對(duì)話問答:OpenDNS創(chuàng)始人就云安全給IT前景造成的影響作出評(píng)述

責(zé)任編輯:editor004

2014-10-27 13:52:06

摘自:ZDNet至頂網(wǎng)

David Ulevitch是OpenDNS公司的創(chuàng)始人兼CED,這家DNS服務(wù)與安全企業(yè)坐落于加利福尼亞州舊金山市。與此同時(shí),我們現(xiàn)在已經(jīng)擁有越來越多追蹤記錄以及安全威脅識(shí)別信息,甚至能夠在問題出現(xiàn)之前就將其揪出來。

David Ulevitch是OpenDNS公司的創(chuàng)始人兼CED,這家DNS服務(wù)與安全企業(yè)坐落于加利福尼亞州舊金山市。Ulevitch最初建立的另一家企業(yè)EveryDNS公司是由一個(gè)大學(xué)研究項(xiàng)目衍生而來,并在隨后的發(fā)展中積累下10萬名用戶——不過他在2010年將其出售給了Dyn有限公司。

就在今年,Ulevitch被Inc. Magazine選入“35歲及35歲以下”企業(yè)家名錄。

他最近在由Box召開的BoxWorks年度大會(huì)上就互聯(lián)網(wǎng)安全作出發(fā)言。Ulevitch還曾在世界經(jīng)濟(jì)論壇上就這一話題進(jìn)行過評(píng)述,而就在之前其OpenDNS公司當(dāng)選為2011年技術(shù)先鋒企業(yè)。

記者:互聯(lián)網(wǎng)安全是一項(xiàng)規(guī)模龐大的業(yè)務(wù)類別,而且眾多企業(yè)都在斥巨資用于其網(wǎng)絡(luò)及數(shù)據(jù)的保護(hù)工作。但時(shí)至今日,我們?nèi)匀怀3D軌蚵牭疥P(guān)于重大安全事故的報(bào)道。為什么會(huì)這樣?

DU:盡管目前市面上的安全方案供應(yīng)商數(shù)量眾多,人們也愿意在安全工作上投入大量資金,但從安全性的切實(shí)提升角度來看、這一切并不一定就能帶來理想的結(jié)果。為什么會(huì)這樣?真正讓企業(yè)身陷困境的狀況是否真正得到了解決,特別是中小型企業(yè)所面臨的難題?他們又可以采取怎樣的安全實(shí)踐手段來在推行安全教育的同時(shí)、切實(shí)改進(jìn)自己在安全領(lǐng)域的地位,從而幫助自身徹底擺脫頭痛醫(yī)頭、腳痛醫(yī)腳的被動(dòng)局面——或者解決更為糟糕的狀況,即根本拿不出足夠的資源來應(yīng)對(duì)出現(xiàn)在面前的攻擊活動(dòng)?

記者:這些問題確實(shí)極具現(xiàn)實(shí)意義,那么答案又是什么呢?

DU:首先,我們需要理解云計(jì)算到底改變了什么——事實(shí)上,它不僅改變了問題本身,也改變了解決方案,即解決問題的方式。我們認(rèn)為IT的發(fā)展前景將迎來一次巨大的轉(zhuǎn)變。

記者:您所說的轉(zhuǎn)變到底是怎么一回事?

DU:從傳統(tǒng)角度講,人們走進(jìn)自己的辦公室后旋即坐在辦公桌前,利用自己的臺(tái)式機(jī)或者筆記本設(shè)備接入位于自有本地網(wǎng)絡(luò)中的文件服務(wù)器,而且他們所使用的應(yīng)用程序也都由內(nèi)部辦公環(huán)境負(fù)責(zé)托管。他們?cè)谵k公室內(nèi)使用文件,在辦公室內(nèi)使用計(jì)算機(jī),就連他們自身也始終處于辦公環(huán)境當(dāng)中。因此從IT發(fā)展前景的角度來看,安全性的考量體現(xiàn)在將整個(gè)企業(yè)視為一座堅(jiān)不可摧的城堡,而我們對(duì)城堡加以保護(hù)的方式當(dāng)然是圍繞著其外部構(gòu)建防御工事。我們會(huì)為其保留一個(gè)入口與一個(gè)出口,并在這里部署防范措施以監(jiān)控出入流量,這就是防火墻的職責(zé)所在。這可能說是實(shí)現(xiàn)安全保障的最簡單方式了,因?yàn)槲覀兡軌蜉p松獲得對(duì)出入辦公環(huán)境的信息流量的控制權(quán)。

記者: 那么現(xiàn)在情況出現(xiàn)了怎樣的變化?

