360 周鸿祎:希望未来网络安全公司摆脱堆砌产品的做法

砍柴网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

来源:36氪

" 进入数字孪生时代,网络攻击影响力更甚核弹。" 这是 360 董事长兼 CEO 周鸿祎在第八届 互联网 安全大会上的发言。

36 氪获悉," 第八届互联网安全大会 "(简称 "ISC 2020")已于近日在云端开幕。今年是 ISC 大会举办的第八年,话题主要围绕全球网络安全治理、国际网络空间战略合作、网络安全新技术革命、数字孪生时代的安全基建、新一代安全技术架构的安全服务等展开。在今天的会议议程中,周鸿祎作为主办方代表之一进行了演讲。

在演讲中,周鸿祎认为, 随着全球将进入数字化时代,意味着整个世界的基础都架构在软件之上,但软件定义一切的架构背后也隐藏着脆弱性 ——一旦暗藏在软件中的漏洞被人攻击,将给一切以软件为底的基础设施造成巨大危害。这也意味着,网络战将从传统作战的辅助手段变成首选,成为数字时代下最可能的战争形式。

面对网络空间中存在安全隐患,周鸿祎认为过去堆叠产品的安全理念已经不是抵抗危机的最首选,更佳的方式是帮助客户建立起以安全大脑为核心的安全基础设施。让企业、城市客户有自身安全能力,并能对外输出。

基于此,周鸿祎介绍了包含 " 四大认知、八大方法 " 的安全新理念。

其中四大认知的含义是,网络安全是数字时代的基石;网络安全的本质是对抗,对抗双方是攻防双方能力的较量;漏洞是网络安全的战略资源;获得能力、积累能力、提升能力、输出能力,是安全体系建设的核心目标,也是重要的衡量标准。

八大方法分别是:大数据是看见高级威胁的基础;情报是打通安全体系的关键;基础设施是未来五到十年持续提升安全能力的载体;安全能力的提升离不开持续运营;知识从对抗中来,要到运营中去;安全专家是攻防对抗的决胜因素;实战是检验安全能力的唯一标准;标准是安全行业互联互通协同联防的保障。

在新理念基础上,360 推出新一代安全能力框架,融合 6 大板块,包括一个安全大脑,十套安全基础设施,一套运营战法,一组专家团队,一套实战演练的机制,一套安全互通的标准。并基于这套新框架,将若干城市、行业、集团安全大脑利用云和大数据技术进行组合连接、实现互联互通,构建出类似国家反导系统的分布式国家级安全大脑,实现协同联防、深度防御。

并且,周鸿祎认为未来的安全公司会演化成两类,一类是安全产品技术提供商,而 360 企业安全集团要成为新时代的网络安全运营商, 以 360 安全大脑为核心提供基础设施,为客户导入运营的战法,运营的专家团队,还有实战演练的中衡量机制和一套互通的标准,使客户的能力等于自己的能力叠加 360 的能力。

"「360 企业安全集团」(的定位)将会是新时代的网络安全运营商,我们相信未来网络安全是需要人发挥重要的作用,需要持续的运营才能够去建立一个更强的堡垒。网络安全如果没有运营,只有一堆堆砌的产品是无法应对数字化时代未来的网络攻击的。" 周鸿祎说。

以下是周鸿祎演讲全文(经 36 氪编辑):

大家好,欢迎来到第八届互联网安全大会。今天和大家分享一下最近这些年我们对网络安全的思考,我称之为 " 数字时代的安全新理念和新框架 "。

事实上,这些年在互联网的带动下我们已进入一个新时代。过去我们老讲 " 信息时代 "," 信息高速公路 ",实际上现在由于新技术的出现,我们已经进入到数字时代。而且由于这些新技术的发展,我们在未来要进入到数字孪生时代。

这些新技术已经开始给社会带来巨大的改变。但是我们做安全的人却是比较反常无规的思维,我们要考虑这些新技术都有什么样的特征,数字化孪生时代有什么样的特点,它究竟给我们安全带来什么新的挑战,也就是新技术越用越多,带来的安全冲击就越大。

