采访开始前,陈少涵还在写代码。用他自己的话说,他是一个非常 hands on 的人。
陈少涵,天空卫士联合创始人兼CTO,站在CEO刘霖“背后的男人”。
2015年初,这家做数据防泄漏的安全公司横空出世。
2018年初,这家公司发布了第四代安全防御系统——ITP(内部威胁防护)体系。
“我们一路走来非常非常难,是靠一步步血战出来的。”
他连用了两个非常,其中既有天空卫士成立之初全无积累,一行一行重写代码的辛苦;也有去年自己拿着新产品参加投标,结果实测排名竟在五名开外的心酸(共十个公司竞标);当然还有凭着不服输的劲儿带领团队调试bug最终在每次实测保持第一的骄傲。
而到现在说到产品,陈少涵自信满满,“有我呢!”
雷锋网编辑开始好奇这三个字以及它背后的故事。
▲陈少涵
陈少涵毕业于美国西北大学,获得了计算机科学与生化学双硕士学位,毕业后飞赴硅谷。与安全结缘始于他作为创始工程师加入的第一家公司SS8 Networks,在其开发SIP网关时,他发现SIP指定的RTP音频数据传输总会被各种被防火墙挡住。
被这一现象所吸引的陈少涵开始对研究防火墙有了兴趣,并在当时自主设计了一种动态防火墙模型,一旦有数据通过信令层就能告诉防火墙打开哪个端口。
“现在听起来很幼稚,但这的确是我走上安全领域的第一步,这一走就快二十年。”
2001年,陈少涵回到国内,先后在阿姆瑞特、Websense等多家安全公司担任中国区的技术研发负责人。
“在外企的经历中,无论是研发技术还是产品路线都让我受益匪浅,但很多时候由于复杂的汇报环节,不能按照自己的想法去优化产品功能与性能,我开始产生无力感。同时,虽然网络没有国界,但网络安全是有国界的。在外企研发信息安全产品,其实与中国自主安全可控的信息安全发展理念是冲突的。”
这种矛盾感让陈少涵与当时任职Websense大中华区经理的刘霖感觉异常不适,于是两人强强联手,在2015年1月创办天空卫士。
这名安全老将用了两个字概括了当时的心情:踏实。
“我们组建了国内最大的内容安全研发团队,其骨干人员很多都有外企的研发经历,能把最先进的数据安全技术攥在中国人自己的手里让我感觉踏实不少,另外为了提高效率,我们学习硅谷企业采用扁平化管理,以此保证每三个月迭代一个新版本。这样的研发进度在安全行业中是非常罕见的。”
他把这些也称为情怀。
谈到如今安全防护的趋势,陈少涵称个人及企业数据成为主要防护对象。
而纵观安全技术的演进与变迁,以防火墙、URL过滤、杀毒网关为代表的传统防御系统如同中国古代城墙,仅在几个固定位置开设城门(如80端口),外来者只有在符合端口要求之时才被允许进入。
时光飞逝日月如梭,这道城墙开始出现多处裂口,不少贼人也能从原来的城门混进。此时仅以端口作为拦截判定远远不够,协议层安全开始被关注,以流量分析、Web安全等为主的第二代防御系统开始出现。
“接下来的三代防御,也就是我们1月12日之前所做的,即UCS统一内容安全解决方案。采用DLP数据防泄漏和ASWG增强型 Web 安全网关等产品,对网络内容进行智能识别与控制。”陈少涵告诉雷锋网。
基于内容的DLP技术与采用管理手段、权限管理以及加密等措施的传统数据安全对比有一个场景。
假设某犯罪分子要进一道门,传统手段相当于保安,如果保安认识该犯罪分子并觉得他是安全的就会放行,也不会检查其带的东西。DLP技术则相当于机场安检,无论你是谁,进门就要过安检,一旦检查到其携带危险用品就会进行拦截。
“随着云计算、人工智能、大数据等新兴技术的普及,我们发现,第三代防御系统也同样需要借助人工智能等新技术进行升级和完善。”陈少涵说道。
但下一代防御系统究竟是什么样的?这是值得思考的问题。
犯罪的主体是人,安全的核心也应该是人。
“所以要以人为根本去做内部威胁防范,我们称其为内部威胁防(ITP)体系及基于行为分析的ITM(内部威胁管理)解决方案,这也是第四代安全防御系统。”陈少涵说道。
ITP是什么?
