祝青柳
谭晓生:祝总好,可否给我们讲一下联软目前主要的业务方向和竞争优势,让关注联软的朋友们更加了解咱们公司。
祝青柳:我们最早通过做准入控制,解决客户内网接入的设备的管理问题。在初期,我们通过调研和分析,发现80%以上的数据泄密是来自于组织内部,所以联软早期主要提供客户最需要的访问控制、终端设备管理、数据安全管理等解决方案,当时我们的主要客户来自于金融行业和企业。
到近几年,随着国家政策的驱动和客户需求升级,我们又在原有基础上加注了攻防入侵的核心能力,也参与了很多政策驱动的大项目,完成了一次业务的升级。
谭晓生:实现从管控到攻防的转型还是一个挺大的转变,您可能现在需要更多攻防人才, 联软在这个过程中是如何适应变化的?
祝青柳:您说的没错,这两部分业务差异是比较大的。攻防给大家的传统印象基本是发现漏洞、检测漏洞、修复漏洞,并循环往复。我们做攻防的思路是“从攻击者视角来看防御”。
谭晓生:未知攻焉知防啊。
祝青柳:是的,我们收购了攻防团队。联软在2019年的时候跟魔方安全公司合并,魔方团队在技术能力上是比较强的,他们对攻防有很深入的了解,团队风格比较符合我对网络安全攻防领域的设想。
安全的漏洞是无穷无尽的,而客户需要的安全方案要在业务可承受的范围内。比如一个拥有3000台电脑设备的医疗或制造业机构,实际上IT人员不会超过10个,客户不可能请个80万年薪的人去做安全运维,我们需要提供符合客户业务实际需求、易上手的安全防护产品。在这点价值观上,联软和魔方是有强烈共识的。
魔方团队的加入,使我们拥有了攻防能力,再跟我们传统的防御系统结合起来,在产品和方案的设计上,我们尽最大可能通过自动化、智能化、更灵活的方式将安全和客户的业务结合。与魔方团队结合之后我们的服务更加全面了,比如我们帮客户做好内网的资产发现后,可以去验证各种漏洞信息,解决了这部分曾经没解决好的难题。
实际上联软的能力也给魔方的产品进行了赋能,过去魔方的工具发现的资产和信息是有限的,如果黑客入侵进来,可能黑客发现的资产比攻防工具发现的还要多。但联软是从网络二层发现资产,一定比三层找到的更多,再加上我们部署在端点上的软件,可以给攻防工具提供更丰富的信息。我们把传统的攻防跟准入二层这些技术结合在一起,形成了一个更自动化的、更有效的方案。
谭晓生:您刚刚说联软和魔方的“合并”是收购的形式么?
祝青柳:如果按照资本或行业里传统的讲法是收购,联软是百分百控股魔方。我刚刚用“合并”这个词是从产品的角度上讲,不是说魔方的产品过来了,联软多了一条产品线或者一个团队,我们是把双方的能力融合在一起,形成一套更有效的方案来服务客户。
如果把攻防看作一场战争的话,其实仗打到最后打的都是经济。我看现在很多做态势感知的,他们就会去给客户部署大量的探针,我认为这种方案对客户来说就不是很经济。不管是物理世界的战争,还是网络世界的战争,作战方案是不是真正有效不是说你的方案能找出问题,而要看你的方案是不是经济上可持续的。
谭晓生:除了加入了攻防能力,联软的业务还经历了哪些变化?
祝青柳:过去这些年,很多客户从业务上较早地推动我们去设计一些产品,比如这两年比较火的零信任,实际零信任在国内火起来之前,我们就已经给客户在用这种思路做方案了。
零信任核心理念包括:一个是先认证后访问,第二个动态授权,第三个持续验证,第四个软件定义。十多年前我们的准入产品就采用了先认证后访问,动态授权,持续验证等技术思路,已经具备零信任的基本特征。
当然现在大家谈零信任安全,主要是在云化和移动化趋势下的新型的网络访问控制模型,可以理解它是准入控制系统的新场景应用,符合数字化转型中软件定义的趋势。我们从业务的发展上,就很早用这个思路在服务客户了,产品和解决方案向零信任方向发展,我们具备一定的先发优势。
谭晓生:是的,我理解零信任也不是一个颠覆性的新东西,它其实是一种思想改变,它把信任的时间颗粒度和对象颗粒度都变得很小,不再是长久的授权。
祝青柳:到2014年,我们和客户一起设计了新的方案,把曾经内网侧的准入技术放到了互联网上取代了VPN,实现先认证后访问。那个时候我们已经开始在做访问保护和应用保护相关。我们一路走来,紧贴着客户的业务不断调优方案,也没有想着去跟踪和蹭热点,自然而然就形成了类似于今天大家所说的零信任的方案。
谭晓生:那在联软的方案里,你们的时间颗粒度,比如动态授权的有效时间是多长?整个过程中联软是如何进步与发展的?
