网络安全“圣地”以色列之行

文 | 程度

以色列的耶路撒冷是三教“圣地”，宗教气氛浓重，每年去这里朝圣信徒不计其数。不仅如此，以色列一直被认为是仅次于硅谷的高新科技产业聚集地，其网络安全实力之强大在业界举世瞩目。比如既有老牌的Check Point、Imperva，也有创业公司Adallom（2015年被微软以2.5亿美元收购）、Cloudlock（2016年被思科2.93亿美元收购）和Argus（2017年被大陆集团4亿美元收购）等400多家网络安全公司，所以称以色列为网络安全“圣地”也不为过。据说每年都有无数大公司首席安全官或安全大佬去以色列海滨城市特拉维夫“朝圣”。7月有幸参加了色列的网络安全交流活动，五天的行程虽说匆匆一过，但是给本人启发不少。下文笔者将从四个方面介绍以色列网络安全发展的情况。

创新文化

导游带领我们去耶路撒冷的时候说了一句话让我印象深刻：在以色列的教育中，从来没有“听话”二字。老师的工作非常辛苦，任何事情都要说的清清楚楚，否则孩子们做的所有事情都有其自己理由。在他们的价值观中，“听话”这种美德只是简单的顺从，反而缺少了很多的批判性思考。正是这种教育影响到他们一生，以色列民族的批判性思考能力正是从小就开始培养的。意第绪语（日耳曼语族属于）有个词叫做“肆无忌惮”（chutzpah），这种情况会在很多场合出现：比如学生同教授的对话；员工挑战他们的老板；文员批判政府高官。对于以色列人来说，这个是很正常的行为。在跟以方公司交流沟通中，冰卉姐反复告诉我们要直接一些，也是深谙这种文化，以方安全公司的演讲者也乐于让我们打断他们，提出问题。

在以色列文化中，对“建设性失败”或“聪明的失败”的有着很大的包容性，这也是他们创新文化中很重要的一部分。失败是成功之母，一个人第一次创业成功的概率很低。哈佛大学做过一次调查，那些在这次创业失败的企业家，下次创业成功率接近20%，远高于初次创业者的成功概率，比有过成功经验的企业家也低不了太多。在跟甲方企业的一些CISO交流，他们乐于尝试用新的方式方法来解决问题，非常乐意尝试新产品。

以色列还是阶级差异最小的国家。全民预备役制度功不可没，女性二年兵役，男性三年兵役。以色列国防军（IDF）的向下授权是做的最充分的，也是所有其他国家部队管理不具备的。军队文化在人的印象中总是绝对服从，有严格的等级，但是以色列并不是这样。以色列的军队结构是高级指挥人员少，发号施令的人少，底层士兵就有更高的主动权。这样就可以引发从下到上的创新，而不是仅仅的服从。

这一切的根源来自于犹太教的精神，犹太教本身就是一本开放的书籍，代表作是《塔木德》-几百年以来拉比们之间关于犹太律法的公开讨论的集大成之作。这些精神不仅影响犹太人的宗教信仰，也塑造了以色列这个国家的国民精神。

资金支持

以色列每1000个人里面就会有一个人在创业公司工作，人均获取资本数也是全球领先，大概在700美元左右，而在美国只有400美元，中国是50美元。一个企业尤其是创业公司在产品没有大规模覆盖市场的时候，资本起到很关键的作用。在20世纪80年代的时候，以色列的创业公司只有两种融资渠道：第一是政府资金，另一个是BIRD，是美国和以色列共同出资的产业基金，更像是一个FA在运作。这两种形式的融资只能支持一部分公司并且只是早期的融资帮助，后续的资金跟不上无法为产品营销提供支持。

