9月24日，亚太信息安全领域最权威的年度峰会——2014中国互联网安全大会（ISC 2014）在北京国家会议中心召开。在9月25日下午举行的闭幕主题演讲上，FireEye前首席安全内容官弓峰敏做了《来自硅谷的互联网创新与安全技术趋势》的主题演讲，下面是演讲实录：

我想跟大家分享的是我会从一个创业公司去看，要解决安全问题，开始的时候说什么样的工资才有竞争力，我把这个作为起始点跟大家共享，接着我会和大家一起看一看如果解决企业的安全问题，我们应该有什么样的思路的框架才能做出来一个创新性的产品，在此基础上我会跟大家共享一下我看到的在安全领域大家认为都是一些热点的词汇，算是一些新的技术，但是我的目标是说从使用的角度解读这个事情，希望大家听完以后跟大家再沟通。

有一点很重要，我认为作为一个厂家我们要做产品，我们要有竞争力才能去做更多更好的产品，获得更多的客户，这时候可持续的竞争力一定要有自己可持续的创新作为后盾，这是第一点。第二点，我们要去看一个企业的安全产品的时候，要有一个什么样的思路或者是框架看这个产品怎么做到有竞争力的和创新精神的。第三是解读有一组具体的热的技术的词汇。

最后我会简短地跟大家分享一下现在所在的公司的架构，我希望让大家看到起码这个作为一个例子，我利用了思路的框架来指导这样一个产品的开发，希望大家能够更好地理解这个事情。

大家都知道硅谷，这是世界闻名的，一定是高科技和技术的中心。有很多参数可以说，我这里举了一个很简单的，比如说看到风险投资，他们一直在做一些调查，他们跟踪我们18个不同的地域作为风险投资，在这个地域里可以看到如果2014年二季度整个新的创业公司的投资总额是129.6亿美元的价格，但有70多亿美元都在硅谷，尽管是1/18的地域可是占所有全部投资总量的54%。

硅谷有很多成功的创业公司，有很多公司也很大，但并不意味着在硅谷有这样的公司土壤很肥沃就可能成功，这是有一个误解的，所以创业的竞争是非常之激烈的。每成功一个创业公司就有九个创业公司悄悄地死掉了，死掉的原因很多，其中是对创新的认知以及把创新如何在工作中实现是有缺陷的，这是比较概括的概念，不只是技术的，包括怎么运作和理解用户的需求，所以这样的一个公司一定要保持饥饿的状态，一定要不断地创新才能保证他生存的最大可能性。

大家会问大的公司会怎么样？思科、包括赛门铁克、Juniper这样的公司还有雅虎，他们都在不同程度上出现了困难，或者他们要以减员的形式或者是要开除老总换一个，很大一部分原因是跟他们公司怎么样保证能不断地创新不断地有竞争里，所以可能是有关的，也可能是对用户新的需求的认知的问题，但总而言之大并不完全是优势。我也看到了前一阵子大家说的在国内也是类似情况的，比如说长江后浪推前浪。可是硅谷的状态下，大的公司有很多优秀的东西，怎么样保证他不断地发展。

我们已经讲到了创新的话题，其中很重要的一点是从各个方面、技术上，对用户的认知各个方面要把它放在一个框架底下反映在如何做资金的利用，以及日常的投入。实际上有6个主要的不同的参数，因为在美国有这样的机构，从专业的机构和有关发展的机构会总结这样的事情，这也是比较有意思的。

6个重要的指标是什么？第一是这个公司有没有一个具体的方案或者是策略关于创新的策略，你一直要保持创新。第二，这个创新的策略和公司的业务是不是有一定的协调性和一致性，因为毕竟来说作为一个公司运作会有很多的方法，但这个创新在公司运作上怎么样体现。

