周末宅在家的雷鋒網(wǎng)編輯看了斯皮爾伯格的神作《頭號(hào)玩家》，電影向我們展示了一個(gè)未來(lái)科技生活的圖景，每個(gè)人只要佩戴“綠洲”游戲傳感器，就可以完全生活在線上游戲世界，在游戲世界里夢(mèng)想也觸手可及?？犰诺漠嬅妗⒛X洞大開的劇情、充滿青春回憶的上百個(gè)彩蛋，看過(guò)電影的雷鋒網(wǎng)編輯不禁感嘆，這樣的生活未免也太爽了吧。

但電影終歸是電影，回到現(xiàn)實(shí)，5G 依舊是一個(gè)不確定的因素，而這種不確定性會(huì)給各行各業(yè)都帶來(lái)特別大的挑戰(zhàn)，因?yàn)榘踩退袞|西都相關(guān)，所以當(dāng)所有事情都不確定的時(shí)候，安全就會(huì)有很大的挑戰(zhàn)。

1 月 11 日，“ 5G+ ”智慧安全融創(chuàng)發(fā)展論壇暨 2019 網(wǎng)絡(luò)安全“金帽子”年度盛典在北京舉行，360 集團(tuán)首席安全官杜躍進(jìn)圍繞 5G 時(shí)代下的安全的確定與不確定做了主題演講。

杜躍進(jìn)認(rèn)為 5G 帶動(dòng)了網(wǎng)絡(luò)環(huán)境的巨變，推動(dòng)智能化的全面和深入發(fā)展。進(jìn)一步實(shí)現(xiàn)了網(wǎng)絡(luò)世界和物理世界的融合，推動(dòng)安全被重新定義。而客觀上邊界的消失，造成攻擊者僅需一點(diǎn)突破即可“內(nèi)網(wǎng)漫游”。嚴(yán)重的資源不對(duì)稱，也會(huì)給受攻擊方造成大量的隱患。

所以在他看來(lái)，我們需要升級(jí)到“智慧時(shí)代”，而安全大腦是實(shí)現(xiàn)智慧安全的基礎(chǔ)，解決問(wèn)題離不開持續(xù)高水平的安全服務(wù)，首先要完善企業(yè)頂層設(shè)計(jì)，給予人員最佳實(shí)踐學(xué)習(xí)機(jī)會(huì)。通過(guò)定制化的威脅情報(bào)和威脅應(yīng)對(duì)支持服務(wù)，對(duì)企業(yè)系統(tǒng)化的和持續(xù)的培訓(xùn)，以及專業(yè)、規(guī)范和持續(xù)的實(shí)網(wǎng)攻防與演練、系統(tǒng)化的漏洞發(fā)現(xiàn)和管理，專業(yè)的安全運(yùn)營(yíng)和應(yīng)急響應(yīng)，以此幫助組織建立更加完善的安全體系。

以下為演講全文，雷鋒網(wǎng)在不影響原意的情況在對(duì)其進(jìn)行了編輯。

我們都非常不喜歡不確定性，不知道明天會(huì)怎么樣，所以我們都很焦慮。

一方面，國(guó)際形勢(shì)會(huì)對(duì)安全本身造成影響，比如說(shuō)中美貿(mào)易戰(zhàn)、英國(guó)脫歐等，世界經(jīng)濟(jì)也處于疲軟狀態(tài)， 正是這種國(guó)際因素的不穩(wěn)定性，讓大家莫名的感到恐懼，所以很多人都說(shuō)不安全，但沒(méi)有人知道為什么不安全。

另一方面，從安全本身來(lái)看，幾乎每天我們都會(huì)聽到各種各樣的安全事件發(fā)生，勒索病毒、數(shù)據(jù)泄露、黑灰產(chǎn)、漏洞威脅等，但市面上的安全產(chǎn)品眼花繚亂，安全觀點(diǎn)林立，我們更不明白到底什么才是安全的  產(chǎn)品，所以這造成了更大的不確定性恐慌。這樣估算下來(lái)，至少還有三十年我們會(huì)處在這樣快速的變化和不確定的世界里面。我們?nèi)绾芜m應(yīng)這樣一個(gè)世界，變成每一個(gè)人必須思考的問(wèn)題。

