在9月12日的2017中国互联网安全大会(ISC)上,360公司董事长周鸿祎一口气说了最近一段时间发生的三件大事:
1. 黑客的介入一定程度上改变了美国大选的走向,选出了一位意想不到的总统;
2. 过去两年乌克兰的电站竟然成了网络战的练兵场,多次发生大面积的断电事故;
3. 几个小毛贼利用美国国家安全局泄露的勒索病毒,让全世界都风声鹤唳。
当勒索病毒来袭的时候,我们中国的表现如何?很多单位同样也是中招。面对严峻的安全形势,周鸿祎提出了“大安全”的概念:“在大安全时代,网络安全不仅仅是网络本身的安全,网络安全就是国家安全、社会安全、基础设施安全、城市安全、人身安全等更广泛意义上的安全。”
不宣而战的网络战
为什么不只是网络安全,而是大安全?恰恰是因为,互联网已经跟整个社会融为一体,你骑自行车是在互联网里,你跑步是在互联网里,你预订餐饮是在互联网里,你买卖商品是在互联网里,你日常娱乐在互联网里,你日常交友是在互联网里……不仅如此,我们的电力、医疗、交通、通信、航天等众多关键的基础设施,以及国家党政机关和事业单位都在互联网上运行。任何形式的网络攻击都有可能直接影响到我们的现实世界。
周鸿祎提到了最近上映的电影《敦刻尔克》,虽然法国构筑了牢固的马奇诺防线,却架不住德军利用装甲部队绕过马奇诺防线直插后方。而美国首任网军司令亚历山大将军在2015年ISC上也曾经说过:世界上只有两种系统,一种是已知被攻破的网络,一种是已知被攻破但自己还不知道。
现实世界中的任何网络系统,即使设计得再精巧,结构再复杂,无一例外都会有漏洞。例如,360补天平台一年发现的漏洞数就超过了8万个,这些比比皆是的漏洞都有可能成为所在系统遭受网络攻击的软肋,而且单靠购买和部署各种网络安全设备也无法防住针对未知漏洞的攻击。
在这里,漏洞就成为了战略武器。在网络战中,重要漏洞的价值等同于传统战争中的炸弹,谁掌握了对方的网络系统漏洞,谁就找到了攻击的突破口;谁能及时发现和掌握自身的网络漏洞,就可以先为自己夯实安全的堤防。
从震网病毒、火焰病毒、方程式病毒到WannaCry蠕虫攻击等一系列重大的网络攻击中,都利用了各种已知、未知漏洞。漏洞非常重要,没有漏洞就无法建立网络战的进攻和防御体系。
从维基解密曝光的CIA(中央情报局)系列文件看,美国非常重视漏洞的挖掘和收集,CIA一直致力于以Windows、Linux、iOS、Android等各种操作系统、嵌入式系统和IOT设备为研究对象,投入巨资通过合作或者购买方式获取这些系统的安全漏洞,然后针对这些漏洞开发攻击工具。此外,美国还以各种比赛或者众包、众测的方式通过民间力量来获取漏洞资源。比如五角大楼安全供应商的ZDI项目组举办PWN2OWN比赛,“攻破五角大楼”、“攻破空军”这些项目都可以收集很多的漏洞。
不同于传统战争有明显的开始和结束,网络战时时处处都在不宣而战,震网病毒对伊朗核设施的攻击,经过了长时间的潜伏和一系列的隐藏措施,无声无息地进行了攻击。360威胁情报中心监测到的多个APT事件中,攻击者也都已经渗透或者潜伏了很长时间,并且通过各种手段隐匿自己不被发现。所以应对网络战要平时筹划,时时刻刻准备,做到未雨绸缪。
大安全需要军民融合
与传统战争不同,网络战不再限于军队之间的对决,而是国家和社会之间的整体对决,就像前面所说的乌克兰电站断电,损害的可是整个乌克兰的利益。
在传统战争中,军事目标和民用目标有明确的区分,双方所要攻击和保护的目标主要是大坝、电厂等重要军事目标。而网络战不同,网络是一个相互连接的整体,分不清楚民用和军用目标,任何单位或个人所使用的终端或者系统都是网络的一部分,任何人或者设备被攻破,整个网络可能就会被攻陷。
因此网络战是一场整体战,对每个个人、每台终端以及民用目标的安全保护都非常重要,是和整个国家的网络安全紧密联系在一起的。
