零信任是由Forrester Research的分析师John Kindervag在2009开发，并在201

• 网络安全
  

• 设备安全 

• 人员/身份安全

• 工作负载/应用安全

• 数据安全

• 可见性和分析

• 自动化和编排
  

本文基于2019年第四季度Forrester Wave™报告中的评估数据做一个简单分析。在报告中，7个技术维度，每个都分别打分，有不同的权重，每项得分有了1、3、5三个不同的值，其中1分最低，5分是最高分，本文将从这7个技术维度逐一展开说明。

       网络安全能力是零信任最初关注的核心能力，在ZTX模型中，主要关注的是如何实现网络隔离和分段，以及最终安全性的原理是什么。在这个维度中，得到最高分5分的厂商最多，达到了7家，这也与零信任最初的切入点吻合。这7家分别是Check Point、Cisco、Palo Alto Networks、Symantec、Forcepoint、Okta、Cyxtera Technologies。简单来说，零信任的网络安全能力可以理解为是支持微分段和微边界的NGFW产品定义的能力，产品形态可以是硬件形态也可以是虚拟化设备或其它可以提供同等能力的软件形态。

Palo Alto的零信任网关主要是其下一代防火墙，它是单通道软件架构来实现这一目标，具有独立的控制和数据平面，加上特定功能的并行处理硬件引擎来处理流量。

二、设备安全。

Okta的身份认证逻辑分为三个阶段，1、实现统一身份访问管理。对访问管理系统下进行整合，通过单点登录（SSO）完成的第一阶段整合。2、实现上下文访问管理。通过收集关于用户上下文信息（即他们是谁？他们是一个有风险的用户群吗？），应用程序上下文（即用户试图访问的应用程序）、设备上下文、位置和网络等信息进行综合判断，对于可能存在风险用户配合多因子身份认证进行二次验证。3、自适应的身份鉴别。这是与传统上身份验证区别最大的地方，不再是一次验证通过就获得这次会话的完全信任，而是通过自适应的、基于风险的评估来识别潜在威胁，在用户体验的整个过程中持续进行。这是第2阶段的上下文响应中添加了一个智能的、基于风险的引擎，并允许基于这些上下文信号的风险评分来确定特定身份验证事件的风险，并基于这种判断提示进行附加的身份验证。这里的关键是要避免因为误报而导致对用户正常操作的干扰。

应用和工作负载的零信任，在Forrester Wave™评分中得到5分有3家，分别是Akamai、Google、Cyxtera 。他们都是SDP的实践者，下面以Akamai为例简单说明。

Akamai是CDN的发明者和服务提供商，它原有的24万台服务器的代理平台也是它转型到以SDP提供零信任服务的重要因素。Akamai的IAP模型与Google的Beyond Corp模式相似。它通过企业应用程序访问（EAA）云产品提供工作负载保护的服务。

EAA允许企业通过Internet（无论是托管在云中还是在数据中心中）提供对私有应用程序的访问，并执行最小特权和零信任的原则。只有经过身份验证的用户和设备才能访问他们有权访问的内部应用程序，并且不需要打开或维护入站防火墙端口。EAA将数据路径保护，单点登录，身份访问，应用程序安全以及管理可见性和控制功能集成到由Akamai智能平台支持的基于云的单个服务中。它最终可以保护私有企业应用程序，从而最大程度地减少了攻击面并使企业基础结构和数据对公众不可见。 它是基于云的服务，并从一个单一窗口访问基于Web的应用程序，框架内也可以与传统的安全服务集成，例如高级威胁防护，Web应用程序防火墙等。

五、数据安全

零信任架构的核心是回归本源，聚焦于保护数据的安全，构建以数据为中心的安全。从数据安全着手建立零信任体系相对容易落地，也更容易以最好的ROI产生效果。无论数据处于在终端、应用服务器、数据库、SaaS应用程序之中，无论在组织网络内部或外部，无论数据是处于流动状态还是使用状态，都需要通过一定的技术手段，防止数据的泄露。Forrester Wave™在评估时主要关注如何实现数据的分类，隔离，加密和控制等安全措施。

虽然零信任架构的实践目前以网络微隔离、增强IAM（IDAAS等）、SDP这些形式为主，但本质上这些零信任的实践还是围绕是以实现数据安全为核心。在Forrester Wave™7个技术维度的权重中，数据安全权重17%也是最高的（网络安全权重12%，身份安全权重15%）。但是在数据安全这个维度中拿到最高分5分的企业却只有一家，远小于网络安全等其它维度，这是一个很有意思的现象。

零信任数据安全的保护应用于数据本身，与数据的位置无关。为了有效，敏感信息应在进入组织的IT生态系统后立即被自动标识出来，并应通过在整个数据生命周期中持续的保护。

典型实现包括安装在每个终端上的部署代理，在云和网络上部署探针设备，这些代理和探针由一个集中管理控制台控制，管理员在该控制台中为每个终端代理、每个用户、每个探针定义数据类型和采用适当的保护形式。作为以数据为中心的网络设计，该设计本质是在特定数据或资产周围放置了微边界，以便可以执行更细粒度的规则。这个一般分为4个步骤：

1、识别敏感数据：这看似简单，但要落地，远比想象的更具挑战性。保护看不见的数据是不可能的。识别数据后，有必要使数据分类有用，而简化是关键。

2、映射敏感数据的数据流：了解数据如何在网络内、跨网络以及在用户和资源之间流动。这里的数据既包括结构化半结构化数据，也包括非结构化的文档数据，数据流的形成是一个必要而艰难的过程。

3、创建自动化规则库：确定访问控制的规则，形成数据安全策略。要定义这些规则，必须了解哪些用户、应用和数据之间的关系。

4、持续监控持续调整：通过持续监控，并根据用户的行为和风险，自适应的调整用户的安全策略，采用不同的响应手段。

常见数据安全防护的技术包括文档加密、数据库加密、磁盘加密、数据脱敏、DLP(数据防泄漏)、数据库审计、虚拟沙箱、UEBA、CASB等。与SDP、IDAAS、微隔离等相比，这些看似不是新的名词和定义，理论上应该有更好的表现，但Forrester Wave™选的14家厂商中只有ForcePoint拿到了最高分5分，数据安全整体得分是7个技术维度中最低的，甚至长期在GartnerDLP魔力象限领导者的Symantec也只被评估为3分，为什么会出现这种情况？这是一个很有意思的话题，Forrester评价Symantec产品组合中唯一真正的缺陷是其传统的DLP方法。客户“并未真正按预期使用DLP”。但是，实际上，对于当今行业中的大多数DLP工具来说，这很常见。传统DLP的问题本文就不展开讨论了。不过，笔者一直认为，数据安全相对而言是零信任理念和架构最容易落地的一个维度，一个好的数据安全方案和产品可以基本不改变用户原有的网络架构，不改造用户原有的应用系统，不影响用户原有的使用习惯，以轻量级代理的模式介入到用户环境中，达到一个性价比相对价高的零信任安全结果。因为Forrester Wave™在数据安全维度下只有ForcePoint得到最高的5分，下面以ForcePoint为例简单说明。

Forcepoint的解决方案是围绕DLP和CASB构建数据安全平台，同时关注用户在终端上的行为监控和实体行为分析。Forcepoint将数据分为两大类，一类是个人信息类数据，另一类是知识产权类数据。对个人信息类数据，它集成各种合规检查和报告，可以帮助用户实现数据隐私法规的合规，例如GDPR、CCPA、PCI DSS等。对于知识产权类数据通过机器学习、指纹等方式定义和识别数据，制定数据访问规则，并持续监控、分析和调整。Forcepoint将看似无关的数据安全事件进行关联分析，通过事件风险排序（IRR）将不同的指标融合到机器学习模型中，以评估数据风险发生的可能性。它通过一个仪表板为管理员提供了整个企业（包括端点，网络和云应用程序）受保护数据的统一视图。

六、可见性和分析

这一个维度相对来说入围的各个厂商都做了不少工作，因为没有对安全的可见性和分析，产品的价值是无法体现出来的。看不见或看不懂的东西是无法被保护的，Forrester在这个维度主要关注技术或解决方案是否提供有用的分析和数据支撑，并尽量消除系统和基础架构中存在的死角。这在不同的关注维度下有不同的支撑场景和实现，需要在对需求，客户、业务和技术多维度的综合认知指引下，定义出产品自身的分析和可视化逻辑，本文就不展开分析了。

在Forrester Wave™评分中得到5分有7家企业，分别是Check Point、Cisco、Palo Alto Networks、Forcepoint、Forescout、Unisys、Illumio。下面以Illumio为例简单说明。

Illumio的自适应安全平台提供实时的应用程序依赖关系映射和安全分段，以阻止数据中心和云环境内部的横向移动。这对对跨异构计算环境的工作负载之间的连通性的可见性有较高的要求，它提供了异构环境中工作负载的实时显示，自动的发现和分类和全面的可视化审核。Illumio的核心能力是在整个基础架构中提供定义明确且清晰可见的资产图。

七、自动化和编排

零信任安全体系结构要发挥最大的价值，需要与更广泛的IT环境集成，可以改进的事件响应的速度，提高策略的准确性和并自动分配任务等。Forrester在这个维度主要关注技术或解决方案如何实现基于零信任原则的自动化和编排，并使企业能够对不同的系统进行更强大的控制。它认为如果工具具有辅助自动化和编排的技术能力，并且还可以进行细分，还不足以成为平台。但是，如果工具或技术支持微隔离和加密，集成了自动化和编排功能，并且具有完善的API，开发人员可以通过该API内置其他零信任功能，则可以将其视为平台。

