对话问答：OpenDNS创始人就云安全给IT前景造成的影响作出评述

David Ulevitch是OpenDNS公司的创始人兼CED，这家DNS服务与安全企业坐落于加利福尼亚州旧金山市。Ulevitch最初建立的另一家企业EveryDNS公司是由一个大学研究项目衍生而来，并在随后的发展中积累下10万名用户——不过他在2010年将其出售给了Dyn有限公司。

就在今年，Ulevitch被Inc. Magazine选入“35岁及35岁以下”企业家名录。

他最近在由Box召开的BoxWorks年度大会上就互联网安全作出发言。Ulevitch还曾在世界经济论坛上就这一话题进行过评述，而就在之前其OpenDNS公司当选为2011年技术先锋企业。

记者:互联网安全是一项规模庞大的业务类别，而且众多企业都在斥巨资用于其网络及数据的保护工作。但时至今日，我们仍然常常能够听到关于重大安全事故的报道。为什么会这样？

DU:尽管目前市面上的安全方案供应商数量众多，人们也愿意在安全工作上投入大量资金，但从安全性的切实提升角度来看、这一切并不一定就能带来理想的结果。为什么会这样？真正让企业身陷困境的状况是否真正得到了解决，特别是中小型企业所面临的难题？他们又可以采取怎样的安全实践手段来在推行安全教育的同时、切实改进自己在安全领域的地位，从而帮助自身彻底摆脱头痛医头、脚痛医脚的被动局面——或者解决更为糟糕的状况，即根本拿不出足够的资源来应对出现在面前的攻击活动？

记者:这些问题确实极具现实意义，那么答案又是什么呢？

DU:首先，我们需要理解云计算到底改变了什么——事实上，它不仅改变了问题本身，也改变了解决方案，即解决问题的方式。我们认为IT的发展前景将迎来一次巨大的转变。

记者:您所说的转变到底是怎么一回事？

DU:从传统角度讲，人们走进自己的办公室后旋即坐在办公桌前，利用自己的台式机或者笔记本设备接入位于自有本地网络中的文件服务器，而且他们所使用的应用程序也都由内部办公环境负责托管。他们在办公室内使用文件，在办公室内使用计算机，就连他们自身也始终处于办公环境当中。因此从IT发展前景的角度来看，安全性的考量体现在将整个企业视为一座坚不可摧的城堡，而我们对城堡加以保护的方式当然是围绕着其外部构建防御工事。我们会为其保留一个入口与一个出口，并在这里部署防范措施以监控出入流量，这就是防火墙的职责所在。这可能说是实现安全保障的最简单方式了，因为我们能够轻松获得对出入办公环境的信息流量的控制权。

记者: 那么现在情况出现了怎样的变化？

DU:这个嘛，现在企业员工开始使用无数不同类型的设备——其中一部分归属于企业，但也有一部分归属于员工自己——此外大家还需要面对移动设备，其中最典型的就是Android与iOS智能手机以及iPad平板设备。回顾过去，当时整个企业当中约有80%到85%的应用程序运行在Windows环境之下，但如今这一数字在未来两年中将下降至不足35%——这绝对是种巨大的变革，也给我们的应用程序保护目标设置了重重挑战。如今，应用程序开始向基于Web或者迁移至云端演变，因此大家原本所熟悉的内部甲骨文应用被现在的Salesforce所取代，原本的Exchange Server变成了现在的Google Apps，大家甚至开始使用Box、Dropbox乃至Office 365这类与内部运行环境完全无关的不同工具。

有了这些新型设备，企业员工就能够使用完全运行在企业环境之外的云应用。他们可以在星巴克工作、在自己家中工作甚至在机场和路上都能工作。这种根本性的变化无疑将给IT的发展前景引导至完全不同的新方向。

记者:那么在这种新型IT前景之下，我们又该如何实现安全保障目标呢？

DU:从安全角度出发，由此带来的负面作用在于，所有面向安全的传统解决方案都已经不再适用于当下的新环境。大家根本没办法将应用程序硬性控制在网络边缘，因为业务体系中的往来流量将被划分成越来越多规模较小的片段——这是因为员工开始更多使用来自外部环境的云服务机制。

记者:这样说来，如果防火墙已经不再足以保护整座城堡，那么我们难道不能单纯将设备作为保护对象吗？

对于大多数安全方案供应商来说，他们一直所秉持的安全实施思路就是检查恶意软件副本并构建与之映射的防护模式，最终将这套模式交付至所有购买了该方案的客户手中。

这种处理方式之所以无法继续起效，或者说家得宝以及Target公司遭受数据泄露的原因所在，是因为当下的恶意软件拥有两种足以成功突破传统应对措施的重要特性。

第一点，恶意软件存在多态性。具体而言，恶意软件每次对自身进行复制时，生成的副本都会与原先存在一定程度的差别。就在我们获取副本并根据其状况构建模式的同时，这种应对模式已经推动了实用意义、因为每套恶意软件副本所遵循的模式都不完全相同。

