Categories
程式開發

知道創宇CTO楊冀龍:用SaaS模式做互聯網安全


從一名黑客到公司技術人員再到創業者,他是中國網絡安全行業發展的見證者,更是一個“老兵”。從業幾十年,他從黑客BBS到綠盟再到知道創宇,時代再變,但“大俠精神沒變”。他就是知道創宇CTO兼COO楊冀龍。

他的其他身份有TGO鯤鵬會北京董事會服務委員。中國民間著名白帽黑客團隊“安全焦點”核心成員;《網絡滲透技術》作者之一;蘭州大學榮譽教授。

在2019 ArchSummit全球架構師峰會(北京站)上,InfoQ技術編輯對楊冀龍進行了獨家專訪。兩人聊了很多話題,包括黑客是一群什麼樣的人?黑產是怎樣發展起來的?如何看待現在頻發的數據洩露事件?為什麼去創業?知道創宇怎樣佈局互聯網安全? …

黑客的“兩種精神”

在國內,“黑客”一詞有時會被誤解,他們被視為一群幹壞事的人。但是,楊冀龍在一些公共場合演講,經常稱自己是一名黑客。

在他眼中,極端追求技術的人,叫極客,極客包括黑客的一部分。黑客是極端追求技術,追求到極致,“他甚至反向來看整個技術,有沒有錯誤,有沒有安全問題。如果有的話,把問題修復過來”。

楊冀龍說,“黑客一方面代表了技術,另外還代表了一種精神。這種精神是一種正義的力量。”

什麼叫正義的力量?他舉了斯諾登的例子。 “像斯諾登這種,他就看不慣美國政府乾監控全球,他要站出來,向社會、全世界去揭露,傳達這種公平正義。”他補充說。

黑客代表兩種精神,一是技術精神,一是思想精神。

2000億 VS 400億

這種黑客精神與中國古代的“大俠精神”有類似之處。 2007年,楊冀龍被朋友趙偉拉著一起創立知道創宇,確定公司的一個使命是“俠之大者,為國為民”。

知道創宇CTO楊冀龍:用SaaS模式做互聯網安全 1

他這樣解釋這個使命。 “我比較喜歡引用愛因斯坦的一句話。愛因斯坦說過,‘這個世界是一個危險的地方,不是因為那些邪惡的人,而是那些無動於衷的人。 ”楊冀龍說。

據悉,中國黑產的產值每年是2000億(注:中國網絡安全產業規模2018年僅為393億),“我們是能看到很多黑產在洗劫中國老百姓的’網上財產‘”,這對社會是巨大的損失。

“而且,我們知道他們的手段、方法。如果我們不站出來保護人民(網民)、保護群眾,我們就是屬於’那些無動於衷的人‘。”他強調。

或許,正是這種想法驅動著楊冀龍出來創業。創業前,他任職於綠盟科技(前身是綠色兵團),親眼見證了一個小team十來個人一直發展到上千人的過程。

但是,問題是綠盟科技主要是賣標準安全設備,面向大型企業

楊冀龍說:“但其實我們看到,當時整個民間的黑產發展起來,黑產洗劫整個網民。這個時候要出來保護網民的話,以前的那些設備和產品,沒有面向網民和互聯網。因此,我們當時想做一個服務的形式,來保護整個互聯網。 ”

比如,黑產乾的最多的事就是薅羊毛,像2019年初,黑產利用某電商巨頭的系統bug,一夜盜取數億元平台優惠券,“舉世震驚”。

那麼,黑產是通過怎樣的手段“薅羊毛”?薅羊毛有三個環節:第一是註冊,註冊時需要手機信息、身份信息。因為要用實名制,不實名無法實施。第二個環節是通過技術手段,將裡面的一些錢財進行挪用、佔用或竊取。第三個環節,把這些錢財洗成“真金白銀”。

據楊冀龍透露,黑產薅羊毛早期有一個技術資源。早期的話,來自運營商。因為如果黑產沒有手機號、身份證號和實名的銀行卡號,薅羊毛很難實施。

知道創宇CTO楊冀龍:用SaaS模式做互聯網安全 2

“以前,各個管理環節出問題了,就有非實名的(賬號)'流露出來'。黑產有這些賬號在,最後的變現途徑還是通過手機、銀行卡或身份證,這個環節沒卡住,後端就都能出來。“他說。好在現在國家重視了,這塊管理非常嚴格了。

