專訪360高瀚昭，“核心安全大腦”能否掀起用戶側的安全革命？

“安全用戶需要的是一套能夠聯動多個產品的分析平臺，360‘核心安全大腦’就是為所有網絡安全用戶解決這個問題的。它不是一個指揮者，而是分析能力的輸出者，我們將用戶本地各種產品各種品牌的設備協同起來，幫用戶做統一分析，并且把360多年積累的大數據、分析研判、高級威脅情報等能力通過‘核心安全大腦’與‘云端安全大腦’的鏈接，賦能給用戶，解決用戶本地安全產品各自為戰，重復造輪子的痛點。”

——360政企安全集團高級副總裁高瀚昭

本篇內容來自2022年4月數說安全創始人＆分析師于江與360政企安全集團高級副總裁高瀚昭對話內容。

01

什么是“核腦”

于江：高總好，我們最近看到360推出了 “核心安全大腦”，360的“安全大腦”一共分幾類，各自的是如何定位的？

高瀚昭：360“安全大腦”總體的概念是一個體系，從安全規劃的角度來說就是思考用戶從零開始建設一套完整的安全體系需要做什么？真正到執行層面主要是落在兩個東西上，一個是360“云端安全大腦”，在云端上為客戶提供各種SaaS服務；一個就是 “核心安全大腦”，在本地鏈接云端，為用戶本地的產品提供安全賦能。

于江：360“核心安全大腦”是什么？是態勢感知的升級嗎？

高瀚昭：完全不是一件事，“核心安全大腦”是一個分析平臺，不是一個運營平臺。“核心安全大腦”只負責分析，跟用戶的業務或安全運營有關的都不在這個里面。“核心安全大腦”不是去管控別的產品，而是幫助用戶本地的其他產品去集中化的進行標準化的分析，無論是樣本鑒定還是情報查詢等工作，都可以由核心安全大腦來完成。可以說，“核心安全大腦”是用戶本地各個產品的分析能力的最大公約數，它是一個分析平臺。 

分析的工作都可以讓核心安全大腦來做，當然SOC或者XDR也都是有分析能力的，但這些單個產品的分析能力都是各自為戰的。我們從市場上調研了很久，不管是國內還是國外，用戶迫切需要一個集中的統一分析平臺。用戶特別怕什么？他買了一套流量設備給了他一套分析平臺，存了一堆數據；買了一套終端又搞了一個分析平臺；用戶再建個態勢感知，又搞一套分析平臺……用戶本地大量的數據平臺，每個數據平臺還不是一個標準，不同平臺的分析結果還是不一樣的，客戶也不知道看哪個。 

我們希望把“核心安全大腦”做成一個小而精的東西，就像CPU一樣，第一把數據集中，第二把分析集中，因為沒有數據集中就沒法標準化，更無法做到統一分析。通過“核心安全大腦”把客戶本地的所有安全產品的分析功能集中起來，無論是跨產品的，還是跨品牌的，都聚焦到一起，解決客戶的難題。

于江：那對市場上產品和設備的兼容性是“核心安全大腦”很重要的一個能力，這方面目前做的如何？ 

高瀚昭：目前國內外主流的二三百家安全廠商的上千種設備都可以支持，這些網絡安全設備的流量、日志、告警、樣本文件等都可以收集到360核心安全大腦中進行分析。 

于江：我們知道很多終端管理平臺賣給客戶的過程中各個端點上會裝agent，它其實也是有一個統管的平臺的，并且具備分析能力，“核心安全大腦”和這種agent之間的對接是怎么樣的？ 

高瀚昭：這方面的對接要看用戶實際情況，是由用戶來做驅動的。如果終端產品的agent可以滿足用戶的需求，那ok是沒問題的，但還存在很多情況是用戶認為agent對告警的判斷是不準確的，或者用戶需要上下文，那終端管理平臺就可以將他們的告警樣本，或者是hash文件丟到“核心安全大腦”上來，我們可以給出我們的鑒定結果，如果之前存在誤報的現象，核心安全大腦可以幫助用戶更好的研判。 

