做了一些世界顶尖的技术。“比如自主研发的传感器，可以检测低层硬件中的恶意入侵，这在目前来说全球唯一一家，终端产品在业界也是顶尖的。目前，我们正在弥补实施性方面的差距。”仇新梁如是说。

人是传感器的根本

现在，国家在建的很多大型工程都与大数据相关。但大数据到底该怎么用呢？仇新梁认为，大数据和数据大是两个概念。数据量大了之后，如果处理能力跟不上，这些数据就是死的。大数据本身既是一种新的数据运用模式，又可以用之构建新的数据应用模式。这就意味着，我们既可以用大数据架构处理一些东西，也可以对数据重新进行深度挖掘。

为此，网思科平开发了很多传感器，能从多点采集数据，且采集的深度比传统更深。“采集数据结合大数据要做到准确性。开始是我能够提供什么数据，后面是客户需要什么数据，我就提供相应的数据。”仇新梁认为，这样传感器与大数据中心就产生互动了—在提供数据源的同时，大数据平台也提供一些基于学习和引导的决策算法。

网思科平的数据都是来自于传感器。仇新梁表示，其传感器在几个方面实现了突破：第一，知道要获取什么数据；第二，拥有获取数据的能力；第三，具有一定的分析能力，如管控、分析原生态的数据，完成指令、响应等。

“在网络上，我们每个人都是传感器。”每个人都把自己的喜好、习惯和行为等信息，通过键盘传输到云端，系统再把这些数据传出来。可以说是“取之于人，用之于人”。仇新梁认为：人才是传感器的核心和根本，人产生数据，通过传感器分析和反馈数据，让数据为人所用。

在这个过程中，用户最大的顾虑是如何保护隐私？仇新梁强调，“我们传感器收集的信息不会暴露用户的数据隐私，这是我们的根本区别。第一，没有人比我们更重视隐私，因为我们保护的就是用户的隐私数据；第二，我们所有的数据是放在私有云上，我们不建议用户放在公有云；第三，我们采集的数据都是无感数据，都在用户能够接受的范围之内，没有任何跟隐私相关的敏感数据，都是可以公开的。”

仇新梁坚信，安全传感器将来会被大家所接受。“因为要解决安全问题，必须要接受传感器，并把每个终端都当作一个传感器，来帮助系统采集信息。”

利用专业的威胁情报 打造全生态系统

美国等发达国家，网络威胁情报服务已经非常发达，购买威胁情报服务和安全服务非常流行，几乎没有任何一家企业不购买多家企业的安全服务。而我国在这方面还非常欠缺。

我国现在最大的问题是，没有落地的威胁情报产品能与数据平台结合。仇新梁分析道，“过去，安全的表现形式就是报警。现在，更多的是用信息支撑和完善报警，用多种数据平台支撑报警决策，让报警越来越准确。数据平台有很多威胁、木马、情报等不安全因素或行为，我们都将之实时地记录下来，随时掌控其所存在的位置。”

“现在，我们的威胁情报是网络数据和文件数据。未来，我们将打造一个全生态系统，网络攻击样本或方法一旦进入系统，它所執行的每个动作，产生的每个数据，都可以作为未来威胁情报的一个点，并且能够得到很好的运用。”仇新梁如是说。

网思科平目前主要做威胁情报的应用。未来，当移动互联网、物联网的应用扩展以后，传感器将不需要存储。在这种情况下，只有提供安全数据，才能进行分析。这样就能保证，未来在对系统整合时，不至于以牺牲传感器的安全为代价—在传感器上加传感器。“这是非常不科学的！”仇新梁强调。

事实上，攻击者的路径、属性，甚至用的工具都无法改变。“因此，我们采用的方法是，在传感器中嵌入一个小型软件模块，用户需要做的仅仅是把数据提供给我们，我们只在后端分析数据，不会干扰前端。未来这种做法将得到更多的认可。可以试想一下，宇宙飞船的构造非常复杂，带有大量传感器，但通过这种方式，它本身要处理的单元就能大大减少。”仇新梁介绍说。

仇新梁表示，网思科平采用专业性较强的“安全运维+产品模式”，并拥有专业的运营人员和安全服务人员，能更好地保证产品的可靠性。通过这种方式，能够将传统的应用模式和未来的应用模式结合起来，从而最大程度地保证安全。”

安全和应用：鱼和熊掌如何兼得？

安全和应用一直难两全。“要把安全写入传统的软件特别难，在终端写完后就无法使用了。因此，很多公司采用的方法是牺牲安全性以保证应用性，这是非常不可取的。”

