作为安全届的“段子手”,老周有一批忠实粉丝。还没到 ISC 现场时,朋友圈就有一堆“教主粉”在花式播报教主行程:
“惊现教主!大步流星往前走。”
“和红衣教主同框了好激动。”
“还是熟悉的样子,熟悉的脸庞。”
……
总之,这位段子手毫不意外拿下了2018 ISC互联网安全大会的实力吐槽MVP,经典语录如下:
No.1 不解决问题的产品都太虚!
No.2 只要能解决安全问题,辣椒水甩棍我们都会考虑做
No.3 现在只有朋友没有对手
No.4 所有最后看来天大的安全事件,归根到底都是从一个很小的终端攻击开始
No.5大安全时代肯定会出现很多个人安全消费的(商业)机会,这样的机会也可能不一定是免费的服务,我肯定不能免费给你提供辣椒水。
No.6希拉里邮件服务器就像公厕一样,全球黑客可能都去过了。如果不是他们违背安全规定,就完全可以避免这个情况。
好的,老周可能真的要做辣椒水了,于是我们围着他问了几个问题,满足一下求教(八卦)之心。
十问老周
问:最近出现了一系列安全事件,您做安全的初心是什么?
周鸿祎:我觉得做安全最关键的是要能够解决问题,无论提大安全时代、从0开始还是安全大脑等概念,最后一定要切切实实解决用户问题。
现在安全问题不仅要考虑信息安全问题,还有国家安全,比如李显龙个人医疗记录遭到窃取就对新加坡国家安全有影响,甚至会对其政治带来影响;国防安全,现在网络战层出不穷;金融安全,比如今年发现的EOS区块链漏洞,如果不修改,可能很多人的身家就没有了。
还有个人安全,最近网约车平台顺风车出事情,我们也在关注。我们工程师或其他同行也做了一些一键报警系统,后来被我骂的狗血喷头,因为等到真的某位女士坐车出事时,哪有时间一键报警,或者功能很复杂、很难用、很难找,可能来不及报警就被坏人干掉了。我觉得不解决问题的东西都是有点太虚了。
公司内部讨论来、讨论去,发现一个解决女士安全痛点的产品——辣椒水,我们计划推出360辣椒水,辣椒水一喷,立马让对方丧失一切行动能力。有人嘲笑说360是做网络安全的,怎么去卖辣椒水?我说只要能解决乘客安全感问题,甩棍我也考虑是不要打造一柄。
所以我们觉得光是解决网络信息领域安全问题可能不够,作为网络安全公司真的要考虑如何解决个人安全问题。未来360在大安全指导思想下,可能还会推出跟信息安全无关的产品。
如果推出辣椒水,各位女士会买吗?现在的辣椒水很不好用,就像发胶、香水一样,我觉得要做成像手枪一样,一扣板机就能制服对方的。(雷锋网编辑小声哔哔,大概是会买的)
问:最近有很多厂商都提到了安全大脑,您的安全大脑和其他大脑最本质的区别是什么?(大脑哪家强?)
周鸿祎:最近很多公司不提“大脑”都不好意思在互联网行业里混。我觉得大家对大脑的理念是对的,大脑是一个概括,可以将很多技术名词,比如云计算、大数据、人工智能、物联网、传感器等都囊括在内。大脑需要利用各种传感器技术采集数据,将实时大数据放在云端,再加上人工智能各种算法,从中做自动学习、推理,也就是大家出发点是一致的。
但大家解决的问题不一样,比如有的人用大脑想解决医疗问题,也有人想给你推荐更好吃的饭食、更好玩的餐厅,而我们要解决的是在未来众多网络设备中发现未知的攻击、未来的威胁。
但是今天安全的复杂程度很大,因为面对的不是十几亿部手机,有了物联网、工业互联网之后,不可能每个设备都打补丁,都装防火墙。任何一个设备有漏洞,只要有漏洞,这个就可能成为攻击者的跳板,作为防守者非常被动,完全是信息单方面不透明。
这时候只能把所有设备工作情况,整个网络流量海量数据采集到一起,但这些数据很难用人工方法进行识别,必须要用机器学习、机器自动处理的方法。
我感觉我们提安全大脑对人工智能和大数据的需求更为迫切。计算机跟人打交道比较费力,再优秀也很难模仿一个真人跟大家聊天,让人不发现你是一个机器人。现在很多机器人炒得很热,但离真正智能还有点距离。解决安全问题,人工智能在未来两三年里可能会有大的突破。
问:安全大脑目前没有太多实质性的成果,您觉得这个过程中有哪些困难?
