专访360高瀚昭，“核心安全大脑”能否掀起用户侧的安全革命？丨360核心安全大脑

高瀚昭：360“安全大脑”总体的概念是一个体系，从安全规划的角度来说就是思考用户从零开始建设一套完整的安全体系需要做什么？真正到执行层面主要是落在两个东西上，一个是360“云端安全大脑”，在云端上为客户提供各种SaaS服务；一个就是 “核心安全大脑”，在本地链接云端，为用户本地的产品提供安全赋能。

于江：360“核心安全大脑”是什么？是态势感知的升级吗？

高瀚昭：完全不是一件事，“核心安全大脑”是一个分析平台，不是一个运营平台。“核心安全大脑”只负责分析，跟用户的业务或安全运营有关的都不在这个里面。“核心安全大脑”不是去管控别的产品，而是帮助用户本地的其他产品去集中化的进行标准化的分析，无论是样本鉴定还是情报查询等工作，都可以由核心安全大脑来完成。可以说，“核心安全大脑”是用户本地各个产品的分析能力的最大公约数，它是一个分析平台。

分析的工作都可以让核心安全大脑来做，当然SOC或者XDR也都是有分析能力的，但这些单个产品的分析能力都是各自为战的。我们从市场上调研了很久，不管是国内还是国外，用户迫切需要一个集中的统一分析平台。用户特别怕什么？他买了一套流量设备给了他一套分析平台，存了一堆数据；买了一套终端又搞了一个分析平台；用户再建个态势感知，又搞一套分析平台……用户本地大量的数据平台，每个数据平台还不是一个标准，不同平台的分析结果还是不一样的，客户也不知道看哪个。

我们希望把“核心安全大脑”做成一个小而精的东西，就像CPU一样，第一把数据集中，第二把分析集中，因为没有数据集中就没法标准化，更无法做到统一分析。通过“核心安全大脑”把客户本地的所有安全产品的分析功能集中起来，无论是跨产品的，还是跨品牌的，都聚焦到一起，解决客户的难题。

于江：那对市场上产品和设备的兼容性是“核心安全大脑”很重要的一个能力，这方面目前做的如何？

高瀚昭：目前国内外主流的二三百家安全厂商的上千种设备都可以支持，这些网络安全设备的流量、日志、告警、样本文件等都可以收集到360核心安全大脑中进行分析。

于江：我们知道很多终端管理平台卖给客户的过程中各个端点上会装agent，它其实也是有一个统管的平台的，并且具备分析能力，“核心安全大脑”和这种agent之间的对接是怎么样的？

高瀚昭：这方面的对接要看用户实际情况，是由用户来做驱动的。如果终端产品的agent可以满足用户的需求，那ok是没问题的，但还存在很多情况是用户认为agent对告警的判断是不准确的，或者用户需要上下文，那终端管理平台就可以将他们的告警样本，或者是hash文件丢到“核心安全大脑”上来，我们可以给出我们的鉴定结果，如果之前存在误报的现象，核心安全大脑可以帮助用户更好的研判。

因为核心安全大脑是用户本地通向360云端安全大脑的一个桥梁，我们通过核心安全大脑将360云端多年以来积累的所有云端数据（2EB 的安全大数据）向用户进行开放，所以核心安全大脑的分析能力非常强大。

360云端安全大脑相当于一个云端的维基百科，我们所有的知识图谱都能向用户开放。在360云端安全大脑上，每天光是样本的收集量就是1000万以上，好的时候可以到达1500万以上。当我搜索一个IP，通过这个IP我们可以知道它的标识是什么，有哪些标签，多年以来，我们给几十亿的IP，几百亿的样本以及几千亿的URL，全部打了非常丰富的标签，针对这些标签用户就可以判断，以前点击过什么，跟哪些样本通信过，在什么时间通信过，这些样本是不是危险的。

于江：那我们这个核心安全大脑的销售模式是怎么样的呢？用户怎么去采购？它是一个软件还是一个盒子？

高瀚昭：“核心安全大脑”本质上是一个模块，就像我刚刚说的CPU。用户单买一个CPU是没什么用的，CPU会最终以PC或者手机等形式到用户手里。360“核心安全大脑”基本上是作为产品或者解决方案其中的一部分到达用户手里的：无论是XDR方案、态势感知方案或者说流量的综合检测方案，再或者是APT解决方案，只要是需要综合研判功能的，里面就会用到“核心安全大脑”模块。

于江：客户可以单买吗？

高瀚昭：目前来说是比较少的，甚至说没有过先例。如果这种需求存在，那一定是用户本身自己的开发能力特别强，分析能力特别强，买来进行二次开发，就像你又不是造主板的厂商，买个CPU回来，你说你怎么来用。

所以对于用户来说，他往往不需要直接采购“核心安全大脑”，其购买使用的360产品或者解决方案中已经内置了这一模块，如果他买的安全产品的供应商和360核心安全大脑对接过，也不需要重复购买。

于江：那整个过程中商业模式是否有改变？最终付费的是哪一方？

高瀚昭：实际上，最终使用的是客户方，无论是内部还是外部的安全产品带有并使用了”核心安全大脑“，那么最终为此付费并且获得核心安全大脑能力的还是用户本身。

于江：那咱们是如何来做报价的？

高瀚昭：目前是按数据量，“核心安全大脑” 是由一个安全大数据平台和多个安全分析引擎构成，要根据分析引擎的量级，也就是看本地要分析多少数据，数据量决定集群有多大。目前实际在操作中按照服务器的台数来进行报价，当然这个价格也是非常实惠的，无论是对我们360内部生态系统的产品线来说，还是外部整个产业里的其他产品线来说。

