采訪開始前，陳少涵還在寫代碼。用他自己的話說，他是一個(gè)非常 hands on 的人。

陳少涵，天空衛(wèi)士聯(lián)合創(chuàng)始人兼CTO，站在CEO劉霖“背后的男人”。

2015年初，這家做數(shù)據(jù)防泄漏的安全公司橫空出世。

2018年初，這家公司發(fā)布了第四代安全防御系統(tǒng)——ITP（內(nèi)部威脅防護(hù)）體系。

“我們一路走來非常非常難，是靠一步步血戰(zhàn)出來的。”

他連用了兩個(gè)非常，其中既有天空衛(wèi)士成立之初全無積累，一行一行重寫代碼的辛苦；也有去年自己拿著新產(chǎn)品參加投標(biāo)，結(jié)果實(shí)測排名竟在五名開外的心酸（共十個(gè)公司競標(biāo)）；當(dāng)然還有憑著不服輸?shù)膭艃簬ьI(lǐng)團(tuán)隊(duì)調(diào)試bug最終在每次實(shí)測保持第一的驕傲。

而到現(xiàn)在說到產(chǎn)品，陳少涵自信滿滿，“有我呢！”

雷鋒網(wǎng)編輯開始好奇這三個(gè)字以及它背后的故事。

▲陳少涵

過往

陳少涵畢業(yè)于美國西北大學(xué)，獲得了計(jì)算機(jī)科學(xué)與生化學(xué)雙碩士學(xué)位，畢業(yè)后飛赴硅谷。與安全結(jié)緣始于他作為創(chuàng)始工程師加入的第一家公司SS8 Networks，在其開發(fā)SIP網(wǎng)關(guān)時(shí)，他發(fā)現(xiàn)SIP指定的RTP音頻數(shù)據(jù)傳輸總會被各種被防火墻擋住。

被這一現(xiàn)象所吸引的陳少涵開始對研究防火墻有了興趣，并在當(dāng)時(shí)自主設(shè)計(jì)了一種動態(tài)防火墻模型，一旦有數(shù)據(jù)通過信令層就能告訴防火墻打開哪個(gè)端口。

“現(xiàn)在聽起來很幼稚，但這的確是我走上安全領(lǐng)域的第一步，這一走就快二十年。”

2001年，陳少涵回到國內(nèi)，先后在阿姆瑞特、Websense等多家安全公司擔(dān)任中國區(qū)的技術(shù)研發(fā)負(fù)責(zé)人。

“在外企的經(jīng)歷中，無論是研發(fā)技術(shù)還是產(chǎn)品路線都讓我受益匪淺，但很多時(shí)候由于復(fù)雜的匯報(bào)環(huán)節(jié)，不能按照自己的想法去優(yōu)化產(chǎn)品功能與性能，我開始產(chǎn)生無力感。同時(shí)，雖然網(wǎng)絡(luò)沒有國界，但網(wǎng)絡(luò)安全是有國界的。在外企研發(fā)信息安全產(chǎn)品，其實(shí)與中國自主安全可控的信息安全發(fā)展理念是沖突的?！?/p>

這種矛盾感讓陳少涵與當(dāng)時(shí)任職Websense大中華區(qū)經(jīng)理的劉霖感覺異常不適，于是兩人強(qiáng)強(qiáng)聯(lián)手，在2015年1月創(chuàng)辦天空衛(wèi)士。

這名安全老將用了兩個(gè)字概括了當(dāng)時(shí)的心情：踏實(shí)。

“我們組建了國內(nèi)最大的內(nèi)容安全研發(fā)團(tuán)隊(duì)，其骨干人員很多都有外企的研發(fā)經(jīng)歷，能把最先進(jìn)的數(shù)據(jù)安全技術(shù)攥在中國人自己的手里讓我感覺踏實(shí)不少，另外為了提高效率，我們學(xué)習(xí)硅谷企業(yè)采用扁平化管理，以此保證每三個(gè)月迭代一個(gè)新版本。這樣的研發(fā)進(jìn)度在安全行業(yè)中是非常罕見的?！?/p>

他把這些也稱為情懷。

變遷

談到如今安全防護(hù)的趨勢，陳少涵稱個(gè)人及企業(yè)數(shù)據(jù)成為主要防護(hù)對象。

而縱觀安全技術(shù)的演進(jìn)與變遷，以防火墻、URL過濾、殺毒網(wǎng)關(guān)為代表的傳統(tǒng)防御系統(tǒng)如同中國古代城墻，僅在幾個(gè)固定位置開設(shè)城門（如80端口），外來者只有在符合端口要求之時(shí)才被允許進(jìn)入。

