文|陸玖財(cái)經(jīng)

在金庸先生的《天龍八部》里，喬峰和掃地僧都有驚人的實(shí)力，卻代表完全兩種不同的風(fēng)格：一個(gè)積極主動(dòng)大開大闔，一個(gè)重劍無鋒隨順而轉(zhuǎn)。

這正如頗有江湖氣的網(wǎng)安行業(yè)，有些企業(yè)采用的是主動(dòng)進(jìn)攻的安全理念，而有些企業(yè)則采取被動(dòng)防御的模式。

但無論是哪種風(fēng)格，把視野放在全球頂尖的安全技術(shù)，多去研究國(guó)際一流水準(zhǔn)的安全方案，踏踏實(shí)實(shí)投入研發(fā)和技術(shù)的公司，靠“硬實(shí)力”和結(jié)果說話，或許都能撐起國(guó)內(nèi)網(wǎng)安企業(yè)的未來。

而在用戶層面，無論是位于什么地區(qū)、多大規(guī)模的企業(yè)，只要存在勒索價(jià)值，很可能下一秒就是黑客的目標(biāo)和對(duì)象。而且，勒索事件并不會(huì)只發(fā)生一次就會(huì)結(jié)束，很有可能會(huì)頻繁被勒索。

國(guó)內(nèi)當(dāng)前的網(wǎng)絡(luò)安全形勢(shì)尤其嚴(yán)峻。我們需要尊重事實(shí)，多做功課，做好頂層設(shè)計(jì)，找到適合自己的安全防護(hù)方案。

網(wǎng)安江湖的兩大流派

喬峰從學(xué)于少林，實(shí)戰(zhàn)于丐幫，招式剛猛，進(jìn)攻主動(dòng)，擁有豐富的實(shí)戰(zhàn)和機(jī)變經(jīng)驗(yàn)。而掃地僧以慈悲為體，武學(xué)為用，精修內(nèi)力，隨順而轉(zhuǎn)，又是另一番境界。

在很多從業(yè)人士眼里，中國(guó)網(wǎng)安行業(yè)也是一個(gè)“江湖氣很重”的行業(yè)。這種“江湖氣”，不僅體現(xiàn)在做事多以情懷為先，也很講究靠技術(shù)吃飯，靠實(shí)力制勝。從風(fēng)格上來說，也大可分為“喬峰派”和“掃地僧派”兩大流派。

“喬峰派”的網(wǎng)安企業(yè)，通常采取的是比較主動(dòng)的安全防護(hù)模式，主動(dòng)檢測(cè)，主動(dòng)封鎖。其中最為典型的當(dāng)屬曾風(fēng)靡一時(shí)的各種殺毒軟件，通過不斷地掃描和查殺符合數(shù)據(jù)庫(kù)特征的病毒，來提供有效的終端防護(hù)。此類企業(yè)，當(dāng)以“紅衣教主”周鴻祎麾下的三六零最為典型。

近些年，隨著殺毒軟件市場(chǎng)式微，喬峰派的網(wǎng)安企業(yè)，更多的是以零信任模式的安全防護(hù)為主要手法。

零信任模式的安全防護(hù)，把任何無論是來自于外網(wǎng)還是內(nèi)網(wǎng)的訪問，都預(yù)設(shè)為“不可信任”，并提供嚴(yán)格的身份驗(yàn)證、設(shè)備驗(yàn)證、網(wǎng)絡(luò)隔離和訪問控制，對(duì)不同層次的管理權(quán)限和數(shù)據(jù)提供分級(jí)別保護(hù)。

而另一流派“掃地僧派”的網(wǎng)安企業(yè)，起步通常采取的是被動(dòng)防御的安全防護(hù)模式，不主張第一階段就能攔截到攻擊，而是采集、學(xué)習(xí)和發(fā)現(xiàn)黑客攻擊模式，默默觀察，后發(fā)制人，達(dá)到最終的防護(hù)目標(biāo)。

