科技创新与安全技术的发展趋势

　　创新才能生存硅谷是世界闻名的高科技中心，有很多参数可以说明这点，比如风险投资。一项针对18个不同地域的风险投资调查显示，2014年第二季度创业公司的投资总额是129.6亿美元，其中70多亿美元在硅谷。硅谷以1/18的地域占据了投资总量的54%。在硅谷，有很多成功的创业公司，很多公司的规模也很大，但并不意味着在硅谷这样土壤肥沃的区域，随便怎么运营都可以成功，这是一个误解，在硅谷创业的竞争是非常激烈的，每成功一个创业公司就有9个创业公司悄悄地死掉了。

　　死掉的原因有很多，其中包括对创新的认知，以及如何把创新结合在日常工作中是有缺陷的。这里的创新是比较概括的概念，不只是技术的问题，还包括如何运作，如何理解用户的需求，所以公司一定要保持饥饿的状态，一定要不断地创新才能保证生存的最大可能性。

大家会问大的公司会怎么样？思科、赛门铁克、Juniper以及雅虎等公司，最近都在不同程度上遇到困难。这些公司或者要减员或者更换公司管理层，很大一部分原因与企业未能不断地创新、未能保证不断地有竞争力有关，也可能与对用户新需求的认知问题有关。总而言之，大并不完全就是优势。前一阵子看到国内也有类似情况的说法，长江后浪推前浪，前浪死在沙滩上。在硅谷这种环境下，一些大公司同样有很多忧虑的东西，需要不断地创新才能保证其发展。判断创新的6个指标

第一点是公司是否有关于创新的具体方案或者策略，以保持创新。第二点是公司的创新策略和业务是否有协调性和一致性，创新在公司运作上是如何体现的。第三点是创新的文化。这里可以有很多不同的例子。一个很简单的方面是，在认知公司目标的前提下，有没有给员工更多主动地做事的空间，是否有畅通的渠道让员工的创新想法得以反馈，并付诸实施；公司是注重代码还是注重人才及其能力。

第四点是创新的策略，其中一个到目前还是比较成功的策略是，企业要不断地、主动地搜寻甚至是预期客户的需求，这就意味着企业要努力走在需求的前面，这样才能给用户做出有用的工具和产品。第五点是企业里负责技术的领军人物是否在公司高层的管理机构中，是否直接报告给公司的老总。
       第六点是创新的指标要看企业是否有一套有效的方案。这套方案保证企业能持续加固人才和核心能力。我们做安全产品，如何保证做的产品有用、有创新的价值在里面？首先有三个不同的维度或因素要考虑。第一个显然是不同行业的商务演进，因为对演进的理解才能预期业务对安全的需求。

　　第二个是IT和基础设施的演进，因为任何安全方案和产品一定要在公司环境下才能使用。第三个维度是安全威胁的技术演进，比如恶意软件在技术上是如何演进的。其次是要理解用户需求。这也是非常重要、不容忽视的方面，很多公司失败的原因就在于此。因此要设身处地为用户着想，要理解客户对安全问题的认知，因为客户对问题的认知会决定他们是否认为存在问题、问题的严重程度以及如何解决。最后，在这样的大框架下，才能保证在做安全产品时，能够做出有用的安全创新产品。

　　三、改变安全行业的关键词下面我就安全的关键词给大家进行解读。这些都是大家在讲安全、讲安全产品，不同的公司都提及的词语。我觉得比较重要的是要理解，这些词对我们做安全技术的人士或者对用户真正应该意味着什么。第一个是大数据。大数据不是简单地说有多少TB的数据，是结构性的或者是非结构性的数据，这是相对表面的内容，更重要的是不管是什么数据都有两个维度：时间和空间维度，再加上数据在某行业或是某业务里应用的深度（这个数据意味着什么？是关于什么样的数据？），这三点要综合起来考虑，目标是在这样的时间、空间里能从数据里挖掘出新的见解。

　　这个见解可能本身就是有价值的，也可能是可以用来改善商务。大数据的真正意义在于此。第二个是机器学习的概念。机器学习有两个不同的方面，一个是指数学算法，这并不是最重要的机器学习概念，因为算法都是很成熟的。通常来说，利用机器学习能不能做成一件事情、是有用还是没用、是坏事还是好事，这取决于你对问题的理解是否达到一定程度、可以把问题映射到任何的数学模型。在这个映射过程中，哪些参数和变量是重要的，把它转换到数学模型，这恰恰是最关键的。第三个概念是无间断的监控。

　　我们使用的防火墙和IPS等产品，更多是基于脆弱点、漏洞和漏洞利用。就像家里防盗一样，首先要知道窃贼是怎么进到我家里的，现在我们知道（窃贼）进到家里的方法有许多，有些我们想到了，有些我们没有想到。人家想到的你不一定搞定。如果人家进来了怎么办？这需要有连续无间断监控的概念。

因此不能是简单利用现有的产品，把前门看好、守好就可以了，因为里面有复杂的规避能力，重要的是你必须对于任何一个点进到家里都要看，而且怎么看就变成了关键。所以这个概念是说要用各种不同的方法有效地让你检测到。仅仅是发现人家进到家里或者是有偷盗行为，这当然是不够的，因为你的目的是为了搞清楚别人进来是否盗走了什么，要采取哪些有效措施，能对当时的事态有所控制，怎样减少损失，一直到未来能做些什么可以阻止别人进来。这样整个周期比较复杂，需要有必要的措施，能对不同的目标提供可用的信息。

　　第四个是行为分析。大家都听到这样的说法，传统防病毒产品采用静态检测，就连赛门铁克都认为已经落伍了，肯定是要死掉的。我们承认用行为分析是很重要的方法，因为确实有很多的恶意软件如果不用行为分析是搞不定的，但行为分析不能简单想成沙盒的概念。不能认为我用了Windows XP 或Windows 7 的系统就搞定了，真正的意义是要认识到，用行为分析的概念是要让恶意软件尽量地把可能要做的恶意动作都表现出来，这才是目的。至于用什么样的方法达到这个目的那是后话。

　　最重要的是要意识到这一点，同时要做一个模拟环境让它执行。要做的模拟环境跟要保护的环境匹配到什么程度，这取决于你看到的行为是有关的还是无关的，是误报的还是会漏报。第五个是情报共享的问题。随着攻击的发展、随着僵尸网络越来越复杂的状况，连企业用户都已意识到，依靠一款产品甚至一个厂商的多个产品都无法完全解决问题。对用户来说，不管用了哪几家公司的产品，这些产品都有自己的强项（如果没有自己的强项，可能早就死掉了）。

　　但有强项不等于说能完全解决问题。作为客户，希望厂商可以提供灵活性，希望能把这些信息拿出来共享，然后根据自己的理解做出来最好的方案对自己进行保护。信息共享已提到了这样的角度，用户也在询问信息共享的问题。美国金融机构最早成立了信息共享的联盟。现在有更多人意识到这个问题，不同的厂家都在考虑成立信息共享联盟的问题。