这意味着军民融合在网络安全领域具有现实的必要性,没有军民之间的深度融合,就不可能有真正的网络安全。网络安全产业和军工产业将会融合,军民融合成为必然。在美国,过去做飞机、做导弹的和做网络安全的是不同的两波人,现在结合在了一起。除了上面提到的“攻破五角大楼”、“攻破空军”这些军事项目都是民间网络公司HackerOne做的,抓获本拉登发挥最大作用的是民间网络安全公司Palantir。
中国政府已经将军民融合上升到了国家战略的高度,习近平主席在6月的军民融合发展委员会第一次全体会议上指出,网络空间、海洋、太空、生物、新能源等领域军民共用性强,要在筹划设计、组织实施、成果使用全过程贯彻军民融合理念和要求。
军民融合还体现在网络安全人才方面,要抵御来自海外的顶级黑客的攻击,我们同样也需要一支顶级的安全团队,而在网络安全领域,高手恰恰在民间。这一次勒索病毒发作的时候,国内很多单位出了问题,360专门派了多达2000人的队伍去解救他们。之所以能够做到这一点,是因为360有着国内最强的安全团队,旗下也有一支高水平的黑客队伍。很多黑客特立独行惯了,未必愿意待在国家机构,但是他们同样有爱国热情。
360也敏锐地发现,仅仅依靠目前现有的安全人才还远远不够,大安全需要培养更多的安全人才,而过去中国的大学里却根本就没有安全专业。为此,他们给中央领导写信,终于争取到了将计算机安全和网络攻防设定为高校的一级学科,可以授予硕士和博士学位。去年,360还与武汉、西安等城市合作建立起了国家级的网络安全学院,定向培养网络安全人才。“未来每年培养几千人,五年下来就能到几万人了。”周鸿祎表示,安全人才的培养刻不容缓。
大安全需要大服务
为什么需要培养那么多的安全人才?同样是因为在大安全时代,要保证网络安全,不是购买并部署一批网络安全设备、堆砌一些产品和技术就能防得住,还需要大量专业的安全专业人员来做分析、研判、响应和处置。比如美国著名的网络安全公司Palantir,不仅具备大数据核心技术,还拥有超过4000名大数据领域的专家在进行人工的分析和研判。
在周鸿祎看来,网络安全其实是个劳动密集型的科技行业,需要大量的专业技术人员提供智力密集型服务。未来任何一家公司,要保证自己的网络安全,要么自己拥有一支强大的网络安全团队,要么就得雇佣一支强大的网络安全团队。
因此,大安全时代将给360等专业的网络安全公司带来更大的机遇。过去,无论是360、绿盟还是启明星辰,其实都是产品公司,只能提供数得过来的几款产品。过去,对于网络产品有需求的机构也比较有限,整个中国网络安全产业的规模也较小。
如今,当更多中国的世界500强、当更多的政府机构、银行、保险公司、电力公司、石油公司的安全意识被唤醒之后,它们就会发现,自己不仅仅需要网络安全产品,更需要专业的安全服务。
由此,大安全时代的大服务模式正在形成。像360这样的网络安全公司需要实现业务和商业模式的转型,从比较简单的、一次性的“卖硬件”模式,转变成为比较复杂的、与客户多次交流、甚至直接嵌入到客户组织中的“卖服务”模式。在周鸿祎看来,未来中国最大的网络安全公司,应该是拥有最多服务人员的公司,他们将被派到众多的机构和企业客户当中,为它们提供全天候无死角的安全服务。
“不管我们是否做好准备,是否愿意接受,大安全时代都已经来了,这个时代带来了更多的不安全和不确定,给人类带来了更多的威胁和挑战。对网络安全行业和从业者来说,也带来了更多的责任、压力还有机遇。我们要对全人类的安全负责,对世界安全负责。”当然,360首先要对中国的大安全负责。
如果希望与老冀有更多交流,或者希望加入“手机控的乐园”微信群并与更多手机控交流,请加老冀的个人微信:rouqinghufa
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
