谭晓生对话金睛云华胡文友：用AI点亮XDR的未来

admin

988
文章

2
评论

2022年11月22日11:27:58 评论

“我们判断，AI+SaaS化是XDR的未来。”

——金睛云华胡文友

谭晓生对话金睛云华胡文友：用AI点亮XDR的未来

AI技术是连接了数字世界过去、现在和未来的核心技术，多少年来关于AI的讨论与研究一直没有停歇，业界存在很多不同的意见和思考讨论。

北京金睛云华科技有限公司是从成立开始就践行“AI驱动安全”的一家网络安全企业，他们致力于通过AI技术为用户打造更有效、更便捷、更长远的安全解决方案。今天，北京赛博英杰科技有限公司董事长谭晓生与金睛云华联合创始人、副总裁胡文友（江湖人称老胡）面对面坐谈，为我们解答AI技术在网络安全领域如何落地的困惑。

胡文友，金睛云华联合创始人&副总裁，启明星辰天清汉马防火墙第一任产品经理，华为赛门铁克中国区安全行销第一人，华为与建行战略合作安全领域总体技术负责人，华为与海关总署战略合作安全领域总体技术负责人，北京市公安局&北京市国资委特聘“网安护城河”工程授课专家，北京信息科技大学研究生院特聘“计算机技术专业学位硕士研究生”校外兼职指导教师，兰州大学特聘专业学位研究生行业导师。

谭晓生：金睛云华前不久获得了腾讯举办的首届数字安全创新大赛季军，在深信服的湾区创见网络安全大会上的竞赛还获得了冠军，你觉得金睛云华有什么样的新概念打动了投资人、评委？

胡文友：我们原来在安全圈里参加的大赛比较多，也拿过很多奖项，这次腾讯数字安全创新大赛我们一开始是没想参加的，觉得应该把主要的精力放在业务上，后面派了售前技术负责人去参加了这个比赛。

比赛那天我也站在听众的视角上去听了一下，发现专家和评委实际上对我们“基于AI和NDR/XDR”的核心技术和产品非常感兴趣。

在我们看来，无论是NDR、EDR还是XDR，未来的核心就是AI，我们将AI技术应用于XDR解决方案中，并具备多项核心专利技术，这是大家比较认可的点。

谭晓生：XDR确实是一个很热的概念，但金睛云华被大家所熟知是从NTA产品、网络流量分析开始的，这之间是如何转变的？

胡文友：大家对我们NTA和NDR的产品印象特别深刻，这可能造成一种误解是我们只做这个。实际上金睛云华从2016年成立的时候，我们就有NDR、EDR和MDR的解决方案。只是当时我们作为一个初创公司，如果在全线产品上去投入资金和人力是不太现实的，所以当时选择了NDR作为重点去深入，而EDR是把它做成了一个主机威胁检测和取证的小工具，叫HTD（主机威胁取证系统）。其应用场景为：当NDR从网络流量检测到受控主机时，特别是恶意加密流量、隐蔽隧道、C&C通信等，HTD工具以优盘形态&零侵入方式记录该主机的进程通信行为，进而通过关联分析技术将流量威胁与主机进程关联，实现主机威胁取证功能。

HTD工具的初衷是想做一个主机威胁取证工具，配合基于大数据的安全分析平台产品CIC实现主机威胁取证。这有别于传统的SIEM和SOC，它们主要是采集分析第三方日志，相当于发现威胁时，你只能看到一个“罪名”，无法看到对应的“证据”和“犯罪现场”，就没有办法进行分析和研判。而我们希望无论NDR还是EDR不单单是把检测的“罪名”报上来，对应的“证据”甚至“犯罪现场”都要保留下来，既要有全流量的采集，也需要采集主机进程/程序的网络行为数据。

