青藤云安全程度：拿下Cool Vendor背后 ，每一片“叶片”都是侦察兵

无处不在的青藤，攀沿每一个建筑，覆盖每一片裸露的钢筋水泥的肌肤。

它柔软却又坚韧，敏锐地感知每一次风吹，每一落雨滴，每一次危险。

它挡在这庞然大物前，以看上去最柔弱的姿态，开启坚不可摧的屏障。

这就是青藤的理想。

今年 5 月，在 Gartner 每年一度的 Cool Vendors 的评选中，青藤云安全（以下简称青藤）在云安全领域作为中国唯一一家厂商入选，进入了 Gartner 视野的，还有三家国外厂商。

2014 年 IT 从业者张福在游戏行业驰骋，对“自适应安全”萌生概念时，他还不知道这就叫“自适应安全”。直到他看到了Gartner 的一篇研究报告介绍了“自适应安全”，忽感对方准确定义了自己堵在脑子里的所有关于安全的新奇想法，找到了世界上另一个自己。

所谓自适应安全，Gartner 说，是云时代的安全服务应该以持续监控和分析为核心，覆盖防御、检测、响应、预测四个维度，可自适应于不同基础架构和业务变化，并能形成统一安全策略应对未来更加隐秘、专业的高级攻击。

张福欢欣雀跃，随后出来创业，创立了以自适应安全理念为指导的“青藤云安全”，迄今推出了包含检测、监控和分析的一套青藤自适应安全体系产品，也是唯一一个产品。

Cool Vendor 到底是什么

虽然去年和前年也有中国的云厂商入选，青藤觉得不一样。

“去年、前年和今年可能不是一回事，今年的评选是全球性的，之前是亚太区域，或者中国区的评选，范围不一样，你懂的。”坐在雷锋网编辑面前的不是青藤的创始人张福，而是戏称自己“干着部分 CTO 的活，顶着 COO ”的程度，他负责与 Gartner 的对接。

【程度】

据一位自称在 Gartner工作的商业经理、知乎用户“ Daisy Fung ”的介绍：Gartner Cool Vendors 是 Gartner 对于世界各地在技术领域很活跃但又鲜为人知的公司的总体评价。

“Daisy Fung”还提到了 Gartner 遴选 Cool Vendors 的标准：

• Cool Vendors 是比较小的、鲜为人知的技术或服务供应商；

• Cool Vendors 是不能体现在 Gartner Magic Quadrant(魔力四象限) 范围内 与 Gartner Vendor Raring (供应商评定) 研究中的；

• Cool Vendors 必须是自主经营的公司，或者是独立核算的子公司；

• Cool Vendors 需要提供新颖的或是创新的技术或服务，并且这些技术或服务将会有很大的潜力与可能将会对市场和业务发展带来具有重要意义的价值，或是甚至有可能去改变市场中现有的供应商格局。

因此，可以知道，Cool Vendors 是被 Gartner 看好的具有技术优势及发展潜力的小型公司，虽然暂时并没有在领域内对大格局产生影响，但是有人认为，Gartner 每年一度筛选这些厂商列表，其实主要是为 IT 投资商提供参考。

雷锋网从一份 2004 年— 2011 年 Cool Vendors 发展动向的数据来看，在 1427 家入选公司中，21%的 Cool Vendors 首次被披露后即被其他公司收购或联盟，只有 3 %的 Cool Vendors 倒闭，而一部分收购发生在思科、谷歌、IBM、微软与 VMware 这些大厂商中间。

所以，程度认为，至少这是对青藤技术能力的高度认可。

其实，没有说明的潜台词是，从某种角度看，类似于一种“背书”。

看得见和看不见的渊源

Gartner 对“自适应安全”的看好是执着的。自Gartner 在 2014 年提出这一架构特点后，它在 2016 年又高调地预测，认定“自适应安全”是2017年最有发展潜力的十大信息安全技术之一。

而国外自适应安全企业发展良好也给青藤打了一剂强心针。2015年，青藤与之对标的自适应安全厂商 illumio，它在2015年上半年获得了 1 亿美元 C 轮的融资。

雷锋网了解到，illumio 这轮融资的背后是一个超级豪华的投资团，包括知名科技大佬微软董事长John W.Thompson、Salesforce.com CEO Marc Benioff、 Yahoo创始人杨致远、企业存储明星企业Box CEO Aaron Levie和硅谷的四家VC——Andreesen Horowit、Formation 8合伙人Joe Lonsdale、Data Collective、合伙人Matthew Ocko、General Catalyst合伙人（前VMware CTO）Steve Herrod。还有两个巨头企业：全球最大上市投资管理集团BlackRock和五大VC之一Accel Parners。

青藤十分振奋，觉得走对了路。

程度从不讳言自己与 Gartner 的趋势保持一致。因为“自适应安全”毕竟只是一个架构理念，在落实到产品的过程中，青藤不断地和 Gartner 的分析师定期沟通，确认这个架构的细节。

作为一个创业企业，遇到一个颇有公信力的全球咨询机构，刚好各自理念吻合，又有国外类似企业走了一条比较顺当的路，程度相信自己和 Gartner 的判断。毕竟，青藤是在中国国内第一家提出自适应安全理念并研发相关产品服务体系的厂商，国内没有参照物，紧跟国外的研究进展和厂商动向显得尤为重要。

虽然 Gartner 和青藤并没有投资和被投资的利益纠葛，但它俩似乎有“惺惺相惜之谊”：Gartner 进一步细化“上层建筑”，下发“武功秘籍”，青藤是一名潜心修炼者。从这一点看，青藤入选 Gartner 的 Cool Vendors 也在情理之中。

