安天技术体系与产品图谱

时间: 2018年1月24日 作者:潘宣辰 来源:第五届安天网络安全冬训营内部报告文稿

【题记】

2018年1月11-12日,第五届安天网络安全冬训营在哈尔滨启幕,安天集团首席技术官兼任安天移动安全负责人潘宣辰正式发布了安天全新的实战化产品图谱,并介绍了“赛博超脑”平台和相关合作理念。“赛博超脑”平台倡导以敌情想定为前提,打造网络安全实战化的产品,守卫新时代的网络安全。潘宣辰表示,安天将继续坚持网络安全的全能力布局,夯实基础工程化体系,持续扩大赋能型中间件(威胁检测引擎和安全内核)安全合作范围,结合云计算和人工智能技术,面向现实中网络安全防护的综合需要,构建实战化产品体系。向承担着关键信息基础设施防御使命的政企单位输出坚实可靠的安全能力,帮助客户全面落实网络安全的防御职责,使安全防御体系能够随时应对真实的威胁,实现有效的安全价值。

以下为报告全文:

今天的主题是从安天作为一个能力型安全厂商,希望采用何种方式践行能力布局、形成技术体系、主导产品研发,以达到实战化效果的过程谈起。一些商业公司在讲自己的技术体系和产品时,通常是以商业愿景的视角作为前提和判断依据。而安天的基础认知角度则是以网络安全对抗核心诉求为出发点形成能力布局,在此基础之上建设所需要的安全核心技术体系,并最终推动整个产品的设计和相关研发。

图 1 安天对网络安全的基础认知

安天在2000-2012年,一直是一个偏于上游的供应商风格的网络安全厂商;从2013年开始,逐步转向前台化。由于安天整体的研发和技术体系的思考模式和价值观的不同,大家可以发现安天在做相关安全产品时会相当克制,不会贸然去做大量形态不同的安全产品。安天其实是从能力布局、技术体系到产品图谱的角度去思考,综合性地考虑要承担什么样的国家安全担当,肩负什么样的社会安全责任,并且如何平衡好一个民营企业应该具备的商业和市场愿景,以及在市场上应该扮演什么样的角色。

能力布局和持续对抗意图的演进

安天在整个重大安全事件或者相对的点上,对于网络安全企业能力的思考是有一段演进过程的。2000年安天以当时的核心对抗聚焦点—恶意代码为切入点;之后透过蠕虫的规模化传播的现象,安天认为基于网络威胁流量探测构建规模化的感知能力是必备的核心能力;而随着木马的规模化增长,蠕虫的规模逐步降低,安天发现规模化增长的木马必然需要驱动整个后端的工程化体系;再之后,安天看到了移动这种战略级、产业级新型对抗的卡位需要,看到了高级持续性威胁(APT)所带来的对抗升级的需要,看到了新的物联网时代以及工控场景下的安全形势,包括对当前新格局的预判和敌情的重新认知,面对这些认知,安天都有目的性的展开了能力布局的设计和投入。

图 2 安天对于网络安全企业能力思考的演进

我们可以看到这里既有提前性的能力预判,同时也伴随着形势和当前突发型安全事件所带来的新安全认知的综合迭代,这个形成的过程从始到终贯穿着安天对安全的不断认知和对威胁对抗的持续思考。

以对抗为前提架构技术体系并支撑产品规划

能力布局的演进思考是经过了十几年的迭代、优化、归一化以及重新调整的过程,以此为基础,我们再真正展开内部的技术体系和相关工程化支撑需求的落地。从大家最熟悉的安天最早的反病毒引擎,到后来的终端防御产品(比如安天最早的桌面级产品Antiy Ghostbusters,在海外获得过比较高的认可度,在国内后来也推出了像木马防线这类的桌面级产品)。我们认为终端始终是一个与安全对抗的一线和终极产品,如果没有相关技术去达到对抗实效,其实无法支撑一个能力型厂商对产品的定义和需要。

图 3安天以对抗为前提的架构技术体系

后续也有其他技术体系被逐步建立起来,所有这些技术体系中都有比较关键核心的对抗环节,例如对于恶意代码的识别和判定、对于流水线的分析和支撑、对于网络规模化的检测,以及包括像移动和新兴场景带来的整个平台的基本工程化思路和体系的创新需要。在不同的技术体系背后,同样有对应的工程化体系支撑,这些工程化体系之间会有相关的叠加和演进,也有跨平台的革命性创新和迭代。而当出现了更高级、更立体、更综合性的威胁需求时,就需要呼唤整个体系的一体化横向打通,以实现对更高级的威胁对抗场景综合立体的工程化支撑。

