編者按：今日，360公司董事長(zhǎng)兼CEO周鴻宣布360進(jìn)軍企業(yè)安全業(yè)務(wù)。他稱，重返企業(yè)安全，將為黨政軍企提供安全服務(wù)。360 計(jì)劃分三步走：第一，共建分布式安全大腦，第二，分享威脅情報(bào)和知識(shí)庫(kù)，第三，賦能客戶。

360公司董事長(zhǎng)兼CEO周鴻祎

以下為雷鋒網(wǎng)編輯整理的周鴻祎演講全文：

躲不過(guò)的網(wǎng)絡(luò)戰(zhàn)

我覺(jué)得“網(wǎng)絡(luò)戰(zhàn)”是一個(gè)敏感詞，但更要正視網(wǎng)絡(luò)戰(zhàn)的現(xiàn)實(shí)。網(wǎng)絡(luò)戰(zhàn)與傳統(tǒng)戰(zhàn)役的不同之處在于不分平時(shí)、戰(zhàn)時(shí)，甚至不會(huì)存在宣戰(zhàn)的說(shuō)法，網(wǎng)絡(luò)攻擊時(shí)刻發(fā)生，攻與防的較量從未停止過(guò)。

證實(shí)網(wǎng)絡(luò)戰(zhàn)序幕已被拉起的例子數(shù)不勝數(shù)，APT24組織網(wǎng)絡(luò)武器瞄準(zhǔn)中國(guó)12個(gè)機(jī)構(gòu)，2019年之前烏克蘭電網(wǎng)攻擊，伊朗震網(wǎng)病毒。2019年，因網(wǎng)絡(luò)攻擊造成的大規(guī)模停電事故時(shí)有發(fā)生。在南美洲，俄羅斯電網(wǎng)被植入后門(mén)，伊朗號(hào)稱攻擊美國(guó)紐約電網(wǎng)......

此外，2019年DEF CON大賽中，7名黑客2天內(nèi)攻破美國(guó)主力戰(zhàn)斗機(jī)F-15系統(tǒng)。北約今年舉辦被稱作“鎖盾2019”的最大規(guī)模網(wǎng)絡(luò)安全演習(xí)，四千個(gè)虛擬軍事系統(tǒng)承受2000多次攻擊......

這一切都在告知世人，網(wǎng)絡(luò)戰(zhàn)不是科幻小說(shuō)或者美國(guó)大片里幻想的未來(lái)，網(wǎng)絡(luò)戰(zhàn)就發(fā)生在當(dāng)下。網(wǎng)絡(luò)戰(zhàn)每天都在發(fā)生，然而因?yàn)槿藗兞?xí)慣了和平的生活環(huán)境，因此覺(jué)得戰(zhàn)爭(zhēng)離我們很遙遠(yuǎn)。

戰(zhàn)爭(zhēng)從來(lái)沒(méi)有遠(yuǎn)離，必須意識(shí)到網(wǎng)絡(luò)戰(zhàn)的嚴(yán)峻形勢(shì)。如果像沙子里的鴕鳥(niǎo)一樣不承認(rèn)網(wǎng)絡(luò)戰(zhàn)的存在，不能意識(shí)到網(wǎng)絡(luò)戰(zhàn)帶來(lái)的挑戰(zhàn)，根本談不上應(yīng)對(duì)網(wǎng)絡(luò)戰(zhàn)。

用備戰(zhàn)視角看待網(wǎng)絡(luò)安全

既然難逃此劫，那就必須用作戰(zhàn)的視角看待網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)戰(zhàn)最大的特點(diǎn)就是不宣而戰(zhàn)。傳統(tǒng)作戰(zhàn)分戰(zhàn)時(shí)和平時(shí)。網(wǎng)絡(luò)作戰(zhàn)最重要的是花相當(dāng)長(zhǎng)的時(shí)間通過(guò)攻擊手段進(jìn)行攻擊和潛伏，滲透到基礎(chǔ)設(shè)施網(wǎng)絡(luò)里，希望在關(guān)鍵的時(shí)候發(fā)起致命一擊。潛伏滲透本身也是網(wǎng)絡(luò)攻擊的一部分，談不上平時(shí)戰(zhàn)時(shí)。