通过自动化和编排，可以将重复和繁琐的安全任务转换为自动执行、计划执行或事件驱动的自定义工作流。可以动态地将安全策略中的对象与外部资料关联（如AD等IAM身份管理系统），以释放大量的工作人员时间，并减少由于人为错误而出错的机会。可以通过使用算法和经验值来自动识别安全事件，并更改访问策略规则进行响应，响应的方式也可以通过编排自动对接第三方工具和产品。同时也可以与第三方SIEM产品深度集成，提供更完整准确的分析。

在Forrester Wave™评分中得到5分有4家企业，分别是Okta、Palo Alto Networks、Proofpoint、Illumio。下面以Palo Alto Networks为例简单说明。

Palo Alto Networks这一块的功能主要是通过对Demisto的收购实现的。通过为SOC分析人员提供单一平台来管理事件，自动化和标准化事件响应流程以及在事件调查方面进行协作，来优化安全操作的效率。它利用机器学习（ML）来支持诸如事件分类等功能，或为SOC分析人员提供下一步建议。同时为分析人员提供了一个作战室，以便他们协作调查事件，并自动记录事件发生后的报告。Palo Alto Networks提供强大的事件/案例管理和剧本自动化功能，以及300多种现成的产品集成。

这7个维度是John Kindervag的继任者，现在Forrester 首席分析师Chase Cunningham在其零信任扩展框架中提炼出的7个支撑维度。在用户视角看，目前实现全面的零信任的改造存在复杂性和风险。但从不同用户具体的IT基础设施的实际出发，从最关切的风险出发，可以逐步落实零信任的原则和理念。

本质上，包括零信任在内的一切新的概念和总结，出发点都是为了解决网络安全和信息安全的本源问题，即应用和系统的可用性问题，数据的机密性问题。围绕可用性、机密性和完整性的原则，不断迭代新的理念和技术，为用户的业务提供更好的支撑和保障，这些零信任产品的发展也是各个厂商在某相对擅长的领域，为了更好的解决客户问题的自然演进。

所以零信任的7个维度划分也不是铁律，我们可以分解来看，一定程度上就是更细的网络边界，应用切分，数据定义，用户身份的多次验证，更细的强制访问控制，在永不信任，持续验证的理念下，如何在不影响用户体验的情况下，提供更好的安全保障和服务。

阅读原文

跳转微信打开

2、Splunk。2018年Splunk3.5亿美元收购Phantom Cyber，成为其产品中的SOAR组件Splunk Phantom，强化了其安全工具集的能力。Splunk Phantom的核心是可视化剧本编辑器Visual Playbook Editor。VPE允许开发人员和业务团队构建具有拖放功能的复杂而简单的Phantom Playbook。可以以图形方式构建剧本，而VPE可以在后台实时生成代码。Splunk还提供Playbook Canvas and Function Blocks，可以为单个工作流程设计特定的自动化流程。 

7、ThreatConnect。ThreatConnect 成立于2011年，提供基于统一平台的威胁情报平台（TIP）和安全编排与自动化（SOA）功能。ThreatConnect可以将情报应用到安全流程和工作流程。它的剧本使用简单的拖放功能自动执行几乎所有网络安全任务。网络钓鱼电子邮件和IP地址指示器等触发器会自动将数据传输到应用程序，以执行一系列功能。

8、Ayehu 。Ayehu成立于2007年，是企业级IT流程自动化解决方案的领先提供商。Ayehu NG的主要功能是剧本调度，可启用选择性警报来支持事件的远程控制，审计跟踪生成，工作流变更回滚以及基于角色的工作流访问，以维护两个团队（IT和安全性）的访问隔离。此外，Ayehu NG使用机器学习来建议剧本和规则的创建。此外，Ayehu NG弥合了IT和安全运营（网络运营中心[NOC]和SOC）之间的鸿沟，简化了自动化的工作流程和任务，并解决了IT和安全警报与事件，从而提高了SLA。它可以与ServiceNow，McAfee ESM，SolarWinds等无缝集成，扩展并统一了跨不同系统和应用程序的全面工作流自动化。

9、Swimlane。Swimlane成立于2014年，它的一项关键功能是使用可视化的拖放式操作来表示复杂的工作流程的剧本，Swimlane的剧本可以进行高度定制，以使用适合您现有人员，流程和技术的工作流程来解决几乎任何用例。利用所需的许多自动操作来实施无限的剧本和工作流，而无需支付额外费用。2020年4月，Swimlane收购了Syncurity(Syncurity也是去年Gartner报告中SOAR的vendor)，它专注于安全事件响应和案例管理。

15、D3 Security。D3 Security根据MITER ATT＆CK框架或其他战术，技术和程序（TTP）资源，使用自动杀伤链剧本来响应攻击意图。它集成了260多种现成的安全工具。D3已将整个MITER ATT＆CK矩阵构建到其平台中，以创建ATTACKBOT，这是一个功能强大的工具，可与D3的编排功能协同工作，以检测和破坏高级攻击。当D3检测到MITRE分类的数百种攻击技术之一时，会将其视为可能的“杀伤链”中的链接-敌人可能会采取一些步骤来达到目标。然后，ATTACKBOT协调所有集成系统（例如防火墙，SIEM和端点）中的查询，以发现kill链中其他链接的痕迹。找到更多的攻击要素后，ATTACKBOT可以编排应对手册以应对攻击，或者将有针对性的IOC置于持续的Kill Chain Surveillance之下以收集更多信息。

阅读原文

跳转微信打开

以色列，不到900万的人口，却拥有着近500家的网络安全公司，每年网络安全产业的融资规模仅次于美国，它所孕育

1touch.io，基于网络分析的个人数据发现，帮助企业实现GDPR和CCPA合规，具有数据自动实时发现，映射和跟踪个人数据流的功能。在昨天的RSA 2020上它发布了新产品Inventa，这是一个数据隐私平台，用于数据发现和分类以及数据关联分析。Inventa通过自动执行发现过程并为他们提供全面，准确和最新的主目录，使公司可以完全了解其未知的客户数据使用情况。

ITsMine，国内的朋友对这家公司相对也比较熟悉，2018年的ISC它的CEO在国家会议中心上台做过介绍，也有一个小的展台展示过产品，它的定位是解决传统DLP不能解决的问题，使公司能够免受内部和外部数据威胁的侵扰，在提高公司合规性的同时，主动，无缝，自动地保护组织数据。它的TsMine Beyond DLP是唯一可以提供最高ROI，两个小时的实施，无端点代理的方式，这里插一句，因为这一段神奇的描述笔者在ISC时也特意了解过，以笔者的理解它应该是针对特定场景的一种DLP方案，不太适合国内比较复杂的工作需要。

2、云安全和应用安全。在这个分类下的公司有Vicarius、AKEYLESS、CYBER-ARMER、Odo、ITsMine。

Vicarius，属于应用安全的范围，它保护用户免受尚未发现的软件漏洞的利用。由Vicarius支持的平台（称为Topia）使公司能够预测，确定优先级并防御软件漏洞，通过二进制代码分析方法来确定客户数字环境中的弱点。然后，使用上下文分析对这些漏洞进行优先级排序，最后通过限制对软件的可利用代码的实时访问来保护软件免受已识别的漏洞的侵害。

AKEYLESS，见前文。

CYBER-ARMER，见前文。

ITsMine，见前文。

3、网络安全。在这个分类标签下的公司有Pcysys、CYBER-ARMER、Odo、sigmadots、RESEC。

NeuraLegion，它提供了自动化的动态应用程序安全测试，并整合到客户的单元测试过程中，以便他们可以解决安全性问题，并将其作为敏捷开发过程的一部分。测试结果已提供给安全团队，因此他们可以完全了解发现的漏洞并进行补救。

5、行为分析和威胁检测。在这个分类标签下的公司有Silverfort、BitDam、ITsMine、ACID。

BitDam可以从源头上以最准确的方式防止已知和未知威胁来防御高级内容传播威胁，可在跨企业协作渠道（包括电子邮件，云存储和IM）的第一时间阻止基于内容的攻击，使组织能够安全地进行协作。

ITsMine，见前文。

sigmadots，见前文。

CyberX，它提供对物联网和工业网络的持续监视和漏洞管理，可以显所有资产的完整网络图，并延伸到生产的所有领域，让用户清楚的了解所有设备以及它们之间的通信方式。

7、端点保护和EDR。在这个分类标签下的公司有SecuriThings、RESEC、BitDam。

8、风险治理与合规。在这个分类标签下的公司有Vicarius、BIGID、Reflectiz。

9、身份管理和欺诈检测。在这个分类标签下的公司有Vicarius、Silverfort、ACID。

10、事件管理、响应和自动化编排。在这个分类标签下的公司有ZecOps、ACID。

11、OT安全和SCADA。在这个分类标签下的公司有ZecOps、CyberX。

12、开发安全。在这个分类标签下的公司有AKEYLESS、NeuraLegion。

13、汽车安全。在这个分类标签下的公司有ZecOps。

14、自动化渗透测试。在这个分类标签下的公司有Pcysys.

