发布于 2024-01-29 03:26 IP属地浙江省

数据安全：与客户成功经理聊聊青骓 DDR 产品

青骓数据风险检测与响应产品 (Data Detection and Response，以下简称：青骓 DDR）是基于智能内容识别引擎、驱动级的终端应用事件监控、泄密风险检测等核心技术而打造的终端数据检测与响应产品。

什么是传统的数据防泄漏 DLP

DLP 起步较早，最早在 2,000 年初 2003 年左右，是从美国流传来的一个概念，当时起步于塞班斯法案，逐渐流入到国内，最开始进入国内时大家对 DLP 的理解就是数据泄露防护——DLP ，其实和欧美的 DLP 概念还不是太一样，我们国内来讲更多的是防护一些主动式的泄露，就是我们内部的这种数据被有意或者无意的主动的流到外边，然后国外的更多的是防止数据被别人拿走拿出去，所以概念上会有一丢丢不一样。

所以当时我们国内的 DLP 发展起来其实有两个分支：一个分支是用比如数据加密啊等等一些很强制的手段保证我们的数据不流出去，还有一种是我们传统的 DLP 。就是不改变数据本身，但是在数据出去的时候我们要及时的捕获到知道，并且有一些处置的动作阻断掉或者是告诉领导他乱发东西了，所以这个是传统的 DLP 的一个发展路线。

其实整个我们讲数据安全最早大家都不是很关注数据安全的理念，会忽视，比如说我最早的时候做数据安全其实还是有很远大的理想，当时遇见一个事情就是在银行，柜台下边不是有窗口吗，之前的银行办完业务之后，他都会给你打出来一个回单，你存了多少钱，取了多少钱。然后我发现过一次，就是在门口的垃圾桶，里面就是有一叠厚厚的被丢掉了的回单，就会被泄露出去。

我去问了一下，有人去收其他垃圾就收走了，但是他会把这些单子单独放。我说为什么单独放，人家说这个卖的贵。

所以之前会有许许多多这样的事情，然后慢慢的大家就关注数据安全领域了，然后随着立法，随着各种新闻上面的事件，数据安全的这个行业就活起来了。

介绍一下创始人

CEO 由顶级安全专家、全球知名白帽子王宇担任。 AssureSec 创始成员、FireEye 资深专家、奇虎 360 高级安全研究员，他拥有 70+ 中国及美国信息安全发明专利，曾以唯一作者身份九次登台 Black Hata 会议，数十次在安全社区分享研究成果并长期担任 GeekPwn( 极棒 ) 国际安全极客大赛评委

COO 段定龙，原 Dive+创始人， Dive+在全球拥有数百万用户，垂直 toC 领域全球第一，腾讯会议核心团队成员， CEIBS MBA ， NUS 访问学者，保送浙江大学竺可桢学院求是科学班，综合的创业、管理、技术和科研经验

CSO 李福 Darker ，原矩安科技创始人，历任 COBO、CISO ，奇虎 360 内部安全负责人，带队参加国家级、省级护网攻防第一名，丰富的甲方安全建设、乙方安全服务经验

DDR 和 DLP 有什么区别

刚才讲到了 DLP 从 2000 年的时候到现在的发展，其实用我们自己的话来说，安全产品主要是服务于我们的业务。由于我们整体不管是现在国内还是国外，大家都爱走这种数字的信息化的一个征集。我们平常的日常办公和日常的电子化设备的使用其实变化方式也非常大。比如说在十年前，可能大家还是在以客户端应用为主，那在今天我们这种企业化的 IO 办公已经普及了，很多人已经把浏览器作为这个办公入口了，以前我们可能会用各种不同的 csm 架构的一些软件。那现阶段我们可能要用云的邮件，云的笔记，还有其他各种各样 saas 化的产品。所以我们的产品要去符合当前的整个发展中大家的办公模式和整个当前时代的实际的办公体验。

那为什么叫 DDR 呢？其实也是区别于其他已有的产品。可以理解为 DLP 只是 DDR 的一个部分的功能，我们 DDR 的全拼是 Data Detection and Response，有一点像 EDR 的改版。其实数据防泄漏也只是我们最重点的一项功能，其实我们也要打造对于实际产生数据或者说实际使用数据这些环境也好啊，实际数据的流动也好啊等等，这些东西都是在我们整个产品的一个管理以及我们的监控范围之内。

