2019西湖论剑 | 安恒信息范渊：新时代网络安全需要“实智明归”...

我们正在面对一个“新时代”。数字化转型，人工智能和物联网，大数据驱动变革，新的事物、新的技术层出不穷。同样，“新”的时代，网络安全也会呈现出“新”的特点。其中一个重要变化在于，安全不再只是合规的要求，而正在转化为产业发展的“内生需求”。

4月20日，在“安全：赋能数字新时代”为主题的2019西湖论剑·网络安全大会上，安恒信息董事长范渊畅谈新时代下的网络安全时认为，新时代的网络安全，需要追求 “实、智、明、归”，安全才能真正实至名归。

图：范渊主题演讲

实用户的“求实”要通过专业的“务实”来实现

范渊眼中的“實”（古体字“实”），是最接近安全内涵的一个字。“一个很长的‘宝盖’，罩住了田下面的‘贝’，就是我们说的核心资产这个‘宝贝’。”

他认为，不同的行业，核心资产这个“宝贝“是不同的。比如对工业企业而言，它的宝贝就是它的生产线，它的工业设备。在工业互联环境下，随着产业数字化催生了产业升级，数据成为效能提升实实在在的核心资产。工业互联网安全架构比较复杂，核心数据都上了云端，带来的是生产端和云端数据的双向安全风险。如何管控这些风险，如何保证核心数据资产的安全？现在用户已经越来越务实了。

我们知道，数据资产和传统IT资产有很大的不同。面向企业侧，面向整个通道、工业网、工控等等，是一个体系化的安全的过程，同时又是不断动态变化的，会产生很多内生安全需求，需要依赖实时精准研判能力、全网实时测绘能力、数据大脑威胁情报能力、全流量无遗漏分析能力及大数据基础能力和AI分析能力等。对于金融、医疗、教育、公安新监管等行业而言，都是这样，要能够提供及时、准确而又简单的解决方案，提升准确量化的能力，来满足这些实实在在的需要。

那么依靠哪些能力呢？范渊说，通过近百次安保实践，我们发现每一百台服务器当中事先植入后门的比例是29%，内网出现已经沦陷主机的概率接近100%。而凭借大数据威胁情报和全流量的能力支撑，就能够精准掌握资产，掌握拓扑和态势变化。“这是在当今时代，我们所说的‘实’，所要做到最重要的一点。当然也包含了漏洞、0day漏洞分析、同源性分析等等。”

面对信息和告警过窄的窘境，通过溯源和分析判断，把安全和风险进行量化，是保证实而不虚的一个重要的基础。比如对于攻击，我们不再只盯着某一个IP攻击，而会追根溯源，分析攻击行为的意图、后果等。范渊指出，有效的整合情报能力，帮助安全运营人员快速、精准地识别受攻击对象和完成攻击者画像是至关重要的，这是“实“最终面向结果的表现。范渊举了一个真实的案例：安恒信息安全团队发现了一黑客组织，正在服务器里有规律地下载文件，后来经过正反向查域名，关联IP和行为分析，结合威胁情报和同源性分析，以及木马和病毒同源性分析，最后准确地判断出这次攻击行为的全过程。可以看出，发现、研判和处置，是一环套一环，如果缺少了某个环节，这个“实“是做不到的。

范渊强调，“实”的另一个含义是关注本质，而不是形式。2018年，范渊在西湖论剑大会上分享了互联网和安全的赋能融合。一年的时间，安恒信息在智能仪表、智能汽车、智能机器人等领域不断开拓，倡导内嵌“物联网安全心”，建立终端安全免疫系统，让终端数据自带安全属性。在5G和大物联时代关于物联网时代下，这个“实”从有形到无形，但最终走向是，“无事不打扰、出事先知晓”。

智智能的安全大脑把安全推向极致

网络安全迈向新时代，意味着现有的产品和技术必须适应新的安全形势进行转变和进化，朝着更加智能化的方向发展。在追求降低误报率和漏报率，求实务实的过程中，有一个关键词是不可或缺的，那就是“智”。

如今所有的设备，都在往智能化发展，当然网络安全设备，网络安全的系统也不例外。通过人工智能赋能，帮助我们解决过去无法觉察、难以解决的安全问题。比如说WAF，从原来单一规则到机器学习，整体防御能力可以提升300倍到500倍。大家知道误报率和漏报率走向极致的时候，依靠传统方法要提升一点点都是非常困难的。另外如EDR、TDP、APT等也都在走向智能化，向着极致目标迈进。当然，单一的设备走向极致还不够。我们会发现，AI在网络安全的应用是和大数据最紧密相关的，通过大数据建模分析，把异常复杂超大维度网空对象降维可操控。算法、模型，最终降维以及去噪音，这些都是机器学习、人工智能面临的很大的机遇。这个机遇所带来的价值远远没有结束，才刚刚开始。

范渊表示，一个智能的安全大脑，应该具备几个特点，不仅仅是数据的简单堆积，也不仅仅是一个态势感知，他应该同时具备自适应能力、学习能力，应该具备威胁情报的赋能能力和不同场景下的思考能力，及一定的管控能力。

范渊介绍说，安恒信息不断实现产品“智能化”、自动化，结合AI、机器学习等前沿技术，自主创新研发了新一代智能WAF、新一代终端检测与响应EDR、新一代APT智能预警平台、完全基于AI模型的安全威胁检测技术、新监管场景的AI智能分析驱动等产品、技术，实现误报、漏报的极“智”

明明察秋毫、见微知著

做到整个闭环寻本末“明”始终

为什么我们要讲“明”呢？范渊指出，知微之谓“明”，安全某种意义上就是明察秋毫，但是同时还要“明”始终，做到整个闭环寻本末“明”始终，实现业务全流程监控的闭环，安全开发运维（DevSecOps）的闭环。除了技术纬度外，还要站在管理视角来看问题，数字化转型下的数据安全是从数据采集、传输、存储、处理、交换、销毁全生命周期安全闭环。我们发现，通过业务流程评估和威胁模型分析，将资产和风险结合起来，形成多维度的风险分析模型，是最终做到“实“很重要的一步，也是真正实现量化的重要的一步。

2018年安恒信息参与了杭州市市场监管局发布的《政务数据共享安全管理规范》相关的顶层设计和数据治理。杭州市数据资源管理局这一项目就是管理视角，从政策、法规，从顶层设计到落地的一个典型案例。

“明”，还有一个很有意思的含义，就是透明、可信。“安全最终对管理者而言，一定要做到透明可信的。去年，我们打造了基于区块链的特权用户审计，通过区块链很好地弥补了特权账户审计、监管难的漏洞。”范渊如是说。

归回归本质，让安全实至名归

关于最后一个字“归”字，范渊用四句话来解释，回归安全本质、回归初心，回归到我们赋能整个数字和应用发展的初心，回归到我们服务实体经济的初心。