封面人物簡介:
林康,科來公司聯(lián)合創(chuàng)始人,總經(jīng)理。林康先生致力于網(wǎng)絡(luò)流量分析技術(shù)的研究與發(fā)展,積極推動NTA技術(shù)在各行業(yè)的應(yīng)用普及與推廣。林康先生榮獲由科技部頒發(fā)的《創(chuàng)新人才推進(jìn)計(jì)劃》科技創(chuàng)新創(chuàng)業(yè)人才稱號、成都蓉貝軟件人才技術(shù)領(lǐng)銜人稱號。在林康的帶領(lǐng)下,科來在網(wǎng)絡(luò)流量分析領(lǐng)域已處于全球領(lǐng)先水平,斬獲海內(nèi)外數(shù)十項(xiàng)重量級大獎,包括蟬聯(lián)Gartner NPMD魔力象限“遠(yuǎn)見者”稱號、IDC調(diào)研報(bào)告科來連續(xù)三年在NPAM領(lǐng)域市場占有率第一、中國網(wǎng)絡(luò)安全企業(yè)100強(qiáng)領(lǐng)軍企業(yè)。
記者:“十四五”規(guī)劃中明確提出“加快數(shù)字化發(fā)展”“加強(qiáng)網(wǎng)絡(luò)安全保護(hù)”,您如何理解這兩者之間的關(guān)系?網(wǎng)絡(luò)安全行業(yè)該如何落實(shí)這些要求?
林康:2021年3月11日,十三屆全國人大四次會議表決通過了《中華人民共和國國民經(jīng)濟(jì)和社會發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》(以下簡稱“十四五”規(guī)劃綱要)的決議,網(wǎng)絡(luò)安全已經(jīng)確定成為未來中國發(fā)展建設(shè)工作的重點(diǎn)之一,時(shí)間跨度長、覆蓋面廣!笆奈濉币(guī)劃綱要在網(wǎng)絡(luò)安全側(cè)釋放的國家戰(zhàn)略信號明確,共提及“網(wǎng)絡(luò)安全”14次,涉及數(shù)字經(jīng)濟(jì)、數(shù)字生態(tài)、國家安全、能源資源安全四大領(lǐng)域。其中所提出的“數(shù)字化轉(zhuǎn)型”關(guān)鍵詞引人矚目,“迎接數(shù)字時(shí)代,激活數(shù)據(jù)要素潛能,推進(jìn)網(wǎng)絡(luò)強(qiáng)國建設(shè),加快建設(shè)數(shù)字經(jīng)濟(jì)、數(shù)字社會、數(shù)字政府,以數(shù)字化轉(zhuǎn)型整體驅(qū)動生產(chǎn)方式、生活方式和治理方式變革!
事實(shí)上,“加快數(shù)字化發(fā)展”與“加強(qiáng)網(wǎng)絡(luò)安全保護(hù)”二者是相輔相成的。網(wǎng)絡(luò)安全是“數(shù)字化發(fā)展”的重要保障,同時(shí)又屬于其重要數(shù)字產(chǎn)業(yè)之一,是數(shù)字化發(fā)展的關(guān)鍵基座,承托著上層技術(shù)發(fā)展的安全與穩(wěn)定,發(fā)揮著基礎(chǔ)性、支撐性、保障性的作用。網(wǎng)絡(luò)與信息安全不再是信息系統(tǒng)的附屬品,而是像日常生活中的“水電煤氣”一樣,逐漸成為新型基礎(chǔ)設(shè)施、數(shù)字經(jīng)濟(jì)、數(shù)字社會、數(shù)字政府、數(shù)字生態(tài)發(fā)展的必需品,國家數(shù)字化進(jìn)程越快,網(wǎng)絡(luò)安全的重要性就越明顯。
與此同時(shí),“十四五”規(guī)劃綱要也對網(wǎng)絡(luò)安全產(chǎn)業(yè)提出了明確要求。網(wǎng)絡(luò)安全與數(shù)據(jù)安全,不再是傳統(tǒng)的外圍加固、松散整合的模式,而是深深融入到數(shù)字化發(fā)展的方方面面,賦能安全保障。在“十四五”規(guī)劃綱要網(wǎng)絡(luò)安全保護(hù)章節(jié)中,還提出了要提升“網(wǎng)絡(luò)安全威脅發(fā)現(xiàn)、監(jiān)測預(yù)警、應(yīng)急指揮、攻擊溯源能力”,構(gòu)成了網(wǎng)絡(luò)安全的發(fā)現(xiàn)、預(yù)警、指揮、行動、溯源的多環(huán)節(jié)動態(tài)閉環(huán)管理,為網(wǎng)絡(luò)安全統(tǒng)籌管理能力建設(shè)指明方向。