仇新梁认为平衡点在于：既然大数据拥有强大的分析能力和灵活的架构，我们或许可以把大数据变成未来驱动安全发展的大脑。因为威胁往往来源于很普通的数据，通过大数据的计算和分析，就可以处理这些威胁。“以前，面对海量数据，一个行为到底是否异常，这个异常行为的协同性还有哪些人？是无法发现的，因为数据量太大了，或者根本就没有这个数据。现在，我们通过把数据提炼出来，能够让结果更加精确。”仇新梁如是说。

目前，国外很多安全企业提供SaaS服务，但SaaS与实时性二者是矛盾的。而大数据的重要优势就是实时性，可以快速辨认所有的防御单元。比如千万级是一个单元，能用动作识别它是否存在问题。在传统意义上太难做了，除非制定一个死规则，每个产品都引用这个规则。而现在攻击的维度和攻击的复杂性，则需要规则的写法和定义也特别复杂和灵活。

可以说，目前只有大数据才能解决其性能和应用问题。就此，仇新梁指出：“未来，我们可以在平台中加入更多灵活的规则，这听起来和传统意义是悖论。举个最简单的例子，正因为不安全的行为是一个连续动作，平台才能据此识别是否存在威胁。”

在新的安全应用方面，过去我们只能了解一个恶意代码是否存在。现在我们更需要知道的是，这个恶意代码到底造成了多大的伤害。很多方法都无法解答这个问题。“我们先将自己的系统作为一个平台，用以解决数据的储存、处理、分析问题，再逐步吸纳更多的数据。比如兼容更多的图形检测、防火墙、杀毒软件，以及各种规则或数据，通过我们的处理，再引导防火墙适当地防御。或者在用户设定一个默认的规则后，我们再智能地添加一些规则，来帮助防御和检测病毒，引导它屏蔽用户不愿意看到的信息。”仇新梁分析道。

数据安全将智能地发展

安全威胁无时不在。我们现在面对的不是一个简单的黑客，更有可能是带有其它目的的攻击，这些攻击甚至会危及国家的经济和政治安全。这并非耸人听闻。假设国家的安全防护体系被攻击操控，那么国家所有的安全防护体系将即刻全部崩溃。飞机随便轰炸坦克，防空雷达全部失灵了……后果不敢想象。所以安全无小事！

仇新梁坦言，事实上大家都是重视安全的。“因为大家都有不愿公开的隐私，没有一家企业愿意被入侵，也没有人在得知电脑中了病毒后会无动于衷。只是目前用户的安全防护意识和习惯还没有建立。就跟反恐一样，明知道很恐怖，但是自己没有真正经历就不会有防护意识。一旦受到攻击，就会变成受害者甚至是帮凶。”

那么，未来到底什么样的安全产品，才能够解决用户的痛点，而不仅仅是一个简单的产品呢？仇新梁认为，未来大数据，包括数据安全将智能地发展。“我们将可以运用机器学习和决策算法，去引导系统发现威胁，并智能地作出判断，解决即时获知入侵者、入侵时间、资产是否丢失等一系列问题。”

安全公司应相互包容

令我们匪夷所思也深感忧虑的是，威胁发展的速度已远远超乎人们对传统安全设备的理解。今天的安全设备与威胁，存在十年的技术差距，因此，可能到十年之后我们都不一定能解决这个问题。

虽然国家目前在对信息安全大力投入的同时，对网络安全的投入也不小，但还远远未达到能够应对最新威胁的需要。“拿病毒入侵来说，目前病毒在入侵时，很容易就能绕过系统的很多地方。因此，在入侵检测中，后门的检测大都不甚可靠，目前几乎没有木马是靠入侵检测出来的。”仇新梁举例说。

仇新梁认为，中国用户所需要的安全，不是单凭一个软件或一家公司就能解决的。各安全公司各有所长，应该给对方留有发展空间。如果把空间压缩、排挤对手，就接收不到更多的思维。而且单靠自己做好的安全系统容易出现更多的问题，未来更易遭到攻击。

安全是相互包容、共同发挥作用的过程。仇新梁坚定地指出，只有通过合作，我们才有能力应对层出不穷的新威胁。“最近，我们正在与业内同行洽谈合作，希望与同行们成为合作伙伴，而不是竞争对手。最重要的一点是，我们拥有数据资产，让更多做大数据分析的企业接触到安全领域，将安全企业的质量和数量大幅度的提高。”

“安全不仅仅是为了经济利益，其实社会效益比经济效益更大。”一语道出一份社会责任，或许这才是安全真正的出发点和应有的归宿。