其中最熱的便是EDR模式。率先提出這一安全防護(hù)模式的是著名的信息咨詢機(jī)構(gòu)Gartner，新型網(wǎng)絡(luò)安全公司Crowdstrike是這個(gè)模式踐行的佼佼者。據(jù)網(wǎng)思科平CEO仇新梁分析，Crowdstrike所創(chuàng)造的新價(jià)值，在于其為端點(diǎn)安全提供了一種新的思路：從預(yù)防性的殺毒模式，改為EDR（記錄查詢）模式。

“近幾年網(wǎng)絡(luò)攻擊的形式變化得很快，黑客以進(jìn)入電腦和控制電腦為目標(biāo)，但不一定以病毒的形式運(yùn)行。EDR模式的本質(zhì)是學(xué)習(xí)黑客攻擊模式，通過記錄過程和模式匹配攻擊行為，及時(shí)發(fā)現(xiàn)系統(tǒng)防護(hù)薄弱的地方并進(jìn)行修補(bǔ)和阻止，從而極大減少攻擊行為所持續(xù)的時(shí)間。類似于網(wǎng)絡(luò)界的‘天網(wǎng)’?！?/p>

通過監(jiān)控和記錄黑客的行為，達(dá)到對(duì)內(nèi)查缺補(bǔ)漏，對(duì)外設(shè)立陷阱、定位和制止攻擊的目的，這種安全思路或許更契合當(dāng)前實(shí)際的安全需求。

“掃地僧派”更受資本歡迎

對(duì)應(yīng)到國(guó)內(nèi)的投資市場(chǎng)上，“喬峰派”和“掃地僧派”所受到的待遇不太一樣。

國(guó)內(nèi)的上市公司中，深信服、奇安信、綠盟科技等都推出了零信任模式的相關(guān)產(chǎn)品和方案。不過，由于國(guó)內(nèi)私有云比例較高，部署環(huán)境復(fù)雜，用戶接受度還不高，目前，能夠?qū)⒘阈湃芜@一模式具體落地的，還是以密碼技術(shù)等較小的切入點(diǎn)為核心的企業(yè)，而這些企業(yè)在二級(jí)市場(chǎng)的表現(xiàn)也相對(duì)較好。其中，衛(wèi)士通2021年股價(jià)的最高點(diǎn)比最低點(diǎn)漲幅高達(dá)4倍以上，信安世紀(jì)2021年股價(jià)最高點(diǎn)比最低點(diǎn)漲幅近2倍。

而“掃地僧派”所對(duì)應(yīng)的EDR市場(chǎng)，表現(xiàn)更為火爆。

首創(chuàng)者Crowdstrike創(chuàng)立十年，上市三年，市值一路漲了將近10倍。近期，CrowdStrike發(fā)布2022財(cái)年Q3財(cái)報(bào)，營(yíng)收為3.80億美元，同比增長(zhǎng)63%，超出市場(chǎng)預(yù)期。這些都側(cè)面證明了EDR模式在安全防護(hù)市場(chǎng)的影響力。

網(wǎng)思科平是國(guó)內(nèi)眾多初創(chuàng)型企業(yè)當(dāng)中，從創(chuàng)立之初便選擇對(duì)標(biāo)Crowdstrike，采取EDR安全防護(hù)模式的公司之一。目前，該公司已獲得上億元的融資。據(jù)仇新梁介紹：“我們?cè)趯ふ椅粗舴矫娴膶?shí)力，已經(jīng)可以和Crowdstrike比肩?！?/p>

除了網(wǎng)思科平這樣的初創(chuàng)企業(yè)之外，國(guó)內(nèi)的很多上市公司，諸如奇安信、天融信、深信服、綠盟科技等，也都關(guān)注到了端點(diǎn)安全的發(fā)展趨勢(shì)，相繼宣稱自己擁有EDR技術(shù)。