時(shí)光飛逝日月如梭，這道城墻開始出現(xiàn)多處裂口，不少賊人也能從原來的城門混進(jìn)。此時(shí)僅以端口作為攔截判定遠(yuǎn)遠(yuǎn)不夠，協(xié)議層安全開始被關(guān)注，以流量分析、Web安全等為主的第二代防御系統(tǒng)開始出現(xiàn)。

“接下來的三代防御，也就是我們1月12日之前所做的，即UCS統(tǒng)一內(nèi)容安全解決方案。采用DLP數(shù)據(jù)防泄漏和ASWG增強(qiáng)型 Web 安全網(wǎng)關(guān)等產(chǎn)品，對網(wǎng)絡(luò)內(nèi)容進(jìn)行智能識別與控制。”陳少涵告訴雷鋒網(wǎng)。

基于內(nèi)容的DLP技術(shù)與采用管理手段、權(quán)限管理以及加密等措施的傳統(tǒng)數(shù)據(jù)安全對比有一個(gè)場景。

假設(shè)某犯罪分子要進(jìn)一道門，傳統(tǒng)手段相當(dāng)于保安，如果保安認(rèn)識該犯罪分子并覺得他是安全的就會放行，也不會檢查其帶的東西。DLP技術(shù)則相當(dāng)于機(jī)場安檢，無論你是誰，進(jìn)門就要過安檢，一旦檢查到其攜帶危險(xiǎn)用品就會進(jìn)行攔截。

 “隨著云計(jì)算、人工智能、大數(shù)據(jù)等新興技術(shù)的普及，我們發(fā)現(xiàn)，第三代防御系統(tǒng)也同樣需要借助人工智能等新技術(shù)進(jìn)行升級和完善。”陳少涵說道。

但下一代防御系統(tǒng)究竟是什么樣的？這是值得思考的問題。

第四代安全防御系統(tǒng)

犯罪的主體是人，安全的核心也應(yīng)該是人。

“所以要以人為根本去做內(nèi)部威脅防范，我們稱其為內(nèi)部威脅防（ITP）體系及基于行為分析的ITM（內(nèi)部威脅管理）解決方案，這也是第四代安全防御系統(tǒng)?！标惿俸f道。

ITP是什么？

其主要利用統(tǒng)計(jì)學(xué)異常分析、循環(huán)神經(jīng)網(wǎng)絡(luò)、大數(shù)據(jù)分析、貝葉斯網(wǎng)絡(luò)等技術(shù)對用戶行為特征進(jìn)行深度建模發(fā)現(xiàn)內(nèi)部有異常行為的用戶，將異常用戶評分結(jié)果與安全策略集成，對異常行為用戶進(jìn)行實(shí)時(shí)風(fēng)險(xiǎn)控制。（聽起來是不是很高深）

簡單說就是通過抓取大量用戶行為數(shù)據(jù)并進(jìn)行分析，然后通過機(jī)器學(xué)習(xí)總結(jié)每個(gè)用戶行為模型，繼而匯總成整個(gè)企業(yè)的行為模式，這樣用戶在企業(yè)的一舉一動會與現(xiàn)有模式進(jìn)行比對發(fā)現(xiàn)異常。

舉個(gè)例子，某員工每天按時(shí)上下班打卡的行為模式與預(yù)謀今天搶銀行的行為模式一定不同。某研發(fā)工程師每天都在敲代碼，突然有一天開始寫簡歷換工作了，其行為模式也會不同。

陳少涵告訴雷鋒網(wǎng)，“ITM 就相當(dāng)于一個(gè)大腦，這個(gè)大腦自帶打分模式，會密切觀察企業(yè)員工的網(wǎng)絡(luò)行為并評估風(fēng)險(xiǎn)值。”

而打分模式還不止一個(gè)，屬于三合一系統(tǒng)。

ARS（異常行為檢測）：針對每個(gè)用戶或者IP得到異常風(fēng)險(xiǎn)分值，也就是以用戶個(gè)人過去一段時(shí)間的行為模型為標(biāo)桿，如果用戶行為發(fā)生突變（什么突變可以開一波腦洞），那這個(gè)人的風(fēng)險(xiǎn)分值也會upupup。