对数字孪生时代,我总结几个特征,这些特征也分别对应安全保护。

第一句叫 " 一切皆可编程 ",也就是说所有看到的东西,里面都有 CPU,里边都有软件,都有程序。那这带来一个安全问题就是漏洞不可避免。一旦被别有用心的黑客或者安全人员利用,它就可以悄无声息地进入系统,劫持某个部件。

第二个特征叫 " 万物均要互联 ",过去我们保护网络的时候,就是保护单位的一个局域网或者家里一个孤零零的电脑。今天随着物联网的发展,你可以看到网络攻击的目标从 PC、 手机 已经变成各种各样的物联网设备。所以,当攻击目标指数级增长,单点防护就难以为继。过去只能在虚拟世界里发起攻击的病毒木马,今天都可以通过物联网把这个伤害变成物理世界的损害。

第三个重要的特征,就是 " 大数据驱动业务 "。数据集中共享的优点我就不讲了,但是它带来的安全风险很大。在大数据领域,今天让大家最担忧的是数据内部使用的时候,是否越权访问,是否有内贼偷窃,是否导致数据泄露。数据的安全直接影响业务。比如勒索软件是一个比较典型的场景,很多勒索软件把核心数据库、核心业务数据同等加密,无论是医院还是工厂,立马业务就转不动了。如果没有相应保护,他们不得不乖乖缴纳赎金。这就充分证明未来大数据安全在给我们带来业务推动的同时,实际上对我们安全提出了新的命题和挑战。

总结一下,我觉得未来十年,我们这个世界会变成 " 软件定义世界 "。今天,软件也同样重新定义了我们的安全,整个世界的基础会架构在软件之上,它的脆弱性前所未有——一旦软件遭受攻击,那整个世界毁灭也许比核弹的攻击还更为惨烈。所以,未来网络战是最有可能的战争形式,也是对我们这个时代和平发展最大的威胁。

那么问题来了,随着数字化时代来临,当网络战发生的时候,如何有一个更好的方案来保护我们的城市,保护我们每个人,保护我们的生活?

传统的安全行业和传统的技术产品已经有些跟不上时代的变化,新时代的安全已经被重新定义。战场变了,我们过去只是考虑 IT 设备的安全,但是今天我们要在数字时代下的大安全视角来重新构造整体的安全方案;战略变了,过去我们安全实际是传统信息化的一个附属,而现在安全可能会变成整个数字化的基座。战术也变了,过去我们解决一些小毛贼的问题,所以我们用合规,静态的(眼光)来看待这些病毒、木马,但今天面对的是动态变化的技术,面对的是高风险、高级别的对手,你在变,对手也在变。产品变了,因为过去我们安全的思路是打补丁的思路,哪个东西不安全我们就做点修改。但是今天我们的安全需要顶层设计,需要协同防御,联合作战。所以,传统安全防护体系在应对过去小安全时代小毛贼攻击的时候还是发挥了相当的作用,但面对新的时代,新的安全威胁,新的安全对手,我觉得实际上是有问题的。

所以网络安全不再是附庸、不再是辅助,而是新基建数字化的基础,没有安全的顶层设计和方法论,我们面临得将是 " 数字裸奔 ",数字化跑得越快,将来数字化带来的灾难就会越大。但是这么多年,我们在安全上其实没有这样一套能力的框架。我举一个例子,比如说一个安全系统里,你用了 A 公司的杀毒软件,你用了 B 公司的防火墙,这么多年这两个东西不会对话,不会通信,当然也谈不上联动联防,更谈不上有什么样的协调机构能够调动它俩的能力资源共同作战,这都是因为我们在安全上缺乏一整套新的框架。

所以这些年我想问行业,问我自己,问 360 团队,到底什么是不安全的源头?我的答案是,漏洞和人带来的问题是不安全的源头。第二个问题,安全的本质是什么?我们很多人老觉得安全问题就是 IT 问题,但其实 IT 问题是最容易解决的,数据库性能慢,优化一下,电脑速度慢,我们换个 CPU,或者今天网络吞吐量不足,我们就加带宽,这都是静态问题。为什么安全很困难呢?因为今天我们的安全解决的不是一个静态的写好的木马、病毒,我们今天面对的实际上是对方一个安全专家,一个国家级背景的黑客团队,这里边本质是人和人的对抗,对方会不断地改变他的战术,对方会不断地改变他的技术,对方会不断地找到新的漏洞,找到新的方法。所以,我们这里边,我觉得最本质,一定要强调人和人的对抗。一切没有经过对抗,经过检验的安全,我觉得都是假安全。

第三个问题,什么是安全的关键要素。有人说当然是好的产品,但很长时间以来我们这个行业总是迷信一个 Silver Bullet(银弹策略),老是迷信有一个最超级的武器就能横扫一切不安全的因素,但真的是这样的吗?如果世界上谁能做出这样一个安全产品,是不是就可以放之四海而皆准?

