安全狗的云安全服务平台目前已经保护超过百万台的(云)服务器,日均拦截超过千万次攻击。其SaaS服务平台(服云)也已经对接了超过5家云计算平台的API。未来用户可通过该平台实现在云计算环境下更多的安全运维场景。
在安全领域创业的门槛相对较高,不但需要创始人拥有很高的安全技术背景,更重要的是需要对安全领域的形势有很好的掌控。安全狗创始人陈奋便是如此,他做过一家著名安全公司的研发总监,他的团队也是自一家上市公司孵化而来。目前,安全狗云安全服务平台已经保护超过百万台的(云)服务器,日均为用户拦截超过千万次的攻击。同时,安全狗也积极参与到国内云计算安全生态的建设,目前已经跟阿里云、腾讯云、天翼云、华为云、亚马逊AWS等云计算平台建立合作伙伴关系。
云计算时代,各种安全和隐私问题层出不穷,各种安全漏洞或者用户信息泄露的事件也几乎每隔一段时间就会见诸于报端,而用户也是在发现自己的隐私被侵犯之后才后知后觉,显然已经晚矣。而安全狗正是从防御体系中的最后一道防线信息系统后端的服务器安全开始切入,并将传统的单点端防御演化为云+端的整体防御体系,再通过大数据技术和前端的安全防护相结合,从而将黑客的攻击行为秒杀。
安全狗创始人:陈奋
安全狗的SaaS服务包括了云+端的云安全管理平台(服云)为用户解决公有云、私有云、混合云以及传统环境中可能遇到的安全及管理问题。安全狗云安全服务平台目前已经保护超过百万台的(云)服务器,日均为用户拦截超过千万次的攻击。本期“SaaS先锋”栏目为你带来安全领域的SaaS先锋——安全狗。
记者问:安全稳定一直备受关注,安全狗在云计算时代定位是什么?
陈奋:安全狗的安全方案切入点就是信息系统后端的服务器安全,可以认为是防御体系中的最后一道防线。随着这两年国内云计算的快速发展,越来越多用户把服务器迁往云端,因此云计算安全就成为安全狗必然的战场。安全狗的防御体系也从单点的端防御演化为云+端的整体防御体系,通过云端的大数据分析和前端的安全防护相结合,能更快的感知黑客对系统的入侵行为。
从亚马逊AWS发展来看,云计算是一个开放的生态(可以类比为一个大的操作系统),在这个生态下有很多第三方应用来为用户服务,安全应用是其中的一个大类;目前AWS上安全类应用已经达到200款。国内的几个大的云计算厂商也开始在参考AWS的生态体系建立自己的应用市场,目前做的较好的是阿里云的应用市场。
因此安全狗希望能够积极参与到国内云计算安全生态体系的建设中去,并通过自己微小的力量推动国内云计算安全生态体系的发展。目前安全狗已经跟阿里云、腾讯云、华为云、天翼云、AWS等云计算产商建立了密切的合作关系,安全狗相关产品也上架到相应的应用市场中,同时安全狗的SaaS服务平台(服云)也已经对接了超过5家云计算平台的API。未来用户可通过安全狗的SaaS服务平台实现在云计算环境下更多的安全运维场景。
记者问:安全领域创业的门槛很高,你们为什么会选择从安全领域开始创业?
陈奋:确实这几年国内创业氛围如火如荼,但是安全领域的创业公司屈指可数,我认为这个是因为安全领域创业首先需要有相关背景的技术团队,另外国内安全市场还不够成熟(跟国外相比);当然这个也是机会所在。我们团队能够选择这个领域创业首先应该跟我们团队的背景有关,我们整个技术团队原来都是从国内一家著名的安全上市公司孵化出来的,我本人之前也是在这家公司担任研发总监的职位,因此自然而然的会选择安全领域。另外也跟国内的互联网服务器安全现状有关,当时发现互联网服务器安全问题非常严重,大部分互联网服务器都存在着各种安全隐患,而且被黑的不在少数但用户还一无所知;就算今天这些问题依然层出不穷,因为每隔一段时间都会爆发一些新的漏洞,就会带来新的安全问题。
记者问:安全狗在兼容主流云平台方面,遇到哪些挑战?
陈奋:安全狗目前跟这些云计算平台合作主要是解决用户使用云主机时遇到的安全问题,包括系统和应用层面,如系统被黑被入侵,应用数据泄露等问题;因此并不存在太大的兼容问题,安全狗产品在这些云计算平台上都可以顺利运行。当然我们也需要配合产商做些安全性和规范性上的修改;另外我们在制作安全狗安全镜像时也做了非常多的工作,融合了我们安全团队多年的经验,对镜像系统做了12道的标准化安全加固工序,解决用户在系统初始化时候的一系列安全工作。
安全狗服云平台在对接各大云计算平台的API接口这方面做了不少兼容性的工作,各家API接口虽然基本都采用Restful API接口风格,但并没有统一的标准;因此这块我们做了不少兼容性的开发工作,未来也可能会考虑把这块功能进行开源,让更多的第三方平台可以借鉴。
同时我们在虚拟化底层安全和VPC(虚拟私有云)接入安全也做了很多技术储备,后续国内云计算平台底层接口逐步商业化后,我们都会进行开发接入,为用户提供更多的方案选择。
记者问:安全狗服云平台是你们基于云+端的模式打造的,目前肯定积累了大量数据,你们对这些数据时如何处理的?对日后的安全防护有哪些作用?
