网络安全的新变化。
网络安全正在经历一场底层逻辑的改变。
随着勒索病毒、数据泄露等事件频发,企业意识到网络安全不再是可有可无的「摆设」,而是直接关系到生存与发展的「生命线」。
五年前,当微步在线 CEO 薛锋与企业交流时,他们常常会问:「谁会攻击我?为什么攻击我?他能攻进来吗?」而现在,大家的共识已经转变为:「能攻进来,对吧?我怎么办?」
这种转变的背后,是企业认知的根本性进化。网络安全正从一种「买平安」的祈愿式行为,转变为一场需要专业诊断和持续治疗的「医疗」实践。企业不再满足于被动的防御,而是开始思考如何构建更具韧性的安全体系。
据悉,尽管大环境承压,微步在线仍保持了每年近 30% 左右的增长。这种增长并非来自简单的市场扩张,而是源于对订阅和云化模式的坚定信仰。
过去,云化安全模式在国内企业级市场被视为「不可能」,尤其是对于国企、央企等大型机构。但微步在线坚持推广这种「难而正确的事」,并最终赢得了市场的认可。
当下,网络安全攻防战场不断有新的变量的影响。比如,AI 的加入,让攻击者的武器库更具杀伤力。这使得传统的、依赖固定规则的防御手段变得捉襟见肘。薛锋认为,AI 对攻击的提升,更多体现在「质」而非「量」。「它能提升攻击的成功率,提升对抗难度,比如说它能写出更逼真的钓鱼邮件。」同时,他补充道,AI 并非只是攻击者的专属工具。对防守方而言,AI 首先带来的就是效率的巨大提升。
围绕 AI 时代,网络安全领域的变化和趋势,包括极客公园在内的多家媒体与微步在线 CEO 薛锋进行了一场访谈。
薛锋
以下为访谈实录,经编辑整理:
问:传统的网络安全运营主要依赖人工经验。进入大模型时代,这会给网络安全运营带来哪些新变化?微步在运营模式和产品创新方面有哪些新布局?
薛锋:这是一个大问题。传统的安全问题主要有两个:一是依赖人工,二是使用僵化的规则和特征码。AI 在这两方面都能提供帮助。
之前有嘉宾分享了他们如何用大模型驱动运营、简化流程。这是 AI 的一个应用方向。此外,AI,尤其是大语言模型,能解决一些传统规则无法解决的问题,同时减轻部分人工负担。
不过,目前还远未达到「自主驾驶」的阶段,尽管我们看到了一些曙光。微步的「XGPT」是中央网信办备案的首个安全类垂直大模型,我们在这方面取得了一些进展,但完全自动化运营至少还需要一两年。
问:目前,像微步这样的安全企业在国家安全布局中承担着怎样的使命?如何与国家政策结合?另外,面对行业「内卷」,微步的差异化优势在哪里?
薛锋:我先回答第二个问题。要打破「内卷」,最重要的是坚持专业化和创新。创新就是差异化。能做到这两点的企业自然能生存下去。当前行业确实存在碎片化和同质化问题,是一种产能过剩。这需要采购方具备辨别专业厂商和产品的能力,而不是只看价格。
尽管大环境不佳,但微步去年和今年仍保持了近 30% 左右的增长。这主要得益于我们对专业化和创新的坚持。当然如果整个市场环境更好,我们的增长可能会超过 50%。
问:这种近30%的增长主要是由什么驱动的?
薛锋:这与当前的新安全形势有关。我在安全行业工作 20 多年了,感觉 2019 年前后的安全态势完全不同。
过去的安全有点像「打卡式」,应付式地满足要求即可。但现在,它更像是「医疗」,需要真正解决问题。你买的药如果治不了病,效果很快就会暴露。当前,随着国家安全和企业数字化进程的推进,大家意识到网络安全威胁带来的巨大损失,愿意投入资金解决问题。
这不像是买保险或去寺庙祈福,而是像锻炼身体,通过投入和努力让自己更健康,减少生病。现在的网络安全就是这个阶段。在常态化演习、银狐(网络黑灰产)以及高级别攻击的背景下,大家对威胁的认知变得非常具体。
五年前,很多企业会问「谁会攻击我?为什么?能攻进来吗?」这是「鸵鸟式」的防御心态。现在,所有人都知道「一定能被攻进来」,并开始思考「我该怎么办?」这种认知变化是巨大的,各种演习和勒索软件都在教育大家如何做好安全。
问:也就是说,以前只有大厂才关心安全,现在很多独角兽企业也开始关注了?
