周鸿祎的战法进阶
“从来都没有什么岁月静好,看不见的网络攻击随时在发生,这是一场战斗,要用战争思想,对抗的思维来指导网络安全的发展,网络安全才能有正确的方向。”周鸿祎如是说。
互联网安全大会(ISC)走到第九年。作为主办方代表,周鸿祎一直以来意图将ISC打造成为一个行业的大会,而不是独属于三六零(601360.SH,下称“360”或“360集团”)的客户会。九年时间,每年一次的产业集会,也见证了中国信息安全产业的演变,应对安全问题的能力也在不断提升。
“安全行业如果还执迷在过去做一些很顺手的碎片化的产品、以卖货为主的思路,一定解决不了我们面临的安全挑战,当下需要新的战法和新的框架。”360作为中国安全的龙头企业一直在探索,九年ISC不停与行业碰撞,可以说今年新战法、新框架的提出,是ISC发展九年的一个核心成果。
形势之变:
软件定义一切,攻击无处不在
先让我们看看新近爆发出来的安全问题。
让美国东部进入紧急状态的“油管事件”,涉及到的黑客组织包括三部分:一是俄罗斯的dark side负责制造工具,并不发起攻击,分享勒索攻击金额的15%;二是实际发起攻击者获得80%的收益;三是一些小黑客负责收集漏洞,分享5%。从这个案例中我们看到,一个勒索攻击,已经有着严密的分工,黑客组织越来越成产业化趋势。同时,随着工业互联网在能源、电力、制造等基础设施行业的发展应用,大量过去部署在生产网络中的工业控制设备暴露在互联网之中,每个连接点都可能成为攻击点,为勒索攻击、工控攻击提供了可乘之机。
最近在全球目前最大的单一勒索攻击中,ransomware Evil (Revil)黑客组织及附属机构,通过渗透一个远程管理软件Kaseya,一次性地勒索了17个国家、上千家公司。有意思的是他们可能连这家公司的名字都不知道,其实真正的攻击目标不是这一千多家的受害者,他们攻击的是Kaseya远程软件控制公司。这是一个非常典型的通过供应链来攻击,也就是说你受到攻击不是你的安全措施做得不好,可能是你的供应链做得不好。
智能汽车开始进入到我们的生活当中,新的问题也随之而来。今年,很多单位开始不让特斯拉进入到院子里,因为一辆汽车上的数据不仅涉及驾驶人的个人信息安全,车辆上还有特别多的传感器,如果采集了很多数据,会涉及国家安全。
这其中我们看到几个变化:第一,攻击无处不在,随着我们进入万物互联时代,每一个连接点都有可能成为攻击点。第二,威胁不断的走向高端化,小毛贼、小黑客已经成为历史,勒索软件攻击正在向APT化演进,形成有组织、有预谋的犯罪商业模式,攻击目标从个人转向政府、重点企业和重点设施,攻击手法也在发展过程中变得更加定向化、持续化、专业化。有组织的大规模网络犯罪成为网络安全的最大威胁,网络攻击目标和手法还有产生的破坏都突破常规,网络攻击成为大国博弈的一部分。第三,大数据在驱动一切业务,这种情况下数据安全变得非常重要,数据本身被攻击、被损毁、被污染或是被丢失和被盗窃,都会带来比网络攻击更严重的后果。
当然,这些变化不是一天发生的。过去几年间,周鸿祎在各种场合强调安全的重要性、形势的严峻性,但是数字化发展的速度远远大于人们对信息安全的重视程度。从另一个角度来讲,常年战斗在一线的360在安全这件事上跑在了所有企业的前面,看到了别的企业不一定能看得到的危险。能听懂并且听得进去周鸿祎的话的人并不多,高处不胜寒,周鸿祎是有些“寂寞”的,这也是属于行业领跑者的寂寞。
也正是因为认知上的滞后,直接带来的结果就是中国信息安全产业整体偏弱,小企业多,产品碎片化,安全能力弱,企业也都赚不到什么钱。不可否认,每年ISC作为行业性聚会,信息交流、思想碰撞,九年时间也在推动这个产业的发展,中国信息安全产业也正在发生着变化。
在今年的ISC上,总结安全形势的变化时周鸿祎认为随着进入数字化时代,未来将是软件定义一件,数字化有三个特征:一切皆可编程、万物均要互联、大数据驱动业务,这也意味着数字化让整个网络安全环境更加脆弱,安全风险更加无处不在,整个世界更易攻击,造成危害也更大。
思维之变:
没有一招鲜,要有战争思维
“我们很多同行都曾经谋求说我发明了一个产品,这个产品一用就解决网络安全的问题。事实证明网络安全是动态的,不是静态的,你的对手是一群高智商的人,他不是一个静态的物理问题等待着被解决。”周鸿祎深知,无论是攻击的技术还是攻击的手段都在快速变化,也这使得网络安全的形势不断面临新挑战。
每天都在快速变化,以前IT产业“交钥匙”工程的思维不适合安全领域。在这个领域没有一招鲜,没有一个产品可以防所有安全问题,也没有一个企业可以完成整个安全体系的构建。