其主要利用统计学异常分析、循环神经网络、大数据分析、贝叶斯网络等技术对用户行为特征进行深度建模发现内部有异常行为的用户,将异常用户评分结果与安全策略集成,对异常行为用户进行实时风险控制。(听起来是不是很高深)
简单说就是通过抓取大量用户行为数据并进行分析,然后通过机器学习总结每个用户行为模型,继而汇总成整个企业的行为模式,这样用户在企业的一举一动会与现有模式进行比对发现异常。
举个例子,某员工每天按时上下班打卡的行为模式与预谋今天抢银行的行为模式一定不同。某研发工程师每天都在敲代码,突然有一天开始写简历换工作了,其行为模式也会不同。
陈少涵告诉雷锋网,“ITM 就相当于一个大脑,这个大脑自带打分模式,会密切观察企业员工的网络行为并评估风险值。”
而打分模式还不止一个,属于三合一系统。
ARS(异常行为检测):针对每个用户或者IP得到异常风险分值,也就是以用户个人过去一段时间的行为模型为标杆,如果用户行为发生突变(什么突变可以开一波脑洞),那这个人的风险分值也会upupup。
MRS(威胁行为回溯):以特定DLP时间为基础,针对每个用户或者IP进行回溯得到DLP风险模式相似分值,可以理解为给那些搞事情的人建立行为模型,然后将用户的行为模型与之对比,对比重合度越高此人以后犯事可能性也就越高。
ERS(专家系统):结合专家经验和大数据分析结果,针对每个用户或IP得到同已知风险模式匹配的风险概率值。这个更容易理解了,一票专家把他们认定的风险行为加在系统中,如果哪个用户行为碰到了这条红线,那不好意思,又要给你加分了。
也就是ARS为自我比对,MRS为与他人比对,ERS为与规则标准比对。但这种比对也是动态的,通过机器学习会不断完善模型。可能员工 A 以前从来不浏览经济新闻,突然某天开始浏览了,机器会将这些学会,在下次员工 A 再浏览之时认定这是正常行为的一部分。
这三个系统打分,会汇总成一个完整的一个威胁评估系统,当用户威胁评估系统超过了预设值以后,会引发报警。假设预设值为8,一旦某人风险值超过8其某些操作就会被直接拦截,比如向外传输工作通讯录等。
此处编辑有一个疑惑,第四代是否会取代第三代防御系统?
当然不会,这两者还是相互打通的。当一个人的风险值较高时候会及时通知DLP网关实时阻断其行为,反过来当网关处理了一些安全事件,机器将其总结为安全模式后又可以回溯到ITM做安全判定。
当然,任何产品都不能做到完美,都需要不断完善。
人类经过上百万年进化,最为成功的就是人类免疫系统。而陈少涵现在研究的 ITP 实际就是将人类免疫学原理应用到 ITP 中,使其实现自动防御。
比如专家系统(ERS),相当于人类免疫系统的先天免疫(非特异性免疫),即基因自带,能够对某些已知的病毒产生抗体。
威胁回溯(MRS)类似于获得性免疫(特异性免疫),针对病毒做抗体。是获得免疫经后天感染(病愈或无症状的感染)或人工预防接种(菌苗、疫苗、类毒素、免疫球蛋白等)而使机体获得抵抗感染能力。
异常探测(AMS)则相当于异体免疫,类似于器官移植,不属于自身身体的细胞,会产生排异反应。
“可以看到不少技术都在往仿真学方向走,而网络安全尤其是企业以防为核心的仿真安全将来会走向人体免疫系统,通过仿真学帮我们少走很多弯路。就像人工智能慢慢走向模仿人的神经的神经网络,历经几百万年进化而来的人类一定拥有最强最成熟的模型。”
当然,安全技术的强制进化并非一朝一夕,而陈少涵带领天空卫士技术团队所做的就是加砖添瓦等待突破。