周鸿祎 : 未来网络战将成战争首选 必须用作战角度看待
来源:新浪 科技
2019 ISC 互联网 安全大会今日开幕。360 董事长兼 CEO 周鸿祎在演讲中指出,未来网络战将成为战争首选,因为这场战役 " 成本低、效果好、烈度可控。把你打伤,你都不知道是谁打的 "。
关键技术设施将成为战场
" 我们应该正视网络战的现实 ",周鸿祎说,网络战存在几大特点:
第一,网络战不是科幻小说,正发生在当下。" 貌似和平,但战争从未远离,只是形式不同,必须用作战的角度看待网络安全 ";
第二,不宣而战。" 网络战不分战时平时,渗透潜伏也是网络战的一部分。没有任何一个国家向我们宣战,但其实有很多国家正在不断发起攻击 ";
第三,国家级力量入场。" 目前已经有 100+ 国家成立网军,应用到军事级技术,这是国与国的对抗 ";
第四,关键技术设施成为战场;第五,没有攻不破的网络。" 漏洞不可避免,漏洞无处不在 "。
未来网络战将成为战争首选
" 有些人总说,买了什么技术什么系统,就可以让网络上高枕无忧,其实这是一个谎言。漏洞包括技术漏洞和人的漏洞。因为有了漏洞,系统就一定会攻进来 ",周鸿祎认为,应对网络战已经迫在眉睫。
首先,谁是间谍:答案是 " 敌己在我 "。" 也就是说,敌人已经进来了,已经潜伏在基础设施的网络里,只是你还不知道 "。
其次,易攻难防。" 网络战攻防不平衡,资源向攻击方倾斜。防住一百次攻击,只要有一个缺漏,就证明失败了 "。
再次,网络战还是一个整体战。" 不分军用民用,不分国家、企业和个人。安全是一个整体,越来越难以隔离 "。
同时,网络战又是超限战和秘密战。
周鸿祎说,网络战手段之多,无所不用其极,并有 " 长期谋划,瞬间致瘫,来无影、去无踪、难以溯源取证等特点 "。
他认为,在未来,网络战将成为战争首选。因为这场战役成本低、效果好、烈度可控。" 把你打伤,你都不知道是谁打的。我预计下一个五年,将看到更多的网络安全威胁 "。(韩大鹏)
以下为周鸿祎演讲全文:
周鸿祎:他们又把我放在很窘迫的境界,大家饿了,能不能坚持二十分钟听我讲完?表达三个感谢,这次突发奇想把 ISC 搬在雁栖湖畔,感谢支持。路程遥远,感谢观众(嘉宾)开车过来,克服交通不便。感谢员工,我们本着花小钱办大事,不花钱也办事的原则,我们还是花了不少钱,谢谢员工。感谢前面各位领导和嘉宾的观点。
网络战是一个敏感词,过去不让提。我说网络战,他们说我是好战分子。我觉得要正视网络战的现实。最近网络战的话题开始变的不那么敏感,人民日报、新华社、光明日报都发多篇文章谈某些国家对我们使用网络战。
APT24 组织网络武器里瞄准中国 12 个机构,2019 年之前乌克兰电网攻击,伊朗震网病毒。2019 年,停电发生多次,南美洲,俄罗斯电网被植入后门,伊朗号称攻击美国纽约电网。美国与伊朗互相打嘴炮,一个说攻击导弹基地,一个威胁攻击电力。2019 年 DEF CON 大赛中,7 名黑客 2 天内攻破美国助理战斗机 F-15 系统。北约今年举办最大的网络安全演习,锁盾 2019,四千个虚拟军事系统承受 2000 多次攻击。网络战不是科幻小说或者美国大片里幻想的未来,网络战就发生在当下。网络战每天都在发生,过去几十年里和平幸福生活过太久,觉得战争离我们很遥远。我觉得战争从来没有远离,必须意识到网络战的严峻形势。如果像沙子里的鸵鸟一样不承认网络战的存在,不能意识到网络战带来的挑战,根本谈不上应对网络战。
我强调的观点,必须用作战的视角看待网络安全。网络战最大的特点,与传统作战不一样的是,不宣而战。传统作战分战时平时,伊朗和美国说干这个,干那个的,这不是地道的网络战。网络作战最重要的是花相当长的时间通过攻击手段进行攻击和潜伏,渗透到你的基础设施网络里,希望在关键的时候对你发起致命一击。潜伏渗透本身也是网络攻击的一部分,谈不上平时战时。今年没有任何国家对我们宣战,但已经有很多国家对我们国家基础网络不断地发起攻击。
