十八年创业之旅,安天人不断拼搏、思考、积累、成熟,从7个人三台半电脑到千人规模的集团化安全企业;从应对恶意代码疫情爆发,到深度分析溯源高级持续性威胁;从反病毒引擎的单点坚守到走向动态、综合的整体安全防御解决方案。安天作为网络安全企业走过了从初生的婴儿、稚嫩的少年到一个青年厂商的成长过程。青年厂商恰逢新的时代,新时代有新的机遇与挑战,安天作为青年厂商,要有新的认知、要有新的作为。
自主先进研发再上征程
坚持自主研发,追求能力先进,从安天创业伊始就写入了安天人的灵魂当中。安天第一代创业者,在团队宣言中写下了“我们追求卓尔不群,以平庸和抄袭为耻”。2001年,团队确立以恶意代码批量自动化分析处理的平台支撑反病毒引擎和防护产品的发展思路,2002年,团队在重点攻关课题中解决了骨干网场景下恶意代码全规则线速检测问题。2004年,我们提出了细粒度可嵌入反病毒引擎的概念,在这条思路的延展下,安天在发展的第一个十年终于成为网络安全的上游技术厂商,为兄弟厂商提供检测能力输出。2010年起,通过在移动安全领域的快速聚焦,通过四年时间,打造了移动恶意代码检测能力的全球高地。时至今日,安天交出了一份累计为数十万台网络设备和网络安全设备以及超过十二亿部智能设备提供检测能力的答卷。
但同时我们需要看到,随着信息化的高速发展和安全威胁的快速演进,网络安全核心技术的含义会不断发生变化,先进性要求会不断提升。安全威胁对抗已经从恶意代码查杀等单点对抗演变成高成本的体系性对抗,反病毒引擎本身已经从原来的威胁对抗核心,下沉为必备的标准化能力单元。仅仅沿着恶意代码威胁检测技术的惯性发展,不能达成安天对坚持保持自主先进的自我要求,更无法有效应对国家和用户的需求。在长期与恶意代码的检测对抗中所积累出的能力模块和支撑体系,完全可以服务和延展到更广阔的全面威胁对抗场景中。通过此前在端点、流量、分析、处置和安全管理上形成的基础,安天启动了第三次创业,开始了向综合能力型厂商的转型。
反病毒引擎的研发是为了实现引擎、支撑平台和分析工程师的自我闭环,而在我们走向系统性能力交付厂商的过程中,需要实现产品能力和客户流程的闭环,更要达成面对威胁的响应闭环。在这一个复杂的大场景中,所需的核心技术是一个复杂的能力点群。
为了更好的落实“安全与发展同步推进”的工作要求,深入理解信息化与网络安全的关系,更好地达成防御价值。我们翻译并引入了“滑动标尺”模型,并推动使之成为国内能力型安全厂商的公共模型。在我们推动将其转化为设计实践的过程中,我们对自身的能力积累有了进一步的认识,同时更发现了自身更多的不足。
在推动这些设计规划的实践和参考中,我们加深了网络信息系统是一个复杂系统工程的认识。我们深刻认识到网络安全威胁不可能依靠单点创新来应对,不可能有一招鲜吃遍天的银弹,而是需要扎实做好先期规划、落实大量基础工作。需要基于能力积累的叠加演进、需要整体性、系统性的综合提升。
敌情想定引导实战化产品导向
从2001年对“红色代码II”进行捕获预警,安天在此后的十年间,针对“口令蠕虫”、“震荡波”、“冲击波”、“魔波”等大规模安全事件,安天尝试了漏洞利用预警、主机免疫和专杀、网络监测规则分享、网络管理员提供多种灵活处置手段的响应尝试。安天CERT获得了有关部门“应急之魂”的赞誉。而在2010年后,随着以“震网”为代表的国家和政经集团背景的APT攻击威胁的兴起,安天迅速转型,将主要应急响应人力和资源布防在APT深入分析、响应的第一线。针对“震网”、“毒曲”、“火焰”、“乌克兰停电”等第三方遭遇的事件进行了深度复盘分析(包括沙盘复现),针对境外“白象”、“方程式”、“海莲花”等组织对我方的攻击和所使用的装备,进行了深度分析,并将其中一例攻击锁定到自然人。在此过程中,我们从获取对手的投放载荷进行分析入手,结合综合开放情报,逐渐绘制出对手的能力图谱。对网络安全敌情形成了相对全面的认识,并看到了自身能力与最高级别对手攻击能力间的差距。