第三点是创新的文化，我们可以举很多不同的例子，很简单的例子是在公司里面有没有给员工一定的认知公司目标的前提下，给他很多主动地做一些事情的空间。也有一个想法不管他是谁，有一个渠道能够把这个想法想办法反馈给他们，有一个付诸实际的行动。还有这个公司是注重代码还是说注重这个人才和他的能力，这可能是一个很明显的例子。第二是说创新的策略是什么？其中一个策略到目前来说还是认为比较成功的，你的公司是不断地主动地搜寻甚至是预期你的客户的需求，这就意味着你有可能走在需求的前面，这样的话才能把一个有用的工具和产品做出来给用户用。另外不是一个间接的指数，但是是相关的你去看负责技术的领军人物是不是直接在公司高层的管理机构中，是不是直接报告给公司的老总，最后公司有没有一套方案保证持续地能把你的人才和核心的能力加固。因为这个表是列的，他们调查了很多的公司，是在硅谷和非硅谷之间来比的，发现哪一项指标硅谷的公司在这做得都很好，这也是硅谷成功的重要原因。

这是我说的做决策的大的框架，我们用的例子仅仅是假如要做安全的产品，可能是服务，也可能是一个盒子，我们要做这样的产品，怎么思考我做的产品是能够有用的、创新的价值在里面的？首先有三个不同的维度或者是因素要考虑。第一个显然是业务在不同行业的演进，因为对演进的理解才能预期业务对安全的需求。第二个是IT和基础设施的演进，因为做一个方案和产品要用的时候一定要在公司的环境下才能适用，所以为什么IT的演进是第二个维度。第三个维度我们都在讲安全，一定要理解安全的威胁从技术上是怎么演进的。结合起来是第一是一个问题，如果我们搞安全攻击或者要防范的目标是什么？这三个方面都会有关系地。

第四个方面也是非常重要的不容忽视的，因为很多公司失败的原因是在这四个方面没有意识到。前面三个方面可能是有一点客观的，但如果看第四个方面有一点点重复的角度和主管的因素，但要设身处地为用户想，你要理解你的客户群他们对安全问题的认知是什么，因为他们对这个问题的认知会决定有没有这个问题，这样的话这是一个大的框架怎么思考安全的问题，怎么样保证做出来是有用的创新。

大家听到了很多报道，还不包括最近刚刚发生卖家具的公司发生的漏洞，他们有5600万的银行卡的信息都被泄漏了。这反映在各个方面，关键信用的丢失到生命的损害，我们要是看这样的现状作为一个例子，用户的视角是怎样的改变呢？今天的用户我讲的是企业用户确实已经知道自己IT的基础设施已经在变化了，包括移动的、云的服务，这时候导致了传统的边缘已经消失了，对安全工具的需求有改变，当然第二个除了刚才讲的除了自己的服务要受到影响，可是越来越多的人会想到对任何人的工资有一些重要的商业的数据和机密。他的丢失已经变成了一个很重要的东西。第三个认知，传统来说从安全的角度来看，IT这边做安全的人或者做安全的官员往往还是不会考虑到因为公司有这样的一件事要去做，但这个问题没有提升到一个公司的老总或者是董事会的角度。虽然我们大家都知道Target连锁店信息泄漏发生后，老总丢掉了乌纱帽也是一个问题，所以这个问题已经提升到了新的高度。我们要理解一个安全的问题再考虑怎么样引入创新的概念把产品做好。

下面我会就这八个方面很快地给大家做一个解读。这就是讲安全产品在不同程度和产品、公司都提这样的词，我觉得比较重要的是起码大家要理解这个词对我们做安全技术的人或者对一个用户真正应该意味着什么？主要是跟大家共享这个目的。第一显然是大数据，我在美国也听到了觉得很有趣，因为反腐所以用公款吃喝的少了，餐饮业做不下去了要改去做大数据，我要说的是大数据不是简单的，或者说我有多少的TB的数据甚至是结构性的或者是非结构性的，这是相对表面的，更重要的是不管是什么样的数据，数据的两个维度有时间和空间两个尤其重要的是数据在某一个行业或者是某一个业务里面数据应用的深度，这个数据意味着什么？是关于什么样的数据，这三点要联合起来考虑，考虑的目标是能够理解这个数据在这样的时间空间里能挖掘出新的见解，本身也是一个架构，也可能是完全可以用来改善商务怎么去做，所以真正的意义在于此。

