用“智能”代替“規則”構建“實戰化”安全攻防體系
——訪北京長亭科技有限公司副總裁崔勤

本刊記者 王 超

崔勤，北京長亭科技有限公司副總裁、聯合創始人、技術架構與解決方案中心負責人，負責公司攻防兩端產品服務最佳實踐，帶領團隊服務過包括中國銀行、交通銀行、農業銀行、國泰君安、中國平安、滴滴出行、愛奇藝、Bilibili、華為等眾多知名金融、互聯網及IT客戶，同時兼任公司2019年、2020年、2021年全國攻防演練活動主要負責人之一，統籌組織人員、技術落地。此外，作為國內網絡安全戰隊藍蓮花戰隊（blue-lotus）的核心成員，同團隊參加過各類國際CTF賽事，在2016年DEFCON CTF 24黑客奪旗大賽總決賽中獲得全球亞軍的好成績。

近年來，全球網絡安全威脅形勢變化多端，新型攻擊手段變得更加復雜和隱蔽，安全風險的嚴峻性帶來對安全管理理念轉變的思考，企業安全建設開始向主動有效的全方位體系化防護工作模式發展，威脅感知成為安全防御重點。提高態勢感知能力可以快速、有效地識別和處理安全威脅，實現網絡安全態勢全面、精準地展現，提升企業安全防護水平。

作為網絡安全行業表現亮眼的新銳力量，四位聯合創始人都來自知名藍蓮花戰隊的長亭科技，始終致力于發展新型網絡安全技術，提高國內安全水平，接軌國際頂尖技術，構建了以攻、防、知、查、抓為核心理念的產品+服務應用安全體系，通過發展新技術新方法，為企業提供“智能化”解決方案。

近日，記者有幸與北京長亭科技有限公司副總裁崔勤進行了深入訪談，就網絡安全防護及建設、實戰化安全攻防演練、體系化產品作戰、安全服務體系等方面，進行了溝通和交流，希冀對網安產業人員帶來些許思考，共同探索網安產業的未來發展之道。

記者：當前在網絡安全防護及建設方面有哪些新變化？

崔勤：近些年，在監管層面的要求和落實下，安全防護實戰化的覆蓋密度越來越大。對于企業而言，安全防護要經受得起實戰演練的挑戰；對于安全廠商而言，產品效果也有了更直接的評價標準，也就是說，在實戰演練場景下，廠商的安全產品會面對實打實的挑戰，如果依然能精準地發現問題就說明效果好。

從長遠來說，這對于初創公司是一個利好的現象。產品效果的測試標準更明確，客戶在乎實戰下的效果，那么就要在實戰中表現出來，證明產品實實在在的效果。同時這也促使安全廠商開始思考如何從長遠和根本上應對這種實戰化問題。

對于安全建設走在前面的客戶，開始考慮長遠的解決方案，注重人才梯隊的培養，希望通過人才培養來應對未來對于安全的高標準和高要求。但對于其他客戶，因為預算有限，現階段還是非常依賴于外部資源的支持。

如今，一家企業的安全負責人面臨的困難遠超十年前。一家企業的安全建設必須要有通盤的考慮，不光是在安全建設方面，還要從更基礎的層面出發，各項安全能力都不能有短板。如果有一項短板，很可能就立刻被對手方給抓住。因此，現代企業在安全建設方面，不管是頂層設計、細節上的各種落地，還是人才隊伍的建設，都需要做到足夠好，這必然面臨很多變化和困難。

記者：長亭科技如何在貼近市場需求的情況下，進行技術和產品的沉淀突破？

崔勤：長亭科技在做安全產品，尤其檢測類的產品時，一般強調在檢測能力上的技術性突破或者技術性創新。就應用安全而言，隨著互聯網發展，很多企業通過Web應用為客戶提供服務，而Web應用也容易遭受外部攻擊，于是企業會采購WAF作為第一道防護，當時市面上的WAF是通過規則庫匹配來識別攻擊。所謂規則庫本質上是正則表達式的集合，由于正則文法本身表達能力的限制，通過規則庫的防護思路效果并不夠理想。我們當時就考慮針對Web攻擊檢測的場景，是否存在可優化的空間，早期也嘗試過機器學習的算法，發現通過機器學習的算法有一定效果，但并沒有達到理想的效果，因此就考慮其他技術，就是現在所使用的語義分析。

總的來說，我們通過兩方面來嘗試和沉淀突破：

一方面，站在產品技術角度，通過分析現有技術的實現和效果，來判斷是否可以用新的技術來替換，進而獲得更好的效果。這個過程是非常艱辛的，并不是說所有的問題都可以通過技術創新來解決，也會存在一些不能克服的限制條件。