第二个原因在于，如今很多恶意软件其实是专门针对特定受害者群体的，因此大家所遭受的第一次攻击实际上也就是最后一次攻击。恶意人士所扮演的更像是狙击手角色，而非拿着猎枪与我们正面对轰。

记者: 听起来实在有些可怕。

DU:从积极的角度看，这也给了我们重新审视安全保护思路的大好机会。

这也正是如今众多小型安全初创企业不断涌现的原因所在。IT领域面临的单一一种颠覆性现状已经足以创建出一套全新安全保障体系，而当下我们则同时面临着三种：移动生产机制、多设备介入与云应用程序。

现在市场上的安全方案供应商能够替我们打理身份验证方面的管理工作，帮助我们规划面向不同服务的登录方式，这样我们在雇佣新员工的时候就用不着向其传达太过复杂的规章制度。此外，我们也拥有足以承担起数据加密任务的供应商，他们能够妥善处理我们保存在Salesforce或者Amazon当中的业务信息，从而让云端数据变得更加牢固可靠。

此外大家还拥有像OpenDNS这样的服务供应商，我们不会将保护职责完全寄托在一台冷冰冰的设备身上; 我们认为自己有能力带来标准甚至更加理想的安全保障成效，而且是以服务的方式进行交付——每天二十四小时、每周七天。这种服务会结合背景信息并拥有动态特性，因此它能够根据客户的业务定位、所在位置以及访问对象来制定正确的安全与管理政策。

记者: 具体来讲，OpenDNS是如何实现上述目标的？

DU:我们的解决办法就是，“没错，我们知道互联网上足足有3亿个站点允许大家自由访问，”但对于北美地区那些平均员工数量在50人左右的企业而言，真正有可能引起他们注意的网站其实只有300万个——剩下的他们可能这辈子都闻所未闻、见所未见。

有鉴于此，我们可以投入大量时间以确保从信誉、行为以及其它各类科学研究角度出发对目前拥有的数据进行归类，并为其所有活动添加背景信息。具体而言，如果与您规模相当的其它企业当中没有任何一位员工访问过来自东欧地区的某个IP地址，那么我们也不建议各位去当这种实验性小白鼠——我们会亲自上阵对其进行深入分析。当然，如果大家对于自己的判断很有信心，我们也尊重各位的访问意愿。

我们拥有大量技术成果储备，足以保证我们拥有比威胁更快捷的反应速度，而且远早于那些只有在威胁真正出现在客户计算设备上才能发现问题的安全设备。换句话来说，我们的目标是抢在大家对恶意软件进行下载之前就阻止这种行为。

记者:那么您如何判断威胁身在何处？您又是如何获取安全保护所需要的数据的？

DU:我们的网络体系每天承载着5000万用户的日常使用，单昨天一天我们就处理了600亿次DNS请求; 我们会将其记录、保存下来并加以分析。这还仅仅是我们分析对象中的一半。另一半则来自其它来源，例如域名注册、互联网上的BGP路由信息以及哪些网站负责托管其它网站。我们会将这些背景信息汇总在一起。我们的研究团队构建起了大量分类引擎及算法，专门用于从这些数据当中挖掘出使用模式; 因此，当出现了偏离固有使用模式的状况或者不同于原有分类机制的活动时，我们会通过算法进行阻止或者为其设置红色标记。

记者: 这种服务所对应的市场是怎样的？

DU:我们销售的产品名为Umbrella。我们很久以前就已经决定采取这种独立于设备之外的安保服务方式。我们并不在乎大家实际使用的到底是笔记本还是平板设备。我们的收费单位也并非每台设备，而是每一位用户。

我们的合作伙伴当中包括2000家活跃MSP（即管理服务供应商），他们一直以来都在帮助我们进行服务产品销售。作为虚拟CIO角色，他们负责现实层面上的服务销售、配置与定价，并与客户直接交流。我们的大部分MSP合作伙伴都会将这些服务融入到客户的每月使用成本当中，而我们则以每用户每年的方式向其收取费用——理由很简单，他们很清楚在我们服务的支持下，客户能够有效应对恶意软件带来的负面影响、降低钓鱼攻击的危害并免受其它安全妥协问题的困扰。这样一来，他们的运营收益也能得到良好的保障。有时候这些商家甚至会将服务直接交付给客户，我们并不在意他们具体采取怎样的销售方式。

记者:您与这些MSP之间是怎样的一种合作关系？

DU: MSP几乎为我们贡献了整体业务收益的三分之一。他们能够切实帮助我们更好地获取客户反馈与产品使用意见。我们也会投入大量工程技术资源来确保自身能够为其提供足以肩负重任的安全解决方案。