在这种情况下，以色列财政部的一些年轻官员想到引入风险资本的支撑，名字叫“Yozma”，希伯来语是“首创”的意思。Yozma项目是政府出资1亿美元创建10个新的风险资本基金。每一份基金必须由三方构成：以色列风险投资家、国外风险资本和以色列投资公司或者银行。这个项目基本是通过一个个配套的项目来激活风险投资。如果合作方能够筹集1200万美元投资以色列科技公司，政府将出相应配套800万美元资助这家公司。基本思路是：政府借钱给你投资，如果失败了，不用还钱给政府；但是，如果你赚钱了，只需要把最初的投资加上每年的利息还给政府。这个项目大获成功的关键是有进入和退出的机制，并激活了很多国外投资机构的投资意愿。现在不光是以色列自己的投资机构很多，同时募资的范围也扩展到全球领域，有美国的、欧洲的，现在都有很多中方资本参与在很多的投资基金中，充当母基金。

现在还有一些结合了投资和孵化器之类功能新形态出现，比如Team8 拆分出来的illusive Networks，Team8跟英特尔、花旗投行、微软和高通都是合作伙伴，同时也有其他风投基金的引入。这次参观的Elron基金本身是一家上市公司，是长青基金，其投资厂商一般是有数量控制，没有退出的估计一般不会加入新的portfolio，更注重被投公司的长期发展。

除了资本的支持，同时孵化器、加速器这样的办公场所支持也是很多。这次去的巴克莱银行的以色列创新中心就是孵化器的一种。同时也会有像SOSA这种连接行业三大支柱-创业公司、投资者以及跨国公司的平台。

创业生态

以色列网络安全创业生态如下图所示，由7个部分组成：

以色列的安全厂商主要是指那些已经IPO的巨头公司：Check Point、Imperva、CyberArk、Radware等。这些厂商能够提供两种帮助：创始人财务自由后充当投资人角色，可以作为天使投资人来投资创业公司；同时大公司培养了很多优秀人才，也可以组建创业公司。

安全的创业公司非常多，以色列创业的高科技行业大部分公司都是做2B行业的软件为主。2B行业技术门槛高，同时2C在以色列的生态环境比较差，人口仅仅900万人。网络安全行业又是专业度相对更高的行业，所以这个方向的创业公司相对较多。近10年以色列网络安全创业公司的数量，可以看出平均每年都是几十个公司的出现。

同时退出通道基本也比较畅通，大部分情况都是通过欧美大公司的收并购（M&A）。以色列本身是个小市场，基本在本国市场无法持续，所以都是出让高技术让市场广阔的公司获利。文章开头提到的三个公司就是这种范式。美国基本是以色列创业公司最好的退出目标通道。以色列人的第二语言是英文，语言上没问题；同时美国犹太人社区也比较多，有很好的连接作用；最后跟美国文化的区别也较小。

这些创业公司的创始人大部分都是来自于军队，有个代号不得不提-8200。最有名的震网病毒就是这个组织编写的。8200部队是以色列的NSA，属于情报机构。8200部队出来很多人，都创立了优秀网络安全公司，同时很多以色列的VC人员也来源于此组织。这个组织培养出来的人才有很高的实战经验，同时也有很强的技术背景，让这个组织的军人炙手可热。除了8200如雷贯耳，Talpiot项目更是以色列国防军的精英，但是这个项目培养的人一年也就几十个，数量比较稀少，同时服役周期比较长，所以外界的名声不够大。新诞生的C41也开始充当以色列国防军在网络安全领域发挥力量，目前首批人员已经服役完成面向市场。以色列的军队更像是以色列国家的最大人力资源机构和培训机构，培养了大批的优秀网络安全人才。

政府作出的努力除了上一节提到的资金支持外，还吸引了大量的国外风险资本，并且有很多配套的措施，比如制定相关的出口政策和设立相关的创新机构。同时支持二大网络安全大会：CyberWeek和CyberTech。创造支持性的政策和网络安全合规策略，建立军队和产业的连接，同时也会更关注中小企业的发展。

在学术领域，特拉维夫大学举办了世界上第二大的全球网络安全大会，同时在网络安全领域设置了很多研究类项目。以色列的年轻人一般都是服完兵役后才考虑上大学，要想得到进一步的提升，一般年轻人都会选择去大学深造，这样能够更好的理论结合实践。这些大学同时也会跟以色列国防军有很好的衔接。