MRS（威脅行為回溯）：以特定DLP時(shí)間為基礎(chǔ)，針對每個(gè)用戶或者IP進(jìn)行回溯得到DLP風(fēng)險(xiǎn)模式相似分值，可以理解為給那些搞事情的人建立行為模型，然后將用戶的行為模型與之對比，對比重合度越高此人以后犯事可能性也就越高。

ERS（專家系統(tǒng)）：結(jié)合專家經(jīng)驗(yàn)和大數(shù)據(jù)分析結(jié)果，針對每個(gè)用戶或IP得到同已知風(fēng)險(xiǎn)模式匹配的風(fēng)險(xiǎn)概率值。這個(gè)更容易理解了，一票專家把他們認(rèn)定的風(fēng)險(xiǎn)行為加在系統(tǒng)中，如果哪個(gè)用戶行為碰到了這條紅線，那不好意思，又要給你加分了。

也就是ARS為自我比對，MRS為與他人比對，ERS為與規(guī)則標(biāo)準(zhǔn)比對。但這種比對也是動態(tài)的，通過機(jī)器學(xué)習(xí)會不斷完善模型。可能員工 A 以前從來不瀏覽經(jīng)濟(jì)新聞，突然某天開始瀏覽了，機(jī)器會將這些學(xué)會，在下次員工 A 再瀏覽之時(shí)認(rèn)定這是正常行為的一部分。

這三個(gè)系統(tǒng)打分，會匯總成一個(gè)完整的一個(gè)威脅評估系統(tǒng)，當(dāng)用戶威脅評估系統(tǒng)超過了預(yù)設(shè)值以后，會引發(fā)報(bào)警。假設(shè)預(yù)設(shè)值為8，一旦某人風(fēng)險(xiǎn)值超過8其某些操作就會被直接攔截，比如向外傳輸工作通訊錄等。

此處編輯有一個(gè)疑惑，第四代是否會取代第三代防御系統(tǒng)？

當(dāng)然不會，這兩者還是相互打通的。當(dāng)一個(gè)人的風(fēng)險(xiǎn)值較高時(shí)候會及時(shí)通知DLP網(wǎng)關(guān)實(shí)時(shí)阻斷其行為，反過來當(dāng)網(wǎng)關(guān)處理了一些安全事件，機(jī)器將其總結(jié)為安全模式后又可以回溯到ITM做安全判定。

人類免疫學(xué)

當(dāng)然，任何產(chǎn)品都不能做到完美，都需要不斷完善。

人類經(jīng)過上百萬年進(jìn)化，最為成功的就是人類免疫系統(tǒng)。而陳少涵現(xiàn)在研究的 ITP 實(shí)際就是將人類免疫學(xué)原理應(yīng)用到 ITP 中，使其實(shí)現(xiàn)自動防御。

比如專家系統(tǒng)（ERS），相當(dāng)于人類免疫系統(tǒng)的先天免疫（非特異性免疫），即基因自帶，能夠?qū)δ承┮阎牟《井a(chǎn)生抗體。

威脅回溯（MRS）類似于獲得性免疫（特異性免疫），針對病毒做抗體。是獲得免疫經(jīng)后天感染（病愈或無癥狀的感染）或人工預(yù)防接種（菌苗、疫苗、類毒素、免疫球蛋白等）而使機(jī)體獲得抵抗感染能力。

異常探測（AMS）則相當(dāng)于異體免疫，類似于器官移植，不屬于自身身體的細(xì)胞，會產(chǎn)生排異反應(yīng)。

“可以看到不少技術(shù)都在往仿真學(xué)方向走，而網(wǎng)絡(luò)安全尤其是企業(yè)以防為核心的仿真安全將來會走向人體免疫系統(tǒng)，通過仿真學(xué)幫我們少走很多彎路。就像人工智能慢慢走向模仿人的神經(jīng)的神經(jīng)網(wǎng)絡(luò)，歷經(jīng)幾百萬年進(jìn)化而來的人類一定擁有最強(qiáng)最成熟的模型?！?/p>

當(dāng)然，安全技術(shù)的強(qiáng)制進(jìn)化并非一朝一夕，而陳少涵帶領(lǐng)天空衛(wèi)士技術(shù)團(tuán)隊(duì)所做的就是加磚添瓦等待突破。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。