云安全的愿景:让更多用户受益
“直接从云而来的雨水就是蒸馏水,它和可以生饮的自来水一样安全可以饮用。你能对从云而来的数据说同样的话吗?”稳捷网络CEO张鸿文博士问道 “当自来水公司卖的水就像典型的垃圾邮件和恶意软件泛滥的互联网流量一样不清洁时,你会如何反应?”这已成为关系互联网长期生存的关键问题!
稳捷网络CEO 张鸿文博士
水是生命的元素:我们近60%的体重由水组成。水的存在是天文学家考虑可居住的星球时首先要寻找的事物。找到一个好的清洁水源,人们就可以傍水而居,繁衍生息。古代的贸易路线是从一个水源地行至另一个水源地,如今的现代化城市也是伴靠着那些珍贵的水源资产成长起来的。
在网络空间里,流向各个节点的信息就好比人们赖以生存的水。它们适用同样的法则,即,提供良好的信息则业务将蓬勃发展。对于服务提供商,它所提供的信息来自云,就像水最终从云中而来。然而,云中的信息可以如云中的水一样干净吗?如果服务提供商能够承诺向其客户提供的不只是数据,而是经过过滤的纯净的数据,那么它将会得到怎样的回报呢?
服务提供商关心什么?
客户流失是服务提供商最头痛的事之一。全球移动电信服务公司每年的流失率从20%到40%不等,而随着市场日趋成熟,情况会变得更糟。作为一个常识我们知道,争取一个新客户的成本远远高于保留现有客户的成本,不仅因为获取新客户降低了总体利润,而且因为损失了已有客户的推荐,而降低了以此获取新客户的机遇。
所以请考虑我的问题:“如果您的水供应就像典型的互联网连接一样受到了污染,您会如何反应?”您将被迫把钱花在自己的水过滤系统或水消毒片剂,或者向其他供应商购买瓶装水。并不得不不断地寻找更好的方式来买水。
这也正是当今互联网用户所做的同样的事:当他们将资金投资于第三方防病毒和安全系统时,他们所能花在购买您的服务上的投资必将减少。当每天如洪水般的垃圾邮件涌进他们的邮箱时将迫使他们去寻找更好的,或至少更便宜的服务提供商。
这正是客户流失的引擎。以垃圾邮件为例,不受欢迎的垃圾邮件会对用户产生持续的压力。 垃圾邮件制造者精心设计了每一个心理策略,以吸引你的注意并让你分心,你不得不浏览所有的收件夹,以免遗漏也可能存在其中的少数重要的电子邮件。根据微软安全报告,每日总计的垃圾邮件在2010年突破了2000亿大关,97%以上通过网络发送的所有电子邮件是不必要的。当你不得不在第三方互联网防护软件上花费时间和金钱的时候,听到另一电子邮件服务供应商有更好的服务,更干净的邮箱,难道你不会考虑从那里获取一个新的电子邮件帐户?对于客户来说,换个邮箱只是像抓痒一样简单,而对供应商而言,就意味着客户的流失。
现在我们改变一下场景:你有一个供应商去年提供了良好的服务,降低了收到的垃圾邮件并提供了恶意软件的保护,不需你任何额外努力就满足了你的需求。今年你会自找麻烦去换掉这个供应商吗?这揭示了一个更常见的业务情况,即卖服务给现有的顾客远比赢得一个新的客户容易得多。
事实上,对服务提供商而言,20%至40%的客户流失率是相当糟糕和挫败的。如果通过提供干净的数据,以减少那样的挫败,降低客户流失率,相信每个服务提供商都会愿意。
更大的问题
到目前为止,我们一直认为,任何一家公司只要能找到一种方法来提供无污染的互联网接入,将获得削减客户流失的立竿见影的优势。无疑这对他们来说是很好的。但对商业、经济和社会诸方面的效益又如何呢?
新方法对已经大量投资于安全解决方案的大型企业或公共组织的影响有限。这些团体有他们自己明确的需求,从军方的防爆安全, 到金融交易的高速需求, 以及医疗和政府的个人数据保护等等。他们将有自己到位的安全系统以及一个专业团队来管理。
由服务提供商提供的安全的真正受益者将是个人、家庭用户和较小型的企业。他们不希望易于遭受攻击,但讨厌为了提供自我保护所需投入的时间和资源。这在统计数量上是一个大扇形区的人口群体,但它们在经济上是否也如同较大的企业一样重要呢?