全球的很多跨国公司的研发部门会放在以色列，让以色列人深感骄傲。有一种说辞是：美国人把呼叫中心放在印度，把制造中心放在中国，而把核心的研发部门放在以色列。比如英特尔的以色列研发中心研发出的笔记本芯片迅驰系列，以及谷歌的研发中心研究出搜索建议。网络安全领域的公司，目前已有50家将研发中心放在以色列。最近5家世界级整车厂以及Tier1的厂商把研发中心放在以色列专门研究车联网安全，后面提到的公司里面有两家都是专注于车联网安全的领域。

还有很好的培训机制，以色列教育部和国家网络指挥部合作设立相关的全国培养体系，从初中开始就注重培养网络安全专家。还有一些专门针对于女性的网络完全的培训课程。

产品介绍

这次虽说只了解了7家安全公司，但是每家安全公司都是很特别，技术比较前沿，让人真正体会到网络安全“渗透”在每个技术领域，眼光非常超前。

Alcide这家公司本质来说是容器安全公司，但是主要以cloud native的安全为考虑点，包括Kubernetes和Istio的安全，围绕DevSecOps展开产品的解决方案的覆盖，主要的应用场景是Kubernetes。说到跟Aqua和Twistlock的区别，Alcide解释到这两家公司只是关注容器本身的安全，包括漏洞扫描，仓库认证等以容器的生命周期为轴来考虑安全问题，他们更多的考虑的是编排工具以及云原生的一些组件为出发点来考虑安全问题。看到产品演示其实主要在于容器隔离和Kubernetes的安全管理，包括基线和身份认证之类为主。同时这家公司也是2018年的Gartner Cool Vendor in Cloud Security，尤其在容器技术被广泛使用后，被收购的可能性极高。

Kindite这家公司主要的核心技术是SSE（Searchable Strong Encryption 可搜索的强加密），这种技术其实是很多国外CASB厂商的看家技术。工作原理如下图所示：

可以看出来本地的数据，包括浏览器和移动应用的数据。数据上云的时候通过本地私钥进行加密上传，服务保存的即是密文，然后如果需要查询上传的这些数据，也是加密的方式查询，最终返回的数据还是加密的密文，但是到终端上通过相关密钥解密成了明文 。这种做法相当于在通路和云端的数据都得到了加密，也就是在运行态的数据和静止态的数据都做了加密，同时还不影响正常使用。这种技术可以极大的推进客户数据上云的速度。但是这种技术的加密数据函数计算还只能做到查询角度，甚至不能进行简单计算，比如加减法。相当于只是一个筛选的函数计算，离全同态加密还有相当长的距离，不过已经有一定的进步在里面。这家公司主要特别的地方是密钥分发体系，这里就不展开了。

Claroty是工控安全领域的明星企业，从他的投资机构就可以看出，种子轮：Team8，A轮：柏尚投资，B轮：淡马锡、罗克韦尔、施耐德和西门子。这种投资人背景加持，很明显让他跟工业设备走的很近，至少工业协议会向他开放。从产品的典型部署模式可以看出来相关的情况：

最核心的是三个产品：CTD（Continuous Threat Detection 持续威胁检测）、EMC（Enterprise Management Console 企业管理平台）和Secure Remote Access（安全远程访问）。该公司的旗舰产品是CTD，主要提供工控网络流量的实时监测和可视化，对于带外系统被动的流量监控可能是最好的方式，对于核心的工业控制系统，不可能停下来去装agent的方式保证安全。EMC相当于是管理中心，可以跟传统的SOC进行对接。SRA的主要是提供策略控制和监控对工业系统资产的访问控制情况。安全方法论没有改变，跟IDS的思路类似，主要技术还是协议解析，深度包检测，漏洞识别等方面。SRA更多的像传统的IAM类产品的方法论。