15、威胁情报。在这个分类标签下的公司有ACID。

16、移动威胁于安全。在这个分类标签下的公司有ZecOps。

从7到16的标签下的公司前文都有介绍，就不再重复了。给网络安全产品和公司分类一直是一个很复杂的问题，这些半官方的标签，有些让笔者觉得难以理解，但我们这些标签及背后的企业和产品中了解到以色列新兴网络安全关系关注的赛道和技术创新在哪里，可以给我带来一些启发和思考。

阅读原文

跳转微信打开

早晨6点多起床后，拿起手机看pei少发的现场视频，结合老于的数说直播，了2020的沙盒比赛情况。说心里话，如

说回来Rehan Jalil，他在成立Elastica之前，还有过一次成功的创业，他在2005年创办了WiChorus，并在2009年以1.8亿美元卖给了Tellabs。两次成功的创业过程已经证明了Rehan Jalil作为一个企业家的嗅觉和管理能力，职业生涯从Sun的工程师开始，后来作为Aperto的首席架构师，也让他可以更准确的判断技术路线的可行性。

所以，从现场的评委看，Rehan Jalil这个Human Element或许是security.ai夺冠最重要的一枚砝码。

RSAC 2020的创新沙盒比赛已经落下了帷幕，虽然整体上这一届的10强并没有给笔者带来颠覆性的惊喜，但这或许才是后爱因斯坦时代信息发展的真实一面，一如去年的冠军Axonius一样。一些老的问题并没有被真正解决，概念车固然炫酷，丰台卡罗拉服务了更多的人群。我们以更务实的态度来做好每个细分赛道，做好每个产品，而不是沉醉于粘贴各种时髦标签在自己身上，或许才是中国网络安全真正走强的基础。

阅读原文

跳转微信打开

前记：几天看到Dell出售RSA的新闻，与去年赛门被博通收购时不同，这个新闻在笔者心理没有起太多波澜，4年前

阅读原文

跳转微信打开

上个月，Gartner最新的EPP魔力象限报告正式发布，微软是领导者象限的中的领导者。笔者在2个月前发过一篇

微软涉足杀毒软件市场要追溯要11年之前的收购的一个小杀软Morro开始，2009年正式发布，改名为MSE（Microsoft Security Essentials），10年之后，无论是市场占有率还是产品，微软已经在AV市场占据了明显的位置，超过15%的份额，已经把很多专业的杀毒厂商甩在身后了。

微软的MSE在Win8后的内置OS策略确实对推广起到了很大的作用，但只有它真正有效，消费者才不会去卸载或安装第三方杀软。微软的MSE设计简洁安静，在Windows系统中的内置内生性，又有其他第三方软件不可比拟的先天优势。Gartner在报告中也提到了这一点，“通过直接将其内置到操作系统中，即可轻松实现“部署”。没有要部署的代理，没有延迟或兼容性问题，也没有其他性能开销或与其他产品的冲突。没有部署，也没有内部部署的基础架构直接导致总拥有成本降低。Windows 10内置的端点检测和响应（EDR）传感器，可更深入地了解内核和内存，并利用文件，IP，URL等的广泛信誉数据，这些数据来源于丰富的Microsoft安全服务组合”

笔者认为，如果微软自身不做业务结构大的改变和调整，未来基于Windows操作系统，在个人市场，端点安全产品的市场空间会被压缩的越来安全越小，或许，未来的某个时间内，全球范围内的个人端点安全市场都会进入一个全免费的新时代。

阅读原文

跳转微信打开

2019年9月，是美国第一个内部人员威胁意识月，这是由美国国防部联合其它联邦机构发起的。活动具体联合承担主体

2019年9月，是美国第一个内部人员威胁意识月，这是由美国国防部联合其它联邦机构发起的。活动具体联合承担主体是国家反情报和安全中心（NCSC）和国家内部威胁特别工作组（NITTF)。

2010年7月26日，9万多份驻阿美军秘密文件的泄密让朱利安·阿桑奇成为创造历史的人物。同年10月，时任美国总统奥巴马发布了13587号行政命令，在总检察长和国家情报局局长的共同领导下成立了国家内部威胁特别工作组（NITTF)， 其使命是通过制定国家内部威胁计划，支持政策、标准、指导和培训，阻止、发现和减轻可能对国家安全构成威胁的员工的行为。目前，NITTF的代表如下：联邦调查局、国家反情报和安全中心（NCSC）、国防情报局（DIA）、中央情报局（CIA）和运输安全管理局。NCSC隶属于美国国家情报总监（The Director of National Intelligence，DNI）办公室，其在2015年发布的“美国国家反情报战略2016”中的5大战略目标之一就是"侦测、削弱并阻止来自可接触敏感信息和资产的内部人员的威胁"。

 NITTF 汇集了政府各部门在安全、反情报和信息保障领域的专业知识，以制定实施内部威胁计划所需的政策和标准。

内部人员威胁意识月的活动也是其工作的一个方面，NITTF 期望通过培训，更好地教育联邦雇员和供应商识别潜在的内部威胁活动，同时又不会造成不信任的气氛。 

NITTF 帮助联盟机构评估其内部威胁计划是否合理，并制定和分发检测、阻止和缓解新出现的威胁的最佳实践，协助联邦部门解决问题。

NITTF 发布了一系列指南文件，包括内部威胁能力资源指南，企业审核管理（EAM），用户活动监视（UAM），持续监视和持续评估备忘录，内部威胁意识培训指令，NITTF法律指导咨询，NITTF记录管理咨询等。

NITTF在2018年11月发布了《内部威胁计划成熟度框架》，并借鉴了《2017 NITTF内部威胁指南》中的最佳实践。

在内部威胁指南中，NITTF提到了首先建立一个利益相关方的跨机构工作组，包括：

•安全

•反情报

•信息保障 （IA）

•首席信息官办公室

•监察主任办公室

•专业责任办公室

•执法（LE）

•人力资源

•  安全总监

•  反情报主任

•  首席信息官

•  总监

•  法律总顾问

•  首席财务官

阅读原文

跳转微信打开

上周跟yitao探讨2019年Gartner EPP MQ魔力象限的时候，回想起当年第一次看Gartner

上周跟yitao探讨2019年Gartner EPP MQ魔力象限的时候，回想起当年第一次看Gartner EPP MQ报告，一晃已有12年。2019年的Gartner EPP MQ比以往来的更晚一些，据说下个月会发布了。这是Gartner EPP MQ魔力象限的本命年，在我的家乡，12岁本命年生日是一个跟结婚一样隆重的日子，要大摆筵席的。

EPP MQ 的12岁报告里会有什么新的变化，一直以来有很多猜测，笔者并没有接触过Gartner的分析师，没有权威资料，在此仅作猜想，预计答案也很快就会揭晓了。

先看看过去3年Gartner EPP MQ。

2018年：

2017年：

2016年：

笔者预计2019年EPP MQ报告中有四个方面可能会被重点关注。

1、EDR能力。在过去三年的魔力象限中，笔者注意到两家公司的变化，一是微软，在X轴愿景方面，微软从2016年的基本最后梯队，到了2018年跃升到第二梯队。二是CrowdStrike，这家今年上市的端点安全新贵，在2018年就进入了愿景轴的第一梯队。Gartner的愿景轴表示产品方向的正确性，结合国外现在的技术发展现状和趋势，以及2018年Gartner将EDR从补充性功能变成必备功能的背景，预计2019年EDR的比重会进一步加强，这会继续有利于CrowdStrike等终安全新贵。

2、云的能力。预计云端的能力是Gartner 2019报告中比重较高的另一个维度，2018年的报告中，云已经是关键标准了，今年估计会进一步强化比重。这一点Gartner在去年的报告中已经详细阐述了，就不在赘述了。

3、集成及综合管理能力。笔者预计这可能也是Gartner在2019会考虑的一个能力，去年Gartner第一次发布了UEM(统一终端管理)的魔力象限，见下图：

这是Gartner对终端设备管理的MQ，预计产品的综合管理能力也是2019报告可能偏重的一个点，这有利于Microsoft。去年Gartner在报告中用 unique独一无二来描述微软在EPP中的地位，内置在OS中做安全防护，这种原生的安全属性是不可比拟的，与Azure、Office365、Microsoft Exchange和Microsoft SharePoint等的先天集成优势估计也会加分。除了自我集成外，在Microsoft Windows Defender EPP环境中，也集成了BitDefender为MacOS和Linux系统提供保护，这弥补了其在全平台支持方面的短板。

4、身份管理能力。云的广泛使用，无边界安全等已经逐渐成为了现实，身份信息成为了一个更为重要的主体，基于身份主体进行各种正常或恶意行为的判断和分析会是一个必然的话题，这是在EPP做威胁分析和防护时的重要因子。下图是去年Gartner在Access Management访问管理的魔力象限图，微软在领导者位置，预计微软在身份管理方面的技术积累集成能力可能也会为其在EPP领域的评分增加筹码。

阅读原文

跳转微信打开

首先声明一下，笔者并不投资美股，当初关注网络安全ETF开放式基金的情况，只是单纯希望从资本市场的角度来认知和

首先声明一下，笔者并不投资美股，当初关注网络安全ETF开放式基金的情况，只是单纯希望从资本市场的角度来认知和了解国外的网络安全企业和市场。原因其实很简单，钱是最好的价值判断标准之一，也是最真实的语言之一。例如企业里老板语言上再怎么重视你，但就是不给你涨工资，你就一定要认真分析你是不是真的在老板心中有价值了。同样，企业也是如此，百晓生的兵器排行榜第一究竟是小李飞刀还是小李他妈的飞刀，真金白银的选择比各种排名更真实，特别是在相对成熟的西方资本市场。

最初关注网络安全ETF是在2015年年初，当时笔者要写一个小汇报，查资料时无意之间发现在2014年底，美国有一只专门关注网络安全的基金ETFMG Prime网络安全ETF（简称HACK）。后来，在2015年7月又成立了另一只网络安全ETF基金，First Trust纳斯达克网络安全ETF（简称CIBR）。这是笔者所了解的美股目前市场上存在唯二的两只网络安全ETF基金。笔者的分析也是基于这两只基金的选择进行的。

这两只基金其实差别不大，所选择的成分公司略有差异，HACK相对而言关注的公司范围更大，从千亿市场到1个亿市场的公司都在选择范围内，CIBR相对选择规模更大的企业，一般而言，CIBR所选择的前10大成分股的所占持有量更大。因为本文不是投资比较，所以不再细谈，笔者这些年来一般都是以HACK为分析基准，顺带看看CIBR与HACK的差异，因为ETF基选择成分公司一直在变化，本文就以笔者最近一看关注时的数据为基准（2019年7月11日晚）。