周鸿祎:安全大脑对我们来说是一个概念,但已经落地了,我们已经把所有安全大数据的处理进化成安全大脑1.0版。1.0版也许是刚刚开始,但已经可以工作。
在过去几年里,安全大脑已经帮助我们发现了很多未来的攻击。我们可以协助FBI破案,我们可以预言到会有某个攻击发生,但可能不够全面,比如预言到攻击发生在美国,但具体地点不得而知。最近有一个电影里面幻想在未来有一个大脑可以预测人类的犯罪,这个很荒唐,人的行为很难预测,但机器的攻击是有蛛丝马迹的,可以预测。
这里最大的两个难点是:
-
光说不练是假把式,这个问题我们已经解决了,所以我们还在不断进化,不断演化,不断学习。
-
提出安全大脑,大家可能说你搞你的、我搞我的。安全是一个整体战,中国网络安全来说,过去网络安全被分割,市场被切得很碎,甚至被切成很多行业。但如果某一个人、某一个网站被突破,意味着更多企业,甚至国家某些要害部门都会被突破,网络是一个整体。
我们希望把安全大脑理念和很多同行去合作,很多同行肯定会有顾虑,跟我是否是竞争对手?
360未来和所有网络安全行业,特别是做企业安全和国家安全的企业都不会是竞争对手,我们投资了一家做企业安全的公司,还会投资更多做企业安全的公司。只要愿意,360都可以把安全大脑能力赋能给他们,数据输出给他们,他们未来也可以回馈数据。
如果我们用这种心态,变成很多安全公司背后一个技术和数据的赋能者,这样有可能在国内真正把一个大的生态做起来,从过去同行是冤家变成现在同行在产业链里有不同的链条的位置,大家可以合作打造安全大脑。
问:最近华住酒店和顺丰快递信息泄露事件引起了大量关注,安全大脑是否可以对此发挥作用?
周鸿祎:某酒店信息泄露有两种可能:一是有APP后台数据库接口有安全漏洞,这个漏洞可能被别人利用。二是内网出了问题,数据库被脱库,一定是别人针对内部某个员工或网管,在这个人电脑上做了手脚,侵入了他的电脑,并通过其电脑拿到了服务器口令。
我们研究过所有安全事件,归根到底天大的事件都是从攻击一个很小的终端开始。
如果有了安全大脑,就能提前预警。因为在确定目标后,黑客组织一定准备了很久,期间有多次攻击,比如第一次攻不了网管可能会攻他们前台,前台发邮件给网管说今天晚上约你看电影,网管一看有漂亮妹妹给自己发邮件,肯定要点开,可能就中招。这些东西通过网络安全大脑、大数据监控都可以感知到。
为什么要提前预警?等到数据都被人扒走了,事后再去处理是没有意义的。
这两天山东各地不动产登记中心被攻击,也是一个病毒变种。很多单位依然不修补他们的漏洞,都被我们监测到,但是没办法,这就是人的漏洞。如果安全大脑提前预警,提前告知,他不采取行动,确实我们也没有办法。所以为什么今天讲到人的漏洞也是很大的问题。
问:360会不会认为个人消费安全时代到来?
周鸿祎:从狭义来讲,信息安全领域,既然说了要杀毒免费,个人安全免费,包括在手机上拦截诈骗电话免费,这个商业模式不用再想,一定免费到底。但从大安全来讲,真正要解决个人安全,不能局限在手机和电脑上,这些领域一样有很多安全的机会,这样的机会也可能不一定是免费的服务,我肯定不能免费给你提供辣椒水。(老周真的很爱提辣椒水)
问:如何评价未来硬件端带来的安全隐患?软件商需要做什么?
周鸿祎:大家现在谈芯片,光谈到了芯片设计和芯片制造,当然我们一定要有国产芯片,但只有芯片是不够的,有两个理由:
-
芯片本身也可以被人做手脚。今天中国有芯片设计能力,但流片和生产拿到海外,在流片过程中一样可以被做手脚。在英特尔芯片里都有后门,甚至美国很多安全专家也刚刚发现。即使不谈后门问题,在今天ARM体系和X86体系里都有好几个漏洞,会导致CPU严重的问题,如果这个漏洞封堵上的话,它的能力退70%。芯片产业要大力发展,但同时要注意如何能打造相配套的安全防护体系。
-
即使芯片没有问题,其他层次出现问题依然很致命。今天的安全是多层次结构,有操作系统层面,有网络层面,也有应用程序层面。所以今天很多人做一个钓鱼网站、做一个虚假短信,跟芯片没关系,一样可以做恶劣攻击。芯片是重要的IT基础我们要承认,但安全是多层问题。
我们认为在打造芯片同时也要重视网络安全产业发展,这两个要双轮驱动。也就是在打造芯片产业的同时,在自己设计国产芯片同时,应该提前未雨绸缪考虑到配套安全体系。
问:目前对于一些集中平台个人信息泄露没有问责制,您如何看待这一问题?