網(wǎng)絡(luò)安全產(chǎn)業(yè)在發(fā)展網(wǎng)絡(luò)安全技術(shù)的同時(shí),要有家國情懷,要有國家利益高于一切的格局;不同細(xì)分領(lǐng)域的安全廠商,在各自專精的技術(shù)領(lǐng)域攻堅(jiān)突破,勇于比肩世界前列;對標(biāo)國際頂級技術(shù)的同時(shí),對內(nèi)賦能,形成合力。在堅(jiān)持自主可控的大前提下,還要關(guān)注那些“卡脖子”的底層安全技術(shù)發(fā)展。目前中國網(wǎng)絡(luò)安全市場重應(yīng)用、輕技術(shù)的傳統(tǒng)格局亟須重塑,促使市場轉(zhuǎn)型進(jìn)入技術(shù)驅(qū)動型市場,“關(guān)鍵核心技術(shù)實(shí)現(xiàn)重大突破,進(jìn)入創(chuàng)新型國家前列”。落實(shí)“十四五”規(guī)劃網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展要求,我認(rèn)為兩個(gè)“既要、又要”至關(guān)重要:既要在精專領(lǐng)域各自為戰(zhàn),又要相互融合、對內(nèi)賦能;既要在技術(shù)應(yīng)用層創(chuàng)新發(fā)展,又要在關(guān)鍵核心技術(shù)投入研發(fā)。
記者:科來自2003年成立至今專注于流量分析領(lǐng)域,已經(jīng)成為該領(lǐng)域的領(lǐng)軍企業(yè)。請問科來為什么選擇流量分析這個(gè)賽道?
林康:科來創(chuàng)始人是國內(nèi)最早研究網(wǎng)絡(luò)流量分析技術(shù)的專業(yè)人員。彼時(shí)流行的國外軟件雖然功能強(qiáng)大,但操作非常復(fù)雜,而且界面使用不符合國人習(xí)慣。在2001年,我們決定獨(dú)立研發(fā)面向國人的網(wǎng)絡(luò)流量分析產(chǎn)品。而在安全領(lǐng)域,科來在與用戶不斷的深入溝通中,意識到網(wǎng)絡(luò)流量分析技術(shù)在諸多方面可以滿足網(wǎng)絡(luò)安全的需求。傳統(tǒng)的基于策略、特征的安全產(chǎn)品,在面臨“針對性攻擊”(當(dāng)時(shí)還沒有APT的說法)的時(shí)候,很難被發(fā)現(xiàn)。而通過網(wǎng)絡(luò)全流量分析,尤其是科來全協(xié)議識別與解析的技術(shù)能力,效果則十分顯著。于是科來開始在安全方面投入專門的團(tuán)隊(duì)和資源做相應(yīng)的研究,衍生出一套跟傳統(tǒng)信息安全在思路上截然不同的分析方法和平臺。
科來專注從事研究的網(wǎng)絡(luò)流量分析技術(shù)是底層基礎(chǔ)信息技術(shù),在不同領(lǐng)域有豐富的應(yīng)用場景。類似于醫(yī)學(xué)中的“血檢”,作為檢查身體健康的基礎(chǔ)手段,它既可以檢測內(nèi)部器官衰弱,也可以檢測外部感染病毒,例如“血檢”最近一個(gè)新的應(yīng)用場景,就是通過血液檢測新冠疫苗是否在體內(nèi)產(chǎn)生抗體。
網(wǎng)絡(luò)流量分析技術(shù)是一個(gè)至關(guān)重要的基礎(chǔ)技術(shù),擁有豐富的應(yīng)用場景。在我國多項(xiàng)核心技術(shù)被“卡脖子”后,科來更是堅(jiān)定了在該項(xiàng)技術(shù)上持續(xù)投入研發(fā)的決心,中國科技的未來不僅要有中國心,還要有中國之骨血、發(fā)膚,才能撐起祖國崛起的身軀。
記者:從用戶角度來看,流量分析對他們的最大價(jià)值是什么?
