七年“不痒”:再回首2014年那个秋天的选择

  • A+
所属分类:安全闲碎


忆往昔,千万代码积沙为相,呕心沥血终成器,久有青云志;


看今朝,恰青藤人风华正茂,会当水击三千里,不惧风雨狂。

                                ——青藤CEO  张福


2014年,是一个足可以被载入史册的年份,被称之为中国网络安全元年。


2014年,中央网络安全和信息化领导小组宣告成立,标志着网络安全上升到国家安全战略。


2014年,是多个严重漏洞集中爆发的一年,心脏滴血、贵宾犬、USBbad、破壳等重大漏洞先后曝光。


也是在2014年,青藤云安全在北京正式成立。六个怀揣梦想的年轻人,从五湖四海相聚到了北京五环外的一间小屋,立志做出一款世界级的安全产品,为中国网络安全事业贡献自己的力量。



面对呈碎片化发展的安全行业,青藤创始人为何独独选择了主机安全呢?是天赐良机,运气使然?还是有先见之明,预判了主机安全7年之后,会成为安全赛道中的璀璨明珠吗?


都不是!选择以主机安全作为切入点,只是根据青藤CEO张福在甲方做安全时的一些经验和一份初心而做出的选择。很早之前,张福就发现如果主机上不安装一个Agent,就无法获得各种细粒度数据进行分析。正是因为单纯地这么去想,才觉得主机侧的安全是必不可少。


回首青藤七年来的发展,在别人看来是青藤的运气不错,从一开始就选择了一个不错的产品方向,但实际上,青藤走过的每一步路,都是摸着石头过河,一步一步试出来的。


优秀的产品从来都不是规划出来的


正如上文所说,张福的甲方工作经验帮助青藤确定了一个大概的产品方向。从用户的真实需求出发,这一行为准则从一开始就成为了青藤产品开发的灵魂


那么企业在应对黑客入侵时候到底需要什么功能呢?通常情况下,企业为了尽早发现威胁会尽可能去获取数据,包括主机侧的数据、边界侧的流量数据等,然后进行数据分析。最早期,青藤产品,基本也延续了这一思路。正如历史上的巧合,青藤最早期的产品战略也是三驾马车,包含了3个部分:


  • 主机Agent探针:采集主机侧的数据,用来丰富旁路网络侧流量的内容。

  • 旁路流量探针:采集、分析旁路镜像流量。

  • Web扫描器类:将主机侧流量和旁路流量导入web扫描器进行扫描检测。


Agent其核心定位是“主机探针”。而旁路流量类产品,则是“流量探针”,而web扫描器会联动两个探针采集到的数据来做有效的检测分析。青藤这个整体解决方案和传统方案有所不同,通过Agent收集的主机端数据,能够丰富流量侧数据,提供了更加精准的数据,避免了扫描器产品处于盲扫。


从“三驾马车”进化到“一马当先”


虽然,完美的三驾马车的产品构想听起来不错,但在真实的落地实践过程中却也遇到了一些问题。以Web旁路流量采集这个产品为例,通过硬件或者软件两种方式获取流量。首先,可以采用分光器来实现,但是这个过程需要客户在硬件上支持分光镜,而且分光镜的模式对于加密流量是并没有办法解决。其次是,采用一种基于Nginx的流量采集分析方法,但整个过程需要暂停当前业务,对于客户是一个非常大障碍。


关于Web扫描器这个产品,跟青藤早期产品业务部署SaaS模式是有关系。通过青藤主机安全产品的SaaS模式部署,就可以确保服务平台可以直接和Web扫描器之间进行通信了。但是随着业务的发展,我们发现国内客户大部分都会选择独立部署模式。因此,原来的Web扫描器和基于Agent主机流量联动就开始变得不现实了。


经过1年多的折腾,在产品战略上,开始由“三驾马车”转变成“一马当先”。青藤将所有资源都聚焦到主机安全上,开始雕琢主机安全产品每一个功能。


毕其功于一役,聚焦再聚焦


本以为主机安全的方向定下来之后,快速迭代会变得简单。但是事实证明,其难度仍然超出了几个创始人想象。


在国内,青藤算是开创了基于Agent的主机安全品类,根本没有同行可以参考交流,所有产品功能落地都是摸着石头过河。2014年,青藤主机安全提供的产品功能也是非常简单,只有类似安全配置管理、托管防火墙管理、暴力破解、异常登录、服务器账号审计等一些简单功能。