周鸿祎:我们也提出过建议,但真的挺难落实。所以国家现在虽然有《网络安全法》,将个人信息保护作为重头,但缺乏执行细则。
-
对于用黑客手段盗窃个人隐私数据,国家绝对要重点打击。现在的问题是因为互联网到了云时代,今天用任何互联网服务,不得不把自己的信息交出去,不交信息用不了服务,不是互联网公司怎么样,是互联网服务先天的特点。
很多互联网公司手里有大量用户数据,能力越大责任越大,国家应该出台相应规定,比如在安全上要作出相应规定,掌握用户数据之后,应该如何处理用户数据,不能私下转卖,不能随便跟别人做交换,这应该有相应规定。
-
要有相应技术能力,保证这些数据至少不是明文存放,是加密存储,至少不会被人攻破。
-
如果被人攻破,现在每次一发生事件,企业似乎都是受害者,其实应该问责。
美国很多政府和大的国防企业建立IT系统时,政府强制要求必须IT投资10%-15%做安全。比如美国萨班斯法案,所有上市的公司都要接受这个法案,除了防止贪污受贿、行贿,还有一个很严格的规定,要符合萨班斯法案,对IT安全、信息安全的投入做非常严格的规定,如果出现用户信息泄露,就违反了萨班斯法。
美国过去几大会计师公司,像安永、普华永道、德勤等,本来都是做会计师审计的公司,现在都成了收入很高的网络安全咨询公司,因为他们要给他们的客户提供网络安全信息咨询服务。甚至安永这样的公司一年收入超过中国所有网络安全公司,可以看得出来美国在重视信息安全的投入方面是有法律法规的。要不投入,出了事就是重罚,你的CEO要坐牢。现在我们有法律,已经有法可依了,但需要执行的细则。
-
尽管很多互联网公司都自信说我有安全的能力,但哪怕是BAT这样的巨头公司,有几万员工,那么多网络设备、那么多服务器,投入很多安全设备,也不排除哪一天有一个员工的疏忽带来安全漏洞,可能就导致整个系统被攻破。安全是一个整体战,某一家互联网公司被脱库,其他家也要去做检查,因为他的用户也可能是你的用户,没准用了一套口令。所以在安全面前没有人可以独善其身,所有人都可能是受害者。
问:您如何看待整个信息安全从业人员普通晋升通道较少或没有晋升通道,导致人员流失问题?
周鸿祎:这种情况现在很少了。未来网络安全产业应该会有爆炸性增长,比如现在国与国之间传统战争打得可能性不大,未来是贸易战、金融战、网络战,近几年美国在网络战上投入非常巨大。对于我国来说,网络安全从业人员薪资比之过去几年都涨了很多倍,雇佣一个高水平网络安全人员工资很高,百万年薪都不算高。
未来全球五百强企业,中国国企、民企在安全上投入都远远不够,即使有了安全大脑、人工智能、大数据,能够发现一些趋势、发现一些苗头,最后解决问题还在上面。现在中国网络安全人员至少有100万人的缺口,最后能不能找到好的工作,能不能拿到好的投资,有没有高薪的身价,还是取决于网络水平,所以赶快到360的网络安全学院来培训吧。(这个广告插入一点都不生硬)
问:如何降低企业安全人为因素的影响?