我觉得还是前面讲到的,你面对的是人,是可以不断随机应变的人,所以无论你做出来多么美好的产品,对方都可以通过很长时间的漏洞挖掘,找到漏洞,最后通过很长的攻击链的巧妙攻击,就攻入系统。所以安全的要素不在于做出什么产品,产品总是会被抛弃,产品总是需要升级更新换代的。所以,我认为最重要的是安全专家的持续运营,我们不能再去梦想装一个什么产品就可以一劳永逸地自动解决问题,再好的安全产品也需要安全专家进行长期运营,这才是安全的关键要素。

我的一个答案是,实际上我们应该帮助用户建立安全的基础设施。所以,我就在想什么是安全基础设施?比如我们给用户建立了一个实战的靶场,在一个城市有了实战的靶场之后,我们可以在十年以后,依然可以通过靶场开展这种长期的攻防演练,可以帮助我们不断发现新的产品有什么漏洞,有什么问题。这个靶场它不是一个产品,它是一个基础设施,那么用户可能未来 5-10 年都可以通过这个来增强防守能力。

我们最不难看到的是各种新产品层出不穷,但是从用户侧来讲,这些新产品不断地推出,老产品不断升级,换句话说什么能够帮助用户积累能力?我觉得对抗过程中产生的知识库实际上是最重要的。我们不能总是堆砌产品,而是应该积累知识。

我最后一个问题是,我们如何能系统性地解决问题。我们不能总是见招拆招,头疼医头,脚疼医脚。明天这个设备出了毛病就加一个盒子,明天那个系统出点毛病就加一段代码。如果按照前面描绘的场景,那我们将无法应对在物联网时代、全数字孪生时代网络拓扑结构和网络设备一百倍增长的挑战。所以,我们有一个答案,就是要构建客户安全能力的框架体系,从根本上解决安全的问题,从根本上能够提升客户的能力,从根本上帮助客户建立运营体系。

所以,基于过去 15 年的实践和这几年的思考,360 形成了一套新的安全理念,有四个大的认知和大家分享一下,首先网络安全是数字时代的基石。在产业数字化的同时请不要再把网络安全看成附属功能,网络安全将是数字时代的基座,将是底座或者基石。

第二,我觉得网络安全必须动态地来看,它的本质是人和人的对抗,在攻防两端的能力较量,你在变化,对手也在变化。所以我们不能再用静态、合规的思路来看待网络安全。

第三,漏洞是网络安全最重要的命门,也是最重要的战略资源。如果不研究漏洞,不消除漏洞,不想办法给漏洞打上补丁,我们就很难从根源上去铲除这个不安全产生的源泉。

第四,获得能力,积累能力,提升能力,进而能够输出能力是安全体系建设的核心目标,也是我们一个很重要的衡量标准。举个例子,一个人生病要去医院看病,不过这仅仅是因为医院有 B 超、医院有 CT、医院有呼吸机吗?不仅仅是这样,还是因为医院有医疗的能力。而衡量安全能力的一个很重要的标准,我觉得就是对抗,就是实战。

