360 首席安全官聊 5G 时代下的安全:9 个确定与不确定
周末宅在家的雷锋网编辑看了斯皮尔伯格的神作《头号玩家》,电影向我们展示了一个未来科技生活的图景,每个人只要佩戴“绿洲”游戏传感器,就可以完全生活在线上游戏世界,在游戏世界里梦想也触手可及。酷炫的画面、脑洞大开的剧情、充满青春回忆的上百个彩蛋,看过电影的雷锋网 (公众号:雷锋网) 编辑不禁感叹,这样的生活未免也太爽了吧。
但电影终归是电影,回到现实,5G 依旧是一个不确定的因素,而这种不确定性会给各行各业都带来特别大的挑战,因为安全和所有东西都相关,所以当所有事情都不确定的时候,安全就会有很大的挑战。
1 月 11 日,“ 5G+ ”智慧安全融创发展论坛暨 2019 网络安全“金帽子”年度盛典在北京举行,360 集团首席安全官杜跃进围绕 5G 时代下的安全的确定与不确定做了主题演讲。
杜跃进认为 5G 带动了网络环境的巨变,推动智能化的全面和深入发展。进一步实现了网络世界和物理世界的融合,推动安全被重新定义。而客观上边界的消失,造成攻击者仅需一点突破即可“内网漫游”。严重的资源不对称,也会给受攻击方造成大量的隐患。
所以在他看来,我们需要升级到“智慧时代”,而安全大脑是实现智慧安全的基础,解决问题离不开持续高水平的安全服务,首先要完善企业顶层设计,给予人员最佳实践学习机会。通过定制化的威胁情报和威胁应对支持服务,对企业系统化的和持续的培训,以及专业、规范和持续的实网攻防与演练、系统化的漏洞发现和管理,专业的安全运营和应急响应,以此帮助组织建立更加完善的安全体系。
以下为演讲全文,雷锋网在不影响原意的情况在对其进行了编辑。
我们都非常不喜欢不确定性,不知道明天会怎么样,所以我们都很焦虑。
一方面,国际形势会对安全本身造成影响,比如说中美贸易战、英国脱欧等,世界经济也处于疲软状态, 正是这种国际因素的不稳定性,让大家莫名的感到恐惧,所以很多人都说不安全,但没有人知道为什么不安全。
另一方面,从安全本身来看,几乎每天我们都会听到各种各样的安全事件发生,勒索病毒、数据泄露、黑灰产、漏洞威胁等,但市面上的安全产品眼花缭乱,安全观点林立,我们更不明白到底什么才是安全的 产品,所以这造成了更大的不确定性恐慌。这样估算下来,至少还有三十年我们会处在这样快速的变化和不确定的世界里面。我们如何适应这样一个世界,变成每一个人必须思考的问题。
适应这样的世界,个人认为需要在这种不确性里面找到那些确定的东西,只有这样才能让自己时刻保持 清醒,保持进步。
第一个是安全行业本身的确定和不确定,确定的是安全公司一定是更被需要的,不确定的是有些企业被忽悠买了无效的安全产品却不知道问题出在哪,或者认为安全公司是骗子解决不了问题。 安全这件事情是潘多拉盒子,它不是被打开,而是腐朽了,潘多拉盒子里流出来的黑水正在流向世界的每一个角落。过去只是我们这帮搞计算机的人,搞网络安全的人跟潘多拉盒子里面跟坏人对抗着,因为攻击者攻的是计算机系统,攻的是和计算机系统相关的各种各样的东西。这些人虽然我不知道,也不敢说就比坏人多厉害,但是我们知道坏人都在干什么,我们知道坏人的手段和他们的想法。但是今天的世界是智慧世界、智能世界,所有的东西都在变智能,所有的东西都可以联网,世界上的每一个角落都变得聪明,但是聪明并不意味着安全。
第二个确定的是安全行业的任务更艰巨了,不确定的是我们能应对吗?能应对到什么程度和水平?