DU:這個(gè)嘛,現(xiàn)在企業(yè)員工開始使用無數(shù)不同類型的設(shè)備——其中一部分歸屬于企業(yè),但也有一部分歸屬于員工自己——此外大家還需要面對(duì)移動(dòng)設(shè)備,其中最典型的就是Android與iOS智能手機(jī)以及iPad平板設(shè)備?;仡欉^去,當(dāng)時(shí)整個(gè)企業(yè)當(dāng)中約有80%到85%的應(yīng)用程序運(yùn)行在Windows環(huán)境之下,但如今這一數(shù)字在未來兩年中將下降至不足35%——這絕對(duì)是種巨大的變革,也給我們的應(yīng)用程序保護(hù)目標(biāo)設(shè)置了重重挑戰(zhàn)。如今,應(yīng)用程序開始向基于Web或者遷移至云端演變,因此大家原本所熟悉的內(nèi)部甲骨文應(yīng)用被現(xiàn)在的Salesforce所取代,原本的Exchange Server變成了現(xiàn)在的Google Apps,大家甚至開始使用Box、Dropbox乃至Office 365這類與內(nèi)部運(yùn)行環(huán)境完全無關(guān)的不同工具。

有了這些新型設(shè)備,企業(yè)員工就能夠使用完全運(yùn)行在企業(yè)環(huán)境之外的云應(yīng)用。他們可以在星巴克工作、在自己家中工作甚至在機(jī)場和路上都能工作。這種根本性的變化無疑將給IT的發(fā)展前景引導(dǎo)至完全不同的新方向。

記者:那么在這種新型IT前景之下,我們又該如何實(shí)現(xiàn)安全保障目標(biāo)呢?

DU:從安全角度出發(fā),由此帶來的負(fù)面作用在于,所有面向安全的傳統(tǒng)解決方案都已經(jīng)不再適用于當(dāng)下的新環(huán)境。大家根本沒辦法將應(yīng)用程序硬性控制在網(wǎng)絡(luò)邊緣,因?yàn)闃I(yè)務(wù)體系中的往來流量將被劃分成越來越多規(guī)模較小的片段——這是因?yàn)閱T工開始更多使用來自外部環(huán)境的云服務(wù)機(jī)制。

記者:這樣說來,如果防火墻已經(jīng)不再足以保護(hù)整座城堡,那么我們難道不能單純將設(shè)備作為保護(hù)對(duì)象嗎?

對(duì)于大多數(shù)安全方案供應(yīng)商來說,他們一直所秉持的安全實(shí)施思路就是檢查惡意軟件副本并構(gòu)建與之映射的防護(hù)模式,最終將這套模式交付至所有購買了該方案的客戶手中。

這種處理方式之所以無法繼續(xù)起效,或者說家得寶以及Target公司遭受數(shù)據(jù)泄露的原因所在,是因?yàn)楫?dāng)下的惡意軟件擁有兩種足以成功突破傳統(tǒng)應(yīng)對(duì)措施的重要特性。

第一點(diǎn),惡意軟件存在多態(tài)性。具體而言,惡意軟件每次對(duì)自身進(jìn)行復(fù)制時(shí),生成的副本都會(huì)與原先存在一定程度的差別。就在我們獲取副本并根據(jù)其狀況構(gòu)建模式的同時(shí),這種應(yīng)對(duì)模式已經(jīng)推動(dòng)了實(shí)用意義、因?yàn)槊刻讗阂廛浖北舅裱哪J蕉疾煌耆嗤?/p>

第二個(gè)原因在于,如今很多惡意軟件其實(shí)是專門針對(duì)特定受害者群體的,因此大家所遭受的第一次攻擊實(shí)際上也就是最后一次攻擊。惡意人士所扮演的更像是狙擊手角色,而非拿著獵槍與我們正面對(duì)轟。

記者: 聽起來實(shí)在有些可怕。

DU:從積極的角度看,這也給了我們重新審視安全保護(hù)思路的大好機(jī)會(huì)。

這也正是如今眾多小型安全初創(chuàng)企業(yè)不斷涌現(xiàn)的原因所在。IT領(lǐng)域面臨的單一一種顛覆性現(xiàn)狀已經(jīng)足以創(chuàng)建出一套全新安全保障體系,而當(dāng)下我們則同時(shí)面臨著三種:移動(dòng)生產(chǎn)機(jī)制、多設(shè)備介入與云應(yīng)用程序。