祝青柳:时间的颗粒度对于我们来说并不是问题,我们最早做准入的时候,像交换机站的认证默认是4个小时,后来客户觉得4个小时太长了,也有把时间调到了10分钟甚至更短。但是在实际执行的过程中,我们发现很多想法在技术上单拿出来你觉得很好,但实际上业务是完全不可行的。
举个例子,我们以前给客户有个安全设置是,如果电脑没有装杀毒软件或者杀毒软件是旧版本,就禁止访问内部网络。客户一个业务口的领导,回家之后电脑被小孩动了,他回到单位被准入系统卡住上不了网,但是他又有很紧急重大的事情要处理,客户是承担不了这种贸然的阻断对业务造成的压力的。所以我们在做动态授权和动态访问控制的时候,除非说是账号出现了问题,其他情况我们都会给客户一个修复的机会,尽量不影响客户业务的进行。
在最新的零信任方案中,理论上要求去掉隐式信任,对所有的访问始终验证,一旦发现风险立即阻断或降低信任等级。但在实际工程中,还需要看客户的需求,看能否抵挡的住由于信任等级降低导致的业务不连续性,这不存在技术难度,而是一种管理上的平衡。
谭晓生:听您讲,联软的认证系统还是靠准入,靠网络设备给用户开访问权限的方式。现在其实很多零信任解决方案是用的单包认证的方法,在每次建立连接的时候才给予相应的授权,其实这种是把软件定义网络的一些技术用在里面,这种技术联软有在用么?
祝青柳:先说下准入控制的必要性,其实大家可以在Google的BeyondCorp项目中可以清晰的看到,Google的内网接入还是采用了802.1x的准入控制方式来实现对设备和用户的认证,也就是说从具体实践来看,网络准入控制还是零信任安全方案中的一个必不可少的技术,接入后还是可以对接入的终端和用户做更细粒度的访问权限控制,这种南北向的多层网络防护机制并不矛盾。您说的单包认证的技术我们应用在两个部分,一个是移动端EMM系统,一个是PC的SDP系统。2014年开始我们把单包技术用在移动端上,从2018年开始,我们应用在了PC系统上,2020年,我们把这两套系统做了整合,形成UEM的解决方案,可以实现跨终端形态的统一终端管理解决方案。
谭晓生:您前面提了您认为灵活的、自动化的方案对客户来说是经济的,现在也有SOAR、SOC这类安全运营自动编排的产品。联软的产品是如何提高用户运营自动化水平的呢?
祝青柳:我们大部分客户都算是比较高端的客户,但再高端的客户都面临资源不足的问题。除非是军方客户或者是一些很特殊的单位,能够有足够的人才和资源使用复杂的安全系统,对于大部分的客户来说,哪怕是很注重安全的金融客户,复杂的安全系统都是不太可用的。就算客户培养了一个人学会了这套系统,过两天跳槽换人了,新人又不会了。
所以我们希望尽量把安全系统设计的稍微简单一点,在我们的内部叫做“智能体“,意思是安全系统和业务系统就像人的四肢和大脑,要协同起来。
同时我们不鼓励客户把所有各个系统采集的信息都拿来做编排,我们会帮助客户把最关键的信息提出上来,用低成本相对简单的方式去采集,符合客户业务需要就足够了。通过安全的加工,给客户输出一个有效的反馈。
谭晓生:过去这两年时间,我们国家网络安全有关法律密集出台,在这种情况下,联软下一步赛道的选择和定位会有什么改变么?