网络战让搞网络安全人员应对的对手变了。过去应对的是内部员工或者是窃取 商业 机密的友商,甚至是小毛贼,网上小黑客的黑产力量。今天,网络战的对手全部是各个国家成立的网军,100 多个国家成立了超过 200 多支网络战部队,都是军事级的技术,国家之间的对抗,这是国家级的黑客力量,国家级的对手入场。我们国家有一个技术特别牛的企业,六年前,它的邮件系统被 NSA 入侵,这是美国纽约时报揭露。很多人说这么牛的企业怎么会被 NSA 入侵。因为 NSA 代表全球最高水平的网军力量,入侵一个民间企业有什么做不到的。
物联网、工业互联网、车联网以及现在谈的产业互联网带来巨大机会的同时,到了万物互联时代虚拟空间和物理空间完美地衔接。过去所有在数字空间里的打击都可以转成物理世界的伤害。今天为什么网络战突然成了香饽饽?关键基础设施成为未来的战场,所有的网络战攻击过去不仅仅是为了窃取情报,现在可以对交通、能源、 金融 等基础设施发起攻击,可以获得比传统作战可能更好的破坏效果。
以色列专家有两页 PPT 和我的一样,他说每一个系统等于可能被攻击。我们强调一个观点,很多人总是在兜售买了什么技术,买了什么系统就可以保证网络高枕无忧,这是一个谎言。因为今天所有的网络攻击之所以能够得手都是利用不知道的漏洞,利用不知道的漏洞可以神奇地控制电脑和主机,入侵网络。技术漏洞,所有软件硬件都是人做的,是人做的就会犯错误,每一千行代码里会有四到六个错误。今天很多自动化的系统,云计算、大数据、人工智能有多少代码,这里隐藏很多漏洞。这些漏洞无处不在,不可避免。人的漏洞,无论有多么严格的网络安全的规定,每一个单位里有人会违反网络安全的规定,会被社会工程学进行攻击。因为有了漏洞,今天的系统一定会被网络战部队攻进来,不存在攻不破的系统。我们必须切换假设,重新思考战法。
按照前面的假设提出更加悲观的论点,很多网络里,与国防重要基础设施,科研很多重要网络里,是不是已经存在着敌已在我的情况。敌人已经进来了,已经潜伏在你的基础设施网络里,只是你还不知道。
易攻难防。因为攻击者很简单,只需要两个小伙子知道有一台电脑,知道几个漏洞就可以任意对一个国家的基础设施发起攻击。而防守方有成千上万的技术人员,面对着浩如烟海的网络设备都不知道从何下手。即使防守住一百次攻击,进攻者一次得手,他就成功了。你防住了一百次的攻击,但有一个地方疏漏被别人攻进来,你就失败了。这会导致严重的攻防不平衡。今天来的都在考虑如何保护网络基础设施,我们将何去何从。
网络战是整体战。不能不分军用民用,传统作战可能还分一个目标说只炸军用目标。大家知道网络战即使最后的目标是攻击一个国家基础设施,也往往会从攻击一个个人开始作为跳板,经过一连串的攻击链,最后才能达到目标。在攻击个人的时候,可能还会攻击这个人经常上的网站、经常用的邮箱。在网络战里不区分国家、企业和个人,安全是一个整体。随着互联网的发展,我们越来越多地军事上很多的基础设施目标和国家重要的设施目标,越发难以隔离,他们会和互联网紧密联在一起。随之带来的问题,即使把自己保护的很好,但不怕神一样的对手,就怕猪一样的队友。与你联网的某一个供应商或者与你联网的某一个雇员,他的网络有重要的安全缺陷被人攻陷,可能意味着你所有严防死守的网络也会被攻陷。我和美国同行交流的时候问一个问题,我说美国人为什么傻,为什么五角大楼连互联网,为什么不隔离。他们说我们后来连上波音,波音连上二级供应商与合作伙伴。今天美国五角大楼还要用亚马逊的系统。今天的互联网环境下,联网的诱惑非常大。整个网络连成一个整体。做安全必须得有整体的顶层设计考虑,如果各个单位都是各自为战,每个人只守住自己当前的一亩三分地是不行的。因为其它人的不安全可能会连累你。
超限战。现在观察到的攻击手法,各种手段无所不用其极,没有正的招数都是歪招,而且是综合手段。很多单位觉得隔离有效,通过刻光盘传递数据。刻的光盘里放入一个病毒,我们觉得新买的设备总是没有问题的。某国网军在硬盘里植入病毒,总有一块硬盘会卖到你家。某一个核电站隔离的很好,对方的网络攻击不会只用网络攻击的手段,会利用线下间谍的手段买通一个清洁工或者说内贼,把一个设备插入内部的电脑网络。网络战的手段是多元的,而且今天美军已经率先把全域作战的概念提出来,陆海空天网,多种情况下的作战形式综合使用。