現(xiàn)在市場上的安全方案供應(yīng)商能夠替我們打理身份驗(yàn)證方面的管理工作,幫助我們規(guī)劃面向不同服務(wù)的登錄方式,這樣我們?cè)诠蛡蛐聠T工的時(shí)候就用不著向其傳達(dá)太過復(fù)雜的規(guī)章制度。此外,我們也擁有足以承擔(dān)起數(shù)據(jù)加密任務(wù)的供應(yīng)商,他們能夠妥善處理我們保存在Salesforce或者Amazon當(dāng)中的業(yè)務(wù)信息,從而讓云端數(shù)據(jù)變得更加牢固可靠。

此外大家還擁有像OpenDNS這樣的服務(wù)供應(yīng)商,我們不會(huì)將保護(hù)職責(zé)完全寄托在一臺(tái)冷冰冰的設(shè)備身上; 我們認(rèn)為自己有能力帶來標(biāo)準(zhǔn)甚至更加理想的安全保障成效,而且是以服務(wù)的方式進(jìn)行交付——每天二十四小時(shí)、每周七天。這種服務(wù)會(huì)結(jié)合背景信息并擁有動(dòng)態(tài)特性,因此它能夠根據(jù)客戶的業(yè)務(wù)定位、所在位置以及訪問對(duì)象來制定正確的安全與管理政策。

記者: 具體來講,OpenDNS是如何實(shí)現(xiàn)上述目標(biāo)的?

DU:我們的解決辦法就是,“沒錯(cuò),我們知道互聯(lián)網(wǎng)上足足有3億個(gè)站點(diǎn)允許大家自由訪問,”但對(duì)于北美地區(qū)那些平均員工數(shù)量在50人左右的企業(yè)而言,真正有可能引起他們注意的網(wǎng)站其實(shí)只有300萬個(gè)——剩下的他們可能這輩子都聞所未聞、見所未見。

有鑒于此,我們可以投入大量時(shí)間以確保從信譽(yù)、行為以及其它各類科學(xué)研究角度出發(fā)對(duì)目前擁有的數(shù)據(jù)進(jìn)行歸類,并為其所有活動(dòng)添加背景信息。具體而言,如果與您規(guī)模相當(dāng)?shù)钠渌髽I(yè)當(dāng)中沒有任何一位員工訪問過來自東歐地區(qū)的某個(gè)IP地址,那么我們也不建議各位去當(dāng)這種實(shí)驗(yàn)性小白鼠——我們會(huì)親自上陣對(duì)其進(jìn)行深入分析。當(dāng)然,如果大家對(duì)于自己的判斷很有信心,我們也尊重各位的訪問意愿。

我們擁有大量技術(shù)成果儲(chǔ)備,足以保證我們擁有比威脅更快捷的反應(yīng)速度,而且遠(yuǎn)早于那些只有在威脅真正出現(xiàn)在客戶計(jì)算設(shè)備上才能發(fā)現(xiàn)問題的安全設(shè)備。換句話來說,我們的目標(biāo)是搶在大家對(duì)惡意軟件進(jìn)行下載之前就阻止這種行為。

記者:那么您如何判斷威脅身在何處?您又是如何獲取安全保護(hù)所需要的數(shù)據(jù)的?

DU:我們的網(wǎng)絡(luò)體系每天承載著5000萬用戶的日常使用,單昨天一天我們就處理了600億次DNS請(qǐng)求; 我們會(huì)將其記錄、保存下來并加以分析。這還僅僅是我們分析對(duì)象中的一半。另一半則來自其它來源,例如域名注冊(cè)、互聯(lián)網(wǎng)上的BGP路由信息以及哪些網(wǎng)站負(fù)責(zé)托管其它網(wǎng)站。我們會(huì)將這些背景信息匯總在一起。我們的研究團(tuán)隊(duì)構(gòu)建起了大量分類引擎及算法,專門用于從這些數(shù)據(jù)當(dāng)中挖掘出使用模式; 因此,當(dāng)出現(xiàn)了偏離固有使用模式的狀況或者不同于原有分類機(jī)制的活動(dòng)時(shí),我們會(huì)通過算法進(jìn)行阻止或者為其設(shè)置紅色標(biāo)記。

記者: 這種服務(wù)所對(duì)應(yīng)的市場是怎樣的?