林康:流量分析技術(shù)的價(jià)值體現(xiàn)在很多方面,例如在運(yùn)維工作中保障業(yè)務(wù)的高效、穩(wěn)定運(yùn)行,提升整體運(yùn)維成熟度的進(jìn)階;另一方面是成為企業(yè)數(shù)據(jù)分析與運(yùn)營的核心,提供業(yè)務(wù)規(guī)劃的決策支撐依據(jù)等等。
在網(wǎng)絡(luò)安全方面,科來利用流量分析技術(shù)為用戶提供了從“上帝”視角審視全局的方式和方法,通過全方向全流量的回溯分析,能夠做到安全監(jiān)測無死角,讓企業(yè)具備對安全風(fēng)險(xiǎn)的發(fā)現(xiàn)能力、分析能力、識別能力和處理能力,幫助用戶整體提升網(wǎng)絡(luò)安全門檻。
傳統(tǒng)的安全防護(hù)手段,只能解決已知安全威脅,無法判斷入侵程度,無法感知新型未知攻擊手段。它亟需加入新鮮視角,要“以‘全流量’構(gòu)建未知威脅預(yù)警與處置框架”?苼碚J(rèn)為在技術(shù)層面具備“三全”、“三可”才可以稱為網(wǎng)絡(luò)“全流量”,即通過全流量保存、全協(xié)議解析、全行為建模實(shí)現(xiàn)對流量數(shù)據(jù)的可回溯、可追溯、可攔截。但僅僅擁有全流量還是不夠的,還需要擁有網(wǎng)絡(luò)全協(xié)議的解析與識別能力。網(wǎng)絡(luò)協(xié)議如同網(wǎng)絡(luò)中的語言,只有掌握了語言能力,才能充分的理解網(wǎng)絡(luò)中的流量?苼斫(jīng)過18年的積累,已經(jīng)擁有針對上萬種網(wǎng)絡(luò)協(xié)議及應(yīng)用的識別與解碼能力。
科來還有18年的實(shí)戰(zhàn)經(jīng)驗(yàn),用來連接技術(shù)與用戶。這種完善的落地經(jīng)驗(yàn)輸出,直接降低了用戶試錯(cuò)成本,正如科來創(chuàng)始人羅鷹所說,“今天的網(wǎng)絡(luò)對抗已經(jīng)上升到戰(zhàn)爭的層次,實(shí)戰(zhàn)經(jīng)驗(yàn)越來越重要。以醫(yī)學(xué)為例,學(xué)醫(yī)過程非常艱苦,但學(xué)完之后還要不斷積累臨床經(jīng)驗(yàn),才能做一名合格的醫(yī)生。這里的經(jīng)驗(yàn)積累發(fā)揮了非常重要的作用,我們把這種能力叫做實(shí)戰(zhàn)經(jīng)驗(yàn)。”
記者:在各行各業(yè)都在進(jìn)行數(shù)字化轉(zhuǎn)型的今天,您認(rèn)為企業(yè)面對的主要安全風(fēng)險(xiǎn)都有哪些?企業(yè)如何利用流量分析,來提升新形勢下自身的網(wǎng)絡(luò)安全防護(hù)能力?
