每年的11月1日，是西方传统节日万圣节，相传，故人的亡魂会在这一天回到故居地，并在活人身上找寻生灵，借此再生。

而活着的人则惧怕死魂来夺生，于是把自己打扮成妖魔鬼怪，以此把死人之魂吓走。

这是现实世界中很特殊的一天，但在网络世界，这种情形却时时刻刻都存在。

为了抵御形形色色的黑客攻击，网络安全人员为需要保护的人也带上了面具，用“欺骗防御”策略来迷惑攻击者。

因欺骗防御产品“幻盾”而被业内所熟知的“默安科技”，选择在万圣节这天召开新品发布会，似乎别有深意。

今年7月，宅客频道在采访其CEO 聂万泉时，他曾说“我们有很多的理念和想法，唯一不够的是时间，因为需要时间把我们的东西做出来，把解决方案落地。”（聂万泉的野心，不是营收翻倍 500%）

而今，站在新品发布会舞台上的他，与 CTO 云舒一起，向我们介绍了落地的新产品。

变脸-----给攻击者呈现瞬息万变的网络

面对神出鬼没的黑客，如何发现、阻断其攻击，进而对他们进行分析生成画像，是每个网络安全从业者都希望做到的事情。

但是，通过什么样的方式才能更快更好的达到这个目的？

也许把自己伪装起来，然后再准备一些足以乱真的“猎物”等黑客上钩，是一个好办法。

曾担负了默安营收大头的产品“幻盾”，使用的正是欺骗防御技术。安全人员在黑客的途经之处，通过布置一些作为诱饵的信息，诱使攻击方实施攻击，从而可以对攻击行为进行捕获和分析。

比如，它会制造假的漏洞、系统、分享和缓存，如果攻击者试图查看这些假的资源，那么就是一个强烈的信号说明攻击正在进行中，因为合法用户是不应该看到或者试图访问这些资源的。

通过混淆其攻击目标，发现黑客攻击的行为，并且阻断和隔离攻击，溯源黑客身份及攻击意图，最后形成黑客攻击情报。这也是原来“幻盾”的战术。

而这次，我们发现“幻盾”已改名为“幻阵”，有何变化？

CTO云舒用两个词来解释，从“静态”到“动态”。

以前，“幻盾”的欺骗防御，是静态的，我设置好黑客感兴趣的东西，把他引到我的“蜜罐”里面来，但这个是人工配置的，是静态设置好的。现在，“幻阵”可以自动化的下发这个指令，做到随时的增减变化，黑客再也无法拍摄静止的照片用来做长时间的分析，因为他每一次的扫描都会出现不同的结果。

如果说原来的“幻盾”还只是为客户带上了静态的面具，那现在的“幻阵”则拥有瞬息万变的面具。这好比是川剧中的变脸，黑客确实有可能扫描到那张真实的人脸，但这稍纵即逝。

变化的背后，其实得益于默安从去年就开始研发的云平台安全解决方案“磐石”。

在多年的从业经历中，聂万泉注意到企业安全有一个严重的问题，就是虽然企业的网络里面分布着各种各样的安全产品，但他们之间每个都是信息孤岛，是割裂的，只能防护某个特定的攻击，缺少多个维度的关联，以及最后决策的响应。

而“磐石”要做的，就是打通各个安全产品之间的藩篱，并且能调度多个安全模块协同工作，一起来对安全风险进行监测和响应。

这是我们现在的安全架构，磐石是整个云平台方案的名字，包含几个核心模块，安全大脑、数据分析系统、分布式阻断系统等，大脑通过对数据的采集、分析后作出决策，调度阻断系统对攻击进行拦截，而处于外围的幻阵、哨兵云等，则属于可插拔的系统。

云舒告诉雷锋网，从“幻盾”到“幻阵”的变化，并不是单纯一个产品升级，而是产品所处的整个平台拥有了更加智能的大脑，大脑通过对攻击的数据进行更加精准的采集和分析后，才能在“幻阵”中做出千变万化的对策，这是才是变化的根本所在。

赋能-----把安全能力赋予不懂安全的人

在安全越来越受重视的今天，“SDL”（安全开发生命周期）的理念颇受不少大公司的追捧。

简单来说，它的核心理念就是将安全嵌入到软件开发的每一个阶段，比如需求分析、设计、编码、测试和维护等环节。

这个理念之所有受追捧，是因为越多越多的安全问题，是要追溯到不安全的设计研发阶段的，问题越往后拖，解决的成本就越高。云舒在发布会上强调了不同阶段进行漏洞修复的成本↓↓↓