我们也从MSP业界学习到了大量宝贵经验，其中最重要的一点就是他们在IT执行流程中拥有非常出色的协作与沟通能力。正因为如此，我们才能够在MSP领域中积累起强大的业务实力。目前这部分营收已经成为我们业务体系内发展速度最快的分支，因为我们拥有良好的口碑、信誉以及服务供应商的强烈推荐。为了保持住这一发展势头，我们建立起完整的工程技术与产品团队来专门与MSP合作伙伴进行对接。我们还将自身服务与Kaseya、Autotask以及其它工具进行整合，帮助他们更好地为客户带来自动化配置方案。他们能够利用这些工具直接实现OpenDNS产品的配置工作。

记者:您觉得这些变化给MSP业务带来了怎样的影响或者说转变？

DU: MSP对我们的原有服务模式作出了调整，从而使其更适合他们自身以及客户的实际需求。他们在扮演虚拟CIO角色的同时，也成为了技术的真正推动者。

他们过去一直将注意力集中在为小型企业、也就是他们支持服务的主体对象提供上门服务方面。他们需要亲自前往现场并杀除笔记本电脑中的病毒; 他们会对笔记本进行全新设置或者干脆配置新的设备; 他们还得管理并维护Windows Exchange Server或者微软的小型企业服务器; 此外，他们基本上按小时收费。但现在情况已经完全不同，前面提到的很多软件已经逐渐从业务环境中消失了。

换一种更为直白的说法，这些服务供应商不再亲身前往客户处处理IT工作并从对方企业手中获取报酬; 相反，他们现在转而以客户为单位计算服务成本，例如每月每位员工100美元，并包揽下其全部IT技术任务——设置电子邮件、部署备份机制、实现安全保障——而这也充分调动起了MSP合作伙伴的积极性。客户感染情况更少、备份效果更好、系统运行状态更可靠、需要进行上门服务的比例也更低，一切都比原先更加理想。他们不再以现场工作的小时数来收费，现在他们无需前往客户所在位置、但却能够赚到更为丰厚的回报。

记者: 也就是说，现在的处理方式更有利于他们的财务状况？

DU:现在的这种业务模式以更为高效的方式实现资源利用。MSP合作伙伴如今能够以数量更少的员工为更多客户提供支持。举例来讲，如果他们有30家客户现场需要处理，每个现场的工作需要耗时3个小时，那么现在的新方案能够为其提供十倍以上的处理效率。这显然意味着更为可观的利润、更理想的稳定性收入并为客户带来更具可预测性的成本支出。

这才是真正的双赢结果。由于现在大部分工作是以虚拟方式而非上门服务实现的，因此客户能够拥有更多供应商选项——他们用不着再单纯从公司所在地周边的五英里范围内进行搜索了。除此之外，新机制也使得小型企业拥有者能够享受到其原本根本无法承受的大型工具与大规模服务方案。

记者:让我们再回到OpenDNS本身。是不是必须首先成为DNS服务的客户，才能进一步享受到您所提供的Umbrella安全平台？

DU:没错，我们确实提供一项递归DNS服务，而这也正是浏览器准确找到目标网站的方式所在。大家必须要使用这项服务才能访问到我们的安全服务。

我们的客户其实并不一定是为了DNS服务才购买我们的产品，事实上他们购买的其实是安全保障。我们运行的DNS服务只不过是其中的一个侧面，我们同时也为其解决各类其它问题。

记者:那么与传统解决方案相比，通过云交付的安全机制有着哪些不同？OpenDNS又是如何利用这些潜在优势的？

DU:二者的区别绝不仅限于员工开始在办公环境之外处理日常业务，也不单纯在于能够让这些虚拟CIO更轻松地实现部署。事实上，云安全——也就是我们所采用的安全机制——从本质层面上更具吸引力，即使使用者并未真正离开自己的办公室。这是因为我们以实时方式找出包含在全局体系中的威胁因素，并通过智能化方式对各个客户加以保护。想象一下，每天有5000万用户通过我们的网络进行协作，这将迸发出多么巨大的能量。

我们同时也在对受感染用户以及非感染用户的流量模式进行审查，而且整个实施过程真的非常快捷。我们拥有一个研究团队，专门负责分析数据并向其中添加大量背景信息，从而真正识别出互联网当中不同部分是安全还是危险——通常能够在大家下载恶意软件或者受到感染之前就加以阻止。

与此同时，我们现在已经拥有越来越多追踪记录以及安全威胁识别信息，甚至能够在问题出现之前就将其揪出来。我们还会经常发布这些数据，至少是以半公开方式交付给安全研究业界。