七年不痒:青藤云安全再回首2014年创业之初的那个选择
2021-07-29 15:38 创业

忆往昔,千万代码积沙为相,呕心沥血终成器,久有腾云志;

看今朝,恰青藤人风华正茂,会当水击三千里,不惧风雨狂。

——青藤CEO 张福

2014年,是一个足可以被载入史册的年份,被称之为中国网络安全元年。

2014年,中央网络安全和信息化领导小组宣告成立,标志着网络安全上升到国家安全战略。

2014年,是多个严重漏洞集中爆发的一年,心脏滴血、贵宾犬、破壳等重大漏洞先后曝光。

也是在2014年,青藤云安全在北京正式成立。六个怀揣梦想的年轻人,从五湖四海相聚到了北京五环外的一间小屋,立志做出一款世界级的安全产品,为中国网络安全事业贡献自己的力量。

青藤合伙人

面对呈碎片化发展的安全行业,青藤创始人为何独独选择了主机安全呢?是天赐良机,运气使然?还是有先见之明,预判了主机安全7年之后,会成为安全赛道中的璀璨明珠吗?

都不是!选择以主机安全作为切入点,只是根据青藤CEO张福在甲方做安全时的一些经验和一份初心而做出的选择。很早之前,张福就发现如果主机上不安装一个Agent,就无法获得各种细粒度数据进行分析。正是因为单纯地这么去想,才觉得主机侧的安全是必不可少。

回首青藤七年来的发展,在别人看来是青藤的运气不错,从一开始就选择了一个不错的产品方向,但实际上,青藤走过的每一步路,都是摸着石头过河,一步一步试出来的。

2014:优秀的产品是实践出来的

正如上文所说,张福的甲方工作经验帮助青藤确定了一个大概的产品方向。从用户的真实需求出发,这一行为准则从一开始就成为了青藤产品开发的灵魂。

那么企业在应对黑客入侵时候到底需要什么功能呢?通常情况下,企业为了尽早发现威胁会尽可能去获取数据,包括主机侧的数据、边界侧的流量数据等,然后进行数据分析。最早期,青藤产品基本也延续了这一思路。正如历史上的巧合,青藤2014年最早期的产品战略也是三驾马车,包含了3个部分:旁路流量类产品、主机Agent类产品、Web扫描器类。

Agent的定位是“主机探针”,旁路是“流量探针”,而web扫描器会联动两个探针采集到的数据来做有效的安全检测。青藤当时这个整体解决方案和传统方案有所不同,通过Agent收集的主机端数据,能够丰富流量侧数据,提供了更加精准的数据,避免了扫描器产品处于盲扫状态。

2015:从“三驾马车”进化到“一马当先”

虽然,完美的三驾马车的产品构想听起来不错,但在真实的落地实践过程中却也遇到了一些问题。以Web旁路流量采集这个产品为例,通过硬件或者软件两种方式获取流量。首先,可以采用分光器来实现,但是这个过程需要客户在硬件上支持分光器,而且分光器的模式对于加密流量是并没有办法解决。其次是,采用一种基于Nginx的流量采集分析方法,但是在客户部署使用的时候,需要替换nginx这个关键业务组件,也会造成业务的中断,这个对客户来说是一个障碍。

Web扫描器这个产品,与青藤早期的产品业务部署SaaS模式是有关系。通过青藤主机安全产品的SaaS模式部署,就可以确保服务平台可以直接和Web扫描器之间进行通信了。但是随着业务的发展,我们发现国内客户大部分都会选择独立部署模式。因此,原来的Web扫描器和基于Agent主机流量联动就开始变得不现实了。

经过半年多的整改,在产品战略上,开始由“三驾马车”转变成“一马当先”。青藤将所有资源都聚焦到主机安全上,开始雕琢主机安全产品的每一个功能。

2016:聚焦再聚焦,每个功能都做到极致

本以为主机安全的方向定下来之后,快速迭代会变得简单。但是事实证明,其难度仍然超出了几个创始人的想象。

在国内,青藤开创了基于Agent的主机安全品类,根本没有同行可以参考交流,所有产品功能落地都是摸着石头过河。早期,青藤主机安全提供的产品功能只有那些非常核心、不可缺少基础功能,包括安全配置管理、托管防火墙管理、暴力破解、异常登录、服务器账号审计等功能。