周鸿祎:安全制度肯定是要定的,但人性跟制度总是矛盾的,人性图方便、图省事,明明隔离网不让连接,偏偏弄一个路由器接进去。希拉里邮件门最近又被提起,希拉里邮件服务器就像公厕一样,全球黑客可能都去过了,因为完全打破了美国政府网络安全的规定,在自家网络里立了一台服务器收发政府相关邮件,都不用国家级黑客力量,可能全世界有兴趣的黑客都进去看了一遍,连前国务卿、总统候选人都违背安全规定,对这个问题真的是防不胜防。我的一个想法是未来用机器来监督。
如果美国政府定期给希拉里发邮件时,在邮件里放一个探针,发现发送目的服务器不在美国政府IP网络里,就应该提出警告,应该报警,或把发送邮件IP关闭,就完全可以避免这个情况。所以还是要靠技术的力量。
例如,现在安全大脑里有一套系统,很多单位私搭乱建WiFi,包括把你的手机跟电脑连上,都是相当于把单位网络打开了一个缺口,我们能够通过定期扫描,发现突然出来了WiFi,把WiFi给干掉。
有一个真实故事,原来我在办公室里买了一台新的音响,需要路由器连我的网络硬盘,我自己拿着路由器设了一个WiFi,没几分钟就被隔断了,我以为WiFi出了问题,我说你们产品质量怎么这么差,折腾半天,最后问了一下他们,他们说这是我们天巡系统在工作,发现有未经授权的WiFi,不知道,你应该报备一下。我相信用技术的力量发现这个问题。
演讲实录:
周鸿祎:2018年ISC大会已经是我们的第六年了,从最早的一个中等规模的会场到今天全场据说有八千名的嘉宾,我们看到了这六年来安全理念不断的变换。
ISC互联网安全大会是由中心网信办、工信部、公安部、国家保密局联合指导,由中国互联网协会、中国网络空间安全协会、中国友谊促进会、中国密码学会、360互联网安全中心共同主办,这里我对大家的支持表示诚挚的感谢。我还要特别感谢我们办会的很多同事,大家都知道这两天正好碰上中非论坛盛会召开,中非论坛昨天的会议也在这个会场,所以等到会议结束之后我们才能连夜布置会场,我们很多的同事一直布置到今天早上才给大家创造了这样一个不错的开会的环境,我也代表公司对我们这些勤奋的同事表示感谢。
感谢完了我吐两个槽,我去美国开ISC大会的时候,他们都发衣服,我也很高兴的穿上。但是很奇怪,好像全世界所有的安全大会都发黑衣服,其实我最不喜欢黑衣服,我希望下次ISC大会能像我一样发红衣服,我希望我们中国的安全大会满场都是红色。
然后说主题,去年的主题是人是安全的尺度,但是我讲的是大安全,今年的是从“0”开始,我觉得这些理念都很对,但是它所描绘的是现状。
我觉得每年的安全大会更应该给大家期望,不只是描述现状,更应该提出未来的方向,至少这个方向抛砖引玉,让我们所有与会的专家来共同讨论。所以我觉得从“0”开始是一个现状,确实意味着我们今天的安全面临更多的挑战和威胁。
但是我想说如何解决呢?所以我今天提出一个概念,就是未来一定要靠大数据加上人工智能构成新一代的“安全大脑”,用“安全大脑”成为未来五年到十年,来解决面临的越来越多的安全威胁的一种技术思路或者一种技术方向。
去年我提出了大安全的理念,因为现在已经进到一个一切皆可编程,万物均要互联的时代,整个社会的运转、政府的治理、老百姓的吃喝玩乐、衣食住行都已经架构在互联网,也就是架构在软件之上。而软件只要是人做的就一定会有漏洞,有漏洞就会被人利用,而网络和软件一旦被人利用和劫持,就会给我们带来灾难性的后果。
虽然这些年互联网、大数据、云计算、人工智能包括区块链,让我们的经济变的越来越高效,生活变的越来越方便,似乎世界变的越来越美好,但是从安全专家,从安全行业的角度来看却未必如此。
很多专家都形成了一个共识,物理世界和虚拟世界已经打通,线上线下的界限正在消失,所有网络空间的攻击都可以直接作用到物理空间,造成对物理世界的伤害。所以今天当我们谈网络安全的危害,已经不能再局限在网络空间或者信息空间,它已经扩展到国家安全、政治安全、国防安全、关键基础设施安全、社会安全、金融安全、个人安全以至于人身安全。
所以我们再次强调,网络安全从信息安全时代进入了大安全时代。这一年来,我们看到网络安全的形式确实也越来越严峻,大型的网络安全事件也更多的发生,比如说今年新加坡的总理李显龙他的个人医疗记录遭到黑客的窃取,8月份全球最大的半导体制造商——台积电遭到勒索病毒的攻击,导致生产线一度停产。这几天某某酒店集团旗下的五亿条用户数据全部泄露,在暗网上被泄露售卖,当然我从来不住这些酒店。还有,就在这几天中国某个省的不动产登记中心遭到大面积勒索病毒攻击,导致整个公民登记不动产的工作没法进行。