HTD是我们最早做的EDR的工具，会赠送给客户，并不直接卖给客户。

谭晓生：金睛云华凭什么能做好XDR产品？技术壁垒是什么？怎么在这个热度很高的市场中脱颖出来？

胡文友：我们的特色是AI驱动安全。首先我们来回顾一下AI在网络安全领域的应用，起初传统网络安全的基石就是特征签名，特征签名一般就是一个公司的小团队在做，他要对抗全球的攻击者。通常一个成熟的、相对准确的特征签名的完成需要三个月左右，这个效率显然是不够的。

后来又出现了威胁情报，很多公司特别是国内做威胁情报的安全公司都称自己是利用威胁情报去对抗网络威胁。威胁情报其实有两个特点，一个是时效性，一个是准确性，这两点如何保证？很多做威胁情报的创业公司是通过购买、爬取来获取情报，通过自动化的筛选过滤，最终获得相对准确的情报来进行订阅销售。这种模式中他们实际上是情报的加工者，不是生产者，由于情报源的质量不可控，导致加工过程不可控，时效性和准确性这两个问题都没有解决好。

国外像Crowd Strike这种EDR/NDR/XDR做的好的公司在切入赛道的时候，你会发现他们宣称自己有2个特性，一个是AI，一个是SaaS（security-as-a-service，安全即服务），无论是美国还是以色列，基本在国外这个理念大家已经很一致了。Crowd Strike最核心的能力是什么？其实就是数据运营，其过程大致包括数据自动标注（以AI检测模型为基础的各类威胁检测技术）、安全运营人工校准（安全服务）、AI检测模型持续迭代、AI模型自动更新，进而实现了检测能力自动进化，这也是Crowd Strike宣传的亮点。通过数据运营生成的威胁情报，无论是实效性和准确性都能够满足实用的需求。

Crowd Strike现在的一些宣传材料一直强调能力进化，一直在提AI和SaaS。我们不妨琢磨一下，特征签名这种技术一定不是未来，那么人工智能是不是未来呢？Crowd Strike在短短的几年时间内成为了全球市值最高的安全公司，把赛门铁克和迈克菲都碾压掉了，从某种角度来看，是AI技术的先进性和可用价值获得了证明。

SaaS化安全服务的商业模式本身是用服务团队依靠一个安全运营平台给用户提供服务，提供服务的过程就是威胁数据筛选和标注过程，把确切攻击成功的威胁信息提供给客户，安全服务本质是靠人来筛选威胁数据，标注好威胁数据，通过大量的SaaS服务提供给更多的客户，服务的客户越多，精准标注的数据规模就越大，通过AI技术进行7×24小时的模型迭代训练，整个数据运营就打通了。AI模型从这个角度看已经不是技术问题，而是数据运营问题、一个迭代的问题、一个AI模型增量训练的问题。

通过SaaS化安全服务和AI技术把数据闭环打通之后，检测能力越来越强，数据检测越来越精准，生成的情报也越来越精准，确定性和时效性都得到了保证。

所以我们的判断是AI+SaaS化是XDR的未来。

这是基于趋势的判断，对于金睛云华来说，我们过去以NTA/NDR作为切入点，然后利用人工智能方法再来分析过去的这些流量，在技术上、数据上我们都有了很多的积累，我们也做APT，对高级威胁和定向攻击也很熟悉，基于这些积累和能力，结合更多的数据源，金睛云华能够实现基于AI+SaaS的XDR解决方案。

谭晓生：你们现在给客户提供的XDR是什么样的形式或者形态？

胡文友：我们提供整体XDR的解决方案，里面包括EDR和NDR。

谭晓生：嗯。我说说我的一个体会。IDPR这几个步骤在过去的这些年有所变化，最早的时候讲Protection，就是说要防住；到2013-2014年的阶段发现光防是防不住的，就有了各种各样的Detect，包括基于大数据检测技术得到了很快的发展，各种各样的Anomaly Detection异常检测的东西就都出来了；过了几年又开始讲Protect和Response，因为检测出来之后最终还是要防住和响应。所以说网络安全要解决的核心问题是在不断发展和偏移的，是一条曲线。