那最终我们回答 DDR 和 DLP 有什么区别其实看的是我们对数据资产的管理方式。所以其实在我们的 DDR 产品中 DLP 其实只是其中的一部分，其他整个的数据资产管理以及数据全生命周期管理是我们的产品的综合能力。

介绍一下我们目前国内法规对数据安全这一块的细节

国内的法规最早在网络安全法里会提到一些，然后后边到数据安全法，最开始网络安全法是2017年，也就是我们说网络安全的元年，然后2017年网络安全法一出的时候很多网络安全厂商的股票蹭蹭蹭就涨起来了。然后现在数据安全法律出来之后，其实很多用户就在关注数据安全，数据安全法是非常重要的一个法律，涉及到我们每个人公民的信息，涉及到个保法个人信息保护法。所以这也是我们非常关注的一个偏数据安全方向的。

还有其实我们每一个人的关注的民法典里面也有关于数据安全的一些具体的要求，关于数据安全法落地的情况，数据安全法它属于整个合规要求里边在法律层面比较高层的。落地的话一般会细分到各个行业，比如说金融行业、运营商行业等等，都会有自己行业内关于数据安全相应的政策。单纯的讲数据安全法在法律层面落地其实很难，更多都是靠下边的一些很具体的指引或者规章向下去落实。

就有点像我们网络安全的等保，像网络安全法其实落地很难，但等保它就会有很清晰的指南去落地，所以对于数据安全这边基本上都是在各个行业当中逐渐开始有数据安全相应的要求，还有一些比如说大的集团、各大运营商的集团、然后银行、证券这种行业内都会有相应的很具体的数据安全的要求。所以这个是目前落地的过程。

DDR 主打的核心亮点是什么

现在产品主打核心亮点分三部分。

第一是简单。

这个简单其实包含我们产品部署简单：比如说我们的安装，安装完不需要重启，像我们 mac 上安装不需要关闭 sip ，不需要系统升级，也不需要重新授权。我们也支持 Windows 和 mac ，或者新版本的静默的推送，这些都是支持的，那像我们服务端也支持 bin 包的一键部署。同时我们在终端包括服务器端都适配了国产的银河麒麟、统信这些。

然后另外一个我们的产品使用其实从设计上非常简单。我们觉得复杂不等于专业，整体上我们是希望把产品使用往 toc 的产品去做，尽可能让大家打开以后很快能上手，去操作去配置达到自己的目的，所以我们不光在整个的产品交互以及我们的内置数据体量上都是非常丰富的。特别是一些类似银行等绝大多的重要公司是没有这样专业从业人员的，所以我们可以给这样的客户来提供类似基线的一个补充。

那另外一个是创新。

不管是从我们敏感的内部系统内部的 oa、crm ，或者是我们内部网盘下载的文件，从它下载那一刻我们就已经开始追踪。到现在比如刚才说的 saas 化应用，像浏览器的管控我们是不需要装浏览器插件的，完全是终端。又包括我们对实际这些非常高级的威胁的检测，其实核心的一点是那些把资料泄漏出去的人或者说做一些坏事的人，他可能会把各种操作搞非常复杂，那我们也要从这种复杂行为中去找到一些真正有价值的有风险的日志来推给我们的管理员用户。

最后一点是稳定。

可能很少会把稳定当作亮点去说，但我们觉得毕竟我们是一款需要指定部署到终端上的一款产品，本身也会和我们员工的日常办公息息相关。不能说部署了产品，杀毒一开在那就卡了对吧，或者说这个软件使用过程中也影响自己的办公了。

所以从我们的开发周期到测试周期到我们发布周期，每个东西都有完整可追溯的质量监控，同时我们也是用了新的软件设计思维，你整个系统架构的设计思维来保证我们产品整体的一个可扩展性和一个本身的安全稳定性。我们所有厂商开发者都没有办法保证自己的产品不出 bug，所以如果真的出现了问题那我们支持对一些实际产生问题的模块进行一键关停，能用最快的速度去恢复我们业务不受影响。