因為核心安全大腦是用戶本地通向360云端安全大腦的一個橋梁，我們通過核心安全大腦將360云端多年以來積累的所有云端數據（2EB 的安全大數據）向用戶進行開放，所以核心安全大腦的分析能力非常強大。 

360云端安全大腦相當于一個云端的維基百科，我們所有的知識圖譜都能向用戶開放。在360云端安全大腦上，每天光是樣本的收集量就是1000萬以上，好的時候可以到達1500萬以上。當我搜索一個IP，通過這個IP我們可以知道它的標識是什么，有哪些標簽，多年以來，我們給幾十億的IP，幾百億的樣本以及幾千億的URL，全部打了非常豐富的標簽，針對這些標簽用戶就可以判斷，以前點擊過什么，跟哪些樣本通信過，在什么時間通信過，這些樣本是不是危險的。

 02

“核腦”的市場

于江：那我們這個核心安全大腦的銷售模式是怎么樣的呢？用戶怎么去采購？它是一個軟件還是一個盒子？

高瀚昭：“核心安全大腦”本質上是一個模塊，就像我剛剛說的CPU。用戶單買一個CPU是沒什么用的，CPU會最終以PC或者手機等形式到用戶手里。360“核心安全大腦”基本上是作為產品或者解決方案其中的一部分到達用戶手里的：無論是XDR方案、態勢感知方案或者說流量的綜合檢測方案，再或者是APT解決方案，只要是需要綜合研判功能的，里面就會用到“核心安全大腦”模塊。

于江：客戶可以單買嗎？

高瀚昭：目前來說是比較少的，甚至說沒有過先例。如果這種需求存在，那一定是用戶本身自己的開發能力特別強，分析能力特別強，買來進行二次開發，就像你又不是造主板的廠商，買個CPU回來，你說你怎么來用。

所以對于用戶來說，他往往不需要直接采購“核心安全大腦”，其購買使用的360產品或者解決方案中已經內置了這一模塊，如果他買的安全產品的供應商和360核心安全大腦對接過，也不需要重復購買。

于江：那整個過程中商業模式是否有改變？最終付費的是哪一方？

高瀚昭：實際上，最終使用的是客戶方，無論是內部還是外部的安全產品帶有并使用了”核心安全大腦“，那么最終為此付費并且獲得核心安全大腦能力的還是用戶本身。

于江：那咱們是如何來做報價的？

高瀚昭：目前是按數據量，“核心安全大腦” 是由一個安全大數據平臺和多個安全分析引擎構成，要根據分析引擎的量級，也就是看本地要分析多少數據，數據量決定集群有多大。目前實際在操作中按照服務器的臺數來進行報價，當然這個價格也是非常實惠的，無論是對我們360內部生態系統的產品線來說，還是外部整個產業里的其他產品線來說。

現階段“核心安全大腦”主要并不是追求更大的經濟利益，也并不是說我們有360的云端分析能力，所以就要讓其他的產品都遵從我們的指揮，我們不是一個“指揮者”，而是一個能力的“提供者”。用通俗的話說就是，你把文件丟給我，我把我所有的信息給你，你要不要呢？雖然不是完全免費，我相信一定比它自己做成本要低得多。

因為我們想做的是為客戶去解決“統一分析平臺”這件事，不是靠一兩個產品線或者一兩家廠商就能把這件事做好，我們是希望用的人越多越好，所以對我們來講，短期賺錢肯定不是首要目的，我們希望通過讓更多的人去用，讓客戶真正能感受到安全效率和能力的提升。

03

“核腦”的應用

于江：“核心安全大腦”在客戶層面的應用案例有嗎？

高瀚昭：比如凡是用了我們APT解決方案的客戶，在終端的統一分析上其實用的就是核心安全大腦的能力；凡是買了我們10臺以上流量產品的客戶，做長周期的流量綜合分析研判，包括用戶行為的研判，也是用的核心安全大腦的能力。像用態勢感知、XDR的解決方案的用戶基本上也都會用到。