但每一个功能背后,都是一部心酸血泪史。例如,2014年时,我们在研发补丁管理的功能。虽然那时,青藤还是一个创业型公司,但每一个功能发布前,我们都会与全球最好产品进行对比。因此,当完成补丁管理功能之后,我们充满期待地与全球最好的扫描器Nessus进行比对,结果上的差距还是让每个人倒吸一口凉气,深感未来要走的路仍然很长。


连夜复盘整理,发现了问题的本质。那就是我们是基于CVE进行版本比对,但是CVE版本号和linux发行版本中的小版本号不一致。CVE和操作系统厂商关注的视角并不一样,CVE漏洞公告是从漏洞视角看的,并不会关注到每一个小版本,而操作系统厂商是从软件补丁修复视角看的。例如Linux在发行的每个版本号后面都有一个后缀,有可能是一个版本去修复几个CVE漏洞,也可能是1个漏洞分几个版本修复,而我们是通过补丁版本号去关联漏洞继而判断是会否真实存在。


别无选择,我们只能推倒重来,重新设计产品逻辑。今天,青藤的漏洞扫描功能已经达到了世界领先水平,可以帮助客户高效应对各种新出现的高危漏洞。例如,在面对新高危漏洞时,通过青藤漏洞扫描进行快速响应,绝大部分漏洞都可通过资产识别直接定位,对于无法识别的漏洞可以通过编写检测脚本将其配置到检测系统中。例如,攻方团队利用了Weblogic反序列化漏洞、JBOSS远程代码执行漏洞、Apache Axis远程命令执行漏洞等多个0Day漏洞进行攻击。


当一个漏洞被精准定位后,青藤漏洞扫描产品能够关联分析这个漏洞相关的补丁。例如,通过CVE编号确认所有资产中有13台机器上存在Shellshock漏洞。青藤产品不仅提供详细补丁情况,还能够检测补丁修复后是否会影响其它业务。



历尽千辛万苦,主机安全方出世


聚沙成塔,早期产品并没有清晰的框架,更多的是一个个产品功能。青藤主机安全产品是一个平台产品,当功能越来越多之后,我们开始尝试去梳理出一个完整产品体系。当时,一个偶然机会看到了Gartner自适应安全架构体系,这个架构体系思想和青藤的产品理念不谋而合。例如把一个入侵事件拆分成攻击前、攻击中、攻击后。那么在攻击前肯定需要了解风险,所以我们把一些配置检查,把这些东西慢慢把它规范成一个风险发现。


而“风险发现”是针对具体资产而言的。最开始,也没有想到一个很好的功能名称,只是觉得资产非常重要。因为,一个优秀的安全人员,仅仅通过资产查阅就能判断出来是否存在入侵,比如通过进程、端口、账号root权限等。在这样的认知下,以及青藤Agent所占据的天然优势位置,青藤首次提出了“资产清点”概念,也就有了如今可以看到的产品功能模块。


同理,“入侵检测”功能模块也是这样做出来的。当时有几项入侵检测的能力,组合在一形成了“入侵检测”模块,后来,自然而言就沿着这个体系不断进行了扩展。很多时候,客户也给了我们很好的思路。比如,在跟客户讲入侵检测模块功能,客户往往会提出哪些入侵姿势是需要我们去检查的,这就形成了一个很好的正向反馈机制。


所以,青藤产品的出现,最开始往往都是具体功能的不断演进,然后不断增加更多功能,淘汰一些功能。慢慢分化,形成了几大类功能,现在可以看到的五大核心功能模块,就是这样形成的。


总结


不到7年时间,300万行自研代码,300个版本,600万+Agent,青藤用数字证明了主机安全的重要性,开辟了主机安全的新时代。前路漫漫,青藤会用今天的执着,撑起辉煌的未来,让企业让安全之光照亮互联网的每个角落。



更多活动



明天下午15:00-16:30

青藤联合Frost&Sullivan、腾讯安全将举办

【主机严把关 安全零距离】暨主机安全市场分析与技术探讨直播。

干货满满,壕礼不停,速来报名!







-完-

本文始发于微信公众号(青藤云安全资讯):七年“不痒”:再回首2014年那个秋天的选择

发表评论