如果认为一件事是正确的,但从来没有人做过,你会去做吗?
如果验证一个判断,可能要花5年时间,你会坚持吗?
本期老谭煮酒会英雄的主角是来自工业互联网安全企业齐安科技的创始人阮涛,他发明了一款网络安全新品类:工业运维接入安全,并通过4年时间把它变为了合规产品,他的经历会给我们一些答案。
老谭:大家好,我是谭晓生。今天很荣幸请到齐安科技阮涛总来到老谭煮酒会英雄的现场。我们首先问一下阮总,齐安科技是怎么定位的?
外部运维人员导致电力瘫痪!
“运维接入安全”的故事,
从客户现场拉开了序章。
老谭:过去几年工业互联网安全赛道成长是比较快的,国家也在大力扶持。您讲的“运维接入安全”这个观点还是比较奇特的,因为在过去的工控安全里面,工控防火墙、工控IDS、工控白名单、工控态势感知等等这些是我们常规见到的产品。运维接入安全是怎么一回儿事?
阮涛:工业互联网的信息系统在需要运维时,系统服务商从外部进入内部执行运维相关操作,很容易引发各种未知的安全问题。我们通过全方位深入理解运维全环节,提出了事前认证、事中管控、事后溯源的全流程运维安全管控技术手段,在不改变运维习惯、不干扰业务的前提下,实现运维的全流程管控;透明、安全地保障工业系统的运维安全。
选择做这个产品方向也源于我本身的经历,我参与了国内第一批工业网络安全的创业……
老谭:您过去在浙大中控,然后是匡恩,之后又在安恒工作过一段时间。
阮涛:对,相当于我经历了三个完全不同的视角:工控的视角、工控安全黄埔军校的视角、传统网络安全上市公司的视角。
这几年我们看到,工业防火墙这一系列的单一产品,更多针对的是工业企业里面的信息中心/信息部,这些IT部门跟自控部、仪表部本质的思想角度是不一样的。我们发现,可能有 90%以上工业现场级的问题不是来自外部攻击,而是来源于运维。外部人员进入到内部执行运维相关的操作,这个过程中不可预知的风险很大,特别是在工业控制系统的这种场景。
老谭:这让我想起了2010年的震网病毒,似乎就有一条攻击路径是从运维终端进去的。
阮涛:对。震网事件就是我们说的U盘接入。一般工业单位对内网的安全考量做得非常多,内网通常是比较安全的,但是外部进入的路径往往没有全方位的管控流程。这点我在跟电力、铁路的客户沟通的时候,发现很有共鸣。我们和客户都看到在这方面是有欠缺的,所以齐安从2018年开始从电力行业开始实践,最后一步一步走出来。
老谭:也就是在18年3月份公司创立一开始就盯准了这个方向是吧?
阮涛:当时我也想了很多,经过一段时间对这个行业深入的思考之后,我们决定去做。
老谭:很感兴趣您当时的心路历程。
阮涛:最初我们核心检测团队的班底是匡恩杭州的检测研发中心出来的。我们知道做事情分为“发现问题”和“解决问题”,检测研发中心代表的就是发现问题,所以我们一开始更多的是在帮客户找到问题、发现问题。
2018年某电力单位发生了一个安全事件,这个事件带入我进入了“接入安全”这个场景。
当时因为我们检测能力很强,客户找我们去做应急响应。到那客户说出现了问题,但谁都不知道问题源头,我们采取了很多方式,甚至调了摄像头,最终通过各种调查、反推,发现是在前一天晚上运维人员进入之后出现的问题。所以我们从那个时候就开始分析,是不是运维才是那个最重要的场景。
我们帮用户解决完问题后,用户告诉我们关于运维真的很让他们头疼。“真的是特别特别难受”,客户说,“运维人员在运维的时候我得一直盯着,他在那噼里啪啦敲了一两个小时,我也不是安全专业人士,都不知道他在干什么。结果他一走就出事了,事后运维不承认,我们也没有证据能证明是运维导致的问题。”
可以看出在这个边界上,用户很痛苦,甚至于当时我们跟客户走访了一些现场的网络,现场竟然有运维人员边挂着QQ边运维。
老谭:直接和互联网打通了?