實(shí)際上，今年沒(méi)有任何國(guó)家對(duì)我們宣戰(zhàn)，但已經(jīng)有很多國(guó)家對(duì)我們國(guó)家基礎(chǔ)網(wǎng)絡(luò)不斷地發(fā)起攻擊。

網(wǎng)絡(luò)戰(zhàn)思維讓網(wǎng)絡(luò)安全人員不得不改變應(yīng)對(duì)手段。

過(guò)去，應(yīng)對(duì)的是內(nèi)部員工或者是竊取商業(yè)機(jī)密的友商，甚至是小毛賊，網(wǎng)上小黑客的黑產(chǎn)力量。今天，網(wǎng)絡(luò)戰(zhàn)的對(duì)手全部是各個(gè)國(guó)家成立的網(wǎng)軍。

數(shù)據(jù)顯示，今天已經(jīng)有100多個(gè)國(guó)家成立了超過(guò)200多支網(wǎng)絡(luò)戰(zhàn)部隊(duì)。面對(duì)軍事級(jí)的技術(shù)，國(guó)家之間的對(duì)抗，這是國(guó)家級(jí)的黑客力量，國(guó)家級(jí)的對(duì)手入場(chǎng)。

網(wǎng)絡(luò)環(huán)境沒(méi)有絕對(duì)安全

物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、車(chē)聯(lián)網(wǎng)以及現(xiàn)在談的產(chǎn)業(yè)互聯(lián)網(wǎng)帶來(lái)巨大機(jī)會(huì)的同時(shí)，到了萬(wàn)物互聯(lián)時(shí)代虛擬空間和物理空間完美地銜接。

過(guò)去，所有在數(shù)字空間里的打擊都可以轉(zhuǎn)成物理世界的傷害。今天，關(guān)鍵基礎(chǔ)設(shè)施成為未來(lái)的戰(zhàn)場(chǎng)，所有的網(wǎng)絡(luò)戰(zhàn)攻擊不僅僅是為了竊取情報(bào)，現(xiàn)在可以對(duì)交通、能源、金融等基礎(chǔ)設(shè)施發(fā)起攻擊，可以獲得比傳統(tǒng)作戰(zhàn)更好的破壞效果。

老實(shí)說(shuō)，現(xiàn)階段不存在買(mǎi)了誰(shuí)的技術(shù)、什么系統(tǒng)就可以保證網(wǎng)絡(luò)設(shè)施高枕無(wú)憂，這是一個(gè)謊言。

今天所有的網(wǎng)絡(luò)攻擊之所以能夠得手，黑客都是利用不知道的漏洞，以此可以神奇地控制電腦和主機(jī)，入侵網(wǎng)絡(luò)。所有軟件硬件都是人做的，是人做的就會(huì)犯錯(cuò)誤。據(jù)悉，每一千行代碼里會(huì)有四到六個(gè)錯(cuò)誤，這種技術(shù)漏洞無(wú)法彌補(bǔ)。

此外，今天很多自動(dòng)化的系統(tǒng)，云計(jì)算、大數(shù)據(jù)、人工智能有多少代碼，這里也隱藏很多漏洞。這些漏洞無(wú)處不在，不可避免。

最后，是人的漏洞。無(wú)論有多么嚴(yán)格的網(wǎng)絡(luò)安全的規(guī)定，每一個(gè)單位里總有人會(huì)違反網(wǎng)絡(luò)安全的規(guī)定，會(huì)被社會(huì)工程學(xué)進(jìn)行攻擊。因?yàn)橛辛寺┒?，今天的系統(tǒng)一定會(huì)被網(wǎng)絡(luò)戰(zhàn)部隊(duì)攻進(jìn)來(lái)，不存在攻不破的系統(tǒng)。