下图是HACK成分股的55家企业：

同期的CIBR共有44家企业，大部分与HACK相同，具体见下图：

从上述两个表中，大部分公司是重叠的，CIBR持有而HACK没有的公司只有雷神等4家公司，笔者将两者做一个合并，以下的分析就以两只基金合并后的58只成分公司为基础展开。笔者还是按照自己的习惯以HACK为基础，在最后附加CIBR不同的几只股票，如下图所示（其中市值和营收的单位统一为亿美元）。

网络安全ETF基金虽然设计之初是着眼于全球的网络安全企业，但实际选择的时候还是主要还是集中在美国证券市场的纽交所和纳斯达克的公司，占比超过80%。英国证券市场有6家公司，分别是Sophos，Avast，BAE Systems，QinetiQ，Ultra Electronics，NCC Group。日本证券市场有3家，分别是Treand micro，Digital Arts，FFRI。另外在3个国家分别各有一家公司，分别是韩国的AhnLa，芬兰的-Secure，法国的Thales SA。

这里边除了Treand micro在日本上市的台湾企业外，没有其他的中国公司进入选择范围，估计与中国资本市场相对封闭有关。另外，也与创立之初所瞄准的市场有关，Treand micro也是台湾人在美国加州创立的。从概率的角度来看，一个人如果在一个县创业，他的市场一般外延是所在的市；如果在一个市创业，他的市场一般外延是所在的市。但如果在一个北上广深及其他一线城市创业，那看的是全国市场；如果在美国创业，看的是全球市场，这是深入骨髓的原始认知，例如在美国的NFL超级碗橄榄球冠军被美国人很自然很习惯的称为世界冠军。这当然会有特例存在，笔者这里谈的是一个概率问题。其实上次跟仙儿聊天也谈过这个问题，我们都觉得非一线城市的企业，最后做成全国品牌都是很不容易的，非常值得敬佩。

从公司的业务来看，主要分为4类公司。第一类是主要承接政府国防安全的大型军工及系统集成公司，如下图所示：

Parsons是国防和信息技术反恐及安全承包商；CACI International Inc服务对象主要是美国联邦政府部门，包括美国国防部，美国国土安部等；Science Applications International是美国军队及政府安全供应商；Leidos是从Science Applications International分离出来的一家美国国防公司，主要客户包括美国国防部、美国国土安全部等，2016年与洛克希德马丁公司的信息系统和全球解决方案业务合并。定位全球国防工业最大的技术解决方案企业。英国的BAE SYSTEMS是世界上最大的防务承包商之一，世界军工10强企业。ManTech是美国政府领先的国家安全计划技术提供商之一，客户包括美国情报界和国防部等。QinetiQ是英国军工企业，服务于英美军队及国防部门。英国的Ultra Electronics是英国防务承包商，全球军工百强。Raytheon 是美国的大型国防承包商，全球前五大军工集团，2019年6月与United Technologies达成合并协议，预计2020年完成，到时市值会超过1200亿美元。法国的Thales SA是全球航天、交通、防务和安全领域的引领者之一。Booz Allen Hamilton是美国的国防技术咨询公司，为美国政府及其机构提供服务。

网络空间已经是海陆空天外的第五作战空间，国防军工承包商和服务商在通过各种形式深度介入了网络安全业务。也通过资本的方式与专业的网络安全厂商进行整合，例如2015年Raytheon收购的Websense，2017年 Thales SA收购的Gemo SA都是笔者比较熟悉的产业公司，笔者10多年前做一个上网行为管理的项目时就学习过Websense，产品设计让当时的笔者有惊叹之感，后来又研究其DLP产品，也是笔者认为目前最好的产品之一。Gemo SA的SafeNet更是笔者过去10余年一直在用的产品。

第二类是综合的基础网络提供商，包括网络设备提供商Cisco，Juniper，CDN的发明者Akamai，全球最大的数字证书颁发机构Versign。他们以各自原有的核心业务为基础，扩展了安全的属性，形成了各自的安全产品和解决方案。如下图所示：

第三类是综合的网络安全产品和服务提供商，这类公司基本上都是由某一个单一品类起家，在该品类做强的基础上，通过自研和并购的方式，不断扩充其产品线，逐渐成为一个全品类的综合网络安全产品提供商。国外网络安全产品型公司的发展路径，基本是先做强再做大，在某一个具体细分品类做到领先者之后，出于商业扩张的需求，才逐渐引入新的产品线，慢慢形成我们现在看到的全栈型产品公司。如下图所示：

基本上，大家对这类厂商都很熟悉了，笔者就不再赘述。同时，这只是从笔者个人的认知角度所做的分类，被笔者分到第四类中的一些公司，有的也已经在迈向综合型产品厂商的路上了，这里只是粗略分类，权做探讨。

第四类是以单品突破为主的公司，这类公司是创新的动力，是未来的希望，是在某一个细分品类做到全球领先的位置的企业。例如做大数据安全分析的Splunk，做身份认证安全的Okta等。笔者做了简单的分类，其实由于分类标准和技术的交叉性，很做难道精确分类，有些特色比较明显的公司笔者就没有归类，直接单独列出了。在同一类的公司产品差异也比较大，例如数据安全类中的Commvault System和Carbonite偏重于数据备份和恢复，而Varonis Systems则偏重于数据保护。身份认证中Okta是IAM,而CyberArk是PAM特权账号管理。

基于机器学习做大数据分析的Splunk大家熟悉，也是现在HACK目前重仓股。Tufin通过自动化的策略编排和管理企业实现安全运营，这家以色列公司去年上市，营收虽然不多，但市场渗透还很少，潜力较大，也是HACK目前的重仓。Palo Alto引领了下一代防火墙市场，营收也是单品网络安全公司中最高的。FireEye是APT中最火热的公司。在SAAS应用在海外已经基本成熟的情况下，云安全已经是各安全公司都必然会延展的范围，Zscaler是从创立之初就定位在云安全这个领域的企业，把传统的安全在云端重新定义了一次，同时它还是2018年Gartner在Secure Web Gateways (SWG)中的领导者象限中。ForeScout是NAC的王者，在网络访问控制和网络可视化方面一枝独秀。EverBridge其实做的跟我们传统的网络安全没有关系，是做点对点的应急通信和管理，算是通过网络来实现人生财产安全保障吧。Digital Arts是日本企业，主要是以做网络过滤，邮件过滤的。MoileIron是移动终端安全的龙头企业之一，笔者当初开始研究移动端安全的重要参考标的。Verint Systems也是一家很有意思的公司，它通过各种情报和数据的分析，做辅助决策，是连续10年位于Gartner《人力资源交互管理（WEM）魔力象限报告》中的领导者象限。

HACK和CIBR的成分股是动态变化的，但整个产业的格局相对恒定，从雷神之类承接综合国防网络安全的企业到某一个细分领域的专业公司，各个层次之间互相合作，并且通过资本市场作为纽带，保持了创新的活力和动力。

上周末成文后，总觉得很多要说的没有说完，一直零星修改，又发现这是一个无止尽的过程，索性就这个版本不再修改了。同时想起最近跟渔人刘老师交流时，发现大家都一直在关注国外的网络安全企业，商量建一个微信群的事情。这可能是对类似题材后续修正更好的方式，对这个领域感兴趣的朋友可以在这个平台中互相交流和探讨，有兴趣的同学可以加我微信进群。文末是我的微信号，为了避免骚扰，加的时候请发送实名姓名公司及岗位。

阅读原文

跳转微信打开

上周有媒体报道McAfee计划重新IPO，笔者听到这个消息虽有点感触，却无一点意外，两年前TPG和Thoma

上周有媒体报道McAfee计划重新IPO，笔者听到这个消息虽有点感触，却无一点意外，两年前TPG和Thoma Bravo收购McAfee的时候，就意味着这一天的到来。笔者前文讲过Symantec的发展，过去十年Symantec的发展其实并不顺利。作为它的老对手，McAfee过去十年的发展也是差强人意。

提到McAfee就不能不提Intel对他的收购，2010年爆出的收购消息比今天重新IPO给业内带来的震撼大了许多，当时笔者因为工作原因跟McAfee接触也比较多，所以记忆就更深刻。笔者记忆中Intel上次尝试收购安全公司是2000年左右，当时试图收购著名的桌管软件LANDesk，只不过那一次收购失败了。巧合的时，在传出Intel收购McAfee的时间附近，LANDesk也被Thoma Bravo收购。

Intel收购McAfee之后，业务有过多个畅想，完美整合，安全芯片等等，也有担心是一此失败的决策，很遗憾的是，从后来的发展来看，这一此的收购确实算不上成功。

在正式收购之前的2010年，McAfee的发展势头还不错，业绩达到了历史巅峰期，全年收入21亿美元，增长了7%。运营现金流量达到历史高峰5.95亿美元，同比增长20％。截至2010年年底的现金和有价证券总额达到创纪录的12亿美元。彼时，McAfee总裁兼首席执行官Dave DeWalt表示，McAfee非常擅长作为英特尔全资子公司在未来几年内有效推动安全行业创新的能力。但事实却没有DeWalt所展望的那样发展。

2011年，Intel正以每股收购为48美元，总价值76.8亿美元的成本收购了McAfee。Intel希望除了管理现有McAfee的业务外，收购还可以加速和增强英特尔的硬件和软件安全解决方案组合，从而提高平台的整体安全性。

收购完成后，McAfee被并入了Intel的软件与服务运营部门SSG，这个部门还包括Wind River SoftwareGroup和Intel原来的软件和服务集团。但在SSG，McAfee是绝对的营收主力，但无论从应收还是利润的角度来看，都增长缓慢。