秘密战。网络战可以在瞬间致瘫基础设施,前提是要通过长期的谋划及渗透,有一个攻击链。因为是国家级的团队,用的都是 0-day 的漏洞。网络战的攻击和传统的攻击相比看起来显得更为隐秘,来无影去无踪,很难溯源和取证。
未来网络战将成为国与国角力的首选,成本低,效果好,烈度可控。连反击都不知道找谁反击。美国和伊朗互相扬言攻击很多次,最后导弹不舍得打。双方最后选择在网络战上近来角力。未来下一个五年会看到越来越多与网络战相关的安全威胁。
为什么今天旗帜鲜明地讲出网络战?对每一个做网络安全的人来说代表了全新的挑战。对手变了,作战目标变了,战法变了。原来很多成立的假设,我们的网络固若金汤,我们的隔离有效,现在什么都变了。我现在强调敌已在我,可能在你的内部网络已经有别人的潜伏。传统的通过不断地购买更多安全软件,构筑马奇诺防线的战法已经失效。一战时非常有效果,但二战对付不了轰炸机和装甲集群和闪电战。今天网络战的情况下,传统网络安全的战法确实需要升级。否认面对网络战,我们将无以应对。
360 分享一个观点。网络战最关键的是看见。我们分析最近五年国内所有网络安全事件,全世界发生的网络攻击。我们发现最可怕的一点是别人来了你不知道,别人走了你也不知道。干了什么也不知道,留了什么也不知道。如果我们不能解决看见网络攻击的问题,堆砌再多的网络军火,堆砌再多的网络产品,打仗没有雷达像睁眼瞎一样,有再多的导弹也看不到别人的隐身飞机在哪里,谈何溯源,谈何反制。看见别人的网络攻击,看见网络战的攻击是 1,其余都是 0。
如何看见?网络安全大数据是看见的基础,网络安全大数据可以记录整个网络空间里所有正常软件的通信行为,也包括不正常的行为。只有企业的数据是不够的,网络攻击不仅仅是攻击企业,会从攻击个人消费者开始入手。我们必须考虑要有全网的数据。只有最近几天的数据也是不够的,因为刚才讲了网络安全的攻击时效周期很长,有的谋划长达几年,潜伏期也很长。只有把全网所有发生的事情在各种维度上看才能真正地知道网络空间里发生了什么。我记得在前几届 ISC 上讲过一个观点,今天越来越多的网关上的流量看不到,因为都是加密的流量。某国网军因为有加密算法的强度攻击,他们解开更多的流量。我们现在看到的行为越来越少,但终端可以采集到程序奇怪行为,可以帮我们更好地反映攻击的本质。网络安全大数据是看见的基础,今天满大街有很多的摄像头,记录下来每一个片段,当把这些片段的碎片放在一起才能还原出很多犯罪事件及攻击事件。
AI 的前提是要有知识库,威胁情报和知识库是最重要的核心,它帮助我们在大数据中学习,从而筛选出可疑的因素。漏洞,因为所有的攻击都要利用漏洞,可以理解为什么很多的网络安全公司根本不玩漏洞也不影响卖产品。360 过去几年发展成为全世界挖掘漏洞最多的公司,每一个漏洞给我们提供很多知识。谁利用了漏洞,如何利用漏洞,这都代表了一种攻击的手法。APT 的攻击行为,APT 攻击链上可以把行为分成几十个阶段,这几十个阶段什么样的行为做什么,这里的知识可以帮助我们发现更多的攻击。恶意样本和恶意网址的知识,恶意样本哪怕有上百个,最后的模式是可以进行分析。
有了大数据和知识库,网络战的本质是人与人的对抗。高级别的攻防专家最后关头有决定性的作用。网络战的层面,AI 短期内起不了决定的作用,起决定作用的依然是双方高水平的网络攻防人员。当我们利用大数据、知识库筛选出可疑的入侵信号以后,妄想靠任何自动化的软件自动发现阻断是不可能的,我们需要高水平的安全专家。通过专家快速地响应,快速在实战中的分析,从而能够发现和定位攻击,才能做到对攻击进行阻断和溯源以及止损。
360 的实践。过去的十年里,是世界上拥有最大安全大数据的公司,2EB 安全大数据。360 拥有全球最大的威胁情报和知识库,特别是我们是全球挖漏洞最多的公司。我们有几千名专业的安全专家,12 个安全研究中心,17 支攻防团队。最近国际上有一个黑客的排名大赛,360 荣获第一名和第二名。我们构成网络安全大脑,使得它能够真正地看见更多国家级的网络攻击,实现防御智能升级。在 5G 时代,阿里做智慧城市大脑,谷歌有谷歌大脑。今天的网络战时代要有跨时代的网络安全大脑,才能帮助我们更好地解决看见的问题。
