我是 Elkeid 负责人 Will,可能很多人不知道这最早是我和几位老友的私人公众号,只是后来总是用来宣传 Elkeid,并且大家逐渐忙碌也不怎么写文章了,所以各位看到一篇非宣传性质的文章也不用惊讶哈哈。
如何讨论我的 2022 呢?说起来很是有趣,2022 年对我来说确实是充满挑战和变数的一年,在这一年内我一直在思考和总结,直到过年放假有空找个角落心无旁骛的专门思考这个话题的时候却突然不知道何处下笔了,所以我就想到哪里就写什么吧。
1. 关于团队的思考
2022 年我经历了很多关于团队的方向、架构或者团队内部的调整,在这个过程中我思考的结论最深刻的应该是:
“决定团队方向、价值、大小决策的实际上就是被很多人所忽视的核心价值观,或者说就是那个从不会写在年度规划里的终极目标,那个可以称之为理想的东西,虽然很多人并不清楚自己的理想是什么。”
在我初入职场的时候面对公司和领导们给我们周会月会苦口婆心的远大目标、宏大方向的时候其实也会感觉非常务虚无法产生共鸣,更不要说上升到公司价值观层面的部分了。
但是 2022 年我开始意识到,实际上真正影响团队每一个人的正是这个看起来虚无缥缈的东西,他可能是某一个人的个人所决定的,也可能是团队成员逐渐形成的某种共识。可能是坚定的想做伟大产品的目标,也可能是满脑子都是向上管理或者无所谓的躺平的共识。这种东西首先会影响到某些个个人,然后逐渐伴随着这个个人的影响力影响整个团队。
当我意识到这个问题之后,我发现在“理解一个人;理解一个团队”这件事上确实有质的突破,以前我可能仅仅通过这个人或者团队成员的履历,能力,双商或关键决策等间接判断,但是现在我绕过这些迷雾后发现,当你发现一个人或者一个团队的核心价值观或者是他的理想的时候,理解会上升到更高的层次。这帮助我在 2022 年对团队甚至整个组织的行为或者决策有了理解的更深刻的基础。
这也就是为什么你会看到团队和团队间的差异如此巨大,这是因为他们核心价值观不同导致的,这个价值观到底是什么,可能团队内只有极少的人甚至没有人能精准描述,但是他就是真实存在的,影响着每一个大小决策和选择,并直接引导着团队的发展方向。
2. 关于自下而上与自上而下
2022 年我见过自上而下管理的团队,也见过很多几乎完全自下而上生长出来的业务,我发现自下而上生长的业务在中后期多少都会遇到很多结构性的问题,这不一定都是团队自身的问题,很多问题可能是来自外部的,因为如果持续在更高维度的资源协调配置、规划中都是缺席的或者缺乏影响力,那么困难很容易想象的到。
因此我认为:
“在正常的生态中很难存在完全自下而上生长并且成功的业务,最终还是需要获得自上而下的支持。这个是需要提前思考的问题。”
3. 关于商业化的思考
2022 年应该是我们团队开始商业化的第一年,伴随着公司战略层面的调整,我们从一个仅负责内部的团队也开始推进商业化工作,实际上我对于国内安全商业化和市场环境一直也不陌生,只是真正进入变成了一个深度参与者后,视角还是不一样的。
但是关于大家都知道的这些问题也罢情况也好,就不在这里赘述了,我关于国内 CyberSecurity 方向商业化在 2022 年的思考结论中对我影响最大的实际上只有一个:
“我们需要坚信以核心价值为导向的市场环境终将会到来。”
只有在这种希望下,持续保持对产品核心能力以及细节的打磨,才能不断影响这个市场并且逐渐在这个过程中让这个希望成真,这并不是一个先有鸡还是先有蛋的问题,也并不是没有先例的细分领域。
4. 关于反入侵方向
在 2022 年我们在反入侵(入侵检测、入侵响应、威胁猎捕)方向做了很多新的尝试。有一些我个人在 2022 年的结论:
“AI 是可以在自动化策略生成,部分场景下未知威胁发现,告警可解释性增强等方面落地的,并且会有较好的表现。”
在过去 AI+安全确实有一段时间的热度,但是目前看似乎有些下降,大家对于 AI 的看法也似乎逐渐悲观,但是在我们的超大规模环境下做了很多方向的测试和验证,我们发现 AI 仍然是有巨大优势并且是可以落地带来实际价值的。