以奇安信的天擎EDR為例，其在賽可達(dá)威脅檢測(cè)能力測(cè)試中，綜合能力處于領(lǐng)先地位，并在《IDC MarketScape: 中國(guó)終端安全檢測(cè)與響應(yīng)市場(chǎng) 2020，廠商評(píng)估》報(bào)告中位列“市場(chǎng)份額”和“產(chǎn)品戰(zhàn)略”雙第一。

市場(chǎng)需求成倍增長(zhǎng)

在新冠疫情的倒逼下，我國(guó)的數(shù)字化進(jìn)程在加速。目前，國(guó)內(nèi)擁有數(shù)目龐大的終端數(shù)量，多維度的信息內(nèi)容，還有包括個(gè)人、企業(yè)、政府等多種角色。這不僅造成更多的安全漏洞，且一旦有安全問題發(fā)生，影響面更廣，危害程度更嚴(yán)重。

“在全球黑客的眼里，中國(guó)是一塊特別巨大的市場(chǎng)?！币晃话踩珜＜也粺o憂慮地說道。

而黑客們攻擊常用的手法，一個(gè)是勒索，一個(gè)是竊密。背后的原因不言而喻：二者最可能給攻擊方帶來可觀的經(jīng)濟(jì)價(jià)值。

業(yè)內(nèi)人士指出，近兩年，由于新冠疫情造成全球經(jīng)濟(jì)形勢(shì)惡化，勒索攻擊也隨之愈演愈烈。例如，有一種“雙重勒索”，不僅會(huì)竊取和加密受害者的數(shù)據(jù)，如受害者拒絕被勒索，則會(huì)進(jìn)一步威脅將被盜數(shù)據(jù)公開。這種升級(jí)的“勒索”模式給受害者帶來更大的壓力，從而達(dá)到勒索方的最終目的。

有網(wǎng)安公司透露：“我們目前防護(hù)的對(duì)象，除了大型企業(yè)以外，小型客戶被勒索的情況也特別嚴(yán)重，有些企業(yè)剛剛上了等保（信息安全等級(jí)保護(hù)，是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作），便成為勒索的對(duì)象?！逼姘残偶瘓F(tuán)董事長(zhǎng)齊向東也曾表示，“勒索已成為黑客最好的變現(xiàn)途徑”。

此外，互聯(lián)網(wǎng)常用的“免費(fèi)”商業(yè)模式，在一定程度上也助長(zhǎng)了流氓軟件的盛行。出于營(yíng)收需要，一些互聯(lián)網(wǎng)廠商會(huì)預(yù)留后門，竊取用戶的流量，這些后門都會(huì)成為黑客攻擊的入口，給用戶帶來極大的安全隱患。

嚴(yán)峻的安全問題倒逼出迫切的市場(chǎng)需求，也吸引了越來越多的企業(yè)進(jìn)入這個(gè)市場(chǎng)。

iiMedia Research(艾媒咨詢)數(shù)據(jù)顯示，中國(guó)網(wǎng)絡(luò)安全服務(wù)相關(guān)企業(yè)數(shù)量持續(xù)增長(zhǎng)，2020年增速尤為明顯，新增企業(yè)數(shù)量超17萬家，同比增長(zhǎng)135.0%。2021年1-10月，新增企業(yè)數(shù)量超27萬家。截至2021年10月29日，中國(guó)共有網(wǎng)絡(luò)安全服務(wù)在營(yíng)企業(yè)超70萬家。

聯(lián)手或是最佳選擇

但是，數(shù)量并不一定代表質(zhì)量。與海外相比，國(guó)內(nèi)網(wǎng)安企業(yè)無論是在技術(shù)還是在理念上，仍具有一定的差距。

據(jù)國(guó)際電信聯(lián)盟所發(fā)布的2020年全球網(wǎng)絡(luò)安全指數(shù)（GCI）排名，通過對(duì)全球194個(gè)國(guó)家的法律、技術(shù)、組織、能力發(fā)展和合作這5個(gè)項(xiàng)目進(jìn)行評(píng)估，美國(guó)、英國(guó)和沙特阿拉伯排在全球前三位。中國(guó)全球排名第33位，在亞太地區(qū)排名第8位，尚有很大的成長(zhǎng)空間。