到了2015年，McAfee被独立出来单独运营，成为了Intel Security。这时候，其实已经预示着整合的失败，在一个大的有核心业务的集团中，3%-4%的收入占比是微不足道的，在融入主流业务失败之后，放弃可能是对双方都有利的一种选择。

2016年，Intel Security被剥离。此时，距离收购发生已经过去了6年，Intel自身经营也遇到了巨大的挑战，面临裁员和业务的重组，6年前收购时计划将网络安全功能整合到芯片中，在更深层次侦测网络威胁的计划也仍然没有完成。此时的McAfee的估值42亿美元，基本回到了2010年并购消息传出之前的价值，当时Intel是以60%的溢价收购的。

被Intel收购后，McAfee的营收一直在20亿美元附近震荡，不但自身业务增长也相对有限，即便是美国大的独立安全公司常见的并购行为，从数量和质量上都不高。近几年最大的一笔并购还是发生在被剥离后的2017年，以4亿美元的估值收购了这家云安全厂商，跟上了老兄弟Symantec的脚步。

McAfee对标的竞争对除了老对手Symantec外，还有FireEye，CrowdStrike，Cylance。一件有意思的事情是，Intel收购时的McAfee 的CEO David DeWalt后来成了FireEye的CEO，而CrowdStrike和Cylance的CEO和CTO都在被收购后的几年里从McAfee的高管团队出去的。笔者以前的文章中有过详细的描述，这里就不再展开说了。

这是一个笔者这几年一直在思考的问题，一些大的公司和平台在有人才有资金有品牌的情况下，为什么没有一个好的产品？这个问题跟本文的主题弱相关，以后有机会笔者再专题讲述一下自己的一点拙见。

最后说一个花絮，2010年的McAfee被收购后，四名McAfee股东在加利福尼亚州圣克拉拉县的高级法院提起了质疑性集体诉讼，对提议的交易提出质疑，认为股票价值不应该是48美元，而应该是62美元，对应的估值是100亿美元。或许在没有被并购的情况下，现在的McAfee的市值早已超过了这个数字。今年的美国科技股大热，或许，重新IPO的McAfee估值真的会有会超过100亿美元的表现。

阅读原文

跳转微信打开

严格来说，这其实是Symantec的第二次被并购。大马华裔陈福阳带领的Broadcom传出150亿美元价格并

严格来说，这其实是Symantec的第二次被并购。大马华裔陈福阳带领的Broadcom传出150亿美元价格并购Symantec的消息，让Symantec近期低迷的市值上涨了几十亿美元。但Broadcom股价反而应声下跌，笔者第一联想就是2005年Symantec收购VERITAS后的情景，也是被并购方VERITAS上涨，并购方Symantec下跌，说明市场并不看好并购后的发展。但是笔者认为，这对于Syamtenc来说或许是一个好的变化。

因为工作的原因，笔者多年来以一直关注Symantec，在过去相当长的一段时间内，Symantec是独立网络安全公司的龙头（现在市值已经被Palo Alto Networks、Checkpoint等超过）。Symantec的发展道路与国内大部分网络安全企业不同，它更多的是通过不断的并购来实现技术和产品的更迭和市场的扩张。

这次Broadcom收购的初步金额是150亿美元，但过去Symantec在收购上所支付的又何止这个数字。仅2005年收购VERITAS就135亿美元，那可是2005年的135亿美元。Symantec从成立到现在，大大小小并购的公司大概在70家左右，基本可以说现在Symantec的产品线都是买回来的，笔者以前跟朋友聊天，谈到为什么很多时候创新会从小企业开始，而不是具有人才和资源优势的大企业，Symantec就是笔者经常举的例子。笔者觉得这是一个符合人性和规律的良好的生态系统，通过资本的润滑和纽带，使美国的网络安全产业保持了创新和活力。

其实笔者真正关注Symantec的并购，是从收购VERITAS几个月后，用近1.8亿美元收购端点安全公司Sygate开始。Sygate当时做的很有特色，后来被继承到Symantec的SEP中，笔者在一些项目上还碰到过，也研究过它的材料。这这里插一段闲话，后来笔者以前团队华南最大的一个项目也有它介绍的功劳，当时笔者带着刚开发的一个新产品，与华南王阿钟一起去客户现场测试，但一个功能始终没有调试成功，也没顾上吃午饭，后来在阿钟去楼下买了两个鸡腿的刺激下，终于顺利测试完成，一直很感谢阿钟同学的支持和理解。

言归正传，其实Symantec从开始就带着浓浓的并购基因，最初的Symantec其实跟网络安全基本没有关系，它是在国家科学基金会的资助下，由NLP和AI专家Gary Hendrix博士与一群斯坦福大学自然语言处理的研究人员在1982年组建。没错，当时它研究的就是现在热门的AI技术和产品，但可惜不在正确的时间窗口。2年以后，Hendrix把Symantec卖给了另一个初创公司C＆E，这就是Symantec的第一次被并购。C＆E是公司创始人名字首字母的缩写，合并后的公司负责人是原来C＆E的Eubanks，他选择用Symantec作为新公司的名字。

现在Symantec的并购文化和背后所能支撑的组织架构和管理制度，就是Eubanks建立起来的。第一次合并后Hendrix就离开了公司，所以笔者认为，Symantec的名字是Hendrix给的，但Symantec的基因和文化是Eubanks赋予的。

这个阶段的Symantec还不是一家网络安全公司（公认的全球第一个病毒C-Brain的出现是在1987年，市场化的网络安全的萌芽阶段），业务还是集中在工具软件上，直到1990年收购诺顿公司（其实病毒检查只是诺顿的小部分）。但是在这之前，Eubanks还收购了两家公司，那两家公司现在已经基本消失，笔者也不翻故纸堆啰嗦了，更为重要的是，通过这两家公司的收购，Eubanks为Symantec建立了以产品为核心的事业部式组织架构，每个产品都有自己独立的研发、测试、销售、技术支持等所有的环节，只是共用公司的职能部门。这也为Symantec后期不断收购和融合提供了基本的支撑，对于被并购公司的大部分人来说，团队文化跟以前差不多，一定程度上减少了并购后不同团队的磨合问题。

整个90年代，Symantec进行了20多次的并购，在前期，公司的业务重点还在传统的系统软件和工作软件，例如编译器，并一度与当时很火热的Borland等一起对微软发起过挑战。在1992年，Symantec以320万美元收购了防病毒公司Certus International，开始在早期的网络安全市场发力，然后再1998年收购了Intel的反病毒业务。这个时候，网络安全也已经开始被广泛的关注，笔者也是在那个阶段开始接触病毒、黑客等名词，并选择了计算机作为大学专业。

如果说Eubanks建立了Symantec的并购基因，那么1999年上任的新任CEO Thompson可以说是将这一传统发扬光大的关键人物。Thompson此前从IBM的销售做起，最后做到了IBM美洲公司总经理，在IBM整整工作了28年，担任Symantec CEO后，Thompson采取了更加密集的并购策略，同时对公司进行了大规模重组，剥离了很多发展潜力不大的业务，确立了互联网安全的理念，将网络安全作为核心的经营策略，这就是我们今天所认知的Symantec。

2009年Thompson离开Symantec的时候，10年时间，他将Symantec的收入从6亿美元提升到了60亿美元。这期间，Symantec进行了近40起的并购，在笔者熟悉的领域，除了前文提到的端点安全公司Sygate外，还有2007年以3.5亿收购的数据安全公司Vontu，此后多年，Symantec在Gartner的DLP细分领域报告中一直处于领导者象限。而这时期，也是美国网络安全巨头积极进入中国市场的一个阶段，Symantec在2006年策划与华为成立了合资公司华赛，并在2007年挂牌，2018年华为花5亿多美金收购了Symantec在合资公司的股权。华赛的存在客观上培养了不少安全人才，包括笔者的老同事，现在威努特的CTO黄敏同学也是华赛早期的员工。合资公司当时在国内也是一种潮流，也使在这一时期，笔者当时的团队也曾一度要与另一国际安全巨头建立合资公司，交流过程中笔者也第一次亲身感受到硅谷印度人的位势，当时对方来的几个VP几乎都是印度人。这是Symantec发展的一个黄金阶段，但成也萧何，败也萧何，这个阶段一次备受争议的并购让Symantec未来的发展背上了沉重的负担，就是前文提到过的并购VERITAS。2005年的并购金额是135亿美元，到2015年出售的金额只有80亿美元。

Thompson离职后，Symantec的发展进入了第三个阶段，这个阶段CEO更迭频繁，包括今年5月辞职的Clark。但是，并购的基因没有发生变化，著名的并购就包括2016年6月46.5亿美元收购了Blue Coat，同年11月以23亿美元收购LifeLock。此后并购也还在一直进行中，笔者所了解的最新的并购是今年2月以2亿美金收购以色列安全公司Luminate，强化自己在云安全和SDP领域的布局。

从1982年创立到今天，Symantec已经37岁了，根据美国《财富》杂志报道，美国中小企业平均寿命不到7年，大企业平均寿命不足40年。别看这个数字好象不高，但已经是中国规模企业的几倍了。这个话题在N年前笔者的老同事刘爷说起之后，一直让笔者很感兴趣。笔者喜欢历史，年轻的时候也曾思考过，在封建王朝更迭的时代，为什么不管立国之君多英明，设计多理想的制度，都无法改变这个由盛而衰这个规律呢？现阶段，笔者的认知是，不管是国家还是企业，如果不做额外的干预，任何组织都跟我们的人体一样，都会经历幼年，童年，青少年，成年，壮年，老年的阶段，生老病死本来就是自然规律。人虽然都知道生老病死是规律，但很多情况下，都想让自己的青壮年时期保留更长的时间，随着现代科技的发展，在各种保养和药物和其他方式的帮助下，虽然不能真的再活500年，但确实可能实现生命的延续。