適應(yīng)這樣的世界，個(gè)人認(rèn)為需要在這種不確性里面找到那些確定的東西，只有這樣才能讓自己時(shí)刻保持  清醒，保持進(jìn)步。

第一個(gè)是安全行業(yè)本身的確定和不確定，確定的是安全公司一定是更被需要的，不確定的是有些企業(yè)被忽悠買了無(wú)效的安全產(chǎn)品卻不知道問(wèn)題出在哪，或者認(rèn)為安全公司是騙子解決不了問(wèn)題。安全這件事情是潘多拉盒子，它不是被打開，而是腐朽了，潘多拉盒子里流出來(lái)的黑水正在流向世界的每一個(gè)角落。過(guò)去只是我們這幫搞計(jì)算機(jī)的人，搞網(wǎng)絡(luò)安全的人跟潘多拉盒子里面跟壞人對(duì)抗著，因?yàn)楣粽吖サ氖怯?jì)算機(jī)系統(tǒng)，攻的是和計(jì)算機(jī)系統(tǒng)相關(guān)的各種各樣的東西。這些人雖然我不知道，也不敢說(shuō)就比壞人多厲害，但是我們知道壞人都在干什么，我們知道壞人的手段和他們的想法。但是今天的世界是智慧世界、智能世界，所有的東西都在變智能，所有的東西都可以聯(lián)網(wǎng)，世界上的每一個(gè)角落都變得聰明，但是聰明并不意味著安全。

第二個(gè)確定的是安全行業(yè)的任務(wù)更艱巨了，不確定的是我們能應(yīng)對(duì)嗎？能應(yīng)對(duì)到什么程度和水平？

世界越來(lái)越不安全，其實(shí)不是我軍無(wú)能，實(shí)在是敵軍成長(zhǎng)太快，僅中國(guó)就有超過(guò)200萬(wàn)人在做黑灰產(chǎn)，每年我們國(guó)家的 IT 預(yù)算里只有很小的一點(diǎn)點(diǎn)留給安全，都不知道用在哪里去了。

第三個(gè)確定的是原來(lái)搞安全的方法行不通了。

第一，客觀上各種各樣的邊界都在消失。安全是一種對(duì)抗，我們習(xí)慣用傳統(tǒng)的對(duì)抗理論來(lái)看安全。傳統(tǒng)的對(duì)抗領(lǐng)域理論是找到關(guān)鍵的必經(jīng)之路，然后在這里守住，集重兵之力防御就行了。但是現(xiàn)在的世界哪里還有關(guān)口？邊界都沒(méi)有了。現(xiàn)在我們?cè)谝粋€(gè)點(diǎn)上防御、或者在一個(gè)面上防御，其實(shí)這些都不對(duì)，現(xiàn)在是立體空間，任何地方都是可以被入侵的：每個(gè)人都是弱點(diǎn)；每個(gè)業(yè)務(wù)都在快速迭代，每個(gè)迭代的版本都會(huì)出問(wèn)題；每個(gè)業(yè)務(wù)規(guī)則稍不小心配錯(cuò)公司就會(huì)破產(chǎn)，一個(gè)規(guī)則配錯(cuò)，一個(gè)業(yè)務(wù)配錯(cuò)，公司都會(huì)破產(chǎn)，5G 更是讓每個(gè)地方都可以被入侵進(jìn)來(lái)。這種情況下應(yīng)該在哪里守？所以在這種情況下其實(shí)無(wú)險(xiǎn)可守。

第二，攻防不對(duì)稱，資源不對(duì)稱。對(duì)方可以收集很多的資源，可以用僵尸網(wǎng)絡(luò)，利用全世界大量的資源攻擊你，而你的每個(gè)資源是你自己花錢買的。在這種客觀條件下，我們主觀上的原因讓自己陷入了更加糟糕的境地。一是各自為戰(zhàn)，我說(shuō)的各自為戰(zhàn)不完全是指安全企業(yè)之間缺乏配合，更多是指客戶們各自為戰(zhàn)。我們?cè)噲D在自家院子里搭一些攝像頭，看不到敵人就認(rèn)為世界是安全的。但事實(shí)上，我們只看到了一部分的數(shù)據(jù)，看不到整個(gè)威脅情況。