从2000年到2008年,安天的整个产品化和研发的视角本质上还是以工程师自身的应用为视角进行一种专业型产品的创新。不论是当时还是现在,安天都适当放弃了对合规型需求的研发投入和支持。从最早的引擎SDK到相关桌面型产品的尝试,再到2002-2003年,安天在国内很早开始做的自动化的沙箱、流水线分析系统、旁路的威胁规模化监测(当前探海的前身)等,可以说在这个阶段安天的产品确实是一种比较技术理想化的工程师视角尝试。而这些尝试所带来的不良后果,在安天整个商业能力对于技术体系和能力体系的投入达到一个不平衡情况的时候开始突显,所以从2009年开始,安天选择了一次对产品线的整体收敛和回收,仅仅保留了当时安天最熟悉的和最擅长的已建立了业务基础的供应链赋能型产品。这些产品在2005-2006年取得了防火墙供应链能力的突破并以此为基础在 2008-2009年才促使了安天决定要在移动互联网产业发展初期提早布局这种模式。这次产品线回收一直持续到 2013年。而下一个阶段则是2014-2017年,安天在这个阶段采用新的思路来重新尝试专业型产品,而此时国家已经空前重视网络安全,包括用户以及整个行业的范畴内也开始大力推动技术和产品创新,甚至市场需求已经开始逐步从合规型驱动慢慢向专业型和技术型驱动转变。也有越来越多的网络安全厂商、创业企业开始注重技术创新和专业型能力输出,这种情况下所带来的问题是现实的市场中可能会出现越来越多的技术名词、产品功能名词、热词,我们好像看到了很多美国创新的故事、创新的能力以及概念开始大规模出现,但这种演进过程我们认为是完全不够乃至泡沫的,甚至可能很多用户场景和实际场景与网络安全对抗的一些规律和特点是相违的。

2015年,Seak最早提出了“赛博超脑”的设想,其本质是可以在内部所有技术体系背后的工程化支撑体系基础之上,能够实现跨工程化体系的架构和模式上的融合和创新,在这个基础之上,我们不仅希望这种智能化的支撑体系可以结合现在的云计算、人工智能等新的技术应用思路,去达到内部工程化体系融合的效果,同时也希望能够通过这种新型的平台化的建设,去把原来我们和客户的合作关系以及安全能力的输送方式进行调整和改进。目前我们已经在移动场景逐步建立了对于云计算、大数据、人工智能的技术应用,安天已经经历了从每年保护百万级终端,到每年保护近十亿部终端迭加演进的过程。这些都为赛博超脑设想在基础架构的需求上做出了最扎实的技术和工程储备。

以全能力布局和核心技术体系支撑实战化产品体系

在Seak做的《网络空间的敌情想定分析》报告中给了几个“破”,从中我们可以看到,当前我们所做的一些工作是不够的,前提是有问题的,一旦当安全前提和假设出现问题的时候,后面整个过程其实在本质上是在用非常正确和高效的过程去做一个前提错误的事情,最终的结论一定是安全防御的失效和陷入安全的自我麻痹状态。所以在我们做安全产品的时候,在做最终安全投入落地的时候,还是要回归到敌情前提,去客观考虑结合安全现状,重新从实战需求有效落地的角度去考虑产品。

安天从2016-2017年开始对产品进行持续深度思考,并在2016年和国内其他的能力型厂商联合引进了由美国相关机构创立出来的类似于“滑动标尺”、“OODA”(观察-Oberve、调整-Orient、决策-Decide、行动-Act)对抗认知迭代模型,并将它引入到国内的一些安全产品及解决方案和服务的一些输送过程中。在这个过程中,我们看到这种方法和工具是具备积极效果的,但同时它需要和中国国内防御环境中的真实的用户需求和安全需求重新进行结合,而这个过程是需要破掉许多我们之前错误的前提和假设的。而这个“破”的过程,其实是回到一个比较客观和符合规律的网络安全现状认知的过程。

