嘶吼专访 | 锐服信联创弓睿智：网络安全新方向——元数据定义安全

当下，流量数据作为人工智能时代最重要的资产，如何积累具有高价值的数据，是全流量溯源分析厂商需要思考的问题。

锐服信作为以全流量起家的安全厂商，从成立之初，就非常重视全流量里面的数据价值，贴合用户业务，利用大数据分析和AI技术，提取全安全要素，拥有挖掘、关联、分析潜在数据的安全技术能力。

随着现在整个企业数字化进程的推进，其全新安全模型检测技术的面世，很有可能成为网络安全技术发展史上一个新的里程碑。

锐服信科技联合创始人  弓睿智

企业数字化转型的业务安全挑战

统筹发展与安全，安全是发展的前提，发展是安全的保障。就网络安全未来的整体发展形势而言，无论是外部监管单位的要求，还是内部业务安全需求的驱动，安全本身的地位会发生翻天覆地的变化，企业也会越来越重视网络安全。

弓睿智认为，数字化转型几乎已经成为所有企业的必选项。企业创新及数字化转型的步伐正在持续加速，黑客攻击的手段也愈趋复杂，破坏着数字经济的基础。企业应重视新趋势并确保做好应对相应挑战的准备：

首先，现实世界与数字世界的界线变得越来越模糊。随着数字化转型的推进，物联网设备在我们日常生活中无处不在，无论是智能家居还是自动驾驶汽车，这些设备都存在黑客可以利用的漏洞。数字时代的数据泄露和其他网络攻击目标是与人们生命息息相关的汽车和建筑等，这样的攻击所产生的影响将更具杀伤力。

其次，人们对数字服务愈发依赖，虽然数字服务带来了便利性，同时也为黑客提供了更多机会进行身份盗用、欺诈和未经授权的数据收集。这些数据对于攻击者来说相当有价值，他们不仅可以在暗网上出售数据，更可以利用相关资料进行鱼叉式网络钓鱼、入侵帐户及电子邮件系统等。

“大胆假设，小心求证”的安全本质

随着数字化转型逐渐加速，企业内网必须更为开放才能满足业务需求。尤其是物联网业务和互联网+业务的发展，使得跨边界的交互频度和复杂度持续增加，纯物理隔离的网络边界已经逐渐消失，而且暴露面越来越大，传统规则匹配式的检测技术，在云边与终端间频繁交互情况下，对隐私泄露、服务操纵和数据篡改攻击难以感知和阻断。例如，隐蔽在正常协议中的协议投毒、中间人劫持后的整体报文数据重发、盗用API接口身份信息的行为、模拟正常用户下业务指令的行为等。

近两年，发生了数宗备受瞩目的网络攻击事故，包括我国西北工业大学遭受境外攻击，窃取师生邮件数据；新西兰证券交易所因黑客攻击而被迫关闭，以及扰乱台湾地区能源公司运营的网络攻击。

弓睿智强调，随着数字化转型及生活模式的推进，多家机构都预测未来几年将出现更大型且大胆的网络攻击。特征库、样本库和威胁情报库等关注“黑特征”的安全检测技术，已经明显跟不上其数字化转型的速度，因为其不能从根本上解决安全问题，而且攻、防的差距还在不断地加大。网络安全建设终将回归于安全的本质：大胆假设、小心求证。

首先要以“非白即黑”的安全理念充分发现线索，其次围绕安全要素进行小心核验。锐服信把完整的这一套检测技术，称之为：白模型技术。

“非白即黑”和“零信任”的理念不谋而合，业务系统有自己的设计理念或者设计思路，在系统里面，不遵循游戏规则的行为，都具有一定的问题。“白”的是正常的业务访问行为，不是样本训练里的正常业务行为，则会判定为“黑”。“黑”是枚举不完的，特征库涵盖不了世界上所有的安全攻击。但是“白”恰恰相反，比如设计一个OA系统，其中有10个角色，每个角色里有30个业务流，可以枚举出来。在技术实践上，锐服信不再局限于研究“黑”，而是研究正常的业务逻辑如何与安全结合。

