安全要像Apptable一样，回归根本，从内核做起!

《》栏目文章

曾经走过的路，就是未来避免踩的坑

本文2048字，阅读时长约8分钟

导读

安全世界需要梦想，所以当看到还有一批技术极客们在黑夜里默默前行、追求极致时，我愿意为他们点上一盏灯，哪怕没什么用。不过我相信，在数字世界里，安全永生。

在经济下行、安全行业跌到谷底的时候，大模型却横空出世，开启了最强的时代叙事。

在这冰火交织的当下，我本来想不清楚安全的未来该如何发展，直到原来瑞星的老同事给我看了他打磨多年的产品Apptable。

这下我豁然开朗了：未来，安全需要回归根本、从内核做起。

因为未来能赚到的钱，就是我们的来时路！

安全已经很复杂了

图:锐安全安全全景图

如今，安全已经变成一个拥有16个一级分类，111个二级分类，350家原创安全厂商、2200多款安全产品、160多个安全框架、600多个标准的复杂系统。

面对这么多产品，不光客户会挑花眼，连同行自己都搞不清楚：自己的竞争对手到底有多少？

然而，接下来，客户安全预算吃紧，大家都需要新质生产力。

如果咱们拨开安全产品的迷雾，回归根本，其实安全就是解决三类问题：

1.由病毒引起的操作系统本身的安全，或者叫终端安全。

2.由黑客攻击引起的网络传输的安全，或者叫网关安全。

3.由内部威胁引起的身份安全。

我的老同事给我的这款产品Apptable，就是解决由病毒引起的Linux操作系统终端安全问题。

只不过，它用了一个非常优雅但同时又非常需要功力的实现方式：进内核。

Apptable是啥，能解决啥问题?

Apptable是面向企业的Linux系统上的轻量级主机入侵防御系统(HIPS)。它可以根据威胁情报或者用户自定义配置，实现以下五大功能：

1.阻止恶意程序（病毒、木马等）和危险程序在系统上执行。

2.阻止恶意程序（病毒、木马等）和危险程序解析“恶意域名”。

3.阻止恶意程序（病毒、木马等）和危险程序发起网络连接、收发数据。

4.阻止对特定的“恶意域名”解析。

5.阻止向特定的“恶意地址”（ipv4 和 ipv6)发起网络连接、收发数据。

它的原理是在Linux内核中拦截相关函数，提取相关信息，查询是否在从应用层配置到内核中的阻止库中。

如果在阻止库中，根据配置决定是阻止或者允许，从而阻止破坏系统和阻止数据泄露，实现主动防御。

图：Apptable内核架构

因为是在Linux操作系统的内核中直接操作，因此可以做到恶意行为的事前阻止。与传统的杀毒软件和HIDS（主机入侵检测）软件比有两个明显的优点：

一是Apptable是事前预防。杀毒软件和HIDS（主机入侵检测）软件是事后、事中，此时已经破坏了系统或者正在破坏系统。

二是Apptable是轻量级软件，不像杀毒软件运行时会有大量的IO和CPU使用量，而HIDS运行时会使用大量的CPU、带宽等。

如果想更详细地了解，可访问《》文章。

那么，在网络时代，为什么还要执意开发一款这样的终端类安全产品呢？

为什么要做Apptable这样的产品?

我们知道，过去的终端世界是基于Windows操作系统的办公终端与基于Linux操作系统的服务器终端两分天下。

而在信创大背景下，企事业单位的办公终端操作系统终将会逐步替换为Linux系的操作系统，如Ubuntu、CentOS、麒麟和统信等。

而Linux终端安全，就出现了五大挑战：

1.国外安全软件因政策要求，进入国企、事业单位比较困难。

2.国内的Linux终端安全厂商，有HIDS(主机入侵检测)、杀毒软件、上网行为管理。HIDS主要用在服务器场景，偏向检测，没有针对办公场景优化。杀毒软件是windows时代的产物，针对Linux场景不合适，安全思路老旧，不适应现在面临的安全威胁需求和技术发展。

3.Linux下有很多开源安全软件，但多数普通用户不具备必要的安全知识，使用比较困难，且出事后无人兜底。

4.很多安全设备、软件，自采购部署后规则就没有变动过,没有发挥软件、设备应有的安全功能。

5.普通人员安全知识匮乏，其主要知识还是“病毒、攻击、IP地址”，稍微高级一点的“域名服务器、vpn”就弄不明白了。

为了解决以上挑战，Apptable应运而生，能够极大地减轻用户心智负担，有效解决Linux终端安全问题，且使用门槛极低，用户仅具备“程序、IP、域名”的知识就可使用。

要想深入了解Linux操作系统的安全，可以参见他最近写的一篇文章《》。

该文章从硬件层、内核层、软件层、应用层进行了详细的阐述，技术深度令人叹为观止。

看完这款产品，我仿佛又回到了那个以技术为荣的瑞星年代,如果不是他，瑞星早已经在我的记忆里淡忘了。

瑞星，曾经技术极客们的天堂

如果把安全比喻为江湖，那么江湖里有三类侠客：AVer（病毒分析专家）、Cracker(内核专家)和Hacker(攻防专家)。

在那个病毒泛滥的年代，段钢的“看雪学苑”论坛是AVer和Cracker们心中的圣殿，而瑞星，则是他们心中的天堂。

算起来，我是瑞星第二代程序员，曾经有位瑞星的第四代程序员去了百度安全之后跟我说：“兵哥，我本来以为瑞星是技术的垃圾场，特别不正规，没想到百度就是技术的荒漠。”

当然，这只是他的一家之言，咱们见仁见智，但是你可能听出来了，在那个没有资本的时代，有的是一群把技术当成尊严和荣耀的年轻人。

只要有好的技术，你就可以仗剑天下、傲视群雄。虽然野蛮，但我喜欢，因为你能看到他们眼里的技术之光。

而现在，大部分安全大厂已经沦为了一流营销、二流产品、三流交付、四流技术的样子。

所以，当看到还有一批技术极客们在黑夜里默默前行时，我愿意为他们点上一盏灯，哪怕没什么用。

安全本该是一个技术密集型的高科技行业，但是现在，却变成了功能密集型和运营密集型的服务业。

功能密集，就意味着研发人员多；运营密集，就意味服务人员多；卷应用层到最后就是产品同质化，然后导致营销人员多。这种状况最终使安全行业陷入了“高科技型公司的高投入与劳动力密集型企业的低利润”的不可持续发展困境。

所以，回归根本、从内核出发，才能真正重塑安全行业的未来！

这位同事跟我说：“兵哥，这个产品我付出了很多，我希望它能成”。我想说：好产品应该得到市场的奖励，否则，这就不是一个好产业。

Tips：如果对本文提到的产品感兴趣，可以访问:
下载地址:
1.https://github.com/z789/HIPS 主要从该处下载（谢谢点个星）
2.https://39.107.153.135:9999 供不能使用github的下载。如果
下载时弹出证书警告，请点击信任。
注：该地址下的产品是一个完全免费的单机版，如果你需要有管理端、有威胁情报更新，还有更多的内核版本定制和其它Linux系操作系统的兼容等服务，可以采购企业版本。