七年“不痒”：再回首2014年那个秋天的选择

2014年，是一个足可以被载入史册的年份，被称之为中国网络安全元年。

2014年，中央网络安全和信息化领导小组宣告成立，标志着网络安全上升到国家安全战略。

2014年，是多个严重漏洞集中爆发的一年，心脏滴血、贵宾犬、USBbad、破壳等重大漏洞先后曝光。

也是在2014年，青藤云安全在北京正式成立。六个怀揣梦想的年轻人，从五湖四海相聚到了北京五环外的一间小屋，立志做出一款世界级的安全产品，为中国网络安全事业贡献自己的力量。

面对呈碎片化发展的安全行业，青藤创始人为何独独选择了主机安全呢？是天赐良机，运气使然？还是有先见之明，预判了主机安全7年之后，会成为安全赛道中的璀璨明珠吗？

都不是！选择以主机安全作为切入点，只是根据青藤CEO张福在甲方做安全时的一些经验和一份初心而做出的选择。很早之前，张福就发现如果主机上不安装一个Agent，就无法获得各种细粒度数据进行分析。正是因为单纯地这么去想，才觉得主机侧的安全是必不可少。

回首青藤七年来的发展，在别人看来是青藤的运气不错，从一开始就选择了一个不错的产品方向，但实际上，青藤走过的每一步路，都是摸着石头过河，一步一步试出来的。

优秀的产品从来都不是规划出来的

正如上文所说，张福的甲方工作经验帮助青藤确定了一个大概的产品方向。从用户的真实需求出发，这一行为准则从一开始就成为了青藤产品开发的灵魂。

那么企业在应对黑客入侵时候到底需要什么功能呢？通常情况下，企业为了尽早发现威胁会尽可能去获取数据，包括主机侧的数据、边界侧的流量数据等，然后进行数据分析。最早期，青藤产品，基本也延续了这一思路。正如历史上的巧合，青藤最早期的产品战略也是三驾马车，包含了3个部分：

• 主机Agent探针：采集主机侧的数据，用来丰富旁路网络侧流量的内容。

• 旁路流量探针：采集、分析旁路镜像流量。

• Web扫描器类：将主机侧流量和旁路流量导入web扫描器进行扫描检测。

Agent其核心定位是“主机探针”。而旁路流量类产品，则是“流量探针”，而web扫描器会联动两个探针采集到的数据来做有效的检测分析。青藤这个整体解决方案和传统方案有所不同，通过Agent收集的主机端数据，能够丰富流量侧数据，提供了更加精准的数据，避免了扫描器产品处于盲扫。

从“三驾马车”进化到“一马当先”

虽然，完美的三驾马车的产品构想听起来不错，但在真实的落地实践过程中却也遇到了一些问题。以Web旁路流量采集这个产品为例，通过硬件或者软件两种方式获取流量。首先，可以采用分光器来实现，但是这个过程需要客户在硬件上支持分光镜，而且分光镜的模式对于加密流量是并没有办法解决。其次是，采用一种基于Nginx的流量采集分析方法，但整个过程需要暂停当前业务，对于客户是一个非常大障碍。

关于Web扫描器这个产品，跟青藤早期产品业务部署SaaS模式是有关系。通过青藤主机安全产品的SaaS模式部署，就可以确保服务平台可以直接和Web扫描器之间进行通信了。但是随着业务的发展，我们发现国内客户大部分都会选择独立部署模式。因此，原来的Web扫描器和基于Agent主机流量联动就开始变得不现实了。

经过1年多的折腾，在产品战略上，开始由“三驾马车”转变成“一马当先”。青藤将所有资源都聚焦到主机安全上，开始雕琢主机安全产品每一个功能。

毕其功于一役，聚焦再聚焦

本以为主机安全的方向定下来之后，快速迭代会变得简单。但是事实证明，其难度仍然超出了几个创始人想象。

在国内，青藤算是开创了基于Agent的主机安全品类，根本没有同行可以参考交流，所有产品功能落地都是摸着石头过河。2014年，青藤主机安全提供的产品功能也是非常简单，只有类似安全配置管理、托管防火墙管理、暴力破解、异常登录、服务器账号审计等一些简单功能。