阮涛:没错,但这其实在内部管理里面是不允许的,运维的人员往往会为了方便,去违规操作。所以你能看到在运维这个场景里面有很多的未知,甚至于曾经在某一个电力场景出现过这么一个情况,运维人员过来一顿操作猛如虎,敲了个回车,带动了一群设备唤醒,导致用电量一下子加剧,整个现场断电跳闸了。再严重一点可能导致整个片区的停电,这个就很可怕。
人迹罕至的半市场起步艰难
靠满足用户本质诉求打开了一片天地
锁定电力行业深入下沉
老谭:但在您刚开始创业的时候,运维的接入安全还不是算是一个已有的安全产品品类,也不在用户的采购的目录里面,可以预想当时起步会是很艰难的。
阮涛:非常艰难。我是做工业出身的,也许做工业的人往往会对某件事情有长时间投入的执着。所以既然做工业网络安全,它不是互联网,我们不要去追求爆发,而是沉下心来好好的去了解这个行业,了解用户本质的诉求和需求,能不能真正解决客户的问题。所以我们其实心里早有预期,当时考虑可能会花5年时间吧。
老谭:一开始就做好了充分的思想准备,就打算要慢。
阮涛:对,慢,就是要沉下去,我们内部定义叫行业下沉。就是摒弃掉其他的点,在一个领域沉下去,外面的一些我们都不去管,一定要一心一意搞明白整个运维过程是怎么做的?用什么协议?整个运维的方式是什么?整个交互是什么?甚至要不要跟内部系统做交互……所有的点我们必须了解清楚,而且要判别是不是这样的运维场景在大量的用户场景里是可行的。
老谭:可是当你沉到某个行业中去的时候,也就意味着你可能对于其他的行业的通用性就会变差。
阮涛:没错。
老谭:像工控安全产品,工业防火墙、工业IPS、工业IDS、白名单等等这些都有比较强的通用性,它可以卖多个行业,您是把自己限制在了一个特定的行业之内。
阮涛:是的。
老谭:那在行业选择的时候您是怎么选的?
阮涛:我们在行业选择上有几个要点,第一,安全意识非常高,这个行业本身内部对安全的理解要是非常到位的。第二,未来我们一定要做跨行业,这个行业在其他行业的面前的等级要高,要有标杆价值。有了这两点的思考,再加上一些实际的契机,最终我们选择了电力行业。
老谭:而且电力也有一个特点,就是咱们中国的电力系统在全世界是非常领先的。
运维人员→神奇盒子→被运维对象
运维全流程管控
五年计划提前完成
老谭:那么咱们在做的运维接入安全,产品形态具体什么样?
阮涛:我们做了一个很小的小盒子,大概是A4纸的大小,有点像一个工业PAD,因为它是带屏幕的,重量不超过两千克。我们在电力系统里面完成了整个列装过程,列装过程对产品大小有明确的要求。
老谭:一个小方盒子,像一台合起来的笔记本大小,表面上有屏。
阮涛:对的。我们要考虑到很多的特殊场景,比如说运维的过程中,不一定有供电能力,所以自带的电池必须工作要超三四个小时以上;考虑到它需要移动,所以必须很便捷,材质要防摔。包括在电力里面可能会有些电磁兼容的需求,所以像网口等必须经过浪涌测试才能够正式上线。
在部署上我们不能改变运维人员的运维习惯,只是不允许他直接接入被运维对象,而是从我这边接入,所有的一切都会经过我们。但是在这个过程中,不影响他的工作效率、不去干扰整个业务,他感觉不到我们的存在,但其实我们已经做到了对整个运维的全流程管控,并且我们做了很多功能,保证让业务更通顺、更流畅。
老谭:您刚开始的时候是打算 5年左右的时间做成这件事儿,那么到现在发展的脉络和当初预测的5年有什么差异吗?