 Gartner  对这个知己应该是满意的，在它给出的评价中，列举了自己看好青藤的几点理由：

青藤云安全以持续监测和分析的安全联动平台以工作负载为核心目标，适用于Linux和Windows系统。

1. 青藤云安全综合实现了服务器进程行为的深度可视化、网络交流和蜜罐技术（诱骗漏洞及服务器上的应用和端口）以精确检测高级威胁——这些能力在中国厂商产品中并不常见。

2. 青藤核心检测技术是一个进程行为模型，该模型以系统中正常的进程行为、父进程子进程关系、服务器之间的访问关系等为基线，并将数据上传到云分析平台（用户可选择本地化部署），通过匹配威胁情报库，进一步分析入侵指标。

3. 青藤云安全为用户交付受托管的快速检测与响应服务。

4. 青藤能评估服务器上的漏洞和错误配置，以判断服务器的整体安全态势，让企业集中精力减少被攻击面。

5. 而且在对安全市场高度敏感的中国地区，青藤比传统的外国安全厂商更具优势。

“一片叶片的抖动”布下天罗地网

打动 Gartner 的究竟是什么？

程度认为，先得和大家科普“工作负载”及“云工作负载”。

所谓工作负载，指的是服务器、虚拟机和容器等系统核心业务的载体。云服务商的安全措施在某种意义来说比自建 IDC 机房的安全措施更好，但这并不意味着把工作负载从本地迁移到公有云上就能自动获得安全保障。实际上，云服务使用者应该利用好云厂商的安全特点和优势，由此产生效果也会更好。比如，利用好云厂商的安全自动化，能够大幅减少配置错误、管理错误、补丁缺失、人工操作失误等造成安全漏洞数量，从而大大提高云的安全特性。

他认为，云工作负载保护平台（CWPP, cloud workload protection platform）和微隔离等新的技术能够保证各种云环境下的安全，越来越受到国内外组织重视。

原因和优势有三：

1.准确圈定保护范围。

在每个工作负载上，不管是内嵌式，还是旁式，都可以进行检测，是一个端点的安全，在服务器的端点，可以放置一个探针（agent），或者类似的东西去监控安全状态。而传统的通过网络流量的探测方式因为是在业务出口布局，在跨云平台上，使用场景复杂，很难框定自己的保护范围，从而难以统一部署资产。

其实就是，你不知道自己的领域到底涉及哪些方面。

恍如深陷民族大义的乔峰在知道自己真实身份的那一刻，顿陷迷雾，不知道自己到底应该保护谁。

2.轻量级、跟随式保护。

另外，跨平台对部署流量式的检测方式非常困难，而探针则是轻量级的，  对带宽、流量、CPU资源、内存资源、硬盘资源等占据较少，对操作系统影响很小。

这一点很好理解，程度认为，之前安全公司们努力垒起重装高墙，现在这种保护却像蔓延的爬山虎，“软性”地跟随建筑一起生长。

风一吹，青藤的叶片就就会抖动。

3.适应突然的拓展。

由于云计算本身的拓展特性，可能突增100台服务器，在面对常常突然拓展的业务，云工作负载可以同步部署探针。

“可以随着工作负载的启动，自动加载，你的工作负载在哪地方，探针就可以跟随一起起来，甚至可以打到镜像里。如果工作负载不存在，探针就也不存在。”程度说。

正是由于第一步将“探子”安插进之前无法预见的角落，一张能够进行威胁预警的“天罗地网”从此展开。精明的猎人悠闲地擦着猎枪，轻松地等待着闯入者自投罗网。

只要有一片“叶片”震动，牵一发而动全身，警报就能在15秒中准确拉响。

在茫茫机海中，守卫者一点都不不用担心，掉落在草垛里的那根针，闪耀着危险的光芒。

编辑手记

我问程度，你觉得青藤最大的优势是什么？程度说，是我们“自适应安全”的上层建筑。

同一武学宗师亲传，也可能演变不同派系。从自适应安全出发的前行者illumio 已经走出了自己的风格。

2017年6月，illumio 获得由摩根大通资产管理公司(J.P. Morgan Asset Management)领投的1.25亿美元资金，完成 D 轮融资，在此前获得累计10亿美元的基础上，它真的成了领域内的一只独角兽。

此时，中国的青藤也在寻找自己的道路。

程度告诉我，因为产品形态发生了变化，青藤目前对标的已经不是illumio，而是另外一家国外企业，它们也能迅速发现所有资产的风险，但是做的领域以 PC 为主 。

“我们的前面的一些东西，比如资产清点，很少有人做。我们借鉴了很多公司做安全产品的思路，基于自身对安全本身的理解，形成现在这个产品形态。”程度说。

不过，到目前为止，从数量上看，青藤推出的依然还是一种产品。

Gartner 也明明白白地指出了青藤面临的其他挑战：很多 CWPP 厂商增加了行为监控功能以检测高级威胁；此外采用诱导技术的厂商也在不断涌现，但是，很少有厂商能将行为监控和诱导两者结合得这么到位。青藤必须和拥有更多服务器保护能力和较强品牌知名度的大型提供商开展市场竞争，此外青藤还没有集成VMware、AWS 或 Microsoft Azure 等国外云计算供应商的能力。

青藤后续将走怎样的路？它能像前行者illumio那样成为领域内的独角兽吗？

我们不知道答案，但是我们可以看到，青藤在朝着既定的大方向前进，它的心中，确有一座灯塔。

雷峰网原创文章，未经授权禁止转载。详情见转载须知。