“非算法前提下提高入侵检测能力的上限的方式除了行为序列检测,应该是想办法尽可能提高对于有限数据的理解或者标签化。”
抛开底层数据增强采集或者类 XDR 产品讨论以及 AI 等,仅讨论基于规则的策略如何进一步提升,在 20 年 21 年 Elkeid 开始尝试并且持续在行为序列检测(不依赖单一行为检出,依赖单系统内产生的多个行为)上投入,也确实看到了很好的表现,但是在 22 年下半年逐渐进入瓶颈,但是实际上入侵检测这个方向还远远没有看到边界。我个人认为,对于单一行为的可量化的理解是提高检测能力的一个基础关键,比如一个行为是:
exe:/tmp/abc
argv:/tmp/abc -b
pid_tree:1283555.abc<1282964.aabbcc
然后再充一些信息:
exe:/tmp/abc
argv:/tmp/abc -b
pid_tree:1283555.abc<1282964.aabbcc
登陆所属:chenyue.will
二进制属性:运维工具
外联资产信息:内部,PSM:a.b.v
二进制来源:系统自带,全网占比65%
其实就是按:
谁 对什么 做了什么
进行标签化或者某种量化,通过这种理解能力上的提升带来整体策略能力的提升。
5. 关于 XDR
大家可以看我在 2018 年关于类 XDR 产品的思考:https://mp.weixin.qq.com/s/Ge1BAyesVziCIBaELzGhhA,(在最后一节:NIDS 的不足)。
在 2022 年我主要在思考的问题是:
“有多少比例的威胁是基于单维度入侵检测产品无法检出的,即必须依赖至少 2 个安全产品的原始数据级别关联才可以进行有效检出?”
这个问题的答案实际上会影响到:XDR 类产品在建设的中短期的路线是什么,当然这个问题实际上在不同的公司背景下或者不同团队内都会有不同的答案,这里只是抛出一个我认为很有讨论价值的问题供大家思考。
6. 关于开源
2022 年虽然内外需求越来越饱和,但是我们在开源方向投入并没有减少,到目前为止,Elkeid 内部和商业版本的端上能力与接入层能力与开源版本一致,并且策略引擎 Elkeid HUB 我们也推出了社区版本。
其实关于开源版本仍然有很多问题,主要集中在如文档不完善,各种不友好的使用上的 BUG 一直持续存在等等。一方面是人力问题,第二方面实际上开源版本到现在为止在社区方面应该依然是比较失败的,失败的主要表现有以下:
“社区群的高质量讨论极少,主要以抛出使用问题为主;来自社区的有意义的 PR 2022 年少于3个,虽然 Star 数上升明显。”
这样实际上社区始终依赖 Elkeid 团队输入,但是我们在各种其他压力下实际上很难持续维持对于社区的投入,并且社区却很难真正形成,反而更像是某种负担,并且大量不阅读文档,对于基础概念缺失的用户的反复提问也会让团队内对于开源这件事产生质疑。
我在 2022 年听到过很多次这样的评价:“Elkeid 就是那个字节的开源 HIDS,而且他们最核心的部分没有开源。”,事实上如果只是策略和策略引擎未开源就会被贴上“最核心的部分没有开源”的标签,也确实比较容易影响我们对于开源的心态。
实际上对于开源我们最初的想法非常简单:
“这是一个很酷的事情,应该让更多人知道:这个细分领域还有人在专注,还在不断提出更优解;这是一个很酷的事情,我们希望有更多人加入进来一起完善。”
回看 2022,似乎这个期望依然是遥不可及的。
7. 写在最后
2022 年几个好友都告诉过我:
“只是一份工作而已,不要想太多。”
我总是会在心里想:“Elkeid 对我来说可不仅是工作而已。”
但是我现在站在 23 年的 1 月里回看 22 年的时候,我开始觉得工作之外还有很多需要我关注的人和事,Elkeid 也仅仅是我理想中的一部分。
在最后祝新的一年世界和平,希望所有的故事都有美好的结局。