安天在思考自身的产品体系到底应该具备什么样的差异化价值和竞争力的时候,最开始想到的是可以操作化、脚本化、可运营化,并建立持续性,其本质并不是从复杂的技术概念或角度去讲我们如何能持续有效,创新的技术在有效面前还是有一段距离的,而真正的有效往往是从最基本的What(什么前提、什么假设)、Do(我们应该做什么)、Who(谁应该做什么)、When(什么时候做什么)、Check(做了之后还要检查什么)、Why(这些事情为什么是有效的)开始,以重复大量的基础简单事务来构成一个基础,在一个正确的前提下,才能综合累加出一个有效的实战化的安全防御效果。习近平总书记在视察军队时多次提出“着力提高部队实战化水平”、“着力深化实战化军事训练”的要求。网络空间安全事关国家安全,更应该以实战化为基本要求,才能有效应对网络空间战场上持续不断的高烈度无底线较量,而实战化必须以有效的敌情想定作为基础和前提,只有更了解对手,才能更好地保障客户的网络安全。

我们所看到和理解的实战化,本质就是如何在自身的产品能力和功能,去面向实战的需求,在定制和开发的过程中,形成一种真正结合客观网络安全现状认知的综合性布防的效果。在这种布防所形成的战术前提之下,去告诉我们的安全人员、组织和决策者,应该用什么样的方法和理念,去增加人员和投入,并指定相关的角色和职责;告诉相关人员用什么样的战术和策略,并明确操作细节,以达成一个真实有效的实战安全能力的目的。而在最终的产品实战化的输送中,应该是由产品的基础架构、到持续完成对抗认知的迭代、再到通过类似于滑动标尺和其他相关的用户有效性或者安全输送能力层次,以及有实战检验策略的工具,逐步地完成和用户交付的一个过程。

安天2018年实战化产品图谱

安天对于下一个大阶段产品的思考所做出的一个具象化的考量就是“实战化”。在这个基础上,我们在长期的实践积累当中推出了新的产品图谱,我们将从安天原有的产品布局和技术体系,重新面向实战化的客观需求去定义完善产品架构,并通过安天的内部平台把它转化成一个真正可以去支撑实战化的智能体系。这个智能体系的支撑平台就是赛博超脑平台,以它为支撑将有2条能力延展线路,一条是原有的安天的赋能产品体系,实现设备协同体系的赋能、供应链嵌入式赋能、应用场景的细粒度赋能,达成数据和协同层面的联动;另外一条是通过以“赛博超脑”为基础构建服务型平台,帮助行业和特定的用户群体,建设具备私有化能力、私有化架构和私有化实战指挥中心的安全大脑,以及在各个端点和边缘上尝试建设具备私有数据、私有检测、防护和处置能力的安全小脑,达成一个模式和认知的协同。而在中轴,会以滑动标尺或者相关有效的认知对抗模型工具为指导,构建不同层次的产品体系。在这个过程中,安天将会在既有的态势感知、追影、捕风、探海、拓痕等产品基础之上,弥补相关核心产品盲点,并基于安天在移动上的既有海量终端的基础之上形成的安全大数据的聚合以及相关威胁情报和网络安全情报平台,实现更全面的产品布局。最终,安天将通过立体化安全服务和解决方案体系,来实现我们对于整个实战化产品的对外输出。希望通过这种方式,能够将有效防御能力真正赋予到所有的客户和防御侧,在真正使用安全产品的这些人员、设备上达成安全价值有效落地。

图 4安天2018年实战化产品图谱

从2018年起,安天会在未来几年的时间,去不断践行安全产品的实战化理念,非常荣幸在这样一个平台上和大家分享,让大家去见证安天的承诺。从我来安天实习到现在,已经有十年的时间了,我心中的安天和我看到的安天一直是一个有着战士般使命、担当和意志的厂商。在安天发展的过程中会出现一些错误、问题和软件的不成熟,包括一些用户很认可安天,但也会指出安天产品上的不足,针对这些问题,安天一直都非常虚心和诚恳地去认同这些不足,探讨这些不足,积极面向实战的方向去演进和改进。非常感谢大家能够认可安天,希望可以和大家一起共同践行和尝试网络安全实战化,就像习总书记说得那样,当前已经是一个新时代了,希望可以用这种姿态和大家一起去守卫这个新时代的网络安全,也揭开一个网络安全的新时代,谢谢大家。

演讲PDF地址:http://wtc.antiy.cn/ppt/3-20180111.pdf