祝青柳:我们暂时应该不会去做较大的变化,我们的产品和方案本身就是一直在跟着客户的业务走,客户的业务内涵是不会轻易发生变化的,无论政策如何变化,客户需要的始终是以合适的性价比去解决他的问题。
国家这几年出台的政策对我们来讲当然是个好事情,有些客户安全建设的需求之前没有那么迫切,网络安全特别是数据安全相关的政策出来之后,客户能够拿到更多的预算,对我们业务的提升助力是非常大的。
谭晓生:您提到数据安全,能介绍一下联软的数据安全方案么?
祝青柳:我们数据安全的方案首先是做数据的分级分类,然后把不同类型和级别的数据放到安全空间里去保护它,同时运用数据交换技术使其很好的流转,毕竟数据的价值不仅仅是存储还需要被使用。如果数据泄露发生,我们可以追溯和定位,这类的案例在我们一些航空公司、银行客户还有快递公司客户中都出现过。
谭晓生:联软有数据分级分类产品吗?
祝青柳:这两年趁着东风我们组建了一个咨询服务团队,主要帮金融和企业客户从整理管理制度、数据保护法的落地方法等角度提供咨询,根据客户实际业务情况做方案,打通政策和落地。其实我们也希望能够把这部分后续形成一些标准化的方法给到合作伙伴,使我们的合作伙伴也能去获得一些收益。
谭晓生:我们也知道联软现在在谋求上市,资本市场对一个企业的预期往往会是你怎么样能够去实现扩张。但刚才从您讲的来,似乎是说联软更愿意用自己已有的这些产品去解决用户的问题。似乎感觉增长的对外扩张的意愿不是特别的强,这个我的理解对吗?
祝青柳:您讲的也对。一般来说资本市场会比较喜欢扩张,但我觉得其实投资者或者股东更希望看到的是真正健康、良性、可持续的扩大能力。
我创业的初衷是希望能做一件真正有趣的事情,如何定义有趣?我认为是真的能够解决问题,能够创造比较高的价值。我认为所谓的扩张,只是个时间点的问题,当你的方案、产品足够能去解决市场的痛点的时候,那一天一定会到来。
现在整个安全市场,不管是国内还是国际,有三个问题是最根本的:
一,什么样的安全规划是好的安全规划?
二,什么样的安全方案是个好的安全方案?
三,什么样的安全产品才是好的安全产品?
这三个问题在整个市场上都没有很好地被讨论清楚,所以我觉得现在如果很盲目的去做扩张,又没有去很好的思考好这三个问题,其实是非常危险的。
谭晓生:您对这三个问题的思考是什么?
祝青柳:我认为好的安全规划首先要从业务出发,助力业务发展,同时又能保障好安全底线。
谭晓生:其实不同的客户会用不同的标准吧!有的客户只要出了一点安全问题就会有很大的损失,有的客户可能出了点事儿也没什么大的影响。
祝青柳:是的,不说不同类型的客户,有的客户他自己内部的网络就有几十个,每个网络安全等级保护的要求都不一样,客户应该先想明白他的生产网、办公网、工控网、监察网、测试网等等这些网络的安全该如何规划,而不是一上来就先买产品,先搞方案。
我看到现在市场上的一些机构,在设计方案的时候都没有把这个问题想彻底,联软现在也是一个小民营企业,市场上的影响力也还不够,我希望我们踏踏实实地做,等到有一天我们的一些东西被整个市场高度接受,那一天可能大家就会愿意听我们讲一讲,怎么做会比较好。
谭晓生:现在中国的上市的安全公司有20多家,科创板上也有安恒、安博通、奇安信等,那么在走向资本市场之后,联软希望在用户这边是一个什么样的形象和定位?
祝青柳:我们的主要业务不会有很大的变化,我希望今后随着我们的业务逐步发展,我们更多地参与到一些大客户的安全规划中,比如我们可以帮助客户一起做好他的5年安全规划。
谭晓生:什么样的客户属于这类大客户?
祝青柳:一年IT投入过亿的吧,这类客户的安全预算会在百万或者千万的规模,不一定所有安全预算都给我们,我指的是这样的规模的企业。
我们的产品还是会围绕我们既定的思路,因为我们认为目前客户的安全痛点主要就三个问题:一是防入侵,二是防泄密,三是员工隐私保护。
谭晓生:员工隐私保护具体指什么?