世界越来越不安全,其实不是我军无能,实在是敌军成长太快,仅中国就有超过200万人在做黑灰产,每年我们国家的 IT 预算里只有很小的一点点留给安全,都不知道用在哪里去了。
第三个确定的是原来搞安全的方法行不通了。
第一,客观上各种各样的边界都在消失。安全是一种对抗,我们习惯用传统的对抗理论来看安全。传统的对抗领域理论是找到关键的必经之路,然后在这里守住,集重兵之力防御就行了。但是现在的世界哪里还有关口?边界都没有了。现在我们在一个点上防御、或者在一个面上防御,其实这些都不对,现在是立体空间,任何地方都是可以被入侵的:每个人都是弱点;每个业务都在快速迭代,每个迭代的版本都会出问题;每个业务规则稍不小心配错公司就会破产,一个规则配错,一个业务配错,公司都会破产,5G 更是让每个地方都可以被入侵进来。这种情况下应该在哪里守?所以在这种情况下其实无险可守。
第二,攻防不对称,资源不对称。对方可以收集很多的资源,可以用僵尸网络,利用全世界大量的资源攻击你,而你的每个资源是你自己花钱买的。在这种客观条件下,我们主观上的原因让自己陷入了更加糟糕的境地。一是各自为战,我说的各自为战不完全是指安全企业之间缺乏配合,更多是指客户们各自为战。我们试图在自家院子里搭一些摄像头,看不到敌人就认为世界是安全的。但事实上,我们只看到了一部分的数据,看不到整个威胁情况。
所以这样看来,不确定的是我们改变这些问题的进度是什么?或者说来不来得及?
第四个确定的是安全如果要想有未来,需要有大数据。 今天我们把数据当成魔鬼,谈数据色变,我的观点和别人不一样,在我看来,采集不等于做坏事,采集之后怎么用、怎么防才决定是不是做坏事,而从安全的角度来说如果不让一个 APP 采集数据,实际上会让安全彻底无法做了。所以和别的行业一样,我们需要更大范围的数据,我们需要更长时间的历史数据,因为你今天看到的异常行为,可能对方在三年前或五年前就已经有准备了,今天如果没有三、五年前的数据,你就无法还原对方到底在干什么。
而不确定的是这样的数据在哪里?或者说有了大数据有能力用起来吗?
第五个确定的是我们所有的安全,一定要转到攻防视角。 无论你给客户讲什么,一定要转到攻防视角。在客户的视角也是如此,当别人给你讲任何事情的时候,你要想一想,这是不是符合攻防视角,因为安全产品最后灵还是不灵,就看一件事情,实战扛不扛得住。
不确定的是到底应该怎么做到这一点。
第六个确定的是合规是底线、身份是青铜。
对抗最典型的就是军事级的对抗,所以,合规只是一个最基本的东西。但是可以衡量的是能力,合规只是一个底线,我们不能再拿合规忽悠所有的用户,合规只是基本要求。
不确定的是怎么让客户改变这样的认识?
第七个确定是我们需要高质量的人,人是创造力、战斗力,是提供服务的基础,不确定的是人在哪里?要怎么用?
第八个确定的是网络安全需要整体思维。 能看见的范围越大、越清楚,安全产品才有竞争力。如果没有整体思维,我们永远做不到这一点,如果没有整体思维,我们看到的中国网络空间安全,就只是你看到自己领地的小灯照亮的范围,其他地方全是黑的,加上 360 全网 C 端的安全大数据,底座可能是亮的,但其他地方都是黑的。当然整体思维不仅仅是指发现,整体思维是指很多方面的东西,要形成联动。
而不确定的是对方会在任何一个地方打我们任何一个点,要怎么防?
第九个确定的是,我们需要升级到“智慧时代”,和别的领域一样,安全也需要大脑。 解决问题离不开持续高水平的安全服务,首先要完善企业顶层设计,给予人员最佳实践学习机会。通过定制化的威胁情报和威胁应对支持服务,对企业的系统化和持续化的培训,以及专业、规范和持续的实网攻防与演练、系统化的漏洞发现和管理、专业的安全运营和应急响应,以此帮助组织建立更加完善的安全体系。
不确定的是对方是通过超时空、超能力和隐身衣来攻击的,可以从任何一点把能力投射到任何另外一点,网络空间防御有可能做到这一点吗?
最后,大安全时代物理世界和网络世界不分,所有的东西都在融合,生存密码一定是智能互联、整体攻防和实战能力。
注:图片为嘶吼传媒官方提供
。