区别于传统的白名单、白环境，白模型技术是基于全流量采集的元数据，针对业务环境对正常的访问行为进行AI建模，通过元数据定义安全模型。利用安全模型检出的告警数据，再对其对应的全量安全要素进行分析研判，确认该攻击行为是否属于真实攻击。白模型技术具备对业务交互的主动学习能力，并且无法通过规则来描述，感知的灵敏度和准确度随着使用会越用越高。

AI白模型技术的现在与未来

网络安全态势日益严峻，攻击方式日趋隐蔽，未知攻击越来越多，企业所面临的攻击工具可能是从来没有使用过，以及监控视野范围没有看到过的，网络攻击呈现出组织性强、潜伏期长、复合度高的特点。

传统的安全监控设备依赖已配置的特征规则和威胁情报，主要用于已知威胁的检测，且在发现威胁时，已处于网络杀伤链的中后期阶段，如利用、安装、命令与控制、行动等，无法发现潜伏在业务系统内部的未知威胁，及黑客实施攻击前的网络踩点等异常行为，致使网络安全监控存在盲区和滞后性，易被黑客绕过。

AI白模型通过全流量数据采集、提取全量安全要素，建立用户访问行为的安全模型，实现全量用户的异常行为监测，发现现有安全监控设备无法发现的未知威胁，捕捉黑客活动痕迹，在黑客“落刀”前察觉黑客攻击意图，将攻击发现前置到“侦察”阶段。

弓睿智认为，白模型技术应用的终点，远远不止网络安全，业务安全对该技术的需求可能更大。如无人机巡检场景下的白模型技术，可以确保无人机执行任务的可靠性。智慧码头场景下的白模型技术，可以确保不被黑客获取操控权限，攻击现实世界中的目标。电力交易场景下的白模型技术，可以确保不被黑客用于交易洗钱获利。金融场景下的白模型技术，应用在业务系统交付流程的所有阶段，建立反欺诈模型。

企业网络安全建设发展方向

整个企业的网络安全建设，最终会衍生两个方向：一是如何把存在的安全设备效果发挥出来，整合成一个安全体系，而不是加固某个单点；二是发现更多潜伏的重要安全事件，及时处置，及时预防。这两个方向是“一体二面”的关系，一是二的保障，二是一的目标。

从现阶段来看，安全数据的集中管理、数据的精准挖掘和分析以及安全的自动化响应，已经成为了各个企业的安全建设目标。

弓睿智表示，在安全运营方面，锐服信风云安全数字化运营平台包含6大业务方向，分别是资产运营、脆弱性运营、策略运营、事件运营、监管运营和能力运营。需要贴合用户的现状，通过用户现有的检测技术，融合业务特点，以目标为导向，开展定制化的安全运营服务。

全流量包含大部分的安全要素，锐服信从最开始全流量的告警发现、溯源分析到全年安全运营，随着对安全要素的提取与不断补充，安全产品线也越来越丰富。

弓睿智最后表示，未来几年的发力方向有两个方面：一方面，挖掘更多的数据价值，在互联网+、物联网+的大环境下，持续地找到新的业务，结合业务特点，进而提炼安全要素，丰富到整个算法模型之中，为企业业务数字化转型保驾护航。

另一方面，在服务保障交付上，结合用户现状提供定制化的安全运营解决方案，帮助用户实现所有安全数据的集中管理以及安全风险的预警、处置，不断提高安全运营效率。

人物简介：

弓睿智，锐服信科技联合创始人，拥有十多年网络安全、运维的从业经验，具备丰富的产品规划、体系建设经验。参加电力、交通、建筑、铁路、金融等多个行业和集团客户的安全体系和安全项目建设实施、安全课题研究，在安全+AI、安全+业务、安全+生产等数字化安全运营的新兴发展领域有丰富的经验和成果。目前聚焦于助力企业的安全业务数字化转型，在安全数据治理、数据价值挖掘、数据安全保障等相关方向的产品规划、开发架构设计及交付运营。致力于持续使用创新性技术，在复杂多变的业务场景下提供全栈一体化、系统化的安全数字化解决方案，为客户的数字化转型保驾护航。