因此，安全人員必須切斷一切安全假設(shè)，重新思考戰(zhàn)法。

如此，我們便得出一個(gè)相對(duì)悲觀的結(jié)論——很多網(wǎng)絡(luò)里，與國(guó)防相關(guān)的重要基礎(chǔ)設(shè)施，科研院所等重要網(wǎng)絡(luò)設(shè)施里，或許已經(jīng)存在著“敵已在我”的情況。其含義就是：敵人已經(jīng)進(jìn)來(lái)了，已經(jīng)潛伏在你的基礎(chǔ)設(shè)施網(wǎng)絡(luò)里，只是你還不知道。

不對(duì)等的網(wǎng)絡(luò)保衛(wèi)戰(zhàn)

網(wǎng)絡(luò)環(huán)境易攻難防。

因?yàn)閷?duì)攻擊者來(lái)說(shuō)，只需要兩個(gè)小伙子有一臺(tái)電腦，知道幾個(gè)漏洞就可以任意對(duì)一個(gè)國(guó)家的基礎(chǔ)設(shè)施發(fā)起攻擊。而防守方需有成千上萬(wàn)的技術(shù)人員，面對(duì)著浩如煙海的網(wǎng)絡(luò)設(shè)備都不知道從何下手。

即使防守住一百次攻擊，進(jìn)攻者一次得手，他就成功了。你防住了一百次的攻擊，但有一個(gè)地方疏漏被別人攻進(jìn)來(lái)，你就失敗了，這會(huì)導(dǎo)致嚴(yán)重的攻防不平衡。所以，我們應(yīng)該如何保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，又將何去何從？

網(wǎng)絡(luò)戰(zhàn)時(shí)代必須報(bào)團(tuán)取暖

網(wǎng)絡(luò)戰(zhàn)是整體戰(zhàn)，不分軍用民用。

傳統(tǒng)作戰(zhàn)可能還分一個(gè)目標(biāo)，比如說(shuō)只炸軍用目標(biāo)。但是網(wǎng)絡(luò)戰(zhàn)即使最后的目標(biāo)是攻擊一個(gè)國(guó)家基礎(chǔ)設(shè)施，也往往會(huì)從攻擊一個(gè)個(gè)人開(kāi)始作為跳板，經(jīng)過(guò)一連串的攻擊鏈，最后才能達(dá)到目標(biāo)。

在攻擊個(gè)人的時(shí)候，可能還會(huì)攻擊這個(gè)人經(jīng)常上的網(wǎng)站、經(jīng)常用的郵箱。在網(wǎng)絡(luò)戰(zhàn)里不區(qū)分國(guó)家、企業(yè)和個(gè)人，安全是一個(gè)整體。

隨著互聯(lián)網(wǎng)的發(fā)展，我們發(fā)現(xiàn)越來(lái)越多地軍事基礎(chǔ)設(shè)施和國(guó)家重要的其他設(shè)施越發(fā)難以隔離，他們會(huì)被互聯(lián)網(wǎng)緊密聯(lián)在一起。

隨之帶來(lái)的問(wèn)題，即使把自己保護(hù)的很好，但俗話說(shuō)不怕神一樣的對(duì)手，就怕豬一樣的隊(duì)友。與你聯(lián)網(wǎng)的某一個(gè)供應(yīng)商或者與某一個(gè)雇員，他的網(wǎng)絡(luò)有重要的安全缺陷被人攻陷，可能意味著你所有嚴(yán)防死守的網(wǎng)絡(luò)也會(huì)被攻陷。

關(guān)于五角大樓問(wèn)題，我曾提出過(guò)這樣的疑問(wèn)——五角大樓為什么要連互聯(lián)網(wǎng)？為什么不隔離？后來(lái)我才知道，起初是連上波音，波音連上二級(jí)供應(yīng)商與合作伙伴，如此便一發(fā)不可收拾。諷刺的是，今天美國(guó)五角大樓還要用亞馬遜的安全系統(tǒng)。

如今的互聯(lián)網(wǎng)環(huán)境下，聯(lián)網(wǎng)的誘惑非常大。整個(gè)網(wǎng)絡(luò)連成一個(gè)整體。做安全必須得有整體的頂層設(shè)計(jì)考慮，如為果各個(gè)單位都是各自為戰(zhàn)，每個(gè)人只守住自己當(dāng)前的一畝三分地是不行的。因?yàn)槠渌说牟话踩赡軙?huì)連累你。