大家听到了机器学习的概念，一个是算法，这并不是最重要的机器学习的概念，因为这些算法都是很成熟的，往往你用机器学习能不能搞成一件事情，是也用还是没用是坏事还是好事？是因为你的问题没有理解到一定的程度，可以映射到一定的过程，哪些参数和变量是重要的，帮他转换到数学模型，这恰恰是最关键的，如果说一个厂家说你举一个例子让你很容易理解，觉得这个靠谱可能就靠谱，如果说你问这个问题他说我可能要很牛的一个专家再来解释你可能就要想一想这个问题是不是不太靠谱了。

另外一个概念是无间断的监控，以前我们更多是用防火墙和IPS这样的产品，这样的产品更多是基于脆弱点和漏洞，如果家里面防盗基本上是说我要看人家怎么去进我家里面，今天大家的认知是说人家进到家里面的方法是许多许多的，哪些想到了哪些没有想到，人家想到的你不一定搞定。如果人家进来了怎么办？这需要有一个连续无间断的概念。因为不同的产品把钱准备好了就可以了，因为里面有复杂的规避的能力，重要的是你必须说有可能任何一个点进到家里都要看，而且怎么看？就变成了关键。所以这个概念是说要用各种不同的方法能有效地让你检测到。如果说你发现了人家进到家里或者是有了一个偷盗的行为，这当然是不够的，因为你的目的是什么？当然是为了保证拿了还是没拿到了，什么程度要复杂一点，这时候是你的目的要不要做一些有效的动作，从对当时的时态的控制到怎么样减少损失，一直到说下一次我能做一点什么，就进不来或者是搞不定，整个的周期是比较复杂的，动作能支撑你对不同的我想搞定的事情有什么样的信息可以用。

大家又听到了传统的防病毒的产品，我们也承认用行为分析是一个很重要的方法，因为确实有很多的恶意，如果不用行为分析是搞不定的，但行为分析不能说是杀虫的概念，我用XP或者是Win7的系统我就搞定了，真正的意义是要认识到用这样行为分析的概念是要让恶意的软件尽量地把可能要做的恶意的动作都表现出来，这才是目的。你用什么样的方法达到这个目的那是后话，可是最重要的是要意识到这一点，同时要知道这时候做一个环节让他做执行，某一个环境跟我要保护的环境匹配到什么程度？这取决于什么样的行为是有关的还是无关的。所以这样的概念很重要。

下面是情报共享的问题，这也是随着攻击的发展和僵尸网络越来越复杂的状况，连企业的用户都已经意识到了一个产品甚至一个厂家的多个产品也搞不定，对用户来说不管用了哪几家的产品，因为都会有强项，如果没有他的强项可能早死掉了，有他的强项不等于说能够搞定，我自己作为一个客户是希望你给我这个灵活性，我能够用你的产品但是把这些信息拿出来共享，我自己根据我的理解做出来一个最好的方案来做我的保护。所以这就是一个信息共享已经提到了这样的角度以后，用户也在问共享。因为美国已经做了信息共享的联盟。今天有更多人意识到了这个问题，都在做，不同的厂商都在考虑一些联盟的问题。

这两点是SDX的概念，基于软件定义的网络，还有基于软件定义的存储，网络里说怎么整个网络的功能都完全虚拟化，概念是说不要再买华为、思科这样专门的路由器、交换器的硬件只要有软件装在任何一个服务器都可以做自己交换器。

这个问题表面上看是做普通的东西，但我们重要的是要认识到，长远的目光实际上想说什么，有一个很重要的理念的转换，过去我们总是在想我有这个CPU的中央处理器，还有多少内存到底利用率有多高，能做多少事情，但今天随着技术的发展，我们要解决的问题的庞大，这时候短期的利润率效率的问题已经不再是一个有限极了，而是在于怎么样扩充和灵活部署到其他的地方，这是要追求的地方。按照这样的目标可以想象有新的等级出现了。