阮涛:应该说我们很幸运提前完成了战略部署,并且由1到N,形成了运维接入安全的产品体系。其实当你进入了一个行业以后,行业会推动你做更多的设计和考量。
最开始我们发现运维的过程中,运维人员会拿着相关的工具接入,这个时候我们第一款产品就出来了,叫便携式运维网关。
后来我们发现有一些人不一定拿着工具,有可能直接在运维现场的计算机上执行运维,这时就有了第二款产品:后台主机运维,是以软件的形式旁路接入到后台主机运维系统里面执行整个监管。
然后我们又发现,运维人员在主机运维的过程中不可能直接在主机上编码,他往往会带入一个文件,或者是用要拷录用的U盘往后台主机拷贝内容,所以我们针对移动介质的安全运维做了外接入口。
老谭:这个是做一个U盘桥接的东西。
阮涛:对的,我们慢慢地在运维这个场景解决了很多问题:用特殊工具,我们叫做设备接入;人进来,我们叫人的接入;第三还有文件的接入……慢慢发现,我们所有的接入场景已经成体系化了。而且最终所有数据都会回归到平台系统,我们可以去管理这些运维,所以管理型的运维平台也诞生了。
我们现在在整个运维体系里面分为三大类,一类叫外部接入,第二类叫内生接入,第三类叫管理接入,形成了我们运维安全接入的整个产品体系。
在接入方式上我们在工业现场已经几乎把所有可出现的设备接入方式都打通了。有网络接入;总线型接入,我们叫串行总线;有USB接入;还有kvm视频流接入。
到后面其实不是我们自己去思考,而是行业给我们反哺,推着我们往前走。
老谭:也就等于你们发明了运维安全接入的这类产品,最终用户接受了这个概念,反过来再推着你们去建立行业的运维操作的规范,是吧?
阮涛:对,我们很幸运在整个电力大体系下,完成了产品列装的过程,并且这个产品到目前已经成为了整个全国变电站的一个标类产品,这个结果比我原先预计时间提前完成。
老谭:去年就已经做到了是吧?4年时间。
了不起!
创新产品变为合规产品
化网络安全为业务安全
老谭:在过去的4年里,齐安把一款创新的产品变成了一款合规类的产品,一旦是合规类的产品,就可以形成规模化的销售。
阮涛:没错。它变成了行业属性里的一个标准化的产品,并且我们这个产品更融合于业务。每发生一次运维,就必须要使用我们的产品一次,而不是说它是一个可有可无的产品。
纵观行业,安全产品往往是放在业务之后的,业务先考量,再考虑安全,从业网络安全行业这么多年,这在心理上也是比较让人难受的一个点。
在齐安创业的时候,就一直在考虑这个问题,怎么来能够让被动变得相对主动。所以我们有句话叫做“化网络安全为业务安全“,能不能与业务更紧绑?我们找寻到了工业网络安全业务的底层逻辑在控制,解决控制最大的问题在运维。所以运维是它核心业务,而我们已经捆在它业务里了,运维发生一次,我们就要被使用一次, “化网络安全为业务安全“就逐渐成立了。
老谭:这个很了不起,网络安全200多种安全产品,历史上真正能够发明一种安全产品的企业其实是很少的。你们不但发明了这一款产品,然后又让它变成了合规类的产品。那么,除了电力这个行业之外,工业控制系统的运维里面也有其他很多行业也有这种需求,现在有横向的扩展吗?
阮涛:有的,发展的最初我们要专注,因为资源是有限的,如果最初就开始发散,就不一定能找到机会转折点。但发展到一定规模后,我们从去年(2022年)开始去思考横向复制的事情,也定义了自己的第二个阶段目标:从22年到25年这4年时间,要做2~3个样板点的复制。
大咖讨论
把IT安全设备用于工控安全
对?还是不对?
老谭:想跟您探讨一个问题。工业互联网安全领域一直有一个争论,把IT安全的设备挪到工控安全里面,这个事儿到底是对还是不对?
