0
采訪開始前,陳少涵還在寫代碼。用他自己的話說,他是一個非常 hands on 的人。
陳少涵,天空衛士聯合創始人兼CTO,站在CEO劉霖“背后的男人”。
2015年初,這家做數據防泄漏的安全公司橫空出世。
2018年初,這家公司發布了第四代安全防御系統——ITP(內部威脅防護)體系。
“我們一路走來非常非常難,是靠一步步血戰出來的。”
他連用了兩個非常,其中既有天空衛士成立之初全無積累,一行一行重寫代碼的辛苦;也有去年自己拿著新產品參加投標,結果實測排名竟在五名開外的心酸(共十個公司競標);當然還有憑著不服輸的勁兒帶領團隊調試bug最終在每次實測保持第一的驕傲。
而到現在說到產品,陳少涵自信滿滿,“有我呢!”
雷鋒網編輯開始好奇這三個字以及它背后的故事。
▲陳少涵
陳少涵畢業于美國西北大學,獲得了計算機科學與生化學雙碩士學位,畢業后飛赴硅谷。與安全結緣始于他作為創始工程師加入的第一家公司SS8 Networks,在其開發SIP網關時,他發現SIP指定的RTP音頻數據傳輸總會被各種被防火墻擋住。
被這一現象所吸引的陳少涵開始對研究防火墻有了興趣,并在當時自主設計了一種動態防火墻模型,一旦有數據通過信令層就能告訴防火墻打開哪個端口。
“現在聽起來很幼稚,但這的確是我走上安全領域的第一步,這一走就快二十年。”
2001年,陳少涵回到國內,先后在阿姆瑞特、Websense等多家安全公司擔任中國區的技術研發負責人。
“在外企的經歷中,無論是研發技術還是產品路線都讓我受益匪淺,但很多時候由于復雜的匯報環節,不能按照自己的想法去優化產品功能與性能,我開始產生無力感。同時,雖然網絡沒有國界,但網絡安全是有國界的。在外企研發信息安全產品,其實與中國自主安全可控的信息安全發展理念是沖突的。”
這種矛盾感讓陳少涵與當時任職Websense大中華區經理的劉霖感覺異常不適,于是兩人強強聯手,在2015年1月創辦天空衛士。
這名安全老將用了兩個字概括了當時的心情:踏實。
“我們組建了國內最大的內容安全研發團隊,其骨干人員很多都有外企的研發經歷,能把最先進的數據安全技術攥在中國人自己的手里讓我感覺踏實不少,另外為了提高效率,我們學習硅谷企業采用扁平化管理,以此保證每三個月迭代一個新版本。這樣的研發進度在安全行業中是非常罕見的。”
他把這些也稱為情懷。
談到如今安全防護的趨勢,陳少涵稱個人及企業數據成為主要防護對象。
而縱觀安全技術的演進與變遷,以防火墻、URL過濾、殺毒網關為代表的傳統防御系統如同中國古代城墻,僅在幾個固定位置開設城門(如80端口),外來者只有在符合端口要求之時才被允許進入。
時光飛逝日月如梭,這道城墻開始出現多處裂口,不少賊人也能從原來的城門混進。此時僅以端口作為攔截判定遠遠不夠,協議層安全開始被關注,以流量分析、Web安全等為主的第二代防御系統開始出現。
“接下來的三代防御,也就是我們1月12日之前所做的,即UCS統一內容安全解決方案。采用DLP數據防泄漏和ASWG增強型 Web 安全網關等產品,對網絡內容進行智能識別與控制。”陳少涵告訴雷鋒網。
基于內容的DLP技術與采用管理手段、權限管理以及加密等措施的傳統數據安全對比有一個場景。
假設某犯罪分子要進一道門,傳統手段相當于保安,如果保安認識該犯罪分子并覺得他是安全的就會放行,也不會檢查其帶的東西。DLP技術則相當于機場安檢,無論你是誰,進門就要過安檢,一旦檢查到其攜帶危險用品就會進行攔截。
“隨著云計算、人工智能、大數據等新興技術的普及,我們發現,第三代防御系統也同樣需要借助人工智能等新技術進行升級和完善。”陳少涵說道。
但下一代防御系統究竟是什么樣的?這是值得思考的問題。
犯罪的主體是人,安全的核心也應該是人。
“所以要以人為根本去做內部威脅防范,我們稱其為內部威脅防(ITP)體系及基于行為分析的ITM(內部威脅管理)解決方案,這也是第四代安全防御系統。”陳少涵說道。
ITP是什么?