林康:事實(shí)上,我們在服務(wù)用戶的過程中,確實(shí)發(fā)現(xiàn)了非常多的、容易被忽略的風(fēng)險(xiǎn),具體歸結(jié)為以下四點(diǎn):
1. 用戶根本不知道自己是否被黑或被黑過
隨著我國數(shù)字化建設(shè)的推進(jìn),網(wǎng)絡(luò)安全形勢更加嚴(yán)峻。針對國家基礎(chǔ)設(shè)施、企業(yè)數(shù)據(jù)的破壞、竊取相關(guān)的網(wǎng)絡(luò)攻擊增加,攻擊手法復(fù)雜多變,傳統(tǒng)安防手段只能解決已知安全威脅,無法感知未知手段和方法,更無法判斷攻擊入侵程度。
2. 要避免檢測類告警日志數(shù)據(jù)的誤報(bào)和漏報(bào),就不得不面對海量告警
頻繁的告警導(dǎo)致運(yùn)維人員的工作量急劇加大,傳統(tǒng)安全防護(hù)方式無法在短時(shí)間內(nèi)快速定位問題、解決問題,導(dǎo)致攻擊波及范圍擴(kuò)大,造成更加嚴(yán)重的損失。無法及時(shí)判斷告警的準(zhǔn)確性、嚴(yán)重性及威脅事件的結(jié)果,就無法及時(shí)采取相應(yīng)的處置措施。
3. 無法溯源攻擊,網(wǎng)絡(luò)攻防場景中防守方處于被動
在網(wǎng)絡(luò)攻防視角中,進(jìn)攻方會占據(jù)較多的主動性,而防守方則略顯被動,永遠(yuǎn)不知道攻擊會在何時(shí)發(fā)生。而當(dāng)攻擊發(fā)生后,防守方無法迅速梳理攻擊路徑,溯源攻擊過程,有可能造成更大的損失,一潰千里。
4. 發(fā)現(xiàn)網(wǎng)絡(luò)攻擊后取證困難、責(zé)任無法界定
當(dāng)前針對性的高級攻擊(如0-Day攻擊、APT攻擊等)越來越頻繁,傳統(tǒng)安全防御設(shè)備無法識別,安全防御容易被繞過。當(dāng)攻擊出現(xiàn)時(shí)、攻擊解決時(shí)、甚至攻擊消失后,如何對攻擊進(jìn)行判斷、進(jìn)行取證,進(jìn)一步分析存在何種網(wǎng)絡(luò)漏洞、系統(tǒng)漏洞還是人為漏洞,是客戶急需了解的,也是以后完善安全防御的重要策略依據(jù)。
在以往的信息化進(jìn)程中,企業(yè)的網(wǎng)絡(luò)安全防御基本是被動的,重點(diǎn)在邊界防御上。但近年來,隨著《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《等級保護(hù)2.0》《密碼法》等法律法規(guī)的出臺,對企業(yè)的網(wǎng)絡(luò)安全防御也提出了更高的要求。企業(yè)改變被動防御,進(jìn)行主動防護(hù)的需求越來越迫切。
科來認(rèn)為,安全防御的能力取決于安全感知能力,安全感知能力的重點(diǎn)在于對未知安全威脅的感知能力,在流量側(cè),這種能力體現(xiàn)在協(xié)議理解上。
科來擁有針對上萬種網(wǎng)絡(luò)協(xié)議及應(yīng)用的識別、解碼的經(jīng)驗(yàn)與能力,這讓協(xié)議漏洞利用的網(wǎng)絡(luò)攻擊在科來面前無所遁形,能夠更敏銳更迅捷的感知威脅存在。科來在全量數(shù)據(jù)的采集與保存的基礎(chǔ)上,實(shí)現(xiàn)了全行為建模與分析、全流量回溯,能夠在網(wǎng)絡(luò)攻防對抗中發(fā)現(xiàn)更多未知威脅。更重要的是,科來的協(xié)議解析技術(shù)在做到精準(zhǔn)解析的同時(shí),全面廣泛地覆蓋各類協(xié)議,“全面而精準(zhǔn)”的協(xié)議分析能力幫助用戶透析更多網(wǎng)絡(luò)流量內(nèi)容,看得清、看得透、看得全,這也正是科來的協(xié)議解析技術(shù)的本質(zhì)所在。
為此,科來推出網(wǎng)絡(luò)安全解決方案,基于科來全協(xié)議分析技術(shù),旁路采集、分析和存儲所有網(wǎng)絡(luò)流量,通過威脅情報(bào)系統(tǒng)檢測已知威脅,通過回溯分析數(shù)據(jù)包特征、異常網(wǎng)絡(luò)行為,發(fā)現(xiàn)潛伏已久的高級未知攻擊?苼砭W(wǎng)絡(luò)安全解決方案具備多維的數(shù)據(jù)分析及深度挖掘能力,能夠?qū)崿F(xiàn)數(shù)據(jù)包級的追蹤取證,為用戶提供“檢測”和“響應(yīng)”的能力,通過安全分析最終幫助用戶提升安全防御水平,建立自適應(yīng)網(wǎng)絡(luò)安全架構(gòu)。
記者:當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域新技術(shù)概念層出不窮,從長期來看,您如何看待流量分析的發(fā)展方向,還會有哪些新場景新應(yīng)用?對比國際,科來的流量分析有何優(yōu)勢?