另一方面，站在客戶角度，扎扎實實研究如何更好落地，這是非常重要的。一定程度上講，我們的產品其實也是站在客戶角度不斷地去做一些微創新，而不是顛覆式創新，更多的是貼合用戶場景上去做一些調整，盡可能地幫助用戶解決實實在在的問題。這其實要依賴于我們的一線部門，不斷地反饋各式各樣的用戶場景。這種微創新不僅適用于解決客戶的問題，還適用于技術的創新突破。

技術和產品的沉淀和突破，需要長期積累，并非一蹴而就，因此，我們很難一下子把一件事情做得非常好，但是我們愿意長期去努力去堅持，也是在客戶的幫助、在市場的引導下，一起去把事情做得更好，這是我們一直以來的立身之本。我們非常強調這個能力，在內部和外部的雙重環境下，不斷去打磨產品、迭代技術，從而讓產品落地體驗和場景化技術做得更好。

記者：不久之前，長亭科技發布了一款名為“萬象”的態勢感知產品，請您談談長亭科技進入這個賽道的考慮及優勢。

崔勤：2021年7月，在北京新品發布會上，我們正式發布了安全平臺產品萬象（COSMOS）安全分析與管理平臺，同時重磅升級了全線產品和網絡安全服務體系?？梢哉f，長亭科技自主創新網絡安全防護產品能力已經實現再次煥新，實現了依托智能代替規則的產品理念與扎根攻防實戰的安全服務。

如今，態勢感知已經是一個比較成熟的概念，很多企業也都采購過類似的平臺類產品。長亭科技之所以要進入這個賽道，是因為發展所需，通過前期的產品和服務經驗的積累，單點的檢測能力是存在局限性的，而平臺是獲得綜合分析能力的基礎。舉例來說，我們有邊界產品，也有流量產品，當我們再有端點產品時，如何進行綜合分析，發揮 1+1 大于 2 的效果？這時，就迫切需要一個平臺類產品來體現我們的綜合分析能力。

在這個過程中，有的客戶也懷疑過我們做態勢感知產品的能力，其實，我們也曾有過類似的擔憂，但最終還是下定決心來做，原因在于我們觀察到在給用戶做這種服務的時候，很多企業對態勢感知類產品并沒有真正的用起來，因此，我們在攻防演練項目中，特意為用戶搭建一個平臺，來驗證我們到底能不能把這種平臺類的東西做好。目前，我們主要聚焦兩個場景：安全分析和智能化運營。

第一個場景是安全分析，具體是日常的安全事件運營和對抗時安全分析工作臺。企業采購了大量的安全產品，每天進行逐一分析不現實，需要通過平臺統一收集日志并分析，如何將海量的日志轉化為可人工研判的安全事件（關鍵指標：有效事件轉化率）是一個大難題。在對抗時，平臺本身是否能夠提供發揮工作臺的作用也至關重要（現實是平臺處于棄用的狀態）。我們也是在沉淀多年的經驗之后，才能踏入這個領域，幫助客戶解決這方面問題。所以我們并不會去講我們比其他廠商好在哪里，只會強調我們在某些客戶那里確實落地解決問題。

第二個場景是智能化運營，所謂的智能化并不是指通過機器學習或者人工智能算法來做智能化運營，這里的智能化更多的是指自動化。自動化具體指企業在日常安全運營時，會發現每天有大量重復性工作，比如，針對某些漏洞的修復、某些關鍵信息的提取。這些問題，我們會利用自動化編排的功能，讓其變成自動化解決。這樣，企業可以避免重復性勞動和碎片化工作，節約成本和時間。

長久以來，安全行業的難點之一，是如何讓客戶來感知安全產品到底有多安全，能起到什么樣的效果。安全效果如何量化，是讓整個安全行業頭疼的問題。長亭在這方面比較幸運，我們的攻防能力和安服能力在創業初期便得到了業內專家的認可。因為本身是打攻防比賽出身，在早期做服務的過程中，通過安全服務能力，讓客戶感知到長亭的服務能力很強。

記者：在整體能力全面防護方面，長亭科技如何進行體系化產品作戰？

崔勤：如同戰士的鎧甲，單獨的護膝或者頭盔都不能有效防護敵人的攻擊。網絡安全亦然，任何一個單一的安全產品也都無法提供整體全面的防護，尤其在面對復雜多變的網絡安全難題時。多產品、多角度、多方位的聯動產品體系才是構建企業網絡安全“鎧甲”的關鍵因素。

在深耕行業場景實際應用的過程中，長亭深入理解企業需求，看到了安全行業的變化趨勢：企業IT環境越來越復雜，安全開始緊貼業務，以合規驅動的發展，已經不是網絡安全行業的唯一模式，企業前所未有地開始注重實戰效果。產品體系的全面升級，正是長亭將攻防實戰經驗賦能于產品，堅持用創新解法解決企業實際安全問題。