其主要利用統計學異常分析、循環神經網絡、大數據分析、貝葉斯網絡等技術對用戶行為特征進行深度建模發現內部有異常行為的用戶,將異常用戶評分結果與安全策略集成,對異常行為用戶進行實時風險控制。(聽起來是不是很高深)
簡單說就是通過抓取大量用戶行為數據并進行分析,然后通過機器學習總結每個用戶行為模型,繼而匯總成整個企業的行為模式,這樣用戶在企業的一舉一動會與現有模式進行比對發現異常。
舉個例子,某員工每天按時上下班打卡的行為模式與預謀今天搶銀行的行為模式一定不同。某研發工程師每天都在敲代碼,突然有一天開始寫簡歷換工作了,其行為模式也會不同。
陳少涵告訴雷鋒網,“ITM 就相當于一個大腦,這個大腦自帶打分模式,會密切觀察企業員工的網絡行為并評估風險值。”
而打分模式還不止一個,屬于三合一系統。
ARS(異常行為檢測):針對每個用戶或者IP得到異常風險分值,也就是以用戶個人過去一段時間的行為模型為標桿,如果用戶行為發生突變(什么突變可以開一波腦洞),那這個人的風險分值也會upupup。
MRS(威脅行為回溯):以特定DLP時間為基礎,針對每個用戶或者IP進行回溯得到DLP風險模式相似分值,可以理解為給那些搞事情的人建立行為模型,然后將用戶的行為模型與之對比,對比重合度越高此人以后犯事可能性也就越高。
ERS(專家系統):結合專家經驗和大數據分析結果,針對每個用戶或IP得到同已知風險模式匹配的風險概率值。這個更容易理解了,一票專家把他們認定的風險行為加在系統中,如果哪個用戶行為碰到了這條紅線,那不好意思,又要給你加分了。
也就是ARS為自我比對,MRS為與他人比對,ERS為與規則標準比對。但這種比對也是動態的,通過機器學習會不斷完善模型。可能員工 A 以前從來不瀏覽經濟新聞,突然某天開始瀏覽了,機器會將這些學會,在下次員工 A 再瀏覽之時認定這是正常行為的一部分。
這三個系統打分,會匯總成一個完整的一個威脅評估系統,當用戶威脅評估系統超過了預設值以后,會引發報警。假設預設值為8,一旦某人風險值超過8其某些操作就會被直接攔截,比如向外傳輸工作通訊錄等。
此處編輯有一個疑惑,第四代是否會取代第三代防御系統?
當然不會,這兩者還是相互打通的。當一個人的風險值較高時候會及時通知DLP網關實時阻斷其行為,反過來當網關處理了一些安全事件,機器將其總結為安全模式后又可以回溯到ITM做安全判定。
當然,任何產品都不能做到完美,都需要不斷完善。
人類經過上百萬年進化,最為成功的就是人類免疫系統。而陳少涵現在研究的 ITP 實際就是將人類免疫學原理應用到 ITP 中,使其實現自動防御。
比如專家系統(ERS),相當于人類免疫系統的先天免疫(非特異性免疫),即基因自帶,能夠對某些已知的病毒產生抗體。
威脅回溯(MRS)類似于獲得性免疫(特異性免疫),針對病毒做抗體。是獲得免疫經后天感染(病愈或無癥狀的感染)或人工預防接種(菌苗、疫苗、類毒素、免疫球蛋白等)而使機體獲得抵抗感染能力。
異常探測(AMS)則相當于異體免疫,類似于器官移植,不屬于自身身體的細胞,會產生排異反應。
“可以看到不少技術都在往仿真學方向走,而網絡安全尤其是企業以防為核心的仿真安全將來會走向人體免疫系統,通過仿真學幫我們少走很多彎路。就像人工智能慢慢走向模仿人的神經的神經網絡,歷經幾百萬年進化而來的人類一定擁有最強最成熟的模型。”
當然,安全技術的強制進化并非一朝一夕,而陳少涵帶領天空衛士技術團隊所做的就是加磚添瓦等待突破。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