以欧洲为例,欧盟网站将中小企业定义为具有少于250名员工的企业,其中“小”是指雇员少于50人,而“微”是指员工少于10位。根据欧盟网站,这些所谓的中小企业“提供了三分之二的私营部门的工作机会,并贡献了超过一半的由欧盟企业创造的总产值。此外,中小企业也是欧洲经济真正的骨干,是财富和经济增长的主要来源,仅次于他们在创新和研发方面所发挥的关键作用”。
我们再来看看加拿大。依据加拿大数据评定,“小”为少于99名雇员,“中”为少于500,而“大”是500或更多员工的企业:这些“小企业占雇主企业的98.2%,中型企业占雇主企业的1.6%而大型企业占雇主企业的0.1%。”
如果这些数字具有典型的代表性,而全球有大约220万家员工少于250人的公司,那么更清洁的互联网连接在任何国家的经济效益都将是巨大的。对规模较小的企业而言,这简直就是直接的时间和成本节省;因为他们不具备资源来保护自己免受恶意的和浪费时间的流量侵袭。
再看看家庭用户所得到的利益,。对他们来说, 互联网主要是提供娱乐和社会接触。一个人们可以互动、分享经验和自由讨论想法的社会是一个非常健康的社会。但是,当沟通媒介被钓鱼探针、垃圾邮件联系人、“grooming(儿童色情)”和其他形式的恶意流量污染了时,那些曾经团结社会的媒介就变成了撕裂它和传播不信任与愤怒的不寻常的工具。
让我们举一个具体的例子:世界总人口70亿人里面已经有超过21亿的移动互联网用户,2013年第二季度中国移动安全市场季度研究报告的调查结果显示,53%的移动数据用户不想在他们的移动设备上安装安全软件。对安全专业人士来说这可能是看起来令人震惊的消息,但它只是真实地反映出了人的需求和随之延伸出的挫折感,即当家庭用户感到不得不采取措施以确保家用IT系统安全时,却又不愿采用现有的办法。事实上,大部分的移动网络接入的吸引力在于它的即时性、简单和直接。一旦事情开始变得复杂化,随着更多的密码和安全操作级别的引进,那个吸引力就随风而逝了。
因此,这是一个更大的图景:一个提供干净互联网接入而不将主要安全负担留给个人用户的社会,不仅能获得经济利益方面的好处,也会从更好的社会凝聚力和更少的不满中受益。
但是这可能吗?
尽管云计算的大趋势才刚刚起步,但它已显示出实施互联网安全,改变游戏规则的巨大潜力。具统计, 每年全球用于互联网安全的费用高达600亿美元, 然而互联网污染对世界经济的损害却高达近一万亿美元-很明显,干净的互联网会对全球经济和社会福利做出惊人的贡献。但它是一个白日梦吗?它会被怎样付诸现实呢?
视频的普及带来网上内容的大规模增长。。而90%的攻击被隐藏在诸如视频等流媒体及文字内容里。- 任何有效的解决方案都必须涉及网络流量的实时对象层次分析。这种“深度内容检测”不仅分析网络数据包内的字节,也对通过许多网络数据包传送的数字对象进行识别和处理。显然,在这个层级的检查能力将成为诸多新网络应用的推动者,删除垃圾邮件和恶意软件仅仅是个开始。
我们从满足服务提供商的利益开始:提供清洁的互联网流量给你的客户,你就会有一个直接的竞争优势。当然,我也建议所有的服务提供商都应该这样做,所以这种竞争优势将是短暂的。然而,减少客户流失仍然会是一个重要的红利。
但是这里还有另外一个因素:如果服务提供商有办法来清理流量,包括攻击内容,那么也就有潜力提供一系列的安全和其他服务。“清洁的互联网”,如同干净的水,必将使整个群体受益。或许会有一些客户有特殊需要,希望服务提供商提供“加味水”,根据源区域、语言、起始日期或任意数量的特殊标准而制定安全规则,对于这些需求,深度内容检测都有无限的潜力为其提供未来的服务。
实现这种安全理念所需的必须是一个附加的“安全层”,因为很少有服务提供商会欢迎叉车式升级其庞大的基础设施投资。它应当以软件形式来提供,以嵌入式操作系统来运行,可以安装在普通现成的硬件设备和服务器上或者打包为虚拟机。
令人欣慰的是,这样的软件已经可以获得,而且成千上万的实例已经部署在世界各地的服务提供商、企业、以及小型企业,为这些组织进行高性能深度内容检测,也用来管理他们的上网行为。同时,服务提供商现在有了一个重要的机会,引进这种安全服务以增进其业务和对社会做出重大贡献。
最大的问题
要知道一个更清洁的互联网对企业和社会有着巨大的影响,它也引发了关于互联网本身未来的重要问题。
如上所说,一个非常大的网络,由于其本身的复杂性、适应性和有机增长,因而具有类似活的有机体的许多特性。然而,一个活的有机体,不仅仅是由肉和骨头组成,它还有覆盖结构的系统。神经系统扮演了可辨清晰“控制面”的角色,从身体的每一部分接收数据,以感官和疼痛的形式,传送回信号来控制和管理该机体。
现代网络趋势认识到需要一个类似的控制面,以把静态网络转变成一个动态的“活”的实体,能够适应快速发展的商业和监管要求。这就是软件定义网络(SDN)的精髓,目前它已被广泛认定为网络的未来。
所有复杂的生命已经进化出了如此一个神经系统,连同其他系统并行运作。维基百科指出:“免疫系统是一个有机体内抵御疾病的生物结构和处理过程的系统。要正常运行,免疫系统必须检测出各种各样的代理,从病毒至寄生蠕虫,与机体自身的健康组织区别开来。”这是一个非常明确的生物深度内容检查的描述。
它继续描述了免疫系统的“分层响应”,先天免疫系统,为从单细胞向上的所有植物和动物提供即时的、非特异性的防御。然后就是已经开发在诸如人类等脊椎动物的适应性免疫:“在这里,免疫系统适应其在感染期间的响应以提高其对病原体的识别。这种改进的响应在病原体已被消灭后会被保留下来,以免疫记忆的形式保留,使得自适应免疫系统每次遇到该病原体能发动更快、更强的攻击”。由于病原体的进化和适应,免疫系统已经进化发展了多个防御机制。
问题的关键是,如果没有某种形式的免疫系统,最终没有有机体能够生存,就像它没有神经系统就不能移动和适应。那么,什么是网络的长远未来,除非我们能不仅开发一个软件定义的神经系统,还能开发一个内置在结构本身的软件定义的安全系统?