也就是,在大安全时代各种新的威胁层出不穷,网络攻击手段更加高明,攻击形式更加多样化,对网络安全的挑战只会越来越大。所以从“0”开始,描绘了我们今天面临的一个窘境,就是过去的很多技术方法、战略指导思想都不管用了。从“0”开始也描述了我们今天面对浩如烟海的未来几百亿、几千亿智能设备连接到网上,我们所面对的迷惑:设备不可信任,网络流量不可信任,而最近层出不穷的安全事件,让很多人都没有了安全感,这里面甚至很多人也是不可信任的,人会有漏洞,人编程会造成漏洞,即使你有很好的安全规则,即使你有很好的安全设备,但是很多内部的人还是会犯一些比较初级的错误。
比如说希拉里的邮件泄露,尽管她老把责任往其它国家身上摘,但是希拉里自己完全无视美国政府的安全制度,私设邮件服务器,给美国的政府安全打开了一个口子,不怕神一样的对手,就怕猪一样的队友,人就会犯错误,就会给网络安全带来致命的伤害。
那我们就需要提出新的解决之道,在过去的几年里面我们也曾经讲过一个理念,网络是整体的,网络不是靠隔离就可以解决问题的。今天对一个国家网络的攻击,很有可能是从对一个企业的攻击,甚至针对一个个人的攻击开始,所以个人安全、企业安全、社会安全和国家网络安全,可能从行业上会分成不同的产业,但是从安全的理念来说,它们实际上是一回事。
今年在美国ISC期间,美国国土安全部的部长在做安全的演讲,他们现在也慢慢认同这个理念,就是在网络威胁面前大家不再区分你的我的,我们是一个整体,没有一个人可以是幸存者,也没有一个人可以袖手旁观。
所以网络安全需要一个整体的作战思维,需要一个全局的大数据观察。从一台电脑、一个设备、一个企业甚至一个城市的数据,掌握全球的网络安全形势究竟如何,针对中国的网络攻击究竟在何处已经做不到,我们必须把全球、全中国的网络大数据整合起来。
从技术上来讲,我们提出了“安全大脑”的这个理念。要融合大数据、云计算、人工智能、万物互联、移动通信、区块链等新技术,通过众多的传感设备和软件,把网络安全大数据传到云端,在云端汇集起全球和全国的大数据,通过人工智能的算法,来实现我们讲的“安全大脑”,实现更智能、整体的对安全的防护。
在今年五月份我们发布了一个1.0的版本“安全大脑”。我们认为这是未来的一个方向,在过去几年里面我们已经成功的用“安全大脑”,预警了多次网络的攻击。就在来开这个会的时候刚刚收到一个短信,我们最近用“安全大脑”发现了全球一个很大的僵尸网络,并和美国的执法机构配合,已经把这个僵尸网络彻底捣毁。
我想说的是,“安全大脑”是一个概念,也是一种思维方式,也是一个方向,它可能是360提出来的,但并不是360独有的。我们希望把这个概念在安全大会上提出来,所有的人可以来拍砖,也希望所有的人能脑洞大开,我们共同想一想在未来我们能安全这么复杂的威胁、这么多变的情况,能不能找到一条技术上的解决之路,结合我们众多的安全专家。
我相信今天也许大家在人工智能和安全的结合上,探索都刚刚开始,但是可以看到人工智能和大数据在很多行业的威力,我们有理由相信大数据加上人工智能,一定是未来我们安全行业一个重要的解决之道。所以我们愿意把我们的“安全大脑”向大家开放,欢迎大家加入到“安全大脑”的共同建设,我们也愿意把“安全大脑”的能力向很多网络安全的同行,向网络安全的公司输出,跟大家合作,共同把中国的“安全大脑”打造成信息领域的核心技术和国之重器。
今年爆发了贸易纠纷,中兴事件也让我们很多人都上了一课,我们意识到中国因为人口的红利我们是互联网大国,但是中国只有网络游戏、只有网络娱乐、只有网络外卖是不够的,我们还要有自己的核心技术。核心技术除了大家感受比较深的看的见摸的着的网络芯片,网络安全也是一方面,它的战略意义一点不亚于芯片。我们希望在网络安全这个方面,能够携手整个行业把“安全大脑”打造成中国自有的杀手锏技术。
今天众多网络安全行业的精英汇聚一堂,我们反复强调,网络安全产业是支持网络强国的基石,做大网络安全产业是我们的共同目标,产业做不大,就不会有优秀的人才流入,就不会有更多的资金流入,也不可能有真正技术的包括原创技术的研发和创新,所以我们希望国家能给予更多的对安全产业的产业支持。我们也认同在大安全时代,没有一个企业行业或者一个单独的政府部门,可以独自应对挑战,必须进行跨企业、跨行业、跨部门、跨军民的大合作、大融合,共同建设网络安全的大生态、大产业。我们希望能够从资金投入、长期规划、人才培训等方面出台促进性政策,尽快做大做强网络安全产业。
ISC现场雷锋网宅客频道(微信公众号:letshome)整理,欢迎关注雷锋网(公众号:雷锋网)宅客频道。
。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/115571.html