所以這樣看來(lái)，不確定的是我們改變這些問(wèn)題的進(jìn)度是什么？或者說(shuō)來(lái)不來(lái)得及？

第四個(gè)確定的是安全如果要想有未來(lái)，需要有大數(shù)據(jù)。今天我們把數(shù)據(jù)當(dāng)成魔鬼，談數(shù)據(jù)色變，我的觀點(diǎn)和別人不一樣，在我看來(lái)，采集不等于做壞事，采集之后怎么用、怎么防才決定是不是做壞事，而從安全的角度來(lái)說(shuō)如果不讓一個(gè) APP 采集數(shù)據(jù)，實(shí)際上會(huì)讓安全徹底無(wú)法做了。所以和別的行業(yè)一樣，我們需要更大范圍的數(shù)據(jù)，我們需要更長(zhǎng)時(shí)間的歷史數(shù)據(jù)，因?yàn)槟憬裉炜吹降漠惓Ｐ袨?，可能?duì)方在三年前或五年前就已經(jīng)有準(zhǔn)備了，今天如果沒(méi)有三、五年前的數(shù)據(jù)，你就無(wú)法還原對(duì)方到底在干什么。

而不確定的是這樣的數(shù)據(jù)在哪里？或者說(shuō)有了大數(shù)據(jù)有能力用起來(lái)嗎？

第五個(gè)確定的是我們所有的安全，一定要轉(zhuǎn)到攻防視角。無(wú)論你給客戶講什么，一定要轉(zhuǎn)到攻防視角。在客戶的視角也是如此，當(dāng)別人給你講任何事情的時(shí)候，你要想一想，這是不是符合攻防視角，因?yàn)榘踩a(chǎn)品最后靈還是不靈，就看一件事情，實(shí)戰(zhàn)扛不扛得住。

不確定的是到底應(yīng)該怎么做到這一點(diǎn)。

第六個(gè)確定的是合規(guī)是底線、身份是青銅。

對(duì)抗最典型的就是軍事級(jí)的對(duì)抗，所以，合規(guī)只是一個(gè)最基本的東西。但是可以衡量的是能力，合規(guī)只是一個(gè)底線，我們不能再拿合規(guī)忽悠所有的用戶，合規(guī)只是基本要求。

不確定的是怎么讓客戶改變這樣的認(rèn)識(shí)？

第七個(gè)確定是我們需要高質(zhì)量的人，人是創(chuàng)造力、戰(zhàn)斗力，是提供服務(wù)的基礎(chǔ)，不確定的是人在哪里？要怎么用？

第八個(gè)確定的是網(wǎng)絡(luò)安全需要整體思維。能看見(jiàn)的范圍越大、越清楚，安全產(chǎn)品才有競(jìng)爭(zhēng)力。如果沒(méi)有整體思維，我們永遠(yuǎn)做不到這一點(diǎn)，如果沒(méi)有整體思維，我們看到的中國(guó)網(wǎng)絡(luò)空間安全，就只是你看到自己領(lǐng)地的小燈照亮的范圍，其他地方全是黑的，加上 360 全網(wǎng) C 端的安全大數(shù)據(jù)，底座可能是亮的，但其他地方都是黑的。當(dāng)然整體思維不僅僅是指發(fā)現(xiàn)，整體思維是指很多方面的東西，要形成聯(lián)動(dòng)。

而不確定的是對(duì)方會(huì)在任何一個(gè)地方打我們?nèi)魏我粋€(gè)點(diǎn)，要怎么防？

第九個(gè)確定的是，我們需要升級(jí)到“智慧時(shí)代”，和別的領(lǐng)域一樣，安全也需要大腦。解決問(wèn)題離不開持續(xù)高水平的安全服務(wù)，首先要完善企業(yè)頂層設(shè)計(jì)，給予人員最佳實(shí)踐學(xué)習(xí)機(jī)會(huì)。通過(guò)定制化的威脅情報(bào)和威脅應(yīng)對(duì)支持服務(wù)，對(duì)企業(yè)的系統(tǒng)化和持續(xù)化的培訓(xùn)，以及專業(yè)、規(guī)范和持續(xù)的實(shí)網(wǎng)攻防與演練、系統(tǒng)化的漏洞發(fā)現(xiàn)和管理、專業(yè)的安全運(yùn)營(yíng)和應(yīng)急響應(yīng)，以此幫助組織建立更加完善的安全體系。

不確定的是對(duì)方是通過(guò)超時(shí)空、超能力和隱身衣來(lái)攻擊的，可以從任何一點(diǎn)把能力投射到任何另外一點(diǎn)，網(wǎng)絡(luò)空間防御有可能做到這一點(diǎn)嗎？

最后，大安全時(shí)代物理世界和網(wǎng)絡(luò)世界不分，所有的東西都在融合，生存密碼一定是智能互聯(lián)、整體攻防和實(shí)戰(zhàn)能力。

注：圖片為嘶吼傳媒官方提供

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。