DU:我們銷售的產(chǎn)品名為Umbrella。我們很久以前就已經(jīng)決定采取這種獨(dú)立于設(shè)備之外的安保服務(wù)方式。我們并不在乎大家實(shí)際使用的到底是筆記本還是平板設(shè)備。我們的收費(fèi)單位也并非每臺(tái)設(shè)備,而是每一位用戶。

我們的合作伙伴當(dāng)中包括2000家活躍MSP(即管理服務(wù)供應(yīng)商),他們一直以來都在幫助我們進(jìn)行服務(wù)產(chǎn)品銷售。作為虛擬CIO角色,他們負(fù)責(zé)現(xiàn)實(shí)層面上的服務(wù)銷售、配置與定價(jià),并與客戶直接交流。我們的大部分MSP合作伙伴都會(huì)將這些服務(wù)融入到客戶的每月使用成本當(dāng)中,而我們則以每用戶每年的方式向其收取費(fèi)用——理由很簡單,他們很清楚在我們服務(wù)的支持下,客戶能夠有效應(yīng)對(duì)惡意軟件帶來的負(fù)面影響、降低釣魚攻擊的危害并免受其它安全妥協(xié)問題的困擾。這樣一來,他們的運(yùn)營收益也能得到良好的保障。有時(shí)候這些商家甚至?xí)⒎?wù)直接交付給客戶,我們并不在意他們具體采取怎樣的銷售方式。

記者:您與這些MSP之間是怎樣的一種合作關(guān)系?

DU: MSP幾乎為我們貢獻(xiàn)了整體業(yè)務(wù)收益的三分之一。他們能夠切實(shí)幫助我們更好地獲取客戶反饋與產(chǎn)品使用意見。我們也會(huì)投入大量工程技術(shù)資源來確保自身能夠?yàn)槠涮峁┳阋约缲?fù)重任的安全解決方案。

我們也從MSP業(yè)界學(xué)習(xí)到了大量寶貴經(jīng)驗(yàn),其中最重要的一點(diǎn)就是他們?cè)贗T執(zhí)行流程中擁有非常出色的協(xié)作與溝通能力。正因?yàn)槿绱?,我們才能夠在MSP領(lǐng)域中積累起強(qiáng)大的業(yè)務(wù)實(shí)力。目前這部分營收已經(jīng)成為我們業(yè)務(wù)體系內(nèi)發(fā)展速度最快的分支,因?yàn)槲覀儞碛辛己玫目诒?、信譽(yù)以及服務(wù)供應(yīng)商的強(qiáng)烈推薦。為了保持住這一發(fā)展勢(shì)頭,我們建立起完整的工程技術(shù)與產(chǎn)品團(tuán)隊(duì)來專門與MSP合作伙伴進(jìn)行對(duì)接。我們還將自身服務(wù)與Kaseya、Autotask以及其它工具進(jìn)行整合,幫助他們更好地為客戶帶來自動(dòng)化配置方案。他們能夠利用這些工具直接實(shí)現(xiàn)OpenDNS產(chǎn)品的配置工作。

記者:您覺得這些變化給MSP業(yè)務(wù)帶來了怎樣的影響或者說轉(zhuǎn)變?

DU: MSP對(duì)我們的原有服務(wù)模式作出了調(diào)整,從而使其更適合他們自身以及客戶的實(shí)際需求。他們?cè)诎缪萏摂MCIO角色的同時(shí),也成為了技術(shù)的真正推動(dòng)者。

他們過去一直將注意力集中在為小型企業(yè)、也就是他們支持服務(wù)的主體對(duì)象提供上門服務(wù)方面。他們需要親自前往現(xiàn)場并殺除筆記本電腦中的病毒; 他們會(huì)對(duì)筆記本進(jìn)行全新設(shè)置或者干脆配置新的設(shè)備; 他們還得管理并維護(hù)Windows Exchange Server或者微軟的小型企業(yè)服務(wù)器; 此外,他們基本上按小時(shí)收費(fèi)。但現(xiàn)在情況已經(jīng)完全不同,前面提到的很多軟件已經(jīng)逐漸從業(yè)務(wù)環(huán)境中消失了。

換一種更為直白的說法,這些服務(wù)供應(yīng)商不再親身前往客戶處處理IT工作并從對(duì)方企業(yè)手中獲取報(bào)酬; 相反,他們現(xiàn)在轉(zhuǎn)而以客戶為單位計(jì)算服務(wù)成本,例如每月每位員工100美元,并包攬下其全部IT技術(shù)任務(wù)——設(shè)置電子郵件、部署備份機(jī)制、實(shí)現(xiàn)安全保障——而這也充分調(diào)動(dòng)起了MSP合作伙伴的積極性??蛻舾腥厩闆r更少、備份效果更好、系統(tǒng)運(yùn)行狀態(tài)更可靠、需要進(jìn)行上門服務(wù)的比例也更低,一切都比原先更加理想。他們不再以現(xiàn)場工作的小時(shí)數(shù)來收費(fèi),現(xiàn)在他們無需前往客戶所在位置、但卻能夠賺到更為豐厚的回報(bào)。

記者: 也就是說,現(xiàn)在的處理方式更有利于他們的財(cái)務(wù)狀況?