薛锋:是的,我们发现很多 B 轮、C 轮的企业对安全的关注度比以前高得多。因为他们觉得自己的知识产权、生产线、客户数据都很宝贵。当然,对于一些数字化依赖程度低的传统行业,不重视安全也是可以理解的。
问:目前网络安全的主要付费主体是?
薛锋:主要有几类:首先是国有经济,包括央企、国企、能源企业和银行。其次是蓬勃发展的科技企业,如半导体、汽车制造、互联网公司,这部分业务占微步很大一块。还有一些在华外企。
问:近几年木马攻击越来越多,除了企业数字化,还有其他原因吗?
薛锋:我打个比方,以前我们出门带现金,现在所有值钱的东西都在手机里。攻击者也一样,因为企业都数字化了,他们也必须通过数字手段来攻击或窃取数据。这是最主要的原因。此外,地缘政治等非经济因素也是驱动因素,但对绝大多数企业来说,攻击者仍以牟利为目的。
问:您之前提到终端是最大的攻击入口,未来会发生变化吗?
薛锋:在中国,大家对终端安全的重视还处于早期阶段。钓鱼木马进入 PC 终端后能做很多事。这个「觉醒」的过程可能会持续四五年甚至更久。很多企业可能连基础杀毒都没有,这远远不够。
至于未来的趋势很难预测,攻击面在不断扩大,包括 API、云和 AI 带来的新威胁。目前还无法判断哪个会成为像办公终端这样影响全局的最大攻击面。
问:企业目前对情报的消费还处于低级阶段。作为解决方案提供商,我们有什么更好的解决办法或探索方向,能为用户提供更高阶的情报形式?
薛锋:这个问题主要出在消费端,而不是供给端。也就是用户能否用好高级别的情报。这是一个漫长的过程。
微步之所以从情报走向 EDR 和 NDR 等产品,正是因为我们担心很多部分用户连低级别的情报都无法消费。我们发现许多用户买了产品,但没有用好。
我们自己开发的 TDP 和网关等产品,其内部已经整合并消费了复杂的情报,就像手机用户无需了解底层操作系统。只有更高级别的用户,比如顺丰那样有上百人安全团队的企业,才需要 DIY。
我们的目标是提供更好的「手机、平板」,而不是期望每个用户都能成为 DIY 专家。
问:也就是说,很多企业买了产品后存在浪费的情况?
薛锋:是的,有些产品在一些用户端没有充分发挥出价值。为了解决这个问题,微步 2017 年就专门成立了客户成功团队。这个团队在国内安全行业是最早成立的,目前有几十名成员,专门服务客户,确保他们能正确使用工具。这需要对客户的系统和网络有深入了解。我们通过行业最佳实践,帮助客户一起优化安全策略。
问:像微步这样专注于某个领域的安全厂商,有什么建议能帮助客户将多个厂商的产品整合起来,提升安全运营水平?
薛锋:作为专注于安全运营的供应商,我们不能影响客户所有产品。但我们会通过行业最佳实践、沙龙论坛、文档和线上直播等方式,帮助客户改善认知和策略,让他们更好地进行安全运营。
复杂性是全球甲方企业面临的三大挑战之一,这正是由于使用了来自不同厂商的产品,难以整合。微步希望提供真正解决问题的产品,避免重复建设。
问: AI进入网络攻防后,攻击的数量和手段有什么直观变化吗?
薛锋:我觉得主要是对攻击质量产生更大影响,而不仅仅是量的提升。例如,攻击者可以使用 AI 写出更逼真的钓鱼邮件,提升攻击的成功率和对抗难度。
对防守方来说,AI 首先带来了量的变化,它可以压缩掉大量的垃圾告警,帮助分析师快速处理。因为过去 90% 甚至 99% 的告警都毫无意义,AI 能轻松将其过滤。其次,AI 也能提升防守的质量。
问:很多企业偏向被动防御,AI能帮助他们获得主动安全能力吗?
薛锋: AI 是实现主动安全的条件之一,但不是充分条件。例如,今天大会上猿辅导的案例展示了如何用 AI 主动运营。AI 能提升效率,但目前我还没看到企业因此大幅增加安全投入。当前影响投入的主要是宏观环境和企业自身发展阶段。
问: SaaS模式在国内饱受质疑,很多SaaS公司都倒闭了。微步在「云优先」领域很成功,主要原因是什么?