阮涛:我觉得从技术的本身来讲是没问题的,所有的技术分为两类,发现问题和解决问题,衍生到安全就是检测技术和防护技术。一些IT的应用运用到工业里面来,其实是没有问题的。
老谭:但是我觉得会有问题。比如IT环境中对于误拦容忍度其实是比较高的,你访问个网页,收个邮件,被拦一下,再重试就可以了。但是工控是个Mission Critical的环境,一炉钢水正在车上吊着运行,一旦说来了个信号被认为是攻击,万一误拦,设备就停在这儿,业务就无法进行了。
阮涛:没错。我们拿检测举例,检测无论在IT还是在工控,这个方向是没问题的,但两个环境检测的方式就要不一样。在工控现场要做无损检测,在IT环境我们更希望提高检测的效率。
那么工业现场怎么做检测?尤其是24小时运行的这种,你不要影响业务,把自己带入场景,伪装成一台上位机,只要这个工业系统环境是健壮的,一台上位机的网络崩掉了是不会干扰业务进行的。而本身就不健壮的系统,肯定是无法进行任何安全业务的引入的,应当先健全系统本身。
老谭:这么说的话,工控防火墙或者工控IPS到底算不算无损呢?
阮涛:首先审计类、IDS类设备,因为是旁路的所以无所谓。工业防火墙哪怕到现在,我认为它只能做到在工业的边界。内部的边界,尤其是上位机系统跟下层控制系统, PLC也好,或DCS系统之间这些环节也好去接工业防火墙,目前还是完全做不到。
老谭:这个现实也是,现在部署工业防火墙很少有开拦截的。
阮涛:是的。所以如何避免造成误伤确实是做工业网络安全的厂商应该去思考的。目前防火墙是一个合规类产品,但合规类产品是不是能真正带来价值,也是所有厂商要一起来思考的话题。
老谭:感觉齐安真的是很特殊的一家公司,就做运维的安全接入这一类产品。虽然这类产品按照用户的应用场景有不同的产品的形态,但是你其实做的很垂直。这个有点像西方的安全公司,它往往是做一个垂类就能够做得很大。
但是在最近几年我们也看到,西方的安全公司也开始出现了平台类的趋势,比如像Palo Alto Networks,Crowdstrike这几个明星公司推出来越来越多平台类的产品,他能够去兼容自己的若干种产品共同去解决用户的一个问题,你觉得在工业互联网安全领域内,会不会出现这样的趋势呢?
阮涛:我觉得是会的,包括我们自己现在在电力里面也在做另外一款产品“远程一体化运维系统”,这款产品可能未来又会成为一个爆款。
老谭:你也做平台了?
阮涛:对,没错。设想一下运维人员到了工业现场,要接我们的设备,我们设备再接到运维对象上。如果把接入运维对象的线无限拉长,拉到调度中心,我们的远程一体化系统就成立了。
对事业的责任
对人的责任
成就了齐安坚如磐石的团队
老谭:阮总您怎么评价自己?
阮涛:在齐安的创业过程中,我们把责任看得很重,5年间齐安的骨干成员没有一个人离开。
老谭:您靠什么样的特质把大家吸引在一起奋斗5年时间,甚至未来更长的时间?
阮涛:我认为也是责任。一方面首先大家都有对这个业务方向、对国家工控安全的一份责任。第二我对这些兄弟们也有责任,他们愿意跟我坚持到现在,是因为他们觉得未来跟着我,我一定是不会坑他们的。在连续创业的过程中,我们看到了很多家公司的失败原因可能就是在一段时间内公司自己内部的合伙人之间出了问题,而我们内部的价值观是志同道合,价值共享。价值一方面是经济,一方面是理想。
我们希望齐安为大家提供的是一个平台,加入了齐安,我们一定会把他当做齐安的一份子去考量,所以我们也希望更多的有志之士加入我们,秉承着 “让工业更安全,让安全更简单“的愿景,带着这份责任走下去。
老谭:谢谢,非常精彩。
评论