360 过去的五年里,我们率先独立发现针对中国的境外 APT 组织 40 个,涉及到上千个重要部门,能源、通信、金融、交通、制造、教育、医疗等关键的基础设施和政府部门、科研机构。我们发现了主流厂商漏洞超过 1500 个,独立捕获 7 次 0Day 漏洞。我们看到很多国与国的攻击,背后都是其它国家的网军。360 竞争对手不是在座的大家,而是其它国家的网络战部队。
360 重返企业安全,很多人不理解,有的以为我们放弃企业安全。不是的,我们重返企业安全。还有的以为重返企业安全与所有的同行竞争成为行业公敌,错了。我们的定位很简单,进军企业安全要干点非 360 莫属的事,我们为党政军企提供安全服务。定位在国与国网络战下的,帮助大家基础设施,帮助企业和国家能够看见攻击,阻断攻击和修复系统的能力,这是 360 的使命和定位。
光靠 360 解决不了整个网络战的问题,还做三件事。第一,共建分布式安全大脑,很多单位有自己的大数据,我的大数据不可能给你,你的大数据也不可能给我。我们会输出分享网络安全大脑的大数据分析技术,帮助政府部门基础设施企业,也帮助生态伙伴打造自己的安全大脑。自己掌控自己的网络安全大数据,也具备很强的分析能力。今天讲大数据,不求拥有和拷贝,但求互相查询。像分布式的雷达防御系统一样,每个人可能都能够看到网络里发生的碎片事件,但当我们把碎片拼起来的时候能够告诉国家又发生怎样的网络战攻击。第二,分享威胁情报和知识库。360 最重要的就是由大数据产生的威胁情报和知识库,并不是传统安全的产品就过时无用。传统安全的很多产品,防火墙和终端软件也需要升级。360 会向友商分享威胁情报知识库,帮助传统的网络软硬件产品升级。每一个网络安全产品在背后都有网络安全大脑,都可以得到最新的网络威胁情报的时候,我们所有的老产品及新产品一块能够联合起来都能够发现威胁,阻断威胁。第三,赋能客户。过去解决的是小安全问题,我们给客户琢磨卖点东西,客户再弄几个网管可以解决安全问题。到了网络战时代,客户面临的网络威胁是专业的军事力量。我们希望给客户卖点东西就解决安全问题吗,这是闭门造车。最重要的不是给客户卖东西,而是如何提升客户应对网络战的能力。如何帮助客户建立应急响应队伍,如何通过实战攻防帮助客户提升应对能力,如何帮助客户利用众包把中国甚至是全世界的优秀安全人员发动起来帮助你找漏洞以及修补漏洞。如何帮助大家培养自己的人才。武器不是万能的,今天卖再多的安全产品,如果每一个单位的基础设施不能建立核心的网络安全应对力量,不能建立起自己的安全应对体系,不能建立自己的靶场,不能建立自己的培训体系,只是买了一堆产品就梦想着可以应对网络战是不现实的。我们未来不卖产品,只是安全服务的搬运工。
360 有明确的定位,ISC 过去是企业自娱自乐的会,客户多了变成客户会及合作伙伴会。它依然是一个企业自己为了做销售举办的会议,360 重新确立自己在党政军企的定位,重新确立在政企市场的角色。所有同行都可以是我们的合作伙伴,把 ISC 变成亚洲的 ISC 变成平台的会议,变成所有厂商都可以通场竞技,都可以讲你的产品和理念的会。希望 ISC 可以打造创新的生态,免费邀请中国所有安全 创业 公司,不需要交任何费用都可以来这免费办展,可以参加沙盒创新大赛。360 做好 360 的大数据,大家做好自己创新的产品。我们团结起来,虽然都是民间力量,但通过军民融合与国家网络力量的合作,使得中国的网络安全不被其它的网络战攻击,使得老百姓幸福的生活和社会安宁得到保障。
主持人:谢谢周总。
周鸿祎:上午听很多专家的意见,他们很多观点需要仔细研究。我赞成一个观点,网络安全对人类 经济 与社会的威胁很大。不管大国还是小国,不管是以色列还是新加坡这样的国家,还是俄罗斯、中国的国家,必须在网络安全方面携手交流,共同应对网络战对人类命运共同体的威胁。
主持人:今天通过 ISC 平台希望为大家构建关注互联网及网络大安全时代的人类命运共同体的平台。
上午演讲到此结束。