网络安全即服务是在SaaS(软件即服务)的启发下提出的一种商业模型,CSA列出了一个网络安全即服务的目录:业务连续性与灾难恢复、持续监测、数据防泄露、电子邮件安全、加密、身份与访问管理、入侵管理、网络安全、安全评估、SIEM、漏洞扫描、网站安全,基本覆盖了企业日常安全运营的内容。2018年初,谷歌的母公司Alphabet宣布成立一家名叫Chronicle的网络安全公司,利用谷歌庞大的基础设施和数据分析能力,Chronicle在2019年发布了一个名为Backstory的信息安全数据平台。我在RSAC 2019上,向Chronicle的工作人员询问了其Backstory的工作模式以及服务价格:服务费按企业员工数收取,每个员工每年45美金;不管企业有多少设备;不管企业产生了多少日志/告警;不限量分析/查询;现在还不支持的日志格式,承诺三周内就能支持。Chronicle用了“Telemetry(遥感勘测)”这个词来描述Backstory提供的服务,其工作模式是企业把各种日志上传给Chronicle,Chronicle帮助企业进行分析,企业的安全运维人员在Backstory的平台上进行查询。显然,这是《创新者的窘境》中克里斯坦森教授所讲述的“低端逆袭”的打法,对拥有成规模的安全团队、安全预算也不是大问题的“高端客户”来讲,Chronicle的服务吸引力并不大,但对无法负担专业的安全团队、安全预算有限的中小企业来讲,Backstory是很有吸引力的服务。并且如果Backstory确实好用,那么它会逐步向上蚕食中高端用户市场。此外,作为Alphabet旗下公司,如果能充分整合利用谷歌的资源,Backstory就能做到既便宜又好用:谷歌拥有Virus Total,这是全球最大的恶意样本库,解决了样本与URL威胁情报的来源问题;谷歌拥有8.8.8.8的DNS,全球约有13%的域名解析是由谷歌提供,DNS解析信息是一个非常宝贵的威胁情报来源,并且可以通过DNS解析进行部分防护服务工作;谷歌拥有搜索引擎,对通过网页进行传播的恶意代码有很强的追溯能力;谷歌拥有Chrome浏览器,能从浏览器的行为日志/异常告警发现网络攻击;谷歌拥有先进的分布式存储、分布式计算平台,可以用极低的成本实现海量数据的存储与检索;谷歌拥有先进的人工智能技术与自然语言处理技术,对日志文件的分析很大程度上可以通过自动化手段进行;谷歌Project Zero (GP0)团队的漏洞挖掘能力全球领先。有效整合了谷歌以上各威胁情报和网络安全能力,Chronicle就能通过资源复用而大幅降低安全服务的边际成本。果不其然,2019年6月,即传出Chronicle被整合进谷歌Cloud业务的消息。虽然在2019年11月份时,Chronicle曾被媒体报道一系列负面消息,例如人员流失/转岗等,但我觉得断言Chronicle的失败还为时过早,企业级的网络安全业务演进速度慢,云化的、低成本、高服务带宽的网络安全服务,是解决网络空间安全问题的出路之一,是未来的大方向。