有從業(yè)人員認(rèn)為，目前國(guó)內(nèi)大部分網(wǎng)安企業(yè)還是靠商務(wù)手段開拓市場(chǎng)，這也是營(yíng)銷費(fèi)用居高不下的原因。“在產(chǎn)品和技術(shù)方案上，大部分公司還是在吃老本。技術(shù)創(chuàng)新的事情，主要是大廠的實(shí)驗(yàn)室，還有一些創(chuàng)業(yè)公司在做?！?/p>

包括EDR模式本身，由于技術(shù)水平的差異，目前市場(chǎng)上還存在著真假EDR之分。有些廠商純粹出于競(jìng)爭(zhēng)需要，例如為了避開殺毒軟件的標(biāo)簽，把原有的防病毒模塊包裝成EDR模式?！暗?，從應(yīng)用的結(jié)果來看，并不屬于真正的EDR?！?/p>

由此可見，無論是“喬峰派”還是“掃地僧派”，國(guó)內(nèi)的網(wǎng)安企業(yè)都需要切實(shí)打造和展現(xiàn)出自己的硬實(shí)力。

像奇安信這樣同時(shí)關(guān)注零信任模式和EDR模式的公司，目前在資本市場(chǎng)也頗為引人注目，更為“喬峰派”和“掃地僧派”的聯(lián)手提供了新的思路。

正如一位業(yè)內(nèi)人士所說的：一些被公眾寄予厚望的公司，假如能夠把視野放在全球頂尖的安全技術(shù)，多去研究國(guó)際一流水準(zhǔn)的安全方案，而不是光想著在國(guó)內(nèi)跑馬圈地，或許更能撐起國(guó)內(nèi)網(wǎng)安企業(yè)的未來。

小貼士：專家給出的安全防護(hù)建議

“對(duì)于企業(yè)用戶來說，決策者有必要主動(dòng)去了解全球頭部同行所選擇的安全解決方案，對(duì)比一下該方案在國(guó)際上有沒有標(biāo)準(zhǔn)的解釋，假如能夠?qū)φ者@些標(biāo)準(zhǔn)去制定自己的安全策略，則有望獲得事半功倍的效果?！?/p>

“對(duì)于普通個(gè)人用戶來說，則建議養(yǎng)成良好的終端使用習(xí)慣，注重保護(hù)個(gè)人隱私，也要多關(guān)注法律方面的政策。一旦發(fā)現(xiàn)個(gè)人數(shù)據(jù)和隱私被泄露，要堅(jiān)決拿起法律武器捍衛(wèi)自己，對(duì)數(shù)據(jù)泄密的始作俑者、包括經(jīng)營(yíng)方也要施加壓力，從而督促整個(gè)安全環(huán)境的改善?！?/p>

“而對(duì)于監(jiān)管層來說，也要客觀地看待安全問題，個(gè)人和機(jī)構(gòu)很難對(duì)抗犯罪集團(tuán)和國(guó)家組織的攻擊行為，要合理界定各層面的責(zé)任。有一些安全防護(hù)觀念也需要更新，比如數(shù)據(jù)資產(chǎn)的安全問題，在當(dāng)前的大數(shù)據(jù)環(huán)境下，一些隱私文件的泄露，比密級(jí)文件的泄露帶來的危害還要大?！?/p>

安全沒有小事，不要存在任何僥幸心理。無論是什么地區(qū)、多大規(guī)模的企業(yè)，只要存在勒索價(jià)值，很可能下一秒就是黑客的目標(biāo)和對(duì)象。而且，勒索事件并不會(huì)只發(fā)生一次就會(huì)結(jié)束，很有可能會(huì)頻繁被勒索。