DU:現(xiàn)在的這種業(yè)務(wù)模式以更為高效的方式實(shí)現(xiàn)資源利用。MSP合作伙伴如今能夠以數(shù)量更少的員工為更多客戶提供支持。舉例來講,如果他們有30家客戶現(xiàn)場需要處理,每個(gè)現(xiàn)場的工作需要耗時(shí)3個(gè)小時(shí),那么現(xiàn)在的新方案能夠?yàn)槠涮峁┦兑陨系奶幚硇?。這顯然意味著更為可觀的利潤、更理想的穩(wěn)定性收入并為客戶帶來更具可預(yù)測(cè)性的成本支出。

這才是真正的雙贏結(jié)果。由于現(xiàn)在大部分工作是以虛擬方式而非上門服務(wù)實(shí)現(xiàn)的,因此客戶能夠擁有更多供應(yīng)商選項(xiàng)——他們用不著再單純從公司所在地周邊的五英里范圍內(nèi)進(jìn)行搜索了。除此之外,新機(jī)制也使得小型企業(yè)擁有者能夠享受到其原本根本無法承受的大型工具與大規(guī)模服務(wù)方案。

記者:讓我們?cè)倩氐絆penDNS本身。是不是必須首先成為DNS服務(wù)的客戶,才能進(jìn)一步享受到您所提供的Umbrella安全平臺(tái)?

DU:沒錯(cuò),我們確實(shí)提供一項(xiàng)遞歸DNS服務(wù),而這也正是瀏覽器準(zhǔn)確找到目標(biāo)網(wǎng)站的方式所在。大家必須要使用這項(xiàng)服務(wù)才能訪問到我們的安全服務(wù)。

我們的客戶其實(shí)并不一定是為了DNS服務(wù)才購買我們的產(chǎn)品,事實(shí)上他們購買的其實(shí)是安全保障。我們運(yùn)行的DNS服務(wù)只不過是其中的一個(gè)側(cè)面,我們同時(shí)也為其解決各類其它問題。

記者:那么與傳統(tǒng)解決方案相比,通過云交付的安全機(jī)制有著哪些不同?OpenDNS又是如何利用這些潛在優(yōu)勢(shì)的?

DU:二者的區(qū)別絕不僅限于員工開始在辦公環(huán)境之外處理日常業(yè)務(wù),也不單純?cè)谟谀軌蜃屵@些虛擬CIO更輕松地實(shí)現(xiàn)部署。事實(shí)上,云安全——也就是我們所采用的安全機(jī)制——從本質(zhì)層面上更具吸引力,即使使用者并未真正離開自己的辦公室。這是因?yàn)槲覀円詫?shí)時(shí)方式找出包含在全局體系中的威脅因素,并通過智能化方式對(duì)各個(gè)客戶加以保護(hù)。想象一下,每天有5000萬用戶通過我們的網(wǎng)絡(luò)進(jìn)行協(xié)作,這將迸發(fā)出多么巨大的能量。

我們同時(shí)也在對(duì)受感染用戶以及非感染用戶的流量模式進(jìn)行審查,而且整個(gè)實(shí)施過程真的非??旖?。我們擁有一個(gè)研究團(tuán)隊(duì),專門負(fù)責(zé)分析數(shù)據(jù)并向其中添加大量背景信息,從而真正識(shí)別出互聯(lián)網(wǎng)當(dāng)中不同部分是安全還是危險(xiǎn)——通常能夠在大家下載惡意軟件或者受到感染之前就加以阻止。

與此同時(shí),我們現(xiàn)在已經(jīng)擁有越來越多追蹤記錄以及安全威脅識(shí)別信息,甚至能夠在問題出現(xiàn)之前就將其揪出來。我們還會(huì)經(jīng)常發(fā)布這些數(shù)據(jù),至少是以半公開方式交付給安全研究業(yè)界。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)