相比以前,楊冀龍認為現在黑產狀況有所改善。在他看來,最近幾年,在工信部、網信辦和公安部的聯合打擊下,黑產正在下降。

數據洩露和個人隱私—技術非全能

從業幾十年,從黑客到技術人員再到創業者,這種身份的轉變讓楊冀龍對網絡安全的看法影響很大。

在他看來,早期做安全的時候,只看到技術,一個技術的點。後來做產品,就看到社會責任,因為一個產品的確能解決很多社會問題,能幫一些有關部門或有關行業在一些環節加強它的安全性。比如,幫助一個大型國企解決一個安全問題,就能解決好多問題。

後來創業,他認為“很多問題不是靠技術就能解決的,必須靠政策法規來解決”。

“甚至有些年,我認為連法律都無法解決,必須靠道德。比如黑產裡的一些事。”楊冀龍說。

事實上,今年有很多大數據公司因“爬蟲業務”被查,有統計至少有15家公司,比如鬧得沸沸揚揚的考拉徵信一事。

知道創宇CTO楊冀龍:用SaaS模式做互聯網安全 3

這些公司被查,源於數據採集過程中的非法性。他認為,那些在公司裡爬蟲的技術人員,不一定知道爬蟲最後用來幹嘛。 “這個時候,有些人可能要捫心自問,‘我幹這件事是為什麼?符不符合道德?而不是老闆叫他幹啥就乾啥”。

實際上,現在好多公司打著大數據旗號搞詐騙,公然而然地搶劫公民的個人隱私數據。

楊冀龍表示,“公民數據,比如我在哪個地方註冊我的信息,數據所有權是我的,不是那個公司的,但很多公司拿去買賣,而且賣很多遍。而且它又說你同意過,說註冊時有個很長很長的授權協議書,其中有那麼10個字說你同意,這個就是道德問題了。”

從法律上講,用戶確實點同意了,但不一定注意到。 “你本來要用它的服務,怎麼可能點否了。”他補充說。

對於數據洩露,楊冀龍認為這是個老話題了,(要解決)還是很難。據筆者統計,2019年總計發生43起數據洩露事件(從公開渠道統計得出)。 “不過,現在國家有相關法律法規,(情況)已經好多了。比如’等級保護法‘要求,有公民隱私數據的企業必須過等保安檢,必須保護數據。”

知道創宇CTO楊冀龍:用SaaS模式做互聯網安全 4

無論是歐盟《GDPR》、美國加州《CCPA》,還是中國《網絡安全法》,在他看來,這類法律的頒布和實施會產生兩個大的影響:
第一,數據本地化。所有互聯網服務商的數據不能跨國,這是為了保證國家安全;
第二,保護公民隱私。所有包含公民隱私的數據,它就不能進行買賣,或者說必須脫敏後才能進行交易,甚至脫敏後也只有在一定限定條件下能進行數據挖掘和使用。不能像以前一樣,直接將原始數據賣給別人。

據楊冀龍透露,幾年前個人數據或信息買賣非常猖獗,很多都是明碼標價,比如手機號多少錢一個、身份證號多少錢一個、銀行卡號多少錢一個,全部明碼標價。

互聯網安全的“打法”:SaaS化服務模式

從2007年創立公司至今,知道創宇快速發展,不僅成長為獨角獸公司,而且擁有1600多名員工。在整個公司業務中,互聯網安全佔了一半。

那麼,知道創宇是如何做互聯網安全的?

據楊冀龍透露,知道創宇做了兩個事。

第一個是雲防禦,即用雲的彈性計算為客戶提供防禦。第二個是SaaS化的服務模式和收費模式。

舉個例子。企業使用傳統的防火牆產品,本來該防火牆的能力,它可以保護企業10個業務系統。 “你給一個企業後,CPU跑不滿,內存跑不滿,它只能保護1個業務系統。這很浪費。那麼現在,我一個系統可以服務十家,大家均攤成本,成本就低了。成本低了,大家就都能用得上。這樣,初創企業也能用得上。”他說。

以前,初創企業不用這個東西,是因為它太專業或者太貴,超出它早期的承受能力。

“我們通過這種SaaS服務的模式將資源共享,把成本降低。”楊冀龍稱。

並且,SaaS服務帶來的第二個好處是彈性擴張。一旦客戶需求量增加,可以用雲技術隨時擴展所需資源。假如你現在需要一個防火牆的性能,過一段時間後,你可能需要十個。從後端角度而言,可以彈性計算,擴展方便,很容易解決問題。相對小企業的發展,安全建設也很容易實施。

此外,通過SaaS的服務,也能提供更有效的安全防護。在他看來,最終的攻擊來自人,黑客是有限的。 “既然黑客有限,他會攻擊這個電商,也會攻擊那個電商;既會攻擊這個遊戲,也會攻擊那個遊戲。它的攻擊手段、作息時間、使用的工具都是一致的。”楊冀龍表示。