面臨：網(wǎng)絡(luò)超限戰(zhàn)

現(xiàn)在觀察到的攻擊手法，各種手段無(wú)所不用其極，沒(méi)有正的招數(shù)都是歪招，而且是綜合手段。

很多單位覺(jué)得隔離有效，通過(guò)刻光盤(pán)傳遞數(shù)據(jù)，卻不知刻的光盤(pán)里被放入一個(gè)病毒；我們覺(jué)得新買(mǎi)的設(shè)備總是沒(méi)有問(wèn)題的，但某國(guó)網(wǎng)軍在硬盤(pán)里植入病毒，總有一塊硬盤(pán)會(huì)賣(mài)到你家；某一個(gè)核電站隔離的很好，對(duì)方的網(wǎng)絡(luò)攻擊則會(huì)利用線下間諜的手段買(mǎi)通一個(gè)清潔工或者內(nèi)賊，把一個(gè)設(shè)備插入內(nèi)部的電腦網(wǎng)絡(luò)發(fā)起攻擊......網(wǎng)絡(luò)戰(zhàn)的手段是多元的，而且美軍已經(jīng)率先把全域作戰(zhàn)的概念，即陸?？仗炀W(wǎng)，多種情況下的作戰(zhàn)形式綜合使用。

網(wǎng)絡(luò)站也是秘密戰(zhàn)

網(wǎng)絡(luò)戰(zhàn)可以在瞬間致癱基礎(chǔ)設(shè)施，前提是要通過(guò)長(zhǎng)期的謀劃及滲透，這里有一個(gè)攻擊鏈。因?yàn)槭菄?guó)家級(jí)的團(tuán)隊(duì)，用的都是0-day的漏洞，因此網(wǎng)絡(luò)戰(zhàn)的攻擊和傳統(tǒng)的攻擊相比看起來(lái)顯得更為隱秘、來(lái)無(wú)影去無(wú)蹤，很難溯源和取證。

未來(lái)網(wǎng)絡(luò)戰(zhàn)將成為國(guó)與國(guó)角力的首選，成本低，效果好，烈度可控。連反擊都不知道找誰(shuí)反擊。美國(guó)和伊朗互相揚(yáng)言攻擊很多次，最后導(dǎo)彈不舍得打。雙方最后選擇在網(wǎng)絡(luò)戰(zhàn)上近來(lái)角力。未來(lái)下一個(gè)五年會(huì)看到越來(lái)越多與網(wǎng)絡(luò)戰(zhàn)相關(guān)的安全威脅。

“看見(jiàn)”網(wǎng)絡(luò)戰(zhàn)

為何今天旗幟鮮明地講出網(wǎng)絡(luò)戰(zhàn)？因?yàn)檫@對(duì)每一個(gè)做網(wǎng)絡(luò)安全的人來(lái)說(shuō)代表了全新的挑戰(zhàn)——對(duì)手變了，作戰(zhàn)目標(biāo)變了，戰(zhàn)法也變了。

原來(lái)很多成立的假設(shè)，例如我們的網(wǎng)絡(luò)固若金湯，隔離有效，現(xiàn)在都不是這回事了。通過(guò)強(qiáng)調(diào)“敵已在我”的理念，要知曉你的內(nèi)部網(wǎng)絡(luò)或許已經(jīng)有別人的潛伏。

傳統(tǒng)安全模式，通過(guò)不斷地購(gòu)買(mǎi)更多安全軟件，構(gòu)筑馬奇諾防線的戰(zhàn)法已經(jīng)失效。今天網(wǎng)絡(luò)戰(zhàn)的情況下，傳統(tǒng)網(wǎng)絡(luò)安全的戰(zhàn)法確實(shí)需要升級(jí)。否認(rèn)面對(duì)網(wǎng)絡(luò)戰(zhàn)，我們將無(wú)以應(yīng)對(duì)。