攻与防就像魔与道,魔高一尺,道就需要再高一丈。魔在不断进化,道也需要不断修炼。“我们这个行业的从业人员像希腊神话里的西西弗斯一样,每天辛辛苦苦推石头上山,第二天石头又落下来,你在这个行业里工作,就要不断的历经从成功到失败,从失败到成功,所以在这个行业坚持下来的人,我觉得都是理想主义者。”
也正因为,周鸿祎在今年的ISC上正式提出安全领域的“新战法”:我们只有向军队学习,把这个看成一场战斗,用战争思想,对抗的思维来指导我们网络安全的发展,以'作战、对抗、攻防思维’为指导体系化建设安全能力,我们的网络安全才能有正确的方向。
同时,周鸿祎还提出,以前安全只是数字化的“附庸”。但是随着数字化的深入,安全的重要性不断提升,未来不能再把网络安全当成信息化数字化的附庸,而应该将网络安全视作数字经济的底座。“把安全能力基础设施化,就是要打造像水电气一样的安全设施。这个基础设施不同于传统的碎片化的产品,而是在防护、检测、响应等产品之上,转化为一个长期运营的安全能力平台。”周鸿祎表示,360会先行一步,把自己在安全方面的能力开放出来,基础设施化,成为整个产业的云端基础设施体系的一部分。
“有产品和有能力不能划等号。所以如何能够帮助用户建立起能力体系。建立起体系化作战,这是今天网络安全到了一个行业拐点。”周鸿祎所说的行业拐点是指安全产业到了进入新战法的阶段。
360政企安全集团首席执行官叶健在此次ISC上提出:安全的新战法,即作战的三个维度:第一要从全网安全态势入手,第二要从基于实战方法论入手,第三要从新一代的能力框架入手。
国家、城市、行业、企事业,它的暴露面是巨大的,即便我们从企业来说,很多企业,他们有上下游供应链(Revile),有分支机构,儿子孙子公司,他们的连接很可能通过互联网,物联网。解决安全问题,只有从全局出发才能看清局部,也只有了解全局的安全态势,才有可能提前做好准备。所以,安全战略的布局需要从全网安全态势入手。
360在过去十五年,一直在网路攻防的第一线,先后投入200多亿的研发经费,建立东半球最强的白帽子军团。可以说,360的成长史就是网络安全的战争史,所以可以最终总结出实战方法论,包括3个部分:首先总结黑客攻击的战术、技术、流程。未知攻,焉知防。360从来不做攻击但是,要知道防守,必须了解进攻。其次,黑客攻击的方法基础上,建立了纵深防御体系的方法论,这里保护我们的三层大脑架构,能力框架,运营体系等。第三,为了未来更好地提升防守能力,总结出了成熟度评估,帮助同行和客户不断提升能力。
网路攻防是一个永不落幕的战争,试图通过技术手段,通过一次性购买建设一个系统,是不可能实现防护的。只有不断提升能力,才有可能和黑客斗争中,生存下来。基于此,需要一个全新的能力框架。
打法之变:
从单点突破到体系化作战
在ISC大会上,来自各方的专家、领导、企业代表,都有一个共识:解决安全问题,需要体系化作战。
“面对高级别攻击力量入场所引发的威胁,我国必须建立新的自上而下的网络安全保障框架。其中,政府引领是关键,还须在产业体系建设、政策扶持、人才战略和市场环境等方面同时发力,并加大基础研究与技术的衔接。正是基于这样的背景下,网络安全体系化、规模化的战略非常重要。”中国科学院院士韩启德认为。
“今年,全世界的部队在谈及打仗,都知道不是能用某一种武器就能获胜,而是讲究体系化作战。今天的网络安全也是如此。”周鸿祎举了一个例子,中国也有了航母,航母的战斗力并不是依赖于某一个单一的武器,航母的运营体系中有不同的角色,也有不同的处理流程,这些相互结合才形成航母真正的战斗力。
360结合多年的实战经验提出新一代安全能力框架,其中包括四个部分:一是区域/行业/企业总部的安全大脑,二是安全基础设施体系,三是安全专家运营应急体系,四是安全基础服务赋能体系。
“这套框架可以从360复制到各党政军企单位,建设各单位自己的安全大脑和基础设施,让各单位管理运营自己的安全数据,并且建立起运营体系,通过服务赋能下属单位。对于各单位能力不足的地方,360还可以通过云端持续提供全网大数据和高级安全专家的赋能。”周鸿祎表示。
用健康行业来类比这套新架构比较形象。卖产品,就像是卖药,有时候药能解决问题,但有时候看似对症下药但也解决不了问题。而到医院去,有化验室、门诊楼、手术室、住院部、ICU,有医生、有药、有医疗器械,这样一套体系才能高效提供医疗服务,帮助更多的病人解决不同的病痛。
周鸿祎强调,安全能力框架能够整合各种生态产品,扩展支撑各行各业的各种数字化场景。例如工业互联网、车联网、能源互联网、智慧城市等等,形成面向场景的安全解决方案。更重要的是,以前单个产品的能力有限,而这套框架可运营、可成长、可输出,能力是可以不断“变大”的。
显然,周鸿祎的安全观是不卖货,卖的是体系,卖的是能力。如果说,安全是一场持久战,周鸿祎再次披挂上阵,“战”安全。