我們這個“核心安全大腦”沒有直接的競品，對用戶來講它有幾個好處：

第一，用戶買多個產品不用再搭多套分析平臺了，減少了重復投資。

第二，沒有“核心安全大腦”之前，可能用戶每買一個產品，都要買一套云端訂閱、情報服務等，終端有情報，流量也要有情報，態勢還要有情報……有的用戶買不同廠商的安全產品買不同的情報庫也就算了，有時候買同一家廠商的產品居然還要買不同的情報，那么通過“核心安全大腦”，用戶只擁有這一套就可以了。

總的來說，我們想成為客戶的安全分析中心里面的一個核心工具，作為用戶安全分析能力的核心支撐，提供給客戶跨產品、跨廠商協同的分析能力、和我們360“云端安全大腦“的核心安全能力。

于江：恕我直言，這個事兒誰都想干。

高瀚昭：是誰都想干，就看誰的分析能力更強。對于360來說，最核心的能力其實就是安全分析能力的積累。如何把360云端的安全分析能力轉化為用戶本地的安全能力，這件事我認為360至少目前看起來還是競爭力很強的。360政企安全在短時間內客戶增長的很快，也離不開公司在分析能力這部分實力的加持。

于江：那對于一個營收規模大概5000萬的一個小安全企業來說，如果他想在設備和產品里面集成咱們的“核心安全大腦”，使用咱們的情報、分析等能力，可以怎么進行合作？

高瀚昭：咱們可以談一年的費用，這個費用不會很高，只要你支付給我們了，我們就可以把我們的能力完全開放給你。

當然，在合作過程中，“核心安全大腦”的能力來源是靠云端不斷更新和給予的，所以云端不斷地更新，云端能力不斷的提升才是我們最終長期的商業模式。

于江：您提到云端的話題，在國內的市場環境中，您感受到客戶對這種訂閱安全服務的接受程度目前是如何的。

高瀚昭：坦率的說，我覺得短期市場還是比較小，但是用戶在采購服務這部分是越來越舍得花錢了。那對于服務來說，除了陪伴式之外，專業的服務在長期看來一定是云端的效率更高效果也更好。

客戶的訂閱并不僅是所謂數據的訂閱，數據會結合情報和核心大腦上的信息綜合給用戶出的一個完整的分析呈現。對于用戶來說，他訂閱了什么并不是最重要的，重要的是我們只要能夠提供給用戶更好的服務，隨著“核心安全大腦”的用戶越來越多，我們云端跟用戶本地的連接越來越緊密，我們對用戶的服務質量和服務效率就會越來越高。

04

“核腦”的進化

于江：還有一個問題，我們說這次對外發布的是“核心安全大腦3.0”，那么從1.0-3.0 “核心安全大腦”是如何進化的？

高瀚昭：在核心安全大腦1.0時代，360希望能夠把十多年進行網絡攻防博弈沉淀下的實戰經驗和情報轉化成安全能力落地，這時候我們給安全產品提供了一個無縫對接360安全情報及企業本地情報的平臺，實現了云端能力的下沉。

后來我們發現各種安全產品彼此割裂的情況明顯，我們開始思考怎么定義安全標準，把各個產線的數據標準化，并且把分散的分析工作集中統一到一套大數據平臺來做，對數據進行聚合分析？這就是核心安全大腦2.0時代。

再往后，整個大的安全環境變了，用戶的安全需求提升了，不僅希望能把云端能力本地化，提高數據分析處理的效率，還能讓安全設備實現聯防聯控，進一步加強威脅對抗能力。這就是核心安全大腦3.0時代。

就像我們反復強調的，安全用戶需要的是一套能夠聯動多個產品的分析平臺，360‘核心安全大腦’就是為所有網絡安全用戶解決這個問題的。它不是一個指揮者，而是分析能力的輸出者，我們將用戶本地各種產品各種品牌的設備協同起來，幫用戶做統一分析，并且把360多年積累的大數據、分析研判、高級威脅情報等能力通過‘核心安全大腦’與‘云端安全大腦’的鏈接，賦能給用戶，解決用戶本地安全產品各自為戰，重復造輪子的痛點。