因此，網(wǎng)絡(luò)戰(zhàn)最關(guān)鍵的是看見(jiàn)。

在分析最近五年國(guó)內(nèi)乃至全世界所有網(wǎng)絡(luò)攻擊事件后，我們發(fā)現(xiàn)最可怕的一點(diǎn)是別人來(lái)了你不知道，別人走了也不知道，干了什么也不知道，留了什么也不知道。

如果我們不能解決“看見(jiàn)”網(wǎng)絡(luò)攻擊的問(wèn)題，堆砌再多的網(wǎng)絡(luò)軍火，堆砌再多的網(wǎng)絡(luò)產(chǎn)品，都和打仗沒(méi)有雷達(dá)像睜眼瞎一樣，有再多的導(dǎo)彈也看不到別人的隱身飛機(jī)在哪里，那有談何溯源，談何反制呢？

因此，看見(jiàn)網(wǎng)絡(luò)戰(zhàn)的攻擊是1，其余都是0。

那么，如何看見(jiàn)？

網(wǎng)絡(luò)安全大數(shù)據(jù)是看見(jiàn)的基礎(chǔ)，網(wǎng)絡(luò)安全大數(shù)據(jù)可以記錄整個(gè)網(wǎng)絡(luò)空間里所有正常軟件的通信行為，也包括不正常的行為。只有企業(yè)的數(shù)據(jù)是不夠的，網(wǎng)絡(luò)攻擊不僅僅是攻擊企業(yè)，會(huì)從攻擊個(gè)人消費(fèi)者開(kāi)始入手，我們必須考慮要有全網(wǎng)的數(shù)據(jù)。

只有最近幾天的數(shù)據(jù)也是不夠的，因?yàn)榫W(wǎng)絡(luò)安全的攻擊時(shí)效周期很長(zhǎng)，有的謀劃長(zhǎng)達(dá)幾年，潛伏期也很長(zhǎng)。只有把全網(wǎng)所有發(fā)生的事情攤開(kāi)在各種維度上看才能真正地知道網(wǎng)絡(luò)空間里發(fā)生了什么。

想要“看見(jiàn)”，威脅情報(bào)和知識(shí)庫(kù)是最重要的核心，它幫助我們?cè)诖髷?shù)據(jù)中學(xué)習(xí)，從而篩選出可疑的因素、漏洞。

有了大數(shù)據(jù)和知識(shí)庫(kù)，網(wǎng)絡(luò)戰(zhàn)的本質(zhì)是人與人的對(duì)抗，高級(jí)別的攻防專(zhuān)家最后關(guān)頭有決定性的作用。

網(wǎng)絡(luò)戰(zhàn)的層面，AI短期內(nèi)起不了決定的作用，起決定作用的依然是雙方高水平的網(wǎng)絡(luò)攻防人員。當(dāng)我們利用大數(shù)據(jù)、知識(shí)庫(kù)篩選出可疑的入侵信號(hào)以后，妄想靠任何自動(dòng)化的軟件自動(dòng)發(fā)現(xiàn)阻斷是不可能的，我們需要高水平的安全專(zhuān)家。通過(guò)專(zhuān)家快速地響應(yīng)，快速在實(shí)戰(zhàn)中的分析，從而能夠發(fā)現(xiàn)和定位攻擊，才能做到對(duì)攻擊進(jìn)行阻斷和溯源以及止損。

360為何重返企業(yè)安全？

之所以重返企業(yè)安全，不是為了與所有的同行競(jìng)爭(zhēng)成為行業(yè)公敵。其實(shí)定位很簡(jiǎn)單，進(jìn)軍企業(yè)安全要干點(diǎn)非360莫屬的事——我們?yōu)辄h政軍企提供安全服務(wù)，定位在國(guó)與國(guó)網(wǎng)絡(luò)戰(zhàn)下的，幫助搭建基礎(chǔ)設(shè)施，幫助企業(yè)和國(guó)家能夠“看見(jiàn)”攻擊，阻斷攻擊和修復(fù)系統(tǒng)的能力，這是360的使命和定位。