AI在国内的落地其实是比较慢的，主要原因还是存在误报率的问题，但这是AI技术所带来的一个特性，但我认为这并不影响它被当做一种助力生产力提高工具的价值。

胡文友：是的，AI它不像传统特征检测、威胁情报或者基于大数据的异常检测，它比较容易很快的见到效果。但的确存在误报和取证问题，在人工智能领域也被称为AI模型的泛化性和可解释性。我们认为人工智能代表着安全未来，因此一直在这方面进行深度投入，近几年也获得了大量的核心专利，例如恶意加密流量检测专利、隐蔽隧道检测专利、PB级数据秒内检索专利、高性能引擎处理专利等，同时也拿到了国际权威评测机构西海岸实验室的能力评测报告，这些发明专利和测试报告是货真价实的技术能力体现。

谭晓生：金睛云华现在业务主要是哪几大部分？各业务收入的占比大概是多少？

胡文友：之前我们80%以上的收入都是来自于NDR类传感器和MDR类平台产品的收入，今年发布了HW一体机产品和全流量滚动存储产品TRS。对于HW一体机，是把NDR的威胁检测、全流量溯源取证、蜜罐、大数据分析平台四个产品集成到了一个2U的设备里，将4个产品底层数据打通，解决用户在实网攻防演练场景中的痛点需求。TRS，全流量滚动存储系统，TRS产品的设计目标是为检测类、审计类、安全运营类产品提供低成本的全流量威胁取证支持。该产品可提供全包存储、威胁溯源，通过缓存模式和永久模式确保所有与威胁相关的流量都被长时间存储，与威胁无关的流量在超过缓存时间后将被删除，使得TRS产品具备极高的处理能力和较低的拥有成本。此外，为了布局SaaS安全服务，我们开拓了另一个业务重点，AISecOps，形成检测能力、产品和运营服务的闭环，实现数据运营的目标。

今年年初我们生产了37套HW一体机，销售和客户沟通之后报上来了100多套需求，我们也经过了筛选，最初的37套也是上来就被一扫而空了。

谭晓生：可以详细介绍一下这个产品么？

胡文友：金睛云华HW一体机主要可以看做是三个探针加一个平台，平台是我们的大数据安全分析平台，数据送到平台上后，各部分开始联动。我用蜜罐举例，HW期间蜜罐诱捕到的基本上都是很明确的攻击者，但是很多情况下只能诱捕到一部分，因为现在蜜罐很容易被攻击者发现是蜜罐，指纹其实很明显（各家其实都一样）。但是只要有一个线索，这个线索到我们高级威胁检测系统里和全流量威胁取证系统里联动查询，过去时段攻击者的所有攻击行为全都能够关联出来，蜜罐的检测能力得到了极大的扩展。如果检测技术出现漏报，全流量威胁取证系统里原始流量全量留存，我们能把攻击者的整个入侵过程全录下来，然后一点点的去人工梳理，提供一个很完备的抓手，这就是我们说的HW三板斧，这三种功能模块联动起来效果特别好。

谭晓生：你的HW一体机，在攻防演练中主要解决客户的什么问题，实际的使用效果怎么样？

胡文友：近些年攻防演练规则不断变化，得分要求越来越严格了，在不认可单一证据的情况下，防守方需要提供确凿的证据，溯源完整攻击链，并且反制攻击方主机才能得到相应加分。现实情况是，传统的安全产品漏报、误报严重，每天产生大量的告警，导致分析效率很低。很难协助这些防守方对攻击者进行取证和溯源。这是我们观察到的近些年参加攻防演练的客户核心痛点。针对这些传统安全产品检测能力的痛点问题，我们推出了HW一体机，将威胁检测、全流量取证、诱骗跟踪、溯源反制这些功能融合起来，实现攻击链条管理一体化的能力，既能满足评分规则，也能帮助防守方获得好成绩。