據他介紹,通過機器學習能很快定位到它們,這非常明顯。通過大數據和人工智能技術,可以非常快速的調整規則。 “像我們的規則都是這種系統自動調整,每10秒自動調整一次“。

知道創宇CTO楊冀龍:用SaaS模式做互聯網安全 5

基於收集的黑客線索數據,知道創宇的團隊會使用深度學習和隨機森林將樣本標註出來,哪些是正常的,哪些是攻擊的。利用深度學習技術,系統一直在調整,知道創宇(有個)機器學習的中心專門來調整算法。

系統每天會收到500億次請求,它會時時刻刻處理所有請求。針對請求,它可以快速處理,進行分類,比如分成帶攻擊的、不帶攻擊的和疑似攻擊的。在攻擊中再細分,比如分成SQL注入、跨站腳本、CSRF(跨站請求偽造)的等。

還有一種分類器會劃分黑客等級,分成黑客等級一、二、三、四、五、六、七、八;還有一種分類器會分工具名稱,比如掃描工具,如果裡面有一些未知攻擊工具的,再讓專家人工去看。人工查看後進行標註,再把樣本返回給機器,機器進一步學習。

“這種人工智能的技術在未來的網絡安全中可能成為必備手段。”他認為。

經過十幾年的發展,楊冀龍總結出知道創宇在互聯網安全方面積累的一些經驗和能力。

第一是黑客的培訓培養體系和招募體系,他將其稱為公司的“一個核心能力”。第二是利用大數據進行深度學習和進行自動防禦調整的體系。第三是網絡空間測繪能力。第四是全球黑客組織的歷史數據和黑客組織畫像。

楊冀龍表示,“這些數據和能力支撐了我們很多業務。最後是對SaaS的理解。我們在外網佈置了數千台服務器,分佈於全球30個數據中心。這種SaaS的彈性計算、彈性調度和網絡的分佈式配置及管理也是一大優勢。”

網絡安全的發展機會在哪?

一般來說,網絡安全行業可以分成兩部分:傳統安全和互聯網安全。傳統安全比較穩,市場有限,發展緩慢;而互聯網安全則發展迅速,市場空間大,前景好。

在楊冀龍看來,無論是傳統安全,還是互聯網安全,發展潛力都很大。

為什麼這麼說?他解釋,“傳統安全上,第一是國家實行《網絡安全法》,法律有規定,關鍵基礎設施所在單位必須過等保。它必須加強安全。第二是很多互聯網公司也被拉入等保範圍,它也必須達到相應的安全等級。”

在中國,關鍵基礎設施所在單位幾乎大多是國企或央企,它們處於一個長期的戰略性的地位,對民生影響很大。而新興的互聯網公司與人們生活息息相關,對民生也會產生重要影響,因此也很重要。

楊冀龍表示,“安全是受事件驅動和法規驅動的。安全,一般來說沒什麼法規強制,它說起來重要,做起來次要,一看預算砍掉。現在有了外部的法律法規要求後,最後想砍也不能砍掉。

打個比方,一些傳統安全行業,本質上是個“基建行業”

比如新修建一棟樓,裡面必須配備消防器材,還有消防控制室、火災自動報警系統、固定噴淋系統、滅火器及相關輔助系統、消防聯動控制設施和消防廣播系統等。這些都是基礎,屬於“基建”。

傳統安全行業更像是一個“基建公司”,任何一個公司部署網絡信息化,必須採購其產品和設備。目前,信息化建設大潮還在推進、擴大,因此“基建行業的基礎器材還會持續增加”。

並且,國家現在有要求,以前沒有配備這些產品和設備的企業和公司如今必須有。比如,“等級保護法”規定,關鍵基礎設施所在單位必須符合等保三級要求,存儲公民大量隱私數據的企業也必須過等保三級。

“要過等保三級,你必須把這些安全產品配齊,因此這對網絡安全公司是一個大機會。”他說。

第二個大機會就是服務。

服務是什麼?如果你的“消防器材”已經配好,但真正救火還得消防人員來。我們知道,消防人員為社會提供公共服務,比如發生火災或者消防檢查,這些都是應急或臨時服務。

但是在互聯網時代,攻擊無處不在,隨時發生,這時企業就需要網絡安全人員隨時提供支持和服務。這種對服務的需求也是一種新的發展機會。

第三個是新技術趨勢的到來。比如物聯網安全,未來一定是個萬物互聯的時代。這個時候,面對千億連接,安全是基礎,自然對安全的需求也會不斷增加。