主持人:听大家讲我也蛮有感触的,我也说两句,我们青藤云安全是做安全的,未来几年安全市场非常好,原因是这样的,中国的产业都在互联网化,也就是所谓的产业互联网化进程,线下的产业普遍会跟线上相结合,互联网会影响会渗透到很多产业里,在线业务的基本属性就是安全,过去几年很多企业对安全没有意识。过去你会告诉一家企业安全很重要,现在我们遇到客户都不用说安全很重要,他只是关注要花多少钱能解决这个问题,意识上的改变对产业有很大的影响。
第二,国家层面的影响。说白了安全其实是一家企业必须履行的社会责任,现在遇到诈骗等各种各样的问题,信息泄露都是个人行为导致的,大部分是填个申请单,那家企业没有保护好数据导致信息泄露,导致诈骗产生,我认为将来国家一定会强制企业去履行他应尽的社会责任,既然你的用户把这些数据都交给你了,他信任你,你就有义务保管好。未来企业的安全市场会越来越好。
还有些问题问一下大家,首先问微步,最近威胁情报特别火,全世界都在讲威胁情报,威胁情报到底是什么样的东西,它是怎么获取到的?威胁情报到底有什么作用?
李秋石:先简单介绍一下我们公司的情况。原来在国内和国外的互联网公司做过,做安全理念的架构不太一样,我有不少感触,给我个人的感觉是中国市场和国外长对于安全的理解差异很大,我在思考为什么,原因之一就是在美国市场上企业会因为安全问题倒闭,但是在国内不会,这是最根本的差异。我们国内的市场对于安全的需求需要量化,我投入这么多,安全其实是一个投入项目,我投入这么多我的回报是什么,有时候这个很难。我们公司是国内首家专注于威胁情报的创业公司,成员来自于亚马逊、阿里、微软等安全圈的朋友们,大家走到一起来做这个事情,这个市场对于国内的企业和用户真的非常有用。刚才我们在外边还在讨论,整个市场行情也像当年云计算刚开始提出的时候,大家可能没有摸得着它是什么样,能带来什么解决方案,但在美国已经热了三年左右,从概念提出到现在。威胁情报从哪里来,是什么,威胁情报其实是一种线索,而且是可执行经过验证的线索,这对于企业包括对于安全从业人员来说,对于决策和使用判断会起到非常重要的作用,有时候它可能对你一文不值,但有些时候它的价值会顶上一半或者整个的市值,它的价值会有波动,最主要是在于什么事件以及威胁到哪里。
从哪里来?因为情报,我很难说它具体固定的来源是什么,因为事件、工具、技术以及流程这些是在时时变化的,攻击的欺诈团伙、对于企业有威胁的团伙的方法是不断升级的,掌握的情况和数据并不是我们想像的那么简单,企业都是铁打的营盘流水的兵,企业的安全人员可能在变,盯着漏洞的人已经轻车熟路了,他不需要跳槽,他的工作就是这个。把它变成情报有一定的过程,之前一直在做数据共享,IP、时间戳,大家交换,这些属于源数据,现在很多国内企业包括BAT其实不缺数据,数据太大了,太多干扰了,很难在里边找到有价值的东西,哪怕把行业里共享出来的源数据给你,安全在企业里是横向的部门,必须经过专业的清洗、分析、上下文比对,专业的分析人员针对这个行业分为几个层面的分析和关联,再进行处理和加工形成的信息才能是情报,源数据不能情报使用,情报一定是经过验证、有价值、可执行的。分为两部分,一个是战略情报,报告、分析及态势感知、形势的预警和情报订阅,我们把它叫做威胁情报订阅服务,这些有专业的分析师和团队根据企业类型向企业进行服务。还有一个叫战术情报,这些是可执行的措施。这两部分结合起来对于企业是可知性的方案。我们通过威胁分析平台,基于SAS的服务,提供源数据的分析,经过我们的分析关联形成威胁情报服务,它分为战略和战术。这对于国内的环境来说更适宜于大家理解,国际还有不同的方式,这个行业也在不断的发展,希望感兴趣的可以交流。
主持人:下个问题我想问知道创宇的王总,知道创宇是我挺敬仰的公司,遇到DDOS攻击有没有好的方式防御?
王利伟:DDOS攻击成本比较高,带宽成本比较高,北京的成本很贵,对于防御变得特别难。知道创宇防御DDOS,我们做得比较早,以安全CDN起家,把DDOS这个项目切出来做,基础架构跟CDN类似,最主要的区别跟传统CDN部署节点不一样,传统CDN需要非常多的节点,一多的话单个节点不会太大,DDOS只要把一个节点搞掉了,这一个市一个省就上不去了。我们的节点相对来说都比较大。知道创宇是腾讯控股的公司,腾讯给我们输出了他们的能力,腾讯给了我们很多机房,在中国做抗低的成本要高很多,这样先天性地不如国外做得好。靠DNS调度,DNS存在时效性的问题,把DNS搞瘫了怎么办。对于企业虽然超大型的攻击比较多,你不用担心,你花不起钱扛,很多公司有了这种问题也不扛了。