企业的管理一定程度上就是对抗这种自然规律的过程，任何企业发展到一定阶段，都会形成固定的利益和思维，IT百年老店IBM通过奉行了创始人Watson的每10年彻底改造公司的理念变成了一个传奇。自我革命说来容易，做来很难，大部分情况下站在上帝视角去看很多事情的时候觉得很普通，但身在其中之时，原有的奶酪又岂是那么容易动的。这样的故事太多太多了，笔者就不举例了。笔者读书时看到戊戌变法后谭嗣同主要求死，很是不解，后来才知其父亲曾任清政府湖广总督，也算是清末统治阶段的一部分了，谭嗣同或许是真的明白了变法要成功所必须付出的代价。笔者最近做过的一个小决定，也是建立在这个认知基础上的。

任何企业发展到一定阶段必然会发展出强势业务单元，必然会形成官僚文化，如何与之对抗和抑制，笔者认为通常有两个思路。一种方式是通过内部创新和孵化的方式对抗，但大部分内部创新很容易被遏制和扼杀，现代很多的创新当时的大企业都已经注意到了，甚至也到了婴儿期，但多数在这个阶段就夭折了。要保护它，就要把它与原来的业务物理隔离，典型的例子微信不是在深圳大本营还是在其广州研发中心诞生。Symantec采用的是另外一种方式，类似于金庸武侠中的逍遥派的北冥神功，吸收他人内力为自己所用，北冥神功最高境界是北冥重生法，可以真正实现返老还童，但天下又有几人能真正修成正果呢。

对抗自然法则，需要付出巨大的努力，需要的是未雨绸缪，自我革命。其实Symantec现在的市值不是独立网络安全厂商中最高的，但是营收还是比其他新兴厂商高很多，但资本市场看的是盈利模式和发展趋势，微软能够重回万亿市值，再成世界第一就是因为云转型的成功和订阅业务的快速发展，而这正是这个阶段的Symantec所不具备的。其实这一点跟国内的网络安全行业有些类似，但是美国资本市场的注册制模式，使得上市公司的不是一种稀缺资源，上市或退市或私有化再上市是很普通和常见的资本操作手段，这其实是一种更良性的循环。在笔者看来，Symantec这次的被并购一定不是终点，Broadcom或许也只是它生命中的一个过客。亦或许某一天的Symantec跟现在的Symantec已经是两个不同的企业，类似于西方父子用同一个名字，路易十三和路易十四虽然都是路易，但已是两个完全不同的生命和个体。无论如何，企业发展到一定阶段已经具备了自己的基因、意识和生命力，对自身的发展也会产生影响。希望未来Symantec即使无法再回兵器排行榜第一位，也可以在其他方面带给我们更多的惊喜。

阅读原文

跳转微信打开

几年前笔者当时在为终端安全的发展找路的时候，主要看了两个方面，一个是计算环境的变化产生的市场，就是基于移动终

几年前笔者当时在为终端安全的发展找路的时候，主要看了两个方面，一个是计算环境的变化产生的市场，就是基于移动终端上的端点安全，另一个就是在现有的PC终端下新的防护思路，这时候硅谷有几家有特色的公司，一个是Bit9，另外就是CrowdStrike和Cylance，而相比Bit9，笔者觉得CrowdStrike和Cylance更值得关注。这是很有意思的两家公司，一方面是因为他们都是终端安全领域的新锐企业，另一方面也是因为两家创始人持续20年的传奇故事。两家公司，虽然分别位于洛杉矶和硅谷，地理上在加州的一南一北，但却一直存在着剪不断理还乱的联系。

2011年，George Kurtz创立了CrowdStrike，然后邀请他的老同事Stuart McClure加入，但Stuart McClure因为技术原因拒绝了（另一个版本是因为股权没有谈拢），然后在2012年，自己成立了一家竞争性的公司Cylance。那个时候，两家公司距离据说只有几公里。

在这之前，其实Kurtz和McClure已经合作了很多年，而且比较成功。1999年，他们共同创立了著名的做漏洞扫描的公司Foundstone，那个时候国内比较早搞漏扫的兄弟应该都听说过这家公司，搞攻防的兄弟估计也看过他们一起写的黑客教程Hacking-Exposed（中文名是《黑客大曝光》，清华大学出版社出版）。然后就是典型的硅谷模式和故事，创新型公司发展到一定阶段，把自己卖给综合性的大公司。Kurtz和McClure也是如此，当时如日中天的McAfee以8600万美元收购了他们，他们也一同入职了McAfee，并先后都担任了McAfee的CTO职务。

在大的平台，除了极少数可以做到内生性的生物自我进化的外，大部分维持竞争力最好的方式就是并购，引入新的技术、产品和人才，但被并购进来的人经过一段时间的融合后，又会丧失自我驱动，进入原来大平台的运转逻辑，这时候就有两种选择，一种是选择妥协和融合，另一种就是选择离开。Kurtz和McClure都是后者。

随着IT的演进和攻防的升级，Kurtz和McClure都敏锐的察觉到了攻防对抗的新时代已经来临，APT攻击的出现,AI技术的发展，让他们都觉得可以做一些更有价值的事情，但这个时候，McAfee非但无法提供和支撑他们去做想做的事情，而且已经成为了制约。于是，2011年左右，两个都选择了离开，只是这一次，两个人没有能再次携手，而是各自为战，一较高下。

创立之初，两家公司都定位于新的端点安全，以AI技术解决端点安全的问题，例如Cylance现在自己贴的标签还是基于AI的高级威胁防护。开始的时候CrowdStrike给自己贴的也是类似的标签，不过现在已经把标签升级为基于SaaS的端点防护，威胁情报和云安全，放到一个更大的维度里定义自己了。

两家公司的创始团队的背景也有些类似，两家公司的技术路线分别由两位来自McAfee的技术管理人员创立的。Cylance的另一个合伙人Ryan Permeh最后的职位是McAfee的首席科学家。而CrowdStrike的另一个技术合伙人Dmitri Alperovitch最后的职位是McAfee的威胁研究副总裁。

Kurtz和McClure虽然各自把公司经营成独角兽企业，但自从竞争开始，两个人就形成了互补相让的瑜亮之争。McClure认为Kurtz的CrowdStrike只能做检测，无法做预测。而Kurtz认为McClure的Cylance所做的只是常规的机器学习，根本算不上人工智能。甚至Kurtz和McClure还会翻旧帐，争论以前创业过程中谁起的作用更大，谁的技术更强。笔者注意到过去几年，甚至在一些我们所不关注的评选中，两个人都在互相比较中。

站在我们旁观者的角度比较，就先从几个量化指标来看看。先看他们的融资情况。

从上图可以看出，CrowdStrike起步比Cylance早，但Cylance一直在追赶，在2016年，Cylance更早的做了D轮融资，这个阶段也是Cylance认为发展超过了CrowdStrike的一个节点。但是这个时间窗口维持的时间很短。在2017年，CrowdStrike完成了1.25亿美元的D轮融资后，发展速度进一步加速。最终，在2018年6月，CrowdStrike和Cylance有意无意的在一个时间窗口完成了E轮融资，这也是各自上市或被并购之前的最后一笔融资。截至到这个时间，两家的融资总额也出现了明显的差距，CrowdStrike总计融资4亿8千100万美元，而Cylance总计融资2亿9千700万美元。

在最后是被并购还是独立上市的事情上，最初，CrowdStrike和Cylance一样都权衡做出哪种选择更合适。但E轮融资后，结果也就基本出来了。CrowdStrike融资后的估值已经到了30亿美元左右,决定走独立上市的道路。而Cylance选择了被Blackberry并购，估值14亿美元。这个时候，两家的估值已经出现了明显的差距。

再看主要的财务指标，在2019财年（截至到2019年1月31，表现的是2018年的经营情况），CrowdStrike的营收是2.498亿美元，Cylance是营收1.71亿，两家都不盈利，CrowdStrike亏损1.4亿美元，Cylance亏损1.25亿美元。从数字上看已经开始有了显性的差距。

还有一些微观指标，例如大客户，以前Cylance的一个重要的销售渠道是Dell。过去几年，在Dell的客户端安全软件Secureworks中集成了Cylance的EDR，为其大量的企业客户提供安全增值，保护终端安全。但是在2019年1月，这个时间窗口Cylance明确会被黑莓收购，Dell方面以CrowdStrike的EDR产品保护效果很好为由，替换了合作了3年多的Cylance。

现在CrowdStrike上市已经有半个月，盘中最高市值超过140亿美元，是Cylance被并购金额的10倍（其实这个问题自从CrowdStrike宣布IPO开始笔者一直在思考一家企业的估值究竟来自于哪里，上个月跟国君的优秀熟男青年李先生交流时才突然认为自己好像明白了点什么，或许以前过多的以理工科思维来思考这个经济学问题了）。如果单独从市值看，Kurtz和McClure的瑜亮之争已经有了结果。但截至到目前为止，两家公司都没有实现盈利，笔者认为，在未来的某个时间点，等他们都实现了真正的持续盈利能力的时候，我们可以重新审视这对端点安全的明星企业，相信会给我们更多的启发。

阅读原文

跳转微信打开

今天是父亲节，看着朋友圈持续刷屏的节日祝福，笔者突然想到了持续关注多年的一家著名的网安独角兽Tanium，这

今天是父亲节，看着朋友圈持续刷屏的节日祝福，笔者突然想到了持续关注多年的一家著名的网安独角兽Tanium，这家端点安全公司从创业到现在一直话题不断，包括从4年前开始禁止中国IP访问其官网网站，给笔者查资料带来了爬上爬下的烦恼。