有哪些行业的客户

我们现在各个行业客户都有一些，比如说我们金融类的有银行的，证券的，消费金融的。然后商业层客户的话包括高新制造，比如说制造业、半导体。然后还有一些可能是偏传统的，但是他们在向现代化进行改进，比如光伏材料等客户都会有。

那另外一些比如说像偏政策性的结构，比如说一些地方政府啊。其实这个问题是可以结合前面那个问题就是数据安全法到底在哪里落地的，我们像这种受监管的客户目前看来是非常多的。

像合规类的客户是有比较强烈的这种需求，比如说金融，我们能看到很多的罚单，罚单都是数据安全的，比如说管理不善然后被罚，所以这一些用户有非常紧迫的需求，尤其是我们讲这个叫政策型的用户，我们一定要看，说，监管对他有要求，然后有政策法规还不够一定要有罚单，有罚单就是罚钱了，然后还有比较关键的岗位，可能还要被降职之类的，大家都很关心自己的饭碗，这些都是我们很主要的这种目标的用户，因为它有合规要求并且有相应的预算。

对比友商的优势

和同类型的产品对比来说，第一个优势是终端的轻量化，我们安装包的大小可以说是业内最小的，然后我们最怕的就是装终端之后给我们的用户增添很多的麻烦，比如装上之后卡了投诉你，我们最担心的就是这个，所以我们在部署包的优化上面是非常 ok 的。而且我们和友商做过一些对比，比如同样大小的文件，通过电脑上的微信、qq 发出去。我们是完全没有卡住黑屏转圈圈这种，使用非常的流畅，并且检测的速度也是最快的，在性能上是我们非常大的一个优势。

然后就是我们的应用性，比如说装终端我们怕的就是安装升级都要重启，有些业务他其实不能够中断或者说他有一些场景下他其实不希望你去给他做这种重启的操作，像之前 windows 更新的时候强制重启是吧？所以我们在这方面做了很多努力，现在安装卸载升级都不需要重启，这个是和业内友商的产品完全不一样的地方，用户体验感非常好，比如我们的用户说我那台电脑你可不能帮我重启啊，你一装完了之后我重启我可能很多软件都打不开了，很老的那些电脑确实有这个情况，所以我们做了这样的应用性的努力。

而且管理员最痛苦的是安装过程中，比如说我要关防火墙，然后被杀毒软件杀了对吧，尤其是像我们这个苹果的 mac 电脑，装的时候有很多的工具是需要关 sip 的。然后 windows 要关这个 windowsdefender 防火墙，我们完全不需要，直接装上就好了，他不会有其他任何的阻碍。

甚至说我们很多的用户说，我不想让我的员工有特别强烈的感受是我在防着他，我们也可以去隐藏掉很多这个终端上的小图标呀之类的，所以在这个场景上我们其实还支持某种意义上的自定义。

内外网通过邮件的草稿箱同步可以防护吗

可以的。

这种就是我内网把一个比较机密的文件传到草稿箱上，然后我在外面去搞出去。这种是比较常见的一个防护手段，当你把这个文件放到草稿箱里的时候其实我们就知道了，这个就抓到了。

还可以讲几个更隐蔽的，我们见过有在内网开了 wps 的云文档同步，然后在这个公司内的电脑里的文档通过 wps 同步到他的云盘上，然后在外边把这个文件搞出去，用 wps 的当然有的人是无意的。还有用那个 onedriver 这一类就同步出去了，这些都是能发现的。

是否支持对剪贴板的管控？

可以的哦，如果说他复制到剪贴板或者说一些本地工具之类的，咱们也能够监测到并推送告警。

是否支持手机端

手机端是不支持的。

我们考虑过这个事情，因为现在的手机很多都是自己的手机，一般个人信息比较敏感。万一一些私人信息泄漏出去说不清，所以一般来讲手机上的防泄漏个人一般就很少去做监控，除非是一些特定的行业会给你装，比如像企业微信这种企业版的软件，直接在软件上就去做管控了。还有一种是特殊的一些行业，比如警察什么的，他会带一个他自己的设备这种更安全。