现阶段“核心安全大脑”主要并不是追求更大的经济利益，也并不是说我们有360的云端分析能力，所以就要让其他的产品都遵从我们的指挥，我们不是一个“指挥者”，而是一个能力的“提供者”。用通俗的话说就是，你把文件丢给我，我把我所有的信息给你，你要不要呢？虽然不是完全免费，我相信一定比它自己做成本要低得多。

因为我们想做的是为客户去解决“统一分析平台”这件事，不是靠一两个产品线或者一两家厂商就能把这件事做好，我们是希望用的人越多越好，所以对我们来讲，短期赚钱肯定不是首要目的，我们希望通过让更多的人去用，让客户真正能感受到安全效率和能力的提升。

于江：“核心安全大脑”在客户层面的应用案例有吗？

高瀚昭：比如凡是用了我们APT解决方案的客户，在终端的统一分析上其实用的就是核心安全大脑的能力；凡是买了我们10台以上流量产品的客户，做长周期的流量综合分析研判，包括用户行为的研判，也是用的核心安全大脑的能力。像用态势感知、XDR的解决方案的用户基本上也都会用到。

我们这个“核心安全大脑”没有直接的竞品，对用户来讲它有几个好处：

第一，用户买多个产品不用再搭多套分析平台了，减少了重复投资。

第二，没有“核心安全大脑”之前，可能用户每买一个产品，都要买一套云端订阅、情报服务等，终端有情报，流量也要有情报，态势还要有情报……有的用户买不同厂商的安全产品买不同的情报库也就算了，有时候买同一家厂商的产品居然还要买不同的情报，那么通过“核心安全大脑”，用户只拥有这一套就可以了。

总的来说，我们想成为客户的安全分析中心里面的一个核心工具，作为用户安全分析能力的核心支撑，提供给客户跨产品、跨厂商协同的分析能力、和我们360“云端安全大脑“的核心安全能力。

于江：恕我直言，这个事儿谁都想干。

高瀚昭：是谁都想干，就看谁的分析能力更强。对于360来说，最核心的能力其实就是安全分析能力的积累。如何把360云端的安全分析能力转化为用户本地的安全能力，这件事我认为360至少目前看起来还是竞争力很强的。360政企安全在短时间内客户增长的很快，也离不开公司在分析能力这部分实力的加持。

于江：那对于一个营收规模大概5000万的一个小安全企业来说，如果他想在设备和产品里面集成咱们的“核心安全大脑”，使用咱们的情报、分析等能力，可以怎么进行合作？

高瀚昭：咱们可以谈一年的费用，这个费用不会很高，只要你支付给我们了，我们就可以把我们的能力完全开放给你。

当然，在合作过程中，“核心安全大脑”的能力来源是靠云端不断更新和给予的，所以云端不断地更新，云端能力不断的提升才是我们最终长期的商业模式。

于江：您提到云端的话题，在国内的市场环境中，您感受到客户对这种订阅安全服务的接受程度目前是如何的。

高瀚昭：坦率的说，我觉得短期市场还是比较小，但是用户在采购服务这部分是越来越舍得花钱了。那对于服务来说，除了陪伴式之外，专业的服务在长期看来一定是云端的效率更高效果也更好。

客户的订阅并不仅是所谓数据的订阅，数据会结合情报和核心大脑上的信息综合给用户出的一个完整的分析呈现。对于用户来说，他订阅了什么并不是最重要的，重要的是我们只要能够提供给用户更好的服务，随着“核心安全大脑”的用户越来越多，我们云端跟用户本地的连接越来越紧密，我们对用户的服务质量和服务效率就会越来越高。

于江：还有一个问题，我们说这次对外发布的是“核心安全大脑3.0”，那么从1.0-3.0 “核心安全大脑”是如何进化的？

高瀚昭：在核心安全大脑1.0时代，360希望能够把十多年进行网络攻防博弈沉淀下的实战经验和情报转化成安全能力落地，这时候我们给安全产品提供了一个无缝对接360安全情报及企业本地情报的平台，实现了云端能力的下沉。

后来我们发现各种安全产品彼此割裂的情况明显，我们开始思考怎么定义安全标准，把各个产线的数据标准化，并且把分散的分析工作集中统一到一套大数据平台来做，对数据进行聚合分析？这就是核心安全大脑2.0时代。

再往后，整个大的安全环境变了，用户的安全需求提升了，不仅希望能把云端能力本地化，提高数据分析处理的效率，还能让安全设备实现联防联控，进一步加强威胁对抗能力。这就是核心安全大脑3.0时代。

就像我们反复强调的，安全用户需要的是一套能够联动多个产品的分析平台，360‘核心安全大脑’就是为所有网络安全用户解决这个问题的。它不是一个指挥者，而是分析能力的输出者，我们将用户本地各种产品各种品牌的设备协同起来，帮用户做统一分析，并且把360多年积累的大数据、分析研判、高级威胁情报等能力通过‘核心安全大脑’与‘云端安全大脑’的链接，赋能给用户，解决用户本地安全产品各自为战，重复造轮子的痛点。