薛锋:我认为问题核心不在于 SaaS 模式本身,而在于市场匹配度(PMF)。SaaS 模式更优越,因为它坚持订阅收费,为供需双方都提供了灵活性,这是更健康的商业模式。如果一家公司在订阅模式下都失败了,买断模式下只会更早失败。
微步在过去十年里,推动了行业对订阅和云化模式的接受。以前大家认为国企、金融、制造业不可能接受云化,但现在 90% 以上客户都能接受订阅,云化也在加速。这正是「难而正确的事」,尽管过程痛苦,但最终对双方都有益。
问:展望未来三到五年,网络安全下一个关键战场在哪里?厂商的服务模式会有什么趋势?
薛锋:短期内,我认为生产力方面最大的变量是 AI。未来的竞争将在于 AI 如何改变攻防战场。但目前尚未出现能颠覆局面的 AI 应用。
从业务层面看,一些老问题(如漏洞、钓鱼)会持续存在,只是形式不断变化。网络安全就像疾病,无法彻底根除,只能持续对抗。
问:您认为AI进入后,攻防双方是持平状态,还是有一方优势更大?
薛锋:我认为短期内 AI 对攻击方的帮助会更大,因为它能提升攻击的质量,而不是数量。攻击者学习能力强、决策灵活,能更快地利用新技术。而防守方因为决策流程复杂,无法快速应用最新技术。
从长期来看,防守方有正规军和科研力量,可能会做出更好的东西来对抗。
攻击者只需要找到一个薄弱点,比如财务或 HR 人员,就能突破。而防守方必须保护整个系统和所有人员。
问:您如何看待大模型自身的安全风险?与传统的机器学习相比,有哪些新趋势?
薛锋:我个人认为,大模型本身的安全是一个专业话题。但可以简单说,它会带来内容安全和传统网络安全两方面的风险。黑客可能会操纵大模型进行信息泄露或渗透内网。目前,大模型的安全风险 TOP10 已经很成熟,黑客正在研究如何绕过安全机制。
问:您如何看待便捷性与网络安全之间的平衡?另外,很多企业为图方便把数据集中存放,这也会带来风险,如何解决?
薛锋:便捷性与安全之间的冲突是所有企业都会面临的问题。我认为企业需要有清晰的安全策略,并把安全的优先级放在较高位置。更好的技术可以解决一部分问题,例如,让安全软件更轻量化,减少对业务的干扰。
但安全永远是「一把手工程」。领导的态度决定了安全规则的严格程度。技术能让过程更「无痛」,但管理和理念同样重要。
问:最近有哪些时刻让您比较有成就感?
薛锋:成就感来自于我们做成了别人认为不可能的事情。例如,越来越多的大型企业选择信任微步,拥抱云化安全。过去大家认为这些企业不可能接受,但现在接入速度非常快。这种模式上的变化影响深远,因为它不仅推动了微步的发展,也让整个行业和最终用户受益。
在当前行业「内卷」且很多公司增长停滞甚至负增长的情况下,微步连续两年增长率近 30%,也证明了 SaaS 化和云服务的健康成长模式。
问:能否分享一些微步帮助企业解决重大安全事件的案例?
薛锋:我们经常处理三类典型的危机事件:
1. 勒索事件:客户被勒索,生产线停摆,需要我们专业溯源分析和判断,以及对方是否真的控制了系统。
2. 银狐事件:黑客控制企业 IM 拉群诈骗。这类事件虽然技术危害不大,但对单位信誉和安全团队的内部信任造成很大影响。
3.APT 攻击:隐蔽性极高的高级持续性威胁。我们曾多次发现大型企业被完全控制,清理难度巨大,就像一场复杂的手术。
这些事件证明了威胁的严峻性。攻击者变得更狡猾,像勒索和银狐这类攻击因为无法隐藏,所以大家能感知到。而 APT 攻击往往是隐秘的,用户可能根本不知道自己已经被控制。
问:现在是「魔高一尺,道高一丈」吗?
薛锋:很难说。你看连银狐这种低端攻击都能轻易得手,更复杂的对手只会更厉害。很多攻击者进来后不声张,你根本不知道。勒索和银狐这种「藏不住」的攻击,反而让大家清晰地感知到了威胁。
过去的安全有点像「小学生考试不公布成绩」,大家以为自己做得不错,但不知道整体水平。现在有了攻防演练、黑产和勒索报告,答案被披露,大家更清楚地知道自己的不足。这种认知清晰是好事。
