新技术，新安全：青藤云安全的增长之道

近日，“新技术，新安全”——青藤云安全2019年媒体交流会在北京隆重举行，四十多家媒体齐聚一堂，共探安全发展与进化之道。

在会议开始之际，《中国信息安全》杂志社主编崔光耀老师进行了精彩致辞。他表示：2019年，中国网络安全发生了很大变化。网络安全企业应该抓住百年未有之机遇，努力增强企业自身的“内功”，迎头发展。

[[287335]]

《中国信息安全》杂志社主编崔光耀

崔光耀老师会上表达了对青藤五年发展成果的肯定与支持，也具体总结盘点了2019年网络安全的五大新变化，他指出：“五大变化有：新法新规日渐组合发力，资本运作搅动一池春水，内在需求诱发市场潜能，安全运营促进模式创新，产业分化加快优胜劣汰。我们安全确实很痛苦，但是机遇非常大，首先要做的的是坚持。”

回首创业往事，肩负安全重任

伴随着机遇和挑战，青藤云安全在2014年8月正式成立。青藤云安全创始人兼CEO张福谈到，此次创业从本心上说是源于他对安全的执着追求。

正是凭借对安全的热爱和对技术的高追求，青藤在创业前三年一直在研发打磨产品，立志做一款面向世界的属于中国人的安全产品。在坚持中守望初心，2017年青藤云安全推出了首款安全产品，包含检测、分析和响应的一套自适应安全体系。截止目前为止，该产品经过5年，200个版本迭代，300万行的自研代码，4万个安全知识库的精心打磨后，在市场上屡战屡胜。

在会上，张福谈到，自青藤创立以来，一直提倡开放、透明、高效的文化。历时近五年的时间，终于得以将这些优良基因提炼并总结出来，正式形成了青藤的文化和价值观，即“开放透明”、“只争第一”、“追求效率”、“我就是青藤”。正是凭借这些文化基因，使得青藤越来越清楚“需要什么样的人”，也让青藤更加珍视那些有着“用优秀的产品和技术指引中国安全市场改变”信念的人。

[[287336]]

青藤云安全CEO 张福

志同道合，再创佳绩

对于青藤而言，2019年是收获的一年。公司业绩连续三年保持300%增长，业务覆盖了全国绝大部分省份和各个行业。在金融、运营商、互联网等行业中，青藤云安全都取得了不错成绩，其中单控制台带动Agent数量上限高达7.5万个，大客户安装Agent数量超过10万个点。

[[287337]]

青藤云安全高级副总裁 崔晶炜

青藤云安全高级副总裁崔晶炜说道，青藤云安全已经为全国上百万台服务器提供安全保护，覆盖了包括中国平安、中国地震局、光大银行、B站、三大运营商等数百家大型客户。

在云计算时代，青藤可以帮助政府机构，构建符合国家法律法规的安全保障体系;可以帮助金融企业，实时精准地监控入侵行为，及时止损，有效防止安全事态的扩散，全面保护资金安全;互联网行业业务开放、变化快、竞争激烈，青藤可以帮助他们快速构建安全体系，实时了解自身风险状况，做到安全、可控;电信运营商服务器数量十分庞大，资产清点异常困难，青藤可以帮助他们快速盘点数字资产，做到细颗粒、无遗漏的全覆盖，消除潜在的安全风险。

优秀业绩背后，离不开产品持续创新

“进化来源于突变，而安全面对的正是不可预知的未来。这些层出不穷的未知威胁成为了安全进化的动力。主机安全作为该领域最重要的一个分支，也正在快速进化以应对全新的威胁。”程度如是说道。

[[287338]]

青藤云安全COO 程度

从2018年以来，勒索病毒、挖矿木马成为了企业安全两大核心威胁，此外类似终端上无文件攻击也给企业的安全防护带来了巨大的挑战。在这样大背景之下，程度先生认为，未来主机安全的进化方向，将会像自适应安全架构那样朝着“持续增强的检测、响应以及架构适配”方向前进。

① 进化一：主动检测

程度表示，目前较杀伤链模型(Kill Chain)更进阶和详细的模型是MITRE的ATT&CK模型。MITRE ATT&CK是一款可以加速检测与响应的最新工具。ATT&CK有助于理解攻击者的行为、技术、战术，帮助安全人员构建检测措施，验证防御措施以及分析策略的有效性。每一个战术类别包括了一系列的攻击技术，ATT&CK提供了对每一项技术的细节描述、检测技术和分析方法，以及可能的缓释措施。在行业应用中，该模型能够帮助分析和响应人员更好的了解攻击者。帮助安全人员熟悉真实环境的对抗技巧，增强实战能力，从而更好的组织防御。

基于ATT&CK框架，青藤推出了威胁捕获平台(Threat Hunting Platform)，该产品在现有青藤原有产品的基础上，提供了增强的安全捕获功能，提供了主机相关更细粒度数据收集和分析和预警能力。

②进化二：自动化的响应能力

当前安全攻防对抗日趋激烈，单纯指望通过防范和阻止的策略已行不通，必须更加注重检测与响应。企业组织要在已遭受攻击的假定前提下，构建集防御、检测、响应和预防于一体的全新安全防护体系。这从今年6月*网行动的规则也能看得出来，不强制要求系统不被入侵，而是强调入侵之后的快速响应能力。

青藤应急响应平台，使用大数据技术存储主机和Web事件日志，从安全角度引导客户对日志进行查询与分析，发现黑客的蛛丝马迹，还原现场。产品基于ES系统，可在5s内获得查询结果，同时对TB级数据进行统计分析，并保证数据至少保留180天。

程度表示，青藤的应急响应平台结合了语义分析、大数据、安全编排和人工智能算法，依靠青藤主机安全的核心功能，平台可以实现智能分析等功能复杂的安全场景和快速反应和处理。结合Agent能力，一旦发现主机端攻击行为，可以迅速杀死恶意进程进程、删除文件、隔离文件等等。此外，目前青藤正在开发SOAR平台，未来可以实现自动响应和协调与其他安全产品。

③进化三：新架构的适配能力

云原生不但可以很好的支持互联网应用，也在深刻影响着新的计算架构、新的智能数据应用。以容器、服务网格、微服务、Serverless 为代表的云原生技术，带来一种全新的方式来构建应用。企业 IT 架构也随之发生巨大变化，而业务又深度依赖 IT 能力。这带来了一定程度的复杂性和挑战性，尤其是其安全挑战不可忽视。

越来越多的企业利用Docker容器来快速构建和维护新服务和新应用。但是，容器本身也存在重大的安全风险，例如Docker宿主机安全、Docker镜像安全、运行环境的安全问题、编排安全等，这都意味着保护容器安全将是一项持续的挑战。

青藤蜂巢•容器安全产品覆盖了容器使用过程中的Build、Ship和Run三个阶段，在功能性上有镜像扫描、合规基线、以及入侵检测三大核心功能。青藤蜂巢•容器安全产品在技术实现上采用了Agent-Server的技术架构，Agent运行在容器的宿主机上，和Docker daemon跑在同一层的。Agent主要做了三件事情，第一是基础信息的获取，通过Docker Engine本身的API来获取容器运行的状态信息，第二是镜像扫描能力，通过Agent能够来扫描主机上镜像的相关信息，第三是对容器的运行状态进行相应的监控，通过对于容器进程进行相应的hook以及监控发现容器运行的相关信息。

未来，青藤云安全将会在主机安全细分领域，专注于技术的提升和创新，为企业提供更好的安全解决方案，为网络安全行业的发展贡献自己的一份力量。