Sam Seamless Network主要做家庭物联网安全方面，落脚点是在路由器上。从他交付的产品和服务可以看出，主要针对路由器的流量进行安全分析和控制。

基础的安全保障是设备指纹、内网隔离以及安全上网，当然可以跟运营商合作增加额外的一些功能，包括实时补丁，欺骗模块，监控路由器等，也可以增加额外的价值，包括网络安全、家长控制以及连接优化。这类需求的痛点对于个人消费者来说并不是很强烈，个人消费者可能更多的是考虑连接性和WiFi带宽优化的问题。商业模式可以有多种选择，可以向终端消费者收费，也可以跟运营商合作，还有可能跟路由器厂商合作，广告的模式需要更多的思考。目前有些高端的路由器已经有自带的一些安全组件来保护自身的安全。跟运营商合作的可能性更高一些，可以收集一些个人家庭数据进行画像，可以针对性的推荐一些商品，或者简单的进行一些带宽的调配，甚至最基础的运维的数据收集都是有意义的，可以极大的减少运营商的维护成本。

Cyberbit主要是做网络安全靶场的公司，除了这个产品，他还有工控安全、SOAR和EDR的产品。我只重点介绍网络安全靶场，这个平台国内已经有高校采购，反响不错。这种靶场的真实性很高，不只是漏洞发现平台，还有真实网络环境也有实际的安全产品结合在一起。

可以看到下方都是实际的安全产品和SOC，有虚拟的真实网络环境以及流量的产生器和攻击流量模拟器。同时有很多的场景教程在里面进行演练。最厉害的就是这套高仿真的环境，能让人体验到真实企业的网络攻防环境。

BioCatch是一家做反欺诈的公司。基于行为生物指纹的做法，让我觉得很震撼，让人看到机器学习跟安全结合的优势。这种技术就是学习正常客户的行为习惯来判断账号失窃或者是其他诈骗行为的产生，学习的维度非常多，大概有2000维度的数据，可以判断出每个人的实际使用习惯，下图就是实际使用时候的手指的习惯，有左手右右手的，有抖动有卡住的，也有垂直的和弧线比较大的。常规检测的包括地理IP，或者是请求相关字段算是比较基础的维度。这种机器最大的好处，甚至能发现你是否在被欺骗情况下进行的交易。最大的还原是否是本人进行的相关交易操作，核心是打分机制，只有吻合度高交易才能成功，如果得分较低可能导致交易失败。这个产品没有试用期，半年后不满意退款。

Karamba Securty是一家车联网安全公司，见我们是中国人，就说要挑战科恩实验室。他们的核心技术叫做CFI（Control Flow Integrity 控制流完整性），相当于是函数执行流程建模白名单，是他们的核心专利。主要是通过加固的思路保护车联网各种软件的安全，但是这种加固的粒度更细，可以发现的异常也更精准。

Argus是车联网的头部的玩家了，产品比较全，基本覆盖了车上的各个部件，车内和车外，还包括车队，比上家公司内容更多更全。

可以看出有连接ECU的保护，也有核心ECU的保护甚至还有车内网络包括CAN总线和以太网的安全保护。还做到了整个汽车制造周期的安全规划，包括概念设计、实际设计、生产以及上路阶段的安全考虑。最后一天去的Argus公司看demo，都开始研究飞机的安全的保障了，其实也算是汽车安全的一种延伸。

总结

这次去以色列7天交流活动收获满满，从文化层面的批判性文化、对“聪明的失败”的接受度以及平等文化解释了创新的根基。以色列政府设计了一套合理的融资渠道和激励方案，让国外的投资人奔走相告，这里就不对国内投资机构的操作手法进行说明。创业生态的7个不同维度有力支撑着以色列网络安全技术在世界保持领先水平。8家公司的产品也是从侧面反映了整个以色列网络安全业态的一些成果。当然，这里面少讲了一些当地甲方的一些安全建设方案，比如Discount Bank的CISO介绍他们如何做的安全建设，人员配比以及预算情况。中美贸易战的情况下，有些以色列公司对中国还是近而远之，导致有些议程略有所调整。最后感谢我们的导游让我了解了很多的以色列文化，以及我们后面几天的会议组织者冰卉姐，也感谢我的团友们在特拉维夫海滩上每天一起“复习功课”，请我喝酒。

声明：本文来自安全喷子，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。