定位SOAPA深耕企业安全,采访爱马术的决策者——兰云科技周宏斌

2017-09-29 242801人围观 ,发现 3 个不明物体 活动

相较国内老牌的安全厂商,兰云科技还是处于创业阶段的安全企业。这家成立于 2016 年 4 月的企业, 7 月完成了 A 轮融资。但是顶着“国内首家 SOAPA 架构”的初创企业,兰云科技一出场,就以天使轮 2000 万融资、 A 轮融资 5000 万成绩表现了一把。

随着近年来安全形势的不断严峻,企业业务所面对的安全风险也越来越大,急需构建新一代的安全防护体系,然而企业对安全的投入还是必须控制在合理范围之内。在今年的全国网络安全周上海展区上,我们也在北京兰云科技有限公司的展位上见到了兰云的这位联合创始人——周宏斌。他作为兰云科技联合创始人,目前担任着高级副总裁的职务。作为国内首家SOAPA架构的安全厂商,兰云科技的定位是怎样帮助企业寻找到风险应对与安全投入之间的平衡点,构建行之有效的企业安全防护体系呢?在历时一个小时的访谈里,周总从他过去的学习和成长经历谈起,向 FreeBuf 娓娓讲述了兰云科技的现状和未来方向。

从计算机专业毕业,走入信息安全行业

其实,周宏斌一开始在念书时是个软件工程专业的学生。0 和 1 组成的纯粹逻辑世界,说一不二,却又带来无限可能,让当时的他沉浸在用汇编控制跑马灯和用 C 语言编写俄罗斯方块中。他从 486 、586 和 MS-DOS 开始,叩开了计算机世界的大门。而正当他埋头研究编程的奥秘时,一次偶然的事件却让他猛然意识到——计算机还是存在严重的安全问题的。

当时系里的机房电脑突然感染病毒,绝大部分的电脑就都无法使用,足足花费了半个月的时间才彻底修复这个问题。这件事之后,我开始踏上安全之路,从终端安全,到边界安全,再到应用安全,一路探索。

因此,毕业之后周宏斌便一直在安全圈中兜兜转转,他先后经历过小型企业的中铁信安、大型企业的华赛(华为),从安全研发起步,先后负责过产品研发、产品规划和售前售后服务团队。

israbye FreeBuf.COM

兰云科技联合创始人、副总裁周宏斌

在积累了经验、开拓了眼界和其他准备之后,他在 2016 年终于找到了志同道合的伙伴,建立了自己的团队。2016 年 4 月兰云科技正式成立,兰云 CEO 易建超也是他在华为认识多年的好朋友,公司整体的运作和管理就由他来负责,周宏斌自己则负责安全能力、售前体系和产品规划,而产品研发则是另一个合伙人张翔负责。

基于业务系统,构建新一代企业安全防护体系

安全世界中变化是日新月异的。获利已成为攻击的主要目标攻击者要获利,最终都是需要通过从业务系统中获取高价值数据来实现。

israbye FreeBuf.COM

基于业务构造安全

因此,周宏斌认为新一代的企业安全防护体系需要围绕着业务系统来构建,通过监测所有用户的访问行为,识别异常的访问行为,有效地发现入侵。

我们知道,传统安全方案是通过不断给客户安装不同类型的防盗门来提高安全性。对于客户而言,成本在不断提高,可对于富有经验的攻击者,尤其是攻击团队而言,打开一个防盗门和打开两个防盗门其实并没有太多区别。

在这样的理念之下,兰云建立。他们所期待的是一种创新、不“笨重”却对企业而言是完善而高效的安全防护体系。

“基于业务,构筑安全”则更像是在防盗门,窗子,过道,房间等等关键地方加装了探头,默默地记录发生的行为,然后识别出哪些是“自家人”,哪些是“外人”,然后做出合适的判断。由于客户对安全的投入控制在合理范围之内,不可能无限制的加装“防盗门”,所以采用监测的方式就不会因企业业务的增长而大幅度地提高投入。

israbye FreeBuf.COM

兰天智能安全平台框架

周宏斌认为,近年来不断完善的法律制度和执法体系,有效地帮助现代社会扼制了犯罪行为,而保障虚拟世界也应该如此,只有结合惩罚制度和监控体系二者的力量,才能有效阻止当今的网络犯罪。如今《网络安全法》的出台,开始给实施网络攻击和犯罪的人加上了法律层面的“紧箍咒”;如果企业的安全监控体系能够建立,则会帮助企业发现——哪些“不请自来”的人正在觊觎企业的高价值信息资产,同时如果监控体系能够通过存储原始日志和流量数据,保存证据,那么就能够为追究网络犯罪者们的相应责任提供有效的帮助。