例如，長亭科技已經升級的四款產品：雷池（SafeLine）下一代Web應用防火墻，以當前企業上云為解決場景，利用模塊化底層架構+容器云原生，幫助企業輕松實現上云部署，同時開放的API接口也讓產品聯動更加便捷；牧云（CloudWalker）主機安全管理平臺，以全新的技術架構和智能的安全檢測算法完成新一代管理平臺的蛻變，理論上支持無上限規模的探針讓擴展變得如此簡單，同時也全面支持容器化場景；諦聽（D-Sensor）偽裝欺騙系統，再次以實戰需求為方向，在輕量部署的基礎上增加了靈活編排的能力，更加便捷高效地實現欺騙；洞鑒（X-Ray）安全評估系統，更加深度適配云架構，在云環境下實現多租戶資產風險的無痛管理，為企業的上云“掃清障礙”。

在過去，長亭科技的產品在單點表現上都十分搶眼：IDC硬件WAF中國市場份額報告中位列第四的雷池、單家金融機構覆蓋上萬量級的牧云探針、在2020年攻防實戰演習中大放異彩的諦聽、白帽子掃描利器的洞鑒。未來，長亭科技將更多地從產品矩陣的方向去幫助企業構建產品體系，以整體攻防能力的提升去鍛造網絡安全防護鎧甲。

記者：請您談談對長亭科技安全服務體系的理解和認識。

崔勤：早些年時，很多安全廠商并不是很重視安全服務，原因在于這種服務低毛利率，而且交付成本比較高，因此，服務的內容和形式比較常規和低端，更多的精力用在了賣產品上。但近幾年市場發生了很大變化，客戶對安全服務越發重視，深入市場前線的人員對此感受頗深。由于前期對安全服務的積累較為薄弱，導致很多安全廠商在攻防演練的實戰上，服務質量欠佳，甚至掉隊。在這個過程中，有的企業認識到了該問題，也為此花費了很多精力打造自己的服務團隊，但也有企業沒有認識到，或者認識到了，卻沒有調整過來。

長亭科技早期憑借頂尖的攻防技術，主要服務于高端客戶，例如，滿足客戶對應用滲透測試的需求，幫助客戶發現一些深層次的漏洞。隨著市場的變化發展和攻防演練的重要性日益凸顯，我們的技術優勢越發突出。隨后我們的服務由解決單點問題到幫助企業解決安全建設中的系統性問題，也就是說從網絡架構、監測體系、流程制度等方面著手，快速提升客戶構建自身的安全能力，客戶的整體性解決方法的能力，同時也更加貼近客戶，深入現場，共同面對問題，共同解決。

目前，長亭科技對服務方式和理念有了更深入的了解。其實，很多網安企業的安全能力建設的難點在于看不見和看不清，如果能夠將安全能力定量評估，就能更好地找到安全建設方向。因此，用“度量”和“量化”的思想和方法，可以更好地幫助企業去建設體系化的安全能力。正是由于長亭科技在服務技術、方式、理念等方面的不斷精進，才贏得了客戶的口碑和業界的聲譽。

長亭科技在服務方面的付出和收獲可謂有目共睹，其根本原因在于最早期的創業團隊服務理念高度一致，非常崇尚技術，團隊氛圍較佳，并因此吸引了大批年輕人的加入，人才充沛，團隊服務能力強，即使和阿里、騰訊等業界知名企業的安全研究團隊相比，也毫不遜色，我們也同樣有能力挖掘出類似操作系統和瀏覽器的高級別漏洞，并提出相應的解決方案，同時，我們也十分愿意把這種高級別的解決方案毫無保留地去服務客戶。

記者：結合對網安態勢的研究，請您談談長亭科技未來的規劃和布局。

崔勤：如果在趨勢到來之前，你已經做了與趨勢相符合的事情，那么在這個過程中，你就可以跟著時代的潮流一起前進。長亭科技給出了關于網安領域未來發展的四點預測：第一，一定會出現一款真正好用的綜合分析類產品，長亭科技也正在努力研發這樣的產品，希望能夠成為其中最好的那一個；第二，各種更高級的技術會進一步涌入和落地網絡安全產品，例如，阿里云的Locate-Then-Detect和無明文識別技術；第三，密碼最終會被消滅，身份認證、二次驗證技術終將深入人心；第四，漏洞仍然很多，而且會變得越來越高級，掏出一個通殺腳本就直接Get Shell的時代已經過去。

經過十幾年的發展，企業對于網絡安全的熱情度和需求度都有了很明顯的提升，在安全建設上的投入以及在安全線上的水平也都遠超以往。這樣的現狀對于每個企業而言既是機遇，也是挑戰。長亭科技的方向一直以來非常明確，就是要用“智能”代替“規則”，將攻防實戰發揮到極致，融入產品與服務之中，拒絕閉門造車，占據攻防安全時代的主舞臺。我們的方向是很明確的，國家在政策上也給了非常明確的指引。這條路肯定是要繼續走下去，并且要越做越好。這一點我們還是比較有信心的。