林康:由于早些年,網(wǎng)絡(luò)流量分析(NTA)技術(shù)被GARTNER列入十大網(wǎng)絡(luò)安全頂級技術(shù),各種NTA網(wǎng)絡(luò)安全產(chǎn)品如雨后春筍般問世,但不“懂行”很難有發(fā)展。正如之前所說,網(wǎng)絡(luò)流量分析技術(shù)是底層技術(shù),可以衍生出更多上層應(yīng)用與場景。
比如在安全方向,在不久前發(fā)布的《威脅檢測與響應(yīng)(TDR)市場指南》報(bào)告中,全流量回溯技術(shù)分別在威脅檢測場景和攻擊行為分析場景中起到了核心作用。通過對資產(chǎn)的全面盤點(diǎn)實(shí)現(xiàn)對攻擊暴露面的收斂;同時(shí)可以前置威脅情報(bào),通過流量檢測環(huán)節(jié)即可實(shí)現(xiàn)判定檢測,提升告警的準(zhǔn)確度,降低誤報(bào)率,為接下來的響應(yīng)溯源環(huán)節(jié)提供準(zhǔn)確線索;在對歷史流量日志進(jìn)行回溯分析時(shí),發(fā)現(xiàn)長期潛藏的未知高級威脅。
除了縱深應(yīng)用外,橫向跨行業(yè)的探索,也可以為行業(yè)網(wǎng)絡(luò)安全發(fā)展貢獻(xiàn)新思路。
工業(yè)互聯(lián)網(wǎng)安全:對工業(yè)互聯(lián)網(wǎng)絡(luò)通信協(xié)議進(jìn)行解碼分析,可實(shí)現(xiàn)入侵檢測與安全審計(jì),發(fā)現(xiàn)和分析其脆弱性及安全漏洞,提高工業(yè)網(wǎng)絡(luò)安全檢測和事后取證追查能力,強(qiáng)化對工業(yè)互聯(lián)網(wǎng)系統(tǒng)的安全態(tài)勢感知與防御能力。
物聯(lián)網(wǎng)安全:對物聯(lián)網(wǎng)協(xié)議的識別與解碼,能夠幫助深入而系統(tǒng)地了解IoT網(wǎng)絡(luò),理解IoT網(wǎng)絡(luò)中的數(shù)據(jù)流動。通過不斷挖掘數(shù)據(jù)之間復(fù)雜聯(lián)系的價(jià)值,讓其成為企業(yè)重要的數(shù)據(jù)資產(chǎn),實(shí)現(xiàn)對周邊世界認(rèn)知能力的革命性飛躍。
科來也在不斷對內(nèi)求變,積極推動技術(shù)在適合的領(lǐng)域、場景落地,并于2020年9月正式推出“科來工控大數(shù)據(jù)安全態(tài)勢感知平臺”,服務(wù)于我國關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全與運(yùn)維保障工作,實(shí)現(xiàn)了工控生產(chǎn)的全流量數(shù)據(jù)接入,全面覆蓋我國工控領(lǐng)域。