祝青柳:员工在工作过程中会在自己的PC或者手机上装一些企业内部办公的软件,比如经营分析系统,人力资源系统。这些软件有的是企业自己开发的,也有是外包开发的。如果是外包开发的,友商可能会在里面植入恶意代码,员工的手机或者PC上的通讯录、定位等个人信息就可能被人窃取和跟踪。我们会把这种员工隐私保护的模块和防入侵防泄密的功能模块放在同一个方案中解决,比如现在针对BYOD(自备办公设备),我们的EMM系统中就有这种功能。
谭晓生:咱们的思路还是很奇特的,防止员工的信息被恶意窃取这方面的产品我还是第一次听说。
祝青柳:其实如果企业不需要承担这个责任,我估计企业也不愿意去在这个方面做投资。但如果说你的总裁、你的CFO、你的人力资源负责人、研发负责人的个人信息都被你的友商控制,不觉得这事很恐怖吗?
谭晓生:祝总,最近几年端点安全受到的重视程度越来越高。比如说像美国Crowdstrike,以EDR的标签上市成功, EDR这个概念又是现在炙手可热的话题。而咱们国内这几年坦率讲EDR做的都不太好,联软在终端领域耕耘了18年,我从一个外人角度认为你们做EDR的话是具备很好的技术基础的,联软有考虑到做终端EDR的市场吗?
祝青柳:谭校长您说的也是我们在考虑的一个事情,我们在这方面基础确实是比较好的,目前市面上很多EDR产品其实只是防病毒软件的升级版,跟实际意义上的EDR差距很大,而我们的EDR产品更加接近美国的公司产品的理念,借助终端强大采集能力和大数据能力解决终端的安全问题。现在也有一些客户在试用和采购我们的EDR产品,包括里面还有一些被美国搞的特别厉害的公司。实在的说,客户对我们EDR产品的评价是数据采集能力特别强,处于行业顶尖水平;但我们对数据的分析利用这一部分的能力,目前还在提升中。所以我们现在还比较依赖客户自己的具备较强的平台分析能力,我们把数据提供给他们进行联动。
我个人认为EDR这类的产品目前有个比较大的问题是,上了EDR之后,数据采集量太大,部分客户不太能够承受系统的造价和维护成本。就说IT预算1个亿的公司,中国符合这个标准的客户本身就不多,他们安全的投入大概是500万到1000万,让这类客户为了上EDR花150万建一个大数据平台,您觉得客户会愿意么?
谭晓生:150万建一个大数据平台,其实这还是一个基本的开销。
祝青柳:您说的太对了,我已经说的是很低的一个数字了。对很多客户上来讲他是很慎重的,大部分客户希望花15万就可以把这个事干了,低成本的建设,低成本的维护。
我们就在找这种平衡,目前我们已经把最核心的这部分问题解决了,我们做的是一个可以并联的,横向扩展的数据库系统,跟用MySQL一样,只要学过传统的数据库都会用,维护成本很低。我们把数据分析设计成重点,我们测试过单系统在做查询和分析的时候,同样的硬件情况大概性能是PgSQL的10倍,建设成本也会降下来。
建设成本和维护成本都下降了,我们目前还需要把一些算法搞上去,这个还需要一段时间的过程,目前还不敢吹牛。
谭晓生:今天的时间也差不多了,最后能否请祝总对于联软未来几年的发展做一个总结?您觉得联软在未来的几年会是什么样的发展总体的方向和策略?
祝青柳:我们还是希望能够透过现象去找安全的本质,像我们这十几年一直在做的,去解决本质问题。
未来的三到四年,从产品角度来说,我们希望给客户提供的是一套能够把防入侵、防泄密、员工隐私保护都结合起来的,更完整、更高性价比的解决方案。
从应用范围来说,我们过去主要服务办公生产场景,未来我们会拓宽物联网、工控、车联网等方向。
从市场角度来说,我们过去的客户主要是金融和制造业,未来两三年我们会在政府、运营商、医疗等行业进一步拓展。
从长期目标来看,作为一个中国公司,特别是深圳的科技公司,我们的理想是像华为一样能够做出优秀的产品,然后卖到全世界。构建可控的互联世界,是我们永远不变的理想。
END
(该资讯首发于2021-12-13)