创新者的窘境，以及先知创新大会议题预告

预览

创新是安全行业的永恒话题，无论是业界大佬还是刚入行新兵都会津津乐道。但对创业者来讲，创新难免是痛苦煎熬的抉择：新技术经常有缓慢冗长的接受周期，国内尤甚，增长速度难以让投资者满意；而做传统产品虽然收入初期增长快，但很快很容易变成红海，天花板随时显现。创新对大公司亦是难题，内部既得利益产品线和团队往往不自觉地阻碍新技术的应用，较小的初期市场规模不能满足大企业的增长需求，管理者的惯性思维、保守主义、自满情绪等等，种种原因促成内部创新举步维艰。

在目前极度喧嚣的环境的影响下，如何把握创新，不妨先借鉴前人的总结，《创新者的窘境》，The Innovator's Dilemma: When New Technologies Cause Great Firms to Fail，如果你正花费上千元加入那些大V布道者圈子为颠覆式创新鸡汤拍案惊奇大声喝彩，那多花40元买下这本上个世纪末（1997）出版的关于技术创新的圣经细细研读吧，笔者打保票绝对物超所值。

当然，也不可事事尽信书。通常认为，颠覆性技术和模式通常更简单、价格更便宜、性能更低；意味着利润低，更不可能实现高毛利；竞争格局中的领先企业所拥有的能带来最大利润消费群体通常不会接受；最初在新兴市场或是不重要的市场投入商业化运行。当然你可以找到无数例子印证这些结论。例如免费杀毒软件的业务模式符合上述所有特点描述。

但在安全行业，笔者看到创新技术的采用，往往首先发生在巨型龙头企业。原因很直接，既有资源可以真金白银投入，又有业务需求真实迫切，团队成员心态也很开放，尝试新技术自然水到渠成。但这些企业每天都在被全球最优秀的厂商所围绕，不停灌输销售顶尖水平的产品，创业公司想挤进去的难度可想而知。

所有产品的生命曲线都高度类似：新技术初期必然只能在局部有所突破，功能全面性上显然难以与传统产品抗衡。但是成熟的产品往往已经步入衰败期，问题逐步涌现，用两三年后不得不替换，造成巨大浪费。这也需要用户团队负责人身怀大智慧，富有远见卓识，分辨得出新技术的远大前景，能够承担短期风险，去追求中长期投资回报率最大化。寻找此类种子用户是技术型创业公司初期业务的重中之重。

所有市场都存在相同趋势：企业都希望生产出更复杂的产品来进入更高端的市场，以攫取更高的利润空间。但是更复杂的产品需要更多的工程资源投入，而这恰好是巨头们的擅长，对创业公司来讲又是难以逾越的障碍。炒作创新概念不是目标，总是要做成产品卖给大量用户才能创造利润。越是先进技术的整合集成，对研发和产品的管理水平的要求也越高。

创新概念推向市场，亦是极大的挑战。纵然市场传播有万千手段，但其本质躲不开为目标受众群重复讲述一个打动人心的故事。事件营销虽然广受吹捧，被某些专家夸夸其谈乐此不疲，但在企业市场往往成效差强人意，一个处理不好反倒会有负面效果。拥有资源的巨头大把市场费用砸下去，就算是极烂的故事和荒唐的信息，都能令用户信以为真。在这方面创业公司明显处于劣势。

然而无论创新多艰难，总是要努力去做的；否则无法面对瞬息万变的信息安全威胁，无法获取技术领先优势打破传统巨头的垄断，无法让创业公司得到行业用户的认可。相信总有些人并不满足于跟随者角色，想尝试引领行业的变革。

在阿里云主办的先知创新大会（11月17-18日  北京）上，笔者将会分享一项融合多年创新技术积累的全新的安全解决方案——纵深分析检测响应架构，内容预告在本文第二部分。细心的读者也许已经注意到，笔者演讲所使用的幻灯片早已不公开放出，所以感兴趣的看官们请移步大会现场交流。报名请到页面底端点击“阅读原文”。 

纵深分析检测响应架构

数字化进程导致企业信息设施规模日益扩大且环境愈加复杂多变。基于大数据分析平台的安全架构虽然有诸多优势，但在采集、汇总、存储和分析海量数据等任务上，存在初始投资高昂、建设周期漫长、操作复杂难用以及人员要求苛刻等弱点，难以得到大规模推广和实施。此外，风险控制和安全团队在企业信息设施的每个角落，同时应对海量内部威胁和外部威胁，显然需要深入内网、数据中心以及云环境获取更多数据深入分析，并尽快在威胁接触点作出快速反应，这些需求都导致上述矛盾更加突出。

