崇尚“仿生学”的天空卫士要做一件什么事?
崇尚“仿生学”的天空卫士要做一件什么事?
我见过最残忍的伤害,莫过于“釜底抽薪”。
岳飞精忠抗金,难料被十二道金牌构陷冤死;
宝强忠贞无二,不想娇妻内外勾结人财两空。
一世拼争,弹指灰飞烟灭。世间凶险可见一斑。
意志坚强的人遭此劫难,或许还有机会浴火重生。但一家企业的核心数据如果被“釜底抽薪”,基本意味着万劫不复。
如果有人能做这样一家保护企业不被釜底抽薪的公司,一定前途无量。2015 年刘霖决定从外企 Websense 出来自己做的时候,显然是意识到了这个巨大的商机。
当时,Websense 基本代表了“数据防泄漏”这个领域的最高水准,连以安全立身的 360 都会采购他们的产品,而刘霖和陈少涵恰恰是 Websense 中国区经理和研发负责人。毫无疑问,当年他们算是一支“明星创业队”。
他们成立的公司叫做天空卫士。2018年,是天空卫士的第三个年头。
崇尚“仿生学”的天空卫士要做一件什么事?
文 | 史中
前几天,我第一次去天空卫士拜访,和陈少涵聊了聊。当然,此时他的身份是天空卫士的联合创始人兼 CTO。
虽然“贵为”CTO,但是陈少涵每天的主要工作仍然是带领团队在一线敲代码。我问他为什么还要亲自上手。他说这很正常,“美国所有的技术公司,都是 CTO 亲自上阵和大家一起写代码。”
天空卫士联合创始人兼 CTO 陈少涵
2015年时,天空卫士刚刚成立,一穷二白。刘霖当时的目标很明确:要做一个属于中国人的顶尖数据防泄漏产品。他唯一的担心,就是这么复杂的系统,研发周期会不会过长,到时候可能错失商机。陈少涵只说了三个字:有我呢。
仅仅一年半以后,天空卫士的数据防泄漏产品就被陈少涵搞出来了。
“数据防泄漏是美国公司的传统优势项目,需要很深的技术积累。你一个中国创业公司一年半就做出来,还敢说比他们的更好?”这是很多业内人士当时的吐槽,听上去确实有理有据。
但三年过去了,天空卫士的客户名单已经包括了金融、券商、保险、医疗、政府等各个行业的领头企业。作为一个技术人,陈少涵觉得,报仇雪恨的方式就是这长长长长的客户名单。
现在看来,数据防泄漏产品只是一个开始,在这个基础上,2017年天空卫士又推出了一整套可以全面管控用户上网、下载以及邮件安全的 ASWG 增强型 Web 安全网关,在这个基础上,他们准备挑战“企业内部安全”这一个整体方向。
说了这么多,2018年的天空卫士究竟怎样做“企业内部安全”这件事呢?
为了理解方便,我把陈少涵的技术构想总结为如下三个部分:
1、人是危险的动物
《银翼杀手2049》里,主角 K 就是因为被植入了人类的童年记忆,让原本是机器人的他坚信自己是一个真正的人。
据此我猜,“独家记忆”是证明自我存在的最好依据。
杀手 K 最为宝贵的东西,就是他的记忆。
对于公司来说,又何尝不是如此。在公司中,“独家记忆”对应的是“独家数据”。如果丢失了独家数据,那么你和咸鱼又有什么区别呢?
几年前,马云就高喊“数据是金矿”,如今企业手里的“金矿”一天比一天多。
用谭晓生的话说,数据可能是公司在某些领域的经验,可能是你和你的客户之间的秘密,甚至可能是国家秘密。一旦数据流失,不仅是情报的损失,更可能是竞争能力的流失。
这绝非儿戏。
而盗取数据的,只可能是人。
“无论是通过什么端口,通过什么协议,盗走什么内容,背后的操纵者都一定是人。”
陈少涵说。
说实话,人的安全性并不比电脑高。电脑可以被封闭在一个网络中,被各种管理软件监察;但公司的雇员对公司来说是失控的。而一旦一个身处公司内部的人,对公司的数据有了恶意,公司是无法判断的——毕竟坏人不会写在脸上。
坊间传言,色诱前台小妹,策反她登入系统盗取公司核心信息的事情,不胜枚举。
既然人心难测,那么只有从人的行为上来判断了。
陈少涵说,一个典型的数据泄露场景是:某员工把企业的客户信息或者自身的职员列表发送给其他公司。
在这个场景里,向外传送的资料有可能被加密,所以传统的数据防泄漏技术就遇到了盲区——任何系统都没有办法审阅加密数据。
这个时候,应该怎么办呢?
2、“仿生学”的安全系统
人是复杂的动物,绝非没有破绽。
如果你原本每天上下班,突然有一天你开始规划抢银行,那么你的行为模式一定会发生变化;
同理,如果你是一个研发工程师,突然有一天你决定换工作,那么你的行为模式也一定会发生变化。
陈少涵说。
这个倒有点道理,你走在街上,对旁边一点钟方向的美女春心荡漾一下,都会被身边的老婆瞬间捕捉,结局相当惨烈。
我猜,女人的直觉恰恰来源于对你行为模式微小改变的察觉。
那么,这件事情,人工智能可不可以做?