除了产品和方案外，这家公司让笔者印象最深的还是父子一起创业，一起经营公司的故事。父子先后担任公司的CEO，持有相同比例的股票，闲暇散步一起探讨产品和公司运营，跟NBA中，父子球星一起打球一样有趣，甚至更有趣，毕竟，在职业赛场中，父子真正一起上场打球基本不可能，但一起创业做产品搞运营是完全现实的存在。

父子俩的经历也是典型的美国梦桥段。父亲David Hindawi是从以色列来到美国，在以色列空军服过役，美国著名的加州大学伯克利分校的博士毕业。自己创业创办了BigFix，最后被IBM并购。儿子 Orion Hindawi成长于空气中弥漫着科技感的加州，二代移民，帮父亲David Hindawi以前的公司打过工，也追随父亲的脚步上了加州大学伯克利分校，再与父亲David Hindawi一起创办了现在著名的终端安全独角兽Tanium，然后退学肄业。

上名校证明了自己的能力，退学说明了自己的魄力，在去年下半年最近的一笔2亿的融资后，其公司估值已经到了65亿美元。

写到这，突然想到，其实还有一对网络安全行业创业的父子更有意思，分别担任CryptoMove公司的CEO和CTO，但与Hindawi父子初期父亲为CEO,年轻的儿子是CTO相反，在CryptoMove，父亲Boris Burshteyn是CTO，负责技术，儿子Michael Burshteyn才是CEO，这里透露出另一种典型的美国职业路线发展的轨迹。

关注到他们是因为他们的创业领域也是笔者一直重点关注的数据安全领域，数据分片，动态加密，MTD，主动防御等概念也与是笔者很认同的，当时差点认为它是搞区块链的。父亲Boris Burshteyn毕业后从东欧的拉脱维亚来到美国，投身IT行业，跟我们国内很多人去美国的路线相似，学数学出身的Boris Burshteyn开始做程序员，然后随着经验不断的积累职位不断上升，最高做到了思科的首席工程师。

有一件巧合的事情，儿子Michael与Hindawi父子一样，都是毕业于加州大学伯克利分校，但Michael读的是政治和法律，然后做了一名律师。在美国，律师是比IT工程师更好的职业。在做律师的过程中，在不断遇到知识产权保护和个人信息保护的问题后，Michael决定做创立一家做数据保护的公司，于是父亲Boris 就成了他的合伙人和CTO。

他们是父子，他们是同事，他们是战友，他们也是朋友。正是，禄给朝晡，书通父子情。熊态已驯伏，蝼蚁敢纵横。

阅读原文

跳转微信打开

关于产品的定位问题，CrowdStrike给自己贴了三个标签：基于SaaS的端点防护，威胁情报和云安全。它一

关于产品的定位问题，CrowdStrike给自己贴了三个标签：基于SaaS的端点防护，威胁情报和云安全。它一直在强调与其它竞品的差异，在这篇文章中，我更多的会采用CrowsStrike的观点，尽量少的带入我个人主观的评价，至于是大家对CrowdStrike的自我定位是否认可，就见仁见智了。我们先看看CrowdStrike认为其它产品的局限性是什么，然后再看看它自己的具体的功能和模块。CrowdStrike把其它产品划分了5个类别。

1、基于签名的传统产品。基于签名的产品旨在检测已在先前识别的威胁，但不能防止未知威胁。这是一种被动的方法。等可以发现和识别的时候，可能已经给受害者造成了重大损失。如果攻击代码略微修改，基于签名的方法就可能检测步到了。在过去二十年中发现的许多重大漏洞，很多传统的基于签名的防病毒产品都无法提前检测和防护。

2、以恶意软件为中心的机器学习产品。传统上，组织专注于保护其网络和端点免受基于恶意软件的攻击。这些攻击涉及为执行恶意活动，窃取数据或破坏系统的特定目的而构建的恶意软件。以恶意软件为中心的防御方法将使组织容易受到不利用恶意软件的攻击。根据Threat Graph索引的客户群数据，2018财年第二季度有40％的检测不是基于恶意软件的，而是利用系统中的合法工具，使攻击者能够实现目标，而无需将文件写入端点，使传统的防病毒产品更难以检测。

3、应用白名单产品。应用程序白名单产品在端点上采用“始终允许”或“始终阻止”策略，以允许或阻止进程执行。白名单部分依赖于手动创建和维护复杂的规则列表，给最终用户和IT人员带来负担。为了避免这些管理挑战，IT组织经常为白名单创建特殊例外，攻击者利用这些例外来破坏端点。此外，无文件攻击可以利用合法的白名单应用程序，从而损害白名单产品的完整性。

4、以网络为中心的安全产品。传统的网络安全供应商将其产品集中在基于周边的保护上。但是，随着员工和工作场所设备扩展到防火墙之外，这些方法的相关性和有效性降低，加密流量的使用增加了攻击者能够利用的盲点和漏洞。随着端点数量的激增，这一防御层无法充分保护企业外围的信息丰富的端点和工作负载。

5、Bolt-on云产品。许多内部部署供应商通过将其内部部署产品放入云中来引入云产品。此类单租户产品并非设计为在云中运行，因此仍然是孤立的，缺乏集成，可扩展很有限。另外，这些产品部署复杂，难以扩展，使用成本高，并且在阻止破坏方面无效。最初设计用于内部部署并迁移到云的任何产品根据定义都不能是云原生解决方案。

有别与以上5类解决端点安全的产品，CrowdStike认为自己是一个基于Saas的终端防护产品，通过SaaS订阅的方式集成了10个云模块，涵盖了三个方面，包括端点安全，安全和IT运营（包括漏洞管理）和威胁情报。并且通过单一数据模型和开放式云架构，提供API，以应用商店的方式，让第三方合作伙伴能够快速创新，构建和部署新的云模块，从而为客户提供更多的增值功能。

在端点安全方面，主要有三个模块，NGAV（下一代防病毒），EDR和设备控制。结合机器学习和行为分析技术，以抵御恶意软件和无恶意软件(恶意代码注入合法软件)攻击，实现端点活动的持续全面可见性和分析，并为管理员提供可见性和USB设备的精细控制。具体三个模块功能简介如下：

Falcon Prevent-Next-Generation Antivirus。Falcon Prevent提供下一代防病毒功能，提供全面保护，以保护客户免受恶意软件和无文件攻击。Falcon Prevent结合了已知恶意软件的识别，针对未知恶意软件的机器学习，利用阻止和高级行为技术，目标是替换其现有的传统防病毒产品。

FalconInsight-终端检测和响应。Falcon Insight为客户提供EDR功能，允许持续和全面的可视性，以实时通知客户端点上发生的情况。Falcon Insight记录并自动分析端点上的活动，以提供深入的可见性，快速和强大的搜索功能，以及实现主动威胁搜寻和取证分析所需的全面上下文和数据。

设备控制。Falcon Device Control为管理员提供USB外围设备的高度可视性和精细控制。

在安全和IT运维方面，主要有四个模块，解决 IT HYGIENE，无扫描漏洞管理，Turnkey一站式安全和漏洞管理，以及基于威胁图表和安全团队支持威胁捕猎的方面的问题，具体模块如下：

Falcon OverWatch-Threat Hunting。    Falcon OverWatch是一种威胁捕猎的解决方案，由专业的安全专家团队组成，他们利用威胁图主动识别客户的威胁。全球Falcon OverWatch团队无缝增加客户的内部安全资源，以识别和调查可疑和恶意活动。

FalconDiscover-IT Hygiene。    Falcon Discover可识别客户网络中的恶意系统和应用程序，并监控客户环境中任何位置的特权用户帐户的使用情况。该模块还支持安全之外的用例，例如应用程序许可证管理，AWS支出分析和资产清单。

FalconComplete-Turnkey安全解决方案。Falcon Complete为我们的客户提供全面的监控，管理，响应和补救解决方案。它旨在为可能缺乏企业级资源的公司提供企业级安全性。

FalconSpotlight - 漏洞管理。Falcon Spotlight可以识别客户端点上存在的实时漏洞。该模块不依赖于扫描系统，利用代理已经收集的数据来提供对企业漏洞风险的即时，准确的实时可见性。

在威胁情报方面，通过恶意软件搜索引擎和恶意软件分析模块，以自动化的方式检查识别出来的威胁。具体模块如下：

Falcon X-Threat Intelligence。Falcon X将威胁情报整合到端点保护中。它提供对检测到的威胁的自动分析，以深入了解攻击的能力，动机和归因。它还通过提供可操作的情报和自定义IOC，将针对检测到的威胁及其变体的保护扩展到组织内部署的其他安全解决方案，以进行纵深防御覆盖。

Falcon搜索引擎 - 恶意软件搜索。Falcon搜索引擎使客户能够实时搜索Falcon平台中收集的300 TB恶意软件，并使用二进制数据索引技术编制索引。

Falcon沙箱 - 恶意软件分析。Falcon Sandbox通过在虚拟机中分析未知文件的恶意行为。Sandbox提供对恶意软件行为的可见性，自动进行深入的文件和内存分析，以加快威胁防护和响应速度。

CrowdStrike商店是它的一个很有意思的功能，自称是第一个用于网络安全的基于云的应用程序平台即服务平台或PaaS。CrowdStrike商店为其客户引入了可信赖的合作伙伴和应用程序的统一安全云生态系统。CrowdStrike商店允许客户快速，轻松地发现，尝试和购买来自可信赖合作伙伴和CrowdStrike的应用程序，而无需部署和管理其他代理和基础架构，也无需经过漫长的销售，集成或实施流程。