光靠360解決不了整個(gè)網(wǎng)絡(luò)戰(zhàn)的問(wèn)題，還做三件事。

第一，共建分布式安全大腦，很多單位有自己的大數(shù)據(jù)，我的大數(shù)據(jù)不可能給你，你的大數(shù)據(jù)也不可能給我。我們會(huì)輸出分享網(wǎng)絡(luò)安全大腦的大數(shù)據(jù)分析技術(shù)，幫助政府部門(mén)基礎(chǔ)設(shè)施企業(yè)，也幫助生態(tài)伙伴打造自己的安全大腦。

自己掌控自己的網(wǎng)絡(luò)安全大數(shù)據(jù)，也具備很強(qiáng)的分析能力。今天講大數(shù)據(jù)，不求擁有和拷貝，但求互相查詢。像分布式的雷達(dá)防御系統(tǒng)一樣，每個(gè)人可能都能夠看到網(wǎng)絡(luò)里發(fā)生的碎片事件，但當(dāng)我們把碎片拼起來(lái)的時(shí)候能夠告訴國(guó)家又發(fā)生怎樣的網(wǎng)絡(luò)戰(zhàn)攻擊。

第二，分享威脅情報(bào)和知識(shí)庫(kù)。

360最重要的就是由大數(shù)據(jù)產(chǎn)生的威脅情報(bào)和知識(shí)庫(kù)，并不是傳統(tǒng)安全的產(chǎn)品就過(guò)時(shí)無(wú)用。傳統(tǒng)安全的很多產(chǎn)品，防火墻和終端軟件也需要升級(jí)。360會(huì)向友商分享威脅情報(bào)知識(shí)庫(kù)，幫助傳統(tǒng)的網(wǎng)絡(luò)軟硬件產(chǎn)品升級(jí)。每一個(gè)網(wǎng)絡(luò)安全產(chǎn)品在背后都有網(wǎng)絡(luò)安全大腦，都可以得到最新的網(wǎng)絡(luò)威脅情報(bào)的時(shí)候，我們所有的老產(chǎn)品及新產(chǎn)品一塊能夠聯(lián)合起來(lái)都能夠發(fā)現(xiàn)威脅，阻斷威脅。

第三，賦能客戶。

過(guò)去解決的是小安全問(wèn)題，我們給客戶琢磨賣(mài)點(diǎn)東西，客戶再弄幾個(gè)網(wǎng)管可以解決安全問(wèn)題。到了網(wǎng)絡(luò)戰(zhàn)時(shí)代，客戶面臨的網(wǎng)絡(luò)威脅是專(zhuān)業(yè)的軍事力量。我們希望給客戶賣(mài)點(diǎn)東西就解決安全問(wèn)題嗎，這是閉門(mén)造車(chē)。最重要的不是給客戶賣(mài)東西，而是如何提升客戶應(yīng)對(duì)網(wǎng)絡(luò)戰(zhàn)的能力。如何幫助客戶建立應(yīng)急響應(yīng)隊(duì)伍，如何通過(guò)實(shí)戰(zhàn)攻防幫助客戶提升應(yīng)對(duì)能力，如何幫助客戶利用眾包把中國(guó)甚至是全世界的優(yōu)秀安全人員發(fā)動(dòng)起來(lái)幫助你找漏洞以及修補(bǔ)漏洞。如何幫助大家培養(yǎng)自己的人才。

武器不是萬(wàn)能的，今天賣(mài)再多的安全產(chǎn)品，如果每一個(gè)單位的基礎(chǔ)設(shè)施不能建立核心的網(wǎng)絡(luò)安全應(yīng)對(duì)力量，不能建立起自己的安全應(yīng)對(duì)體系，不能建立自己的靶場(chǎng)，不能建立自己的培訓(xùn)體系，只是買(mǎi)了一堆產(chǎn)品就夢(mèng)想著可以應(yīng)對(duì)網(wǎng)絡(luò)戰(zhàn)是不現(xiàn)實(shí)的。雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

我們未來(lái)不賣(mài)產(chǎn)品，只是安全服務(wù)的搬運(yùn)工。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。