今年HW期间某央企单位的OA服务器遭到400多次爆破攻击，客户通过我们的HW一体机第一时间看到告警，进一步分析确认了攻击路径，通过一体机里的全流量威胁取证系统进行流量回放溯源确认了攻击证据，相关负责人及时处置了威胁。整个事件从检测到处置短时间就解决了，又准又快，客户直夸奖“真好使”。

谭晓生：刚刚提到金睛云华的新业务重点是AISecOps，这个业务和你们的XDR和AI技术之间是什么关系？

胡文友：我们整个业务模式是哑铃式结构，就像哑铃的两端，一端是XDR解决方案以及产品矩阵，另一端是AISecOps，中间的链接是我们的AI技术。两端的业务互相促进紧密相连，XDR产品能力越强，平台能力越强，服务团队的支持能力就越好。基于平台的AISecOps服务就会更好。最终，金睛云华打造出完备的数据运营闭环体系。AISecOps业务刚刚开始规划和初步投入，后续计划利用融资加大该领域的投入。把AISecOps业务模式打通是我们必须要做的事情，如果不打通，无论XDR你投入多大，如果没有通过运营把XDR的能力充分的利用起来，那么真正有效的XDR是做不成的，无非是又复制了传统的SOC和SIEM这种数据孤岛的模式。

谭晓生：OK，那你们AISecOps业务的目标客户是哪些？

胡文友：目标客户是公有云的租户。我们也思考过在这个场景中金睛云华的机会在哪里。我们分析了公有云业务，发现了公有云有个很有意思的东西叫云安全责任共担模型。比如说公有云IaaS和PaaS这种服务是公有云厂商要做的事情，那么谁去帮用户分担安全责任？公有云团队一般来说是不会在这方面投入很多的，比如说阿里云，人均营收平均700多万，如果你让他们去给你做这部分工作需要支付多少费用？但这对于安全公司来说却是一个很好的机会，当然也不是所有安全公司都有能力做。实际上公有云厂商也期望在公有云网络安全功能上与我们达成合作，他们期待看到有公司能覆盖这部分工作，从而提升他们的产品整体能力和用户粘性。

比如亚马逊AWS2021年开启了一个叫MSSP合作伙伴计划，托管安全运营提供商计划，来解决这个问题，当年开放整个流量镜像接口，让MSSP合作伙伴提供流量和终端分析能力，提供合规、等保、配置管理等服务。

谭晓生：你是指CSPM那个市场吗？

胡文友：是的，CSPM是AISecOps业务的核心能力。

谭晓生：金睛云华频繁参加圈里的一些创新比赛，也拿了不少的奖项，是为了吸引投资吗？

胡文友：实话讲，金睛云华成立的前四年一直是没有市场销售团队的，参加了这么多业内的活动主要想多做做宣传，我们是一家以产品技术为主导的公司，创业初期尽可能的聚焦核心技术研发上。目前我们参加的类似于腾讯数字创新大赛这种活动，也是希望通过这种方式，让更多客户，当然也包括投资人及其他伙伴能够听到我们的声音，对我们的市场销售和融资肯定是有帮助的。

谭晓生：未来在产品定位和销售模式上有什么计划和打算？

胡文友：金睛云华创立之初，就一直致力于成为以“AI驱动安全”为核心理念的新一代网络安全产品与服务提供商。这一点非常明确，从一开始就是这么定位的。在核心业务方面一个是XDR解决方案，另外一个重点就是AISecOps，是我们两个主营业务。

在销售模式上，金睛云华成立的前几年主要以OEM为主。去年3月份才开始组建自己的销售团队，聚焦重点行业的头部客户，作标杆案例，建设样板点，实现重点行业的市场入围，然后通过合作伙伴进行全国推广复制。因此，我们的销售模式是以渠道为主，直销为辅。