阅读原文

跳转微信打开

2019年5月14日，CrowdStrike向美国证券交易委员会提交了上市申请，让我们可以更清晰的了解这家创

2019年5月14日，CrowdStrike向美国证券交易委员会提交了上市申请，让我们可以更清晰的了解这家创业8年的网络安全独角兽企业的运营情况。我们暂且不谈具体的产品和方案，从数据入手，形成一个对CrowdStrike直观感受。

先看客户情况，截至2019年1月31日，在全球拥有2,516家订阅客户，其中包括财富100强中的44家，全球100强企业中的37家以及前20大银行中的9家。

看关键财务指标，总收入从2017财年（它的2017财年是指从2016年1月13日到2017年1月31日，下同）的5270万美元增加到2018财年的1.188亿美元，同比增长125％，再从2018财年的1.188亿美元增加到2019财年的2.498亿美元，代表同比增长110％。

不同于国内大部分网络安全企业，CrowdStrike的核心收入是订阅收入。订阅收入从2017财年的3790万美元增长到2018财年的9260万美元，增长144％，再从2018财年的9260万美元增长到2019财年的2.194亿美元，增长137％。

从收入的角度看，CrowdStrike的增长非常的快，但是盈利情况其实不乐观，过去3个财年一直是净亏损，从2017财年的9130万美元的净亏损增加到2018财年的1.355亿美元，2019财年的净亏损为1.401亿美元。截至2019年1月31日，累计赤字为5.191亿美元。而且，CrowdStrik预计，在可预见的未来将继续产生净亏损，它给出的原因是将继续投资于我们的业务和销售能力，以应对巨大市场机遇。

再看一个关于公司生死线的重要指标：现金流。可以看出在2019财年经营活动产生的现金流是-2300万美元，但是比2017财年和2018财年的-5000多万美元已经有明显的改善，但主要的现金流支撑的来源还是融资。而且，2019年4月，CrowdStrike与硅谷银行和其它贷款方签署了1.5亿美元的循环信用贷，可以预见的综合现金流在可控范围内。

看完了现在，再看看CrowdStrike对将来的预测，它认为自己的产品覆盖的范围有5个市场。

       1、企业端点安全。2013年，CrowdStrike推出了Falcon OverWatch和我Falcon Insight云模块，2017年推出了Falcon Prevent，属于我们常说的EDR和NGAV（下一代防病毒）。IDC估计，这些细分市场的全球市场在2019年将达到76亿美元，预计到2021年将达到87亿美元。

       2、威胁情报。2012年，CrowdStrike发布了Falcon X云模块来应对威胁情报市场。IDC估计，威胁情报全球市场将在2019年达到16亿美元，预计到2021年将达到20亿美元。

      3、安全性和漏洞管理。2017年，CrowdStrike发布了Falcon Spotlight云模块，以应对漏洞管理市场。IDC估计，2019年该细分市场的全球市场规模将达到84亿美元，预计到2021年将达到104亿美元。

4、IT系统和服务管理。2017年，CrowdStrike发布了Falcon Discover云模块，以满IT资产管理市场的需求。IDC估计，该领域全球市场在2019年将达到26亿美元，预计到2021年将达到31亿美元。

5、托管安全服务。2018年，CrowdStrike发布了Falcon Complete云模块，以满足托管安全服务市场的需求。其最初的目标是针对那些缺乏安全人的小型组织，但该解决方案也使有助于大型企业的安全团队。IDC估计，2019年这一细分市场的全球市场规模将达到248亿美元，预计到2021年将达到296亿美元。CrowdStrike估计，2019年，其在这一细分市场的机会空间是44亿美元，2021年将达到51亿美元。

结合这些细分市场，2019年CrowdStrike认为其的全球机会估计为246亿美元，预计到2021年将达到292亿美元。

下一篇将将从技术角度一起来看看CrowdStrike的另类终端安全崛起之路。

阅读原文

跳转微信打开

近日Palo Alto("平底锅")公告，计划在其第四财季以4.1亿美元收购Twistlock。Twistl

近日Palo Alto("平底锅")公告，计划在其第四财季以4.1亿美元收购Twistlock。Twistlock对于国内用户而言，如果没有特意关注过RSA大会，云安全，容器安全，云原生安全或云工作负载保护平台等相关主题的话，可能不是很熟悉，笔者一直从事终端安全，数据安全方面的工作和研究，因此对Twistlock一直略有关注，在这里把以前收集的资料做一些整理，一起来看看Twistlock是一家什么公司。

Twistlock创立于2015年，那一年是以色列网安创业爆发的一年（虽然网安领域以色列一直是一个独特的存在，但2015一年就有近百家网安公司创立）。此时Docker诞生于硅谷已经2年，随着社区的壮大，即将在企业生产环境产生突破，可以想象的，安全问题也随之而来。曾经在以色列著名的网安黄埔8200部队服役，并在微软企业安全部门工作的Ben Bernstein抓住了这个时机，以不到30W美元的种子轮开始起家，公司定位容器安全。也是在这一年，由Google与Linux基金会联合创建了的云原生计算基金会CNCF，Google内部名为博格(Borg)的容器编排项目也正式更名为现在耳熟能详的Kubernetes。现在Twistlock自己贴的标签除了容器安全，就是云原生安全。Twistlock的融资节奏很好，2015年5月，天使轮280万美元，2016年7月A轮1000万美元，2017年4月B轮1700万美元，2018年8月C轮3300万美元。

现在，Twistlock已经能为Amazon ECS，Azure，Docker，GCP SecurityKubernetes，Pivotal，OpenShift，Istio 等多个平台提供安全方案。曾担任Twistlock首席战略官的王晨曦女士去年也参加了360的ISC安全大会，并担任了创新沙盒的评委，现场也谈过硅谷视角的容器安全云安全的一些观点。

在Gartner的定义中，Twitstlock归类是CWPP，终端安全或主机安全演变到今天（关于EDR/CWPP的介绍，青藤云的程度帅哥去年有篇文章写的很清楚，有兴趣可以去翻翻看），在终端侧是EDR，在服务器和数据中心侧是CWPP，Palo Alto已经有自己的EDR产品Traps ，通过收购，一方面完善了自己的泛主机安全的产品线，另一方面，更重要的是为新推出的云安全套件Prisma（棱镜）提供支撑。而且Twistlock100多名有经验的员工和300多个实际客户也会给Palo Alto在这以领域的能力建设提供有效的助力。

Twistlock的自己一句话介绍是“领先的全栈，全生命周期容器安全解决方案，保护容器环境及其中运行的应用程序，具有轻量级，可扩展和自动化特性，自动化的策略构建和全开发生命周期内的无缝集成”。笔者认为这也是一个持续的迭代的目标，云端设施的变化也是很快的。

截至目前，Twistlock总结了6方面的核心能力，分别是漏洞管理，合规，运行时防御，持续集成和持续交付，云原生防火墙和访问控制。

我们先看漏洞管理能力，它可以识别并预防整个应用程序生命周期中的漏洞，同时确定云原生环境风险的优先级，在开发过程可以集成到CI流程中，运营中可以持续监控识别容器，镜像和主机的风险。可以对特定的应用进行风险评分。下图就是在宠用的CI工具之一Jenkins中集成了漏洞管理的界面，漏洞通过内外的威胁情报等多种方式导入能力，也可以通过机器学习规则自建能力。

其次看合规。Twistlock的创始人作为主要作者参与了容器安全标准NIST SP 800-190的编写，内置了主要的一些部署模板，如下图所示，包括GDPR，NIST SP 800-190,PCI,HIPPA等。在开发环境中设置安全性和合规性的阈值，包括HIPAA、PCI合规性、CIS基准测试等，这样通过DevSecOps的落地将安全团队的要求无缝的对接到研发团队中，使得可以在整个开发过程中的保持合规性。这类功能的设计，符合笔者的逻辑，合规是需要培训，但技术就是要让即使没有培训的人也不会犯错误。

再看运行时防护。运行时防护包括网络和应用程序防火墙，支持Docker和AWS Fargate运行安全以及主机防护，可以通过机器学习为每个应用程序进行自动建模，保护网络，文件系统，进程和系统调用。这类功能是笔者一直研究和关注的重点，以后有机会再深入展开来说。

接着看云原生防火墙，Twistlock的防火墙包括3层防火墙和7层防火墙，它可自动学习应用程序的网络拓扑，并所有微服务提供应用程序的微分段，可以检测和阻止XSS攻击，SQL注入等威胁。在3层墙上，还可以自动模拟所有微服务之间的所有流量，并允许安全团队集中查看和实施安全流量，同时自动阻止异常，无需手动创建和管理规则。

然后再看访问控制。Twistlock提供了企业级的AD,LDAP等各种IAM的身份集成，并切支持细粒度的基于角色的RBAC访问控制。内置的文件完整性监控，可通过查看特定文件和路径的文件访问来满足合规性目标。也可以在收到有关配置文件更改，读取客户数据访问权限或对组织重要的任何其他文件访问时进行告警。在这一块，其实Twistlock做了大量的工作，实现了大量系统在身份和安全上的集成。

最后看持续集成和持续CI/CD。其实在前面介绍其它功能的时候都与CI/CD发生过交接，Twistlock通过CI，让开发人员在每次运行构建时都能看到漏洞状态，而无需运行单独的工具或使用不同的界面。安全团队可以通过设置策略来预先防范风险，安全成为构建的一个部分。

文章的结尾放一张最新的云原生全景图中，大家在其中找找Twistlock的位置。安全永远是为业务服务的，一切安全产品的设计和改进都是为了在最小化影响业务的情况下提供全周期的持续服务和保障，在产品概念类似的情况下，跑出来的是落地能力更强的产品和厂商。

阅读原文

跳转微信打开