但每一个功能背后,都是一部心酸血泪史。例如,最早期的时候,青藤在研发补丁管理功能。虽然那时,青藤还是一个创业型公司,但每一个功能发布前,都会与全球最好的产品进行对比。因此,当完成补丁管理功能之后,我们充满期待地与全球最好的扫描器Nessus进行比对,当时的差距还是让每个人倒吸一口凉气,深感未来要走的路仍然很长。

连夜复盘整理,我们发现了问题的根源:我们是基于CVE进行版本比对,但是CVE版本号和客户机器上软件包的版本号完全不一致。CVE和厂商关注的视角并不一样,CVE漏洞公告是从漏洞视角看的,并不会关注到每一个小版本,而软件厂商是从软件补丁修复视角看的。例如Linux在发行的每个版本号后面都有一个后缀,有可能是一个版本去修复几个CVE漏洞,也可能是一个漏洞分几个版本修复,而我们是通过补丁版本号去关联漏洞继而判断是否会真实存在。

别无选择,我们只能推倒重来,重新设计产品逻辑。今天,青藤的漏洞扫描功能已经达到了世界领先水平,可以帮助客户高效应对各种新出现的高危漏洞。例如,在面对新高危漏洞时,通过青藤漏洞扫描进行快速响应,绝大部分漏洞都可通过资产识别直接定位,对于无法识别的漏洞可以通过编写检测脚本将其配置到检测系统中。

当一个漏洞被精准定位后,青藤漏洞扫描产品能够关联分析这个漏洞相关的补丁。例如,通过CVE编号确认所有资产中存在Shellshock漏洞的情况。此外,青藤产品不仅提供详细补丁情况,还能够检测补丁修复后是否会影响其它业务。

2017:千呼万唤,青藤万相方出世

早期,青藤产品并没有清晰的框架,更多的是一个个产品功能。青藤主机安全产品是一个平台产品,当功能越来越多之后,我们开始尝试去梳理出一个完整的产品体系。当时,一个偶然机会看到了Gartner自适应安全架构体系,这个架构体系思想和青藤的产品理念不谋而合。面对黑客的攻击,事前需要了解系统内存在哪些风险,所以我们把系统漏洞、弱密码、不安全配置等功能,慢慢抽象成“风险发现”的功能模块。

而“风险发现”是针对具体资产而言的。最开始,也没有想到一个很好的功能名称,只是觉得资产非常重要。因为,一个优秀的安全人员,往往通过异常的资产(比如异常的进程、端口、账号等)就能发现是否被入侵的蛛丝马迹,也能通过资产(比如应用版本信息、进程、端口、账号root权限等)发现自己系统内是否存在漏洞。在这样的认知下,以及青藤Agent所占据的天然优势位置,青藤首次提出了“资产清点”概念,也就有了如今可以看到的产品功能模块。

“入侵检测”这个核心模块也是这样不断迭代出来的。在创业之初,张福凭借着对安全的理解,就决定在做入侵检测的时候不能用沿着老的基于特征检测的思路来做,这样很容易被黑客绕过。面对无穷无尽的黑客攻击手法,我们需要做的是回归本源来进行思考——无论黑客攻击手段如何变化,其最终的目标行为是有限的。因此,我们只需在黑客攻击的路径上设置“行为检测锚点”,通过对恶意行为和异常行为的检测来发现入侵事件。基于这样的核心思路,青藤在服务客户的过程中不断收集新的检测需求,进而不断地升级系统底层能力,建立并优化检测模型,提升入侵检测的深度。

所以,青藤产品的出现,最开始是具体功能的不断演进,然后不断升级进化,形成了现在青藤万相产品的核心功能模块。

总结

不到7年时间,1000万行自研代码,300个版本,600万+Agent,青藤用数字证明了主机安全的重要性,开辟了主机安全的新时代。前路漫漫,青藤会用今天的执着,撑起未来的辉煌,让安全之光照亮互联网的每个角落。