全新面世的纵深分析检测响应架构，与传统SIEM和大数据平台集中处理机制迥然不同。借助边缘计算和机器学习，将数据分析节点小型化，可部署至单台服务器或端点，对局部区域小规模数据集仍有极佳效果；分布于内网、边界、数据中心和混合云，持续评估关键数据资产、网络异常流量、用户及设备恶意行为等风险，按照ATT&CK框架检测未知攻击，对内网横向移动等攻击手法有特效；集成网络和终端调查取证及应急能力；亦可额外内置蜜罐、沙盒和欺骗等模块；宛若每个局部拥有小型下一代SIEM，实现自适应持续检测响应闭环，接受统一管理并可相互协调；部署只需快速接入服务器或安装端点软件，无需巨资投入集中计算资源和带宽，即可实现无处不在的智能安全分析，即使基础设施架构频繁调整仍能提供足够弹性，从而持续发挥巨大效用。

纵深分析检测响应架构，极大减轻了海量数据后台传输、存储和分析的压力，并能提前发现恶意行为与未知威胁，显著缩减检测和应急响应的时间。传统的大数据安全分析方法，都是在广泛采集安全数据和日志之后挖掘数据表征，进行趋势预测和关联分析等。因此，安全预警总是稍有滞后，而威胁防御是件分秒必争的工作。为了使安全人员能够第一时间报告异常，将初步鉴定入侵的一阶分析前移至事件发生位置，可以获得更及时、更准确的效果。二阶分析仍可在大数据平台完成，既可参考一阶分析结果，又可独立挖掘，互不干扰。分布式自动化AI分析引擎同时具有良好的横向可扩展性，当企业信息基础设施扩大时，可随时无缝追加部署。

纵深防御旨在多个防护层次上使用互相独立的不同防护手段以配合联动阻止攻击。然而，传统手段依赖于签名特征的静态技术，只对已知攻击有效且检测规则高度类似，难以保证防御方法的相互独立性，效果差强人意。实践证明，基于机器学习的高级数据分析技术，针对小规模原始安全数据集，仍然拥有令人满意的检测效果。针对场景优化AI算法和代码，实现机器学习引擎的轻量化和小型化，降低其对运算能力的要求，可嵌入至网络边缘和端点处实时运行。借助边缘计算能力，高级数据分析功能被嵌入至每一层防御中，提供动态防护，而每一层都能在前一层安全控制失效或漏洞被利用时提供冗余。为边缘计算而研发的AI引擎可以被广泛部署于信息基础设施中的任何地方，通过发现利用已知攻击手段模式，从而检测出未知威胁，全面提升安全水平。

随着边缘网络愈加复杂，设备多样化和接入数量剧增，边缘服务器和终端频繁被入侵，给应急响应团队的日常工作造成了很大障碍。准确定位并调查失陷设备，缩短响应时间并提升效率，已成为最迫切的目标。全新的纵深分析检测响应架构，将数据分布存储于边缘设备上，提供多种调查响应能力，包括近实时应答、P2P迅捷通讯、远程调查取证、历史数据查询、自动化批量处置、资产发现、用户行为分析、端点网络流量检测以及大规模威胁猎捕等。这些功能不仅弥补了传统防护的欠缺，使检测+响应成为可能，更为纵深防御提供了强有力的技术基础。

我们一直致力于向业界开放先进技术能力，其机器学习引擎已被众多合作伙伴采用，在各行业财富500强企业的信息安全与核心业务中发挥着巨大作用。我们仍将延续此战略，向合作伙伴全面开放纵深分析检测响应架构，包括底层通讯接口、安全保障协议、数据存储和查询、机器学习引擎、数据分析结果、第三方模块载入接口等，携手各方共同提升用户应对数字化商业风险的能力。

纵深分析检测响应架构，拥有无处不在的检测响应分布式计算节点，深入包括内网、数据中心、混合云、IoT等在内的企业每个角落；应用机器学习等高级数据分析技术，集成网络流量分析NTA和端点检测响应EDR新一代产品能力，持续监控分析关键数据的流动和使用，以及特权用户和实体的行为，第一时间检测出内部威胁和外部威胁；使用AI技术大幅提高检测准确率，为编排和自动执行响应措施提供坚实可行的基础，能在局部区域实现自适应安全闭环；富含线索的检测结果和充足的本地历史数据，亦能有效指导并辅助应急团队的调查和响应。纵深分析检测响应架构，集近年来安全技术发展之大成，吸纳针对数字化风险和威胁应运而生的全新架构设计理念，是企业安全体系的全面突破和变革。

点击左下方“阅读原文”报名参加“先知创新大会”