如果我们在认知观上有了共同的认识,我们就可以接着介绍八个方法。

第一真正要先解决看得见的问题,一定是用大数据来解决。今天只有基于全网的大数据,才能看见这种隐匿的高级威胁的前提。

第二个安全体系中,确实需要一种标准化的协议,把各个安全设备,把各个安全子系统,把各个安全模块都能够打通,这里打通的关键是威胁情报。所以我们要建设情报的体系。

第三个建设安全的基础设施,是未来五道十年帮助我们的国家、城市和企业持续提升安全能力的重要的方向和载体。

第四,安全能力的提升离不开持续的运营。国际上打击一些恐怖分子的方式是通过持续的跟踪,持续的情报分析,持续的搜集,这证明了运营的重要性。

第五,攻防、安全的知识的积累是非常重要的,这不是每一家公司都重新发明轮子,但知识从对抗中来,要到运营中去。

第六,安全专家是攻防对抗的决胜因素,不管我们吹嘘我们的 AI、大数据、云计算有多么牛,但在这个行业里对手是高水平的安全专家,人是最聪明的,能想出各种各样的方法,所以我反复强调,再好的武器要看掌握在什么人手里,所以安全专家是攻防的决胜因素。

第七,实战是检验安全能力的唯一标准。原来安全在早期发展的时候,合规其实给了我们一个安全的底线,也给安全行业带来了很好的发展,但是你会发现在新时代面对新的威胁,仅仅靠合规是不够的。也就是你买了一堆合规的设备,是不是意味着你有了安全的能力?答案是不一定。如何验证?——实战。这几年实战攻防,蓝队和红队模拟攻击的方式对安全行业带来了巨大的改变,这件事就由这个方法论来指导的。

第八,必须要制定互联互通的标准,才能实现安全行业的协同联防。

这个能力框架实际上是 360 多年实践得出的,所以我们打造的 360 云端大脑和这套安全能力框架并不仅仅是一个概念,是我们过去 15 年的实践总结出来的——在过去的十几年里,我们无意中构造了全球最大规模的网络安全大数据平台。无论是黑产的作者,还是恶意病毒和恶意木马的作者,还是有组织的犯罪勒索软件的集团,还是其他国家的网军或有组织的黑客,他们要在中国入侵任何一台电脑几乎都免不了要和 360 打交道,所以这 15 年来我们一直陷入到和这些人的长期的、非常艰苦的攻防。所以我们虽然很辛苦,但在免费的情况下,我们反而比那些卖产品的公司更专注,比他们投入了更多的安全专家的人力一直在攻防,所以 360 积累了全球最大的攻防样本、攻防知识数据库,也积累了东半球最大的安全攻防专家的团队。

所以,基于这 15 年的实践,我们打造了一个安全大脑。这个大脑现在就在云端发挥作用。这个大脑最核心的是可以根据已有的特征来进行识别,沙箱可以把每个样本在云端进行行为的检测,根据行为利用 AI 加人工来进行智能判断。分析云里面有我们大量工程是的分析工具,这里面既有人工的分析,也有这种半机器半人工的辅助工具,也有大量基于人工智能机器学习的自动分析模块。所以基于我们全球规模最大的安全大数据,使得我们能够真正在云端把一个网络安全大脑打造出来。这里面最重要的是,我们把所有攻防包括在分析、对战、攻防过程中形成的样本和知识全部沉淀在知识云里,我们即将把知识云对行业开放,推出我们中国自己的 ATTCK 的攻击知识的标准,使得我们国家在面对其他国家攻击的时候,我们的防御能力能随着我们知识的不断的积累而不断的提升。这就是 360 整个安全大脑的组成,也是我们在构造新的能力框架的核心。

360 提出这套能力框架,已经在云端为国家、为社会、为消费者建立了一套以安全大脑为核心的一套云化的基础设施。同样我们把这套云的基础设施往下做了一个城市版、行业版和企业版,我们将会为城市、为行业、为企业提供城市大脑、行业安全大脑、总部安全大脑为核心的十大安全基础设施。

我们知道很多城市、很多行业、很多企业都有自己的安全数据,这些安全数据不需要给 360,因为这些数据是你的,非常重要,360 将会赋予能力帮你建立自己的大数据平台和安全大脑,这些数据将在企业客户自己的平台上来进行计算和分析,但是客户的数据可能不完整,但是它的安全大脑可以和 360 的安全大脑进行通信,因为 360 的云端安全大脑和云端的基础设施有 12 项云端赋能的服务,可以来为客户增强能力。同时我们把我们的云端基础设施也基础设施化之后,将会为客户建设十大基础设施,举个例子,我们将会为客户建立资产检测的中心,这样它可以方便用户建立自己的资产检测的网络地图,我们要帮助用户建立他自己的漏洞分析中心,使得用户可以来挖掘、管理自己的漏洞和补丁。