陈少涵带领天空卫士技术团队刚刚搞出一套名为“ITP”的系统,就是要用人工智能完成这种风骚的走位。
系统会“观察”每一个人,然后给他评估一个“风险值”。举个例子:
一个员工,每天上下班时间是固定的,浏览的网站也是相对固定的,和外界发送的信息也是相似的,如果他突然开始浏览一些招聘网站,还对外发送了简历,那么他的风险值就会迅速升高。
陈少涵介绍,一个人的风险值,具体由三个方面的打分方式构成:
1)异常行为检测。
就像刚才说的,一个人平常的行为数据,是可以被人工智能计算出一个模型的。当他某一天突然像是神魔附体了一样,行为数据大幅异常,那么最后计算出来的风险分值就会大幅上升。
从这张图上可以看到,某个人的行为模式与过去七天发生了大量的偏离。
2)精准威胁行为回溯。
这世界上坑老板的方法有一亿种,不可能每次都被系统抓出来。但是一旦事后发现了数据泄露事件,系统就可以精准地回溯:导致这次泄露的人,他的行为模式是什么样的。当系统学会了这种模型以后,下一次再有人用类似的形式坑老板,就会立刻享受风险值飙升的待遇。
3)专家系统。
别忘了,安全专家心里的模型也是很丰富的。他们可以直接把自己认为有风险的行为输入给智能系统,如果某个公司内部人员触碰了这个规则,他的风险值也会飙升。
把以上三个得分加起来,就是这个人的最后得分。这个得分是随着他不断产生新的行为,而动态调整的。
当然,并不是说一个人的风险值超过7,老板就要找他喝茶。(虽然这样也未尝不可)那么,这个分数究竟怎么用呢?
举个小栗子:系统会和智能网关联动,如果一个人的风险值超过7,就会大量拦截他所做的操作。
例如前面提到的“向外传送信息”:
原来的问题是,如果一个人向外传送加密的信息,那么网关无法判断其中有没有敏感信息。现在的方法是,如果一个人的风险值高,那么他又向外发送加密的信息,那么网关就会直接拦截。同样,一个人的风险值高,他向外发送自编码的文件(很可能是通过高级技术混淆的公司机密文件),网关同样会拦截。
简单来说,如果某人的“危险分数”达到一定值,就对 Ta 的权限做限制。
在陈少涵心里,这种精巧的设计,其实和人类的免疫系统是一样一样的:
这个异常检测,就像人体的“异体免疫”——不属于我的细胞,就会产生排异反应。
这个威胁行为回溯,就像人的“获得性免疫”——一种新的病菌入侵,免疫细胞就会通过学习产生针对它的抗体。
这个专家系统,就像人的“天然免疫”——人体会默认内设几百万种抗体,生来就能对很多细菌免疫。
万万没想到,这个梗埋得这么深。(忘记说了,陈少涵是计算机和生化学的双料硕士。。。Orz)
陈少涵特别相信,人在千百万年进化中获得的特性,对计算机系统具有重大的启发意义。“真正优秀的产品,一定像人。”例如最近几年大热的“机器视觉”,基础技术就是模拟虹膜和大脑的反射机制而产生的“卷积神经网络”;例如围棋大师阿法狗所运用的“深度学习”,就是基于脑神经元的工作模式而发明的。
据此深入下去,人体免疫系统的工作原理,还可以在很多地方知道安全系统的改进,这就是他目前正在研究的方向。
这张图片简单描述了“T细胞”主导的免疫系统的工作方式。
3、最完备的系统是“联盟”
说到这里,还要提一下陈少涵和刘霖的老东家 Websense。
2015年4月,Websense 被大名鼎鼎的美国军工企业雷神公司收购,2016年,改名为 Forcepoint,并且在过去数据防泄漏产品的基础上,推出了一系列企业威胁防护系统。
这恰恰和天空卫士的思路相同。
但是,对方毕竟已经是雷神旗下的公司,财大气粗,推出了一整套包含威胁情报、移动安全防护、高级威胁防护等等防护产品。这虽然同样是天空卫士认同的战略,但毕竟是创业公司,不能人有多大胆地有多大产。
于是,天空卫士索性来一个“船小好调头”的玩法,联合国内这几个领域最好的安全公司——360 企业安全、安恒信息、海泰方圆、微步在线、金山云、华耀中国组成一个联盟,这就是“企业数据安全技术联盟”。
提起天空卫士的数据分析能力,陈少涵可是敢拍胸脯。他觉得如果把自己的数据分析能力,结合威胁情报、基础安全架构、下一代防火墙上和云架构的数据,一定可以创造出不亚于 Forcepoint 的应用场景。
站在联盟发布会的演讲台上,刘霖和陈少涵对自己的技术如数家珍。
陈少涵仍然记得,2016年年中,自己带着团队拿着新出炉的第一款产品参加投标。
那时一共十个公司投标,有中国的,有外国的。结果实打实测试下来,天空卫士的产品不仅排在外国公司后面,还排在一些中国公司后面,五名开外。
这让他心里咯噔一下。他带着团队没日没夜地调试 Bug,在用户测试中一次比一次好。三个月后,这个属于中国人的安全系统几乎每次都能超越国外的公司,稳定在第一名。
看到这个结果,陈少涵终于对同事神秘地笑了笑说:有我呢。
再自我介绍一下吧。我叫史中,是一个倾心故事的科技记者。我的日常是和各路大神聊天。如果想和我做朋友,可以搜索微博:史中方枪枪,或者加我微信,shizhongst。
不想走丢的话,你也可以关注我的自媒体公众号“浅黑科技”。