安全生态系统的概念也是跟IE的演进是相关的，因为大家意识到原来是两个产品有没有互动，今天上升到什么程度？今天上升到僵尸网一开始有了网络行为，黑客自己之间要么是卖钱要么是相互之间共享代码，这时候如果从防护技术开发的角度没有做情报的共享，我们刚刚一出门已经在黑客的后面了，可能我们要打赢他胜算少了很多，我们通过信息共享不光是两个产品支架之间或者是企业和企业之间，我们试图取掉整个安全里面最弱的一个环节，因为这个我们没有共享不知道会在哪里，但有一个最弱的环节黑客突破它，整个安全就毁之一旦了。实际上有一个理想的境界，这是现实的而不是共产主义的，如果能做到有一天部署了一个安全的产品以后，我在世界上任何一个地方发现了一个安全的问题，它是这样发生的，那么我一看到第一次发生了以后，那么在任何一个地方有这样的一个攻击的出现，我一定有足够的情报尽快地搞定，或者是极大限度地减少影响和损失，这是很现实的问题，如果能做到这一点就是很了不起的创举。

希拉里在竞选的时候曾经说过，把一个孩子养成有出息的孩子全村人都要参与，往往要做好一件事大家都要做，有一个不好的影响可能这个孩子就好不了，这个概念到我们讲安全信息的生态系统也是同样的道理，要把这个事情做好，从防御的角度确实是需要更强的。

时间关系我把整个的展示出来，这是我所在公司产品的架构，这就是如何思考这个问题，考虑到IT环境的演进以及业务应用的演进，还有一个是威胁的演进，我们怎么寻求最有创新性，创新的目标当然是最有效的工具，最终是一个工具，这个工具是能够帮助我们的企业客户有效地控制威胁的局面，我们的做法是说，首先我们意识到你要搞定一件事情要检测到他有威胁的发生，把数据搜集分出来，分出来有好几个好处，当然一个好处是说要升级的环境是各式各样的。我把这个问题解了就会有扩充性的问题，当我要搞定一个威胁的时候，我们知道要用多个方法，我们有静态分析的东西，我们要对信息系统的数据拿来做参考，然后我们要做比较准确的分析，然后我们要做关联，因为我们拿到的信息可能是威胁所发展的不同的阶段，不同的放在一起会有比较完整的有上下文的信息。

我们用了机器学习的概念，对我们来说我们用静态动态和不同的方法，可以拿到一些有恶意的指标，可是这个指标我们要统一地转换成机器学习的具体的参数，我们用机器学习最大限度地搞出了通用化的模型，可以看到新的恶意的样本把它搞定，就是这样一个概念。这就牵扯到有一些数据，根据他们的许可可以共享，当然也是一个不断地模型的更新和整个库的更新都是通过这个共享的云来实现的。

另外很重要的是，我们最终是要解决企业的问题，他们要做具体的动作在不同的时间要做不同的动作，我们不能停留在简单的报警说你出问题了，你被黑了这解决不了问题，他要知道有一个状况的发生，发展到什么程度，发生到谁身上可能是哪里来的，我可以做的有几个动作我可以做动作的数据希望你都能提供，这就是我们可以执行的一些动作和信息，在最右边大家看到的，你可以分成两类，一类当然是网络的设备，包括防火墙、网关以及IPS这样的设备，另外是在终端上，本身一个终端的视角是有限的，我们有网络的视角，我们要拿给终端设备，他就可以用它来做具体的动作。

我们意识到今天要有互动，真正的问题在于你能不能进行有用的检测，我们的立足点可以是软件的形态也可以推送，但最重要的是我们自己不做任何植入和阻断，因为我们认为大部分的客户都有足够的设备，部署到网络中没有必要拿掉，最小的是这些设备需要信息可以做好。最是有一个API的概念，这个概念已经在我们现有的很多客户中很成功了，很多客户因为有自己的问题，自己已经建立了一套的流程写了一些代码来做这个事情，这时候我们有了API，不见得要在我们的图形的界面上爬到上面，他完全是自动化的，有了API以后提交的东西要分析，分析出来的结果可以拿到，拿到了以后可以自动地给设备做互动。