對比國際廠商,科來在技術(shù)上的優(yōu)勢,實(shí)際上是一種價(jià)值觀的優(yōu)勢、是國家政策正確引導(dǎo)的優(yōu)勢。中國已邁入創(chuàng)新型國家行列,引領(lǐng)全球率先開展新型基礎(chǔ)設(shè)施建設(shè)?苼硪倭⒂谥袊浖,在運(yùn)維與安全領(lǐng)域不斷創(chuàng)造出新高度,也不斷被賦予新的使命、承擔(dān)更多新的職能與責(zé)任,面臨著新的挑戰(zhàn)。十八年來,科來憑借在網(wǎng)絡(luò)安全領(lǐng)域的技術(shù)優(yōu)勢,服務(wù)于國家關(guān)鍵行業(yè)領(lǐng)域、重大國家級活動的網(wǎng)絡(luò)安保,貢獻(xiàn)力量的同時(shí)也沉淀下了難得的實(shí)戰(zhàn)經(jīng)驗(yàn),以實(shí)戰(zhàn)倒逼技術(shù)革新、技術(shù)創(chuàng)新,再反哺產(chǎn)品,服務(wù)用戶,構(gòu)建了一套技術(shù)創(chuàng)新的閉環(huán)循環(huán)。這種國家、廠商、用戶三方參與的技術(shù)創(chuàng)新模式是中國獨(dú)有的,國際廠商無法模仿。
另外,科來人秉承“堅(jiān)持、責(zé)任、進(jìn)取”的價(jià)值觀,堅(jiān)信科技創(chuàng)造未來,切實(shí)為用戶網(wǎng)絡(luò)保駕護(hù)航,追求極致。正是這份始終不變的初心,使科來能夠在順境中揚(yáng)帆,在逆境中無畏,在成為全球領(lǐng)先的網(wǎng)絡(luò)流量分析企業(yè)之路上奮勇前行。
記者:網(wǎng)絡(luò)安全已成為國家安全的重要組成部分,其中核心技術(shù)自主可控至關(guān)重要,請問科來在核心技術(shù)自主創(chuàng)新上有哪些舉措?
林康:知識創(chuàng)新、技術(shù)創(chuàng)新已成為國與國之間競爭的核心,科來通過提升自主創(chuàng)新能力,掌握更多自主知識產(chǎn)權(quán),為推動國家信息安全產(chǎn)業(yè)的持續(xù)發(fā)展提供支撐和服務(wù)。以“全協(xié)議分析技術(shù)+回溯分析技術(shù)”為核心,科來不斷完善技術(shù)研發(fā),持續(xù)進(jìn)行產(chǎn)品打磨,著眼網(wǎng)絡(luò)安全及運(yùn)維新態(tài)勢。向下深入聚焦協(xié)議分析,專注技術(shù)研發(fā)與產(chǎn)品打磨,為求索行業(yè)創(chuàng)新與變革夯實(shí)基礎(chǔ);向上則持續(xù)延伸對安全、運(yùn)維領(lǐng)域的探尋,繼續(xù)落實(shí)對每一位用戶的責(zé)任與承諾,為用戶業(yè)務(wù)穩(wěn)固保駕護(hù)航,繼續(xù)做國家網(wǎng)安堅(jiān)實(shí)后盾。
科來始終視保衛(wèi)國家信息安全為己任,多年來投入大量資源,持續(xù)在網(wǎng)絡(luò)流量和協(xié)議分析領(lǐng)域進(jìn)行技術(shù)研究并生產(chǎn)實(shí)踐,保衛(wèi)國家信息安全;而國家信息安全的建設(shè)和發(fā)展是一個(gè)全產(chǎn)業(yè)鏈長期行為,科來不斷強(qiáng)化國產(chǎn)化廠商之間的聯(lián)系,攜手產(chǎn)業(yè)鏈各方,在市場、銷售、服務(wù)等方面疊加能力、通力合作,為推進(jìn)國家網(wǎng)絡(luò)空間強(qiáng)國戰(zhàn)略作出積極貢獻(xiàn)。