陈奋:我们一开始就是以公有SaaS云服务模式来打造的,所以在技术架构上非常重视数据分析处理、存储和未来的扩展。针对攻击行为,我们除了系统本地有行为规则引擎进行识别和拦截外,还会将这些行为(包括可疑的行为)同步到云端进行分析和处理(基于Storm流处理引擎的快速分析);当发现为高级别的攻击威胁,我们会第一时间短信邮件通知用户进行关注。
我们目前积累了大量的攻击行为数据,目前我们日均处理的攻击数据超过2000万条;这些数据在我们存储上会描述为攻击类型、攻击时间、攻击者IP、攻击特征等信息。通过对这些信息的分析挖掘,我们会得出常见类型攻击的IP黑名单库、攻击的时间分布等重要信息,并会将这些信息从云端分享给所有的终端,提升终端第一时间的防护能力和分析效率。
记者问:你们在海量数据分析方面有什么经验可以分享给大家吗?
陈奋:这个在去年云计算大会之前接受你们采访的那篇文章中我有提到我们目前使用的技术,我们应该算是国内较早使用hadoop+storm+solr来进行数据处理和分析的安全团队。安全数据相比互联网公司的数据规模还算是比较小,我们目前用了大约50台的机器作为处理和存储集群。但是安全数据在分析处理上有自己特点:
实时性上的要求。在众多的攻击行为和常规行为日志中,要第一时间判断系统是否有被入侵的风险并通知用户。我们采用Storm来处理日志数据,并结合分布式缓存来最快速的处理这些数据并输出结果。
准确性的要求。一台对外提供服务运营的服务器平均一天大约会受到1到2万次的攻击,而这些攻击中大部分是属于探测性攻击(攻击者测试系统是否存在可利用的漏洞),只有少部分属于入侵式攻击(攻击者可能掌握了一定的系统权限)。我们需要利用规则模型准确的从这些数据中分析出不同类型的攻击并进行标记,以提升我们的准确性。
多维度的离线分析。我们会定期对这些数据从攻击类型、攻击IP、地理位置、时间等多个维度进行统计分析,并将这些统计结果转换成知识库和规则库以便后续使用(减少后续的实时统计)。
记者问:目前用户的规模如何,用户关注的问题主要集中在哪些方面,你们如何应对?
陈奋:目前我们保护的互联网服务器(包括云服务器)规模已经超过百万台,用户涵盖了电商、游戏、APP应用、互联网金融、政企单位、中小企业以及大量的中小站长用户。不同类型的用户会有不一样的安全关注点,以下几类的问题是大部分用户会遇到的:
受到攻击会不会导致系统被入侵。一般用户都会遇到各种不同类型的攻击,就会担心是否存在被入侵的风险;我们通过攻击类型的划分和评级来告诉用户可能存在的风险以及应对措施。
系统环境和应用环境的安全性问题。一般企业的技术人员或者运维人员对应系统和应用环境的安全性缺乏相应的专业知识,我们通过自动化的系统安全和应用安全风险识别和加固帮助用户解决这类问题。
DDOS攻击和CC攻击问题。对于运营类的网站服务器比较关注DDOS攻击和CC攻击问题,这个直接影响到业务的稳定运行。安全狗作为软件型防火墙可以解决中小流量的攻击,对于大流量攻击我们采用跟其他云产商合作模式,当用户遭受到较大流量攻击时候帮用户把异常流量迁移到第三方云产商清洗中心进行过滤。
记者问:能否对未来的安全形势做下预测?眼下DDos攻击非常猖獗,未来的安全软件会呈现哪些特征?
陈奋:从2014年的互联网服务器安全、网站安全攻防来看,针对服务器和网站攻击、漏洞的利用愈来愈多。很多的漏洞被发现,其中包括埋藏在系统中多年未被发现的漏洞,影响面非常广泛。据此可以预见2015年安全问题依然十分严峻,并且会有一些新的情况出现。
1. 针对操作系统和应用系统的漏洞攻击依然是攻击的主要手段,并且可能会继续发现隐藏多年的漏洞 2014年连续爆发了几个隐藏多年的操作系统和通用性组件的漏洞(如Openssl心血漏洞、shell shock破壳漏洞),这方面的安全问题将会持续受到关注;因此2015年这方面的安全漏洞将可能会继续出现,需要我们及时响应这方面的漏洞情况,并及时升级补丁。
2. 网站类应用系统的安全问题仍然十分严峻 网站类应用系统已经从传统的网站形式扩展到了手机本地APP应用、WEB APP应用等,这些应用从本质上看都还是利用HTTP协议;因此针对网站的攻击手段在这些新的应用形式上仍然适用,在2015年这方面的安全问题仍然十分严峻,需要广大用户做好防范并能在开发阶段杜绝这方面的安全问题。
3. 应用系统的配置风险漏洞将会被大面积利用 从2014年用户服务器安全来看,应用系统的配置风险是众多用户不太重视的问题;另外随着新的应用系统类型不断增加并被应用到生产环境中,2015年这方面的安全漏洞将会被大面积利用;这里面除了传统的数据库应用,WEB容器、开源监控系统(如Zabbix),MongoDb、Redis、Hadoop等新型应用配置风险漏洞也将成为黑客利用的目标。
4. DDOS流量攻击事件会继续增加,攻击峰值将再攀高峰 可以预见2015年的DDOS攻击流量峰值将可能超过500G或者更高的规模,对用户系统的稳定运行带来了巨大的威胁。
5. 针对云服务器的攻击事件将会越来越频繁 随着越来越多的应用系统迁移到云计算环境,针对云服务器的攻击将会更加频繁;另外攻击者也会继续寻找新的攻击方式,以达到控制更多优质云服务器的目的。
记者问:安全狗下一步的打算方便透露吗?
陈奋:我们还是会继续坚持打造好我们这个云+端的安全SaaS平台,同时我们还会继续跟更多的云计算产商合作,解决用户在云环境下的安全运维问题,让用户更好的迁移到云端。