立足SOAPA,深耕企业安全

具体来说,兰云科技所立足的 SOAPA 架构全称是叫做 “安全运作和分析平台架构” ,是由咨询公司 ESG 提出用来替代 SIEM 架构的新概念。

这种新一代安全体系架构,包含了八大主要的模块:端点检测/响应工具(EDR),事故响应平台(IRP ),网络安全分析( NSA),用户行为分析/ 机器学习( UBA/ML ),漏洞扫描/安全资产管理(VS/SAM ),反恶意软件沙箱( AMS ),威胁情报( TI)。

israbye FreeBuf.COM

安全运作和分析平台架构SOAPA

基于 SOAPA 架构,既可以将客户原有的安全投资(比如防火墙,IDS/IPS  ,邮件网关,杀毒软件等)进行价值再挖掘,又能补齐以 APT 为代表的针对性攻击等未知威胁检测方面的能力。

兰云的三大产品之一 —— 兰盾是威胁情报的重要来源之一;其二的兰眼则是触手,是传感器,它包含了网络安全分析,反恶意软件沙箱两种主要能力;而兰天既是大脑,可基于用户行为分析/机器学习技术,发现各类异常访问行为,也是综合分析平台,为分析人员进行安全事件深度分析提供全面支撑。这样,在进行安全事件分析时,企业用户可以获得日志,流量,文件等全面的数据支撑。

而在企业安全边界上,不管是外部的攻击者在渗透和侵入企业,还是来自内部员工的泄密之后,恶意行为的发起方一定是会去触及和访问内部的服务器和存储在上面的重要资产的。以恶意网银转账为例,攻击者成功实施攻击、得到了账户进行网银转账时,机器的操作流程和人类的操作在速度、时间等数据特征上都会呈现出差异。

我们可以去监控这些行为,再运用用户访问行为分析(UBA)机器学习的方法来识别异常行为状态。

尽管我们不可能预先知道攻击者的攻击方法和漏洞利用手段,但我们可以识别出它们的异常访问行为。根据记录的证据,事后我们可以通过安全专家进行回溯和分析,了解问题所在;其次,被触碰到或者泄露的数据也可以被企业及时了解,有效应对。

爱马术,善驾驭,做决策

兰云科技是一家仍在成长中的创业企业,周宏斌介绍时提到兰云的工作氛围是轻松愉快的,但工作节奏还是快速而高压的。周宏斌坦言,团队在面临一些任务时大家还是需要加一加班,赶一赶进度,有时候压力确实挺大的。 但大家拥有共同的信念和目标,专注而乐于付出,短暂的身体疲惫,会因不断带来的成就感而迅速恢复。

工作之余,周宏斌还提到他非常喜欢的一项运动——骑马。一次偶然的机会,他尝试了马场马术,俯身在马背上驾驭骑行的舒畅感,让他迅速迷上了这项运动。一方面是在工作之余的放松,调整状态重新投入工作;另一方面他又感受到马术的奥秘也与团队管理有着奇妙的相似之处—— 骑手需要细致的观察力、感知力、协调力和决策能力。

israbye FreeBuf.COM 

马术的奥秘也与团队管理相似

马术是很有意思的运动项目。骑马时我感觉可以抛开一切,身体完全放松,只剩人和马的交流。人和马只有充分互信、协作才能完成特定的动作。骑手需要观察环境、了解马的状态,以及下达指令执行跳跃时做出时机判断,这些都是这项运动中最具魅力的时刻。

当然马不是人,它没有办法说话,你必须通过它的肢体语言来了解它的状态和它的喜怒哀乐,这一点就和管理团队时需要掌握的平衡十分相似。骑马时如果掌握了正确的节奏,你就会和马融为一体,不会感觉到颠簸,而是一种自由而舒畅的感觉。

其实平时的工作中,周宏斌认为,确定产品发展方向等重要事项时,团队中的确会出现分歧。如何让大家踊跃发言,提供真实观点,挖掘最有价值的建议,作出正确的决策,是非常需要敏锐的观察,感知能力的。

israbye FreeBuf.COM

兰云科技团队

团队可以有不同的观点,但在决策之后必须有严格一致的行动。

我们的根本策略是:一要保证大家目标一致,二要对事不对人。

访谈的最后,周总也聊到了兰云对于安全人才的需求,他表示,他非常欢迎年轻的从业者加入,新鲜血液的加入能够给团队注入新的想法和力量,不“墨守成规” 的年轻人和经验丰富的“老人”可以帮助兰云团队做的更好、更远。

*本文作者Elaine,FreeBuf官方报道,禁止转载。

相关推荐
发表评论

已有 3 条评论

取消
Loading...
Elaine_z

What's past is prologue. 有缘再见!

146 文章数 35 评论数 0 关注者

特别推荐

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php