产品在开发阶段发现一个漏洞，找开发人员进行修复的成本是500块。

那如果在测试阶段发现一个漏洞，就得拉上运维、研发、测试、安全、产品等好几个部门来解决，可能需要1000块。

而到了发布阶段，产品在线上检测出一个漏洞，这就需要安全人员和研发人员沟通，跟测试人员验证，还需要承受线上风险，那这个时候的成本可能得5万到10万了。

等产品真正上线后出问题了，所付出的代价更是不可估量。

由于可以以最低成本减少软件中漏洞的数量，并将安全缺陷降低到最小程度，微软等大公司甚至将 SDL 作为全公司的计划和强制政策。

但是，这么做会遇到的困难显而易见。

第一，现在的安全产品操作界面很复杂，而且时常出现误报，研发和测试等人员不会辨别，所以是无法控制安全质量，因为太专业了。

第二，如果在各个环节都投入安全人员，成本太大，对于一些中小公司而言，不现实。

因此而出现的悲剧就是，大量的产品在上线后被发现安全问题，最后花费了大量的人力物力财力，来解决本应该在研发阶段就解决的问题。

那有没有办法来克服这两个困难？

针对第一个困难，云舒直言：宁肯漏报，也不误报。

我在雅虎中国做了2年，阿里集团做了8年，这期间接触过各种公司的各种安全产品，看到了许许多多的问题。

比如说扫描器，告诉我一个 oracle 数据库服务器可能存在不明细节的内存溢出漏洞；

比如说 IDS 每天给我报警1万条；

比如 WAF 每天说拦截了100万次攻击。

这些东西，有用么？我给厂商提过很多建议，但是因为各种各样的原因没有被采纳。

那如果不理会这些误报而造成漏报，岂不是能让黑客得逞？

云舒回应，安全防护应该建成立体的，分多个层次，就跟装了很多层过滤系统一样，也许漏洞在这层并没有发现，但它会在下一层得到解决。

针对第二个问题，在发布会上，云舒用两个字来解答——“赋能”。

把安全的能力赋予不懂安全的人，比如说QA（测试）和研发。

而在后续的专访环节中，聂万泉进一步解释了“赋能”的过程。

除了对于常规代码的白盒测试，我们产品的特殊之处在于黑盒和灰盒测试，在这个阶段，把我们的安全产品与客户的测试人员绑定在一起，因为测试人员一定会做大量的测试去覆盖所有的面，在测试的过程中，我们把他的所有的动作录下来，交给我们的黑盒测试，也叫 IAST模块，这种交互式的测试才是我们产品的核心所在。

这款让聂万泉提起来颇有些自豪的产品，正是在上次采访中所他提到的“雳鉴”。

结语

距离宅客频道上次对聂万泉的采访，已经过去了3个多月，上次他说，“沉溺在单一威胁检测类产品中绝不是一个安全创业公司应有的状态，走出‘舒适区’，针对未来安全趋势及早布局，跑着走才能走得更远。”

而这次，当他带着 “磐石”、“幻阵”等产品亮相发布会时，说的更多的是安全大脑、机器学习算法将带给网络安全行业的变化，并且扎扎实实做出了结合了人工智能的产品。

但与此同时，在专访环节，聂万泉对以安全大脑“Aida”为中心的云平台安全防护解决方案“磐石”，也做出了客观的评价，他承认，现在的安全大脑还有很多需要完善的地方，目前的测试表明，它只能识别和响应50%——60%的威胁，依然有很多应用层还未被覆盖到，他们还在继续完善中。

当初，头顶阿里云平台安全总监的聂万泉，与云舒、汪利辉三人从阿里离开，创办了默安科技，很多人都会问他们为何要辞掉很有前景的工作，而去尝试九死一生的创业？

云舒在知乎上曾写过一篇文章如此回应↓↓↓

为什么要创业？

如果你站在岸上，对在田里插秧的人指手画脚，说他们姿势不对，没有人会理你。但是当你亲自挽起裤腿跳下水，脚上有泥头上有汗的时候，你说的话才有说服力才有价值。

对于外界的诸多猜测，也许做出一款款能解决问题的产品，才是最好的回应。