但每一个功能背后，都是一部心酸血泪史。例如，2014年时，我们在研发补丁管理的功能。虽然那时，青藤还是一个创业型公司，但每一个功能发布前，我们都会与全球最好产品进行对比。因此，当完成补丁管理功能之后，我们充满期待地与全球最好的扫描器Nessus进行比对，结果上的差距还是让每个人倒吸一口凉气，深感未来要走的路仍然很长。

连夜复盘整理，发现了问题的本质。那就是我们是基于CVE进行版本比对，但是CVE版本号和linux发行版本中的小版本号不一致。CVE和操作系统厂商关注的视角并不一样，CVE漏洞公告是从漏洞视角看的，并不会关注到每一个小版本，而操作系统厂商是从软件补丁修复视角看的。例如Linux在发行的每个版本号后面都有一个后缀，有可能是一个版本去修复几个CVE漏洞，也可能是1个漏洞分几个版本修复，而我们是通过补丁版本号去关联漏洞继而判断是会否真实存在。

别无选择，我们只能推倒重来，重新设计产品逻辑。今天，青藤的漏洞扫描功能已经达到了世界领先水平，可以帮助客户高效应对各种新出现的高危漏洞。例如，在面对新高危漏洞时，通过青藤漏洞扫描进行快速响应，绝大部分漏洞都可通过资产识别直接定位，对于无法识别的漏洞可以通过编写检测脚本将其配置到检测系统中。例如，攻方团队利用了Weblogic反序列化漏洞、JBOSS远程代码执行漏洞、Apache Axis远程命令执行漏洞等多个0Day漏洞进行攻击。

当一个漏洞被精准定位后，青藤漏洞扫描产品能够关联分析这个漏洞相关的补丁。例如，通过CVE编号确认所有资产中有13台机器上存在Shellshock漏洞。青藤产品不仅提供详细补丁情况，还能够检测补丁修复后是否会影响其它业务。

历尽千辛万苦，主机安全方出世

聚沙成塔，早期产品并没有清晰的框架，更多的是一个个产品功能。青藤主机安全产品是一个平台产品，当功能越来越多之后，我们开始尝试去梳理出一个完整产品体系。当时，一个偶然机会看到了Gartner自适应安全架构体系，这个架构体系思想和青藤的产品理念不谋而合。例如把一个入侵事件拆分成攻击前、攻击中、攻击后。那么在攻击前肯定需要了解风险，所以我们把一些配置检查，把这些东西慢慢把它规范成一个风险发现。

而“风险发现”是针对具体资产而言的。最开始，也没有想到一个很好的功能名称，只是觉得资产非常重要。因为，一个优秀的安全人员，仅仅通过资产查阅就能判断出来是否存在入侵，比如通过进程、端口、账号root权限等。在这样的认知下，以及青藤Agent所占据的天然优势位置，青藤首次提出了“资产清点”概念，也就有了如今可以看到的产品功能模块。

同理，“入侵检测”功能模块也是这样做出来的。当时有几项入侵检测的能力，组合在一形成了“入侵检测”模块，后来，自然而言就沿着这个体系不断进行了扩展。很多时候，客户也给了我们很好的思路。比如，在跟客户讲入侵检测模块功能，客户往往会提出哪些入侵姿势是需要我们去检查的，这就形成了一个很好的正向反馈机制。

所以，青藤产品的出现，最开始往往都是具体功能的不断演进，然后不断增加更多功能，淘汰一些功能。慢慢分化，形成了几大类功能，现在可以看到的五大核心功能模块，就是这样形成的。

总结

不到7年时间，300万行自研代码，300个版本，600万+Agent，青藤用数字证明了主机安全的重要性，开辟了主机安全的新时代。前路漫漫，青藤会用今天的执着，撑起辉煌的未来，让企业让安全之光照亮互联网的每个角落。

更多活动

明天下午15：00-16：30

青藤联合Frost&Sullivan、腾讯安全将举办

【主机严把关 安全零距离】暨主机安全市场分析与技术探讨直播。

干货满满，壕礼不停，速来报名！