在此背景下,安天在2016年6月,提出了有效的敌情想定,是我方进行有效的系统布防规划的前提条件。提出要走出“物理隔离+好人假定+规定推演”带来的自我麻痹,并在第五届网络安全冬训营上,提出了“敌情想定是前提,网络安全实战化”的号召。
实战化的网络安全产品,面向真实的敌情想定,以可靠的系统能力为基础,在安全业务流程中,易于由普通操作维护人员掌握使用,达成有效安全价值。
从ATool内核分析工具到移动威胁情报系统,安天历史上输出了许多不乏具有专业感的工具产品,包括在安天探海威胁检测系统上,提供了用户自定义威胁检测决策树的尝试。这些固然有一定积极意义,但如果将网络安全产品和工具置于少数专家才能使用的位置,就必然使安全产品处于严重的原厂依赖当中,不可能达成更普遍的安全价值。这是安天人在经历了更广泛的用户侧使用考验后所得到的实际经验和教训,是安天未来产品核心的改进方向。
以踏实的能力对接国家安全需求
习近平总书记2016年5月25日视察安天,在听取了安天人的汇报后,对安天人说“你们也是国家队,虽然你们是民营企业”。
作为网络安全国家队,我们将需要以更扎实的能力和更踏实的努力对接国家网络安全的实际需求和工作要求。在国家快速发展、国际形势日趋复杂的背景下,习近平总书记和党中央对网络安全的工作要求在不断提升。
2016年“4·19”讲话要求“全天候全方位感知网络安全态势”,对态势感知提出了增强连续性、抗干扰性和无死角的要求。在此后的2017年“2·17”讲话中,总书记将工作要求提升为“实现全天候全方位感知和有效防护”,要求我们改变无效防护的局面,从感知风险的存在,提升至通过有效防护对抗威胁、控制风险,并强调了感知与防护能力必须做到全方位覆盖。在今年“4·20”讲话中,总书记指出要“关口前移”,对落实网络安全防护的方法提出了重要要求,而“防患于未然”则形成了鲜明的以防护效果为导向的指引要求。
在未来工作中,安天人需要根据总书记的工作要求,在网络安全的规划、交付工作中,有效实现“全天候全方位感知”、“有效防护”和“关口前移”,有效解决网络安全能力的“结合面”和“覆盖面”问题。“结合面”主要是指网络安全防御能力与物理、网络、系统、应用、数据与用户等各个层级的深度结合。“覆盖面”是指要将网络安全防御能力部署到信息化基础设施和信息系统的“每一个角落”。将安全管理与防护措施落实前移至规划与建设等系统生命周期的早期阶段,将态势感知驱动的实时防护机制融入系统运行维护过程,实现常态化的威胁发现与响应处置工作,从而实现“防患于未然”。
在这些方面,安天既有供应链安全赋能的独家优势,同时也面临着政企场景下安全与信息化融合规划的新能力需求挑战。我们积极应对,整装待发。
如果说十八年前,我们带着一个简单的梦想和一些不切实际的自信出发了;那么今天,我们将带着持续的技术积累和自我反思,面对着更加明确的责任使命再上征程!
我们坚信我们的选择,我们从不对自身的方法与思路讳莫如深,我们期待有更多的能力型厂商出现,共同探索支撑达成有效安全防护价值的系统性方法。
我们在路上。
我们坚信,天道酬勤、天道嘉勇!