我们讲未来的网络安全,所有的安全厂商要变成两类,一类是安全产品技术提供商,而 360 要把自己和客户都打造成安全运营商,所以我们必须给客户导入运营的战法,运营的专家团队,还有实战演练的中衡量机制和一套互通的标准,这套互通标准包括威胁情报能够互联互通,把客户采购的各种安全设施和安全软硬件都能连通起来。

大家设想这样一个场景,客户原来买的防火墙,IDS/IPS 设备都没有作废,但他们看见某一个 IP 被访问的时候,原来他们在企业内部他们无法判断这个 IP 是安全的还是不安全的,他们只能基于规则来进行封锁。但是现在他们通过我们的威胁情报接口可以来询问企业的安全大脑这个 IP 还有谁在访问,可能企业安全大脑会发现还有另外三个终端电脑也在访问这个 IP,这个安全大脑就觉得比较可疑。但是企业的安全大脑的数据和知识是有限的,它可以再次询问 360 云端的安全大脑,360 可能会告诉这个大脑这个 IP 是一个 " 肉机 " 的控制端的 IP,是一个黑色的 IP,过去三年我们已经发现了,已经把它定位在我们数据库里了。这样企业安全大脑就可以反过来告诉这三台客户端和防火墙,迅速对这个 IP 进行封禁,这样真正完美的实现我们说的协同联防和深度防御。

360 未来和同行不太一样,我们并不会给我们的客户销售产品,恰恰相反,我们通过云端的能力赋予他们初始的能力,通过基础设施的打造,让客户的 投资 在未来五到十年里都有一个运营的基础,通过运营使得我们赋予客户的基础安全能力不断的积累和提升,进而能够对外提供输出。在这个过程中,无论是我们帮助用户来做安全的托管,还是帮助用户自己的安全运营团队成长,我们都要在每个客户这里建立一支安全运营的专家队伍,每个专家队伍在每个基础设施上都要掌握一套相应的运营的战法,这就是我们这次推出的能力框架。

我们希望未来网络安全公司能够摆脱,把不断更新换代的产品不断兜售给用户的做法。因为卖产品当然需要,但最重要的是如何给客户打造能力基础,而这个能力的基础是以安全大脑为核心的安全基础设施,在安全基础设施上建立客户的安全能力,同时把 360 的安全能力赋能映射给客户,使客户的能力等于自己的能力叠加 360 的能力。

当然,最后 360 安全大脑不仅是愿意把 360 安全大脑的技术、核心理念,包括核心的能力赋能给行业,我们也希望行业能够有一个好的生态发展,但 360 最大的梦想是将来,若干各城市都建了自己城市的安全大脑,来保护城市的安全,不同的行业,像许多基础设施行业已经都建立了自己的安全大脑,我们的安全大脑希望通过互通的协议标准,实现互联互通——有威胁情报共同的标准,有漏洞分享的共同的标准,也有分析检测知识库的这种相连,最终我们的梦想希望构造出一个分布式的、覆盖全国的国家级别的网络安全大脑。再加上 360 安全大脑提供全网的数据,有的公司提供流量侧的数据,有的公司提供工业侧的数据,我们不需要把数据进行交换,我们都会保证各自大数据的安全,但是这些数据分析产生的威胁情报可以相互联通,相互通信,相互支持,相互帮助。

我正式宣布一下,360 在去年的 ISC 大会上已经宣布把我们的政企安全业务,包括安全大脑、网络安全的大数据,核心安全运营核心团队,所有有关核心安全的资产成立了由 360 集团控股的一家新的网络安全公司。但这家公司别人就问,和其他安全公司有什么不一样,我今天宣布一个定位,这家 360 企业安全集团将会是新时代的网络安全运营商,我们相信未来网络安全是需要人发挥重要的作用,需要持续的运营才能够去建立一个更强的堡垒。网络安全如果没有运营,只有一堆堆砌的产品是无法应对数字化时代未来的网络攻击的,我们希望这个理念能够被大家接受。谢谢大家。

随意打赏

提交建议
微信扫一扫,分享给好友吧。