0
| 本文作者: 李勤 | 2019-08-21 18:48 |
8 月 21 日,首屆北京網絡安全大會(BCS 2019)在國家會議中心召開。奇安信集團董事長齊向東發(fā)表名為“內生安全:以聚合應萬變”的主題演講,隨后接受了包括雷鋒網在內的媒體采訪。
這是 4 月周齊分家后,齊向東第一次正面、深入地回答“360 收回數據、品牌、技術后,奇安信有沒有受到影響”等相關問題。
不了解前情的讀者請點擊雷鋒網過往文章:《周鴻祎版兄弟情:十米之外,送齊離開》《中國電子戰(zhàn)略入股奇安信,老齊說,我要贏》。
我們先來看重點問答。
齊向東:品牌肯定沒有受到影響,我們 4 月 29 號一天就把品牌切分完了。我們的政府和企業(yè)客戶對切品牌這件事是零反響,反正我沒接到一個電話。因為在個人互聯(lián)網安全市場里,安全屬于快消品,老百姓看的是品牌,比如喝可樂、喝酒都得看什么牌子,換牌子我不喝。政府購買服務時,他看中的是你的團隊的能力,并且組織水平和能力都比你高的專家對你進行評估。你一旦進入這個市場給他提供服務時,服務好,客戶就繼續(xù)用你,服務不好,客戶接著就換人,真正的能力和服務起主導性作用。
況且,奇安信不是新公司,我們在 2014 年開始籌劃做政企安全時,注冊的就是奇安信。2016年,360 從美國退市,我們和 360 分拆時,簽約的主體是奇安信 。近三年來,奇安信和客戶簽署的購銷合同并未使用 “360” 品牌,而是奇安信的自有品牌。所以,這次我們停用“360”的品牌,獨立使用奇安信的品牌,對我們的業(yè)務沒有什么影響。
技術層面,企業(yè)安全用到的技術是完全不一樣的技術,如果我們拿著給老百姓電腦服務的軟件買給政府,會被掃地出門,因為你解決不了它的安全問題。
數據層面,泛化的大數據解決不了一個系統(tǒng)的安全問題,需要場景化的具體數據,叫內生數據。只有內生數據才是安全能力的驅動力。比如,工商銀行是我們的客戶,我們保衛(wèi)工商銀行的網絡不被攻擊,業(yè)務不中斷,就必須無死角地收集全工商銀行網絡里和業(yè)務有關的安全數據。我們才能知道,今天訪問中國工商銀行的一個銀行的網站有多少人,哪些人是正常用戶,哪些是惡意用戶。這些惡意的用戶想干什么?應該如何阻擊?這才是有效的。360 經過多年的積累,有豐富的網民的電腦數據,這些數據是威脅情報的來源之一。但靠這些數據,解決不了政府和企業(yè)網絡具體場景的業(yè)務安全問題。
我們用五年時間成為了中國最大的政企安全大數據公司。我們現在有超過 4000 萬臺的政企終端,給 100 多萬臺服務器提供了保護。我們網絡邊界防護設備累計部署量達 20 萬臺,為近 70 萬個網站提供了網絡邊界云防護服務。我們每天都能源源不斷地拿到大量對不同網絡、不同業(yè)務場景進行攻擊的數據,這些數據對保護我們的客戶安全起著至關重要的作用。這個數據就是內生安全數據。這些內生的安全數據是安全能力的驅動力。
齊向東:中國電子一個人沒派,因為它是我們的戰(zhàn)略投資股東,我們是做業(yè)務協(xié)同的,公司的管理機制各方面都沒有發(fā)生變化。
中國電子加盟之后,確實給我們帶來了非常重大的機遇。中國電子是網信領域的國家隊,中國電子的戰(zhàn)略入股讓奇安信變身網絡安全國家隊,讓我們在國家安全的市場上有了更大的發(fā)展空間。
我覺得中國電子的進入對我們沒挑戰(zhàn),只有機遇。我們跟中國電子是互幫互助,相互促進的關系。中國電子打造的由飛騰(Phytium)CPU+麒麟(Kylin)操作系統(tǒng)組成的 “PK體系”,叫本質安全,喝奇安信的安全能力、CPU、操作系統(tǒng)融合后,就會產生非常強大的內生安全體系。
如果非要說挑戰(zhàn),那么就是市場和客戶對奇安信的要求,奇安信一定要變得更強大。
齊向東:我們是先有動作、實踐,之后總結出來的這一套成果,我們不是先提一個概念去做宣傳。我們完全按這套理論體系做了一年,很多大型機構是我們的成功客戶。客戶不僅能接受,而且非常希望能建設這樣一種內生安全能力,所以我今天把這個成功案例總結了出來。
我們認為客戶需求是發(fā)展趨勢,因為它代表政府、銀行、大型企業(yè)的想法,這對安全公司來說也是好事,因為你可以更好地履行保障客戶安全的責任。這種趨勢會改變網絡安全產業(yè)的技術生態(tài),技術是依據客戶需求而進行創(chuàng)新的。所以,我們希望通過我們經驗總結出的這套內生安全體系成為這個行業(yè)的風向標,讓更多的同行能夠按照這樣的方法跟他們的客戶溝通。
我再補充一下關于競爭對手的事。在 to B 行業(yè),一家公司能占到 10% 的市場份額就已經很罕見,它跟互聯(lián)網這個行當不一樣。互聯(lián)網行業(yè)里,有第一,沒有第二,所以互聯(lián)網的競爭非常慘烈,你爭不上第一可能就只有死路一條。但是在 to B 這個行業(yè),因為客戶極其專業(yè),業(yè)務場景極其個性化,所以它的市場是非常廣泛的。排名第一的公司,哪怕市場份額占 10%、20%,還有90%、80%的市場是全行業(yè)的,所以這個市場里沒有“不是第一,一定要死”的這種“魔律”,這個行業(yè)的競爭是良性的,通過競爭才能促進互相進步;通過競爭,客戶才能得到更好的服務;通過競爭,才能促進技術的創(chuàng)新。
這種競合關系在互聯(lián)網行業(yè)是不存在的,因為二八定律,不是第一就是死。所以互聯(lián)網公司進入到面向未來 to B 市場時,大家都很雄心勃勃,但是需要轉變觀念,別用拼命的心態(tài)進入這個市場。對客戶來說,你見一個生意就拼命,誰敢雇你,沒人敢接受你的服務,你不滿意就跳樓,那不行,要保持良好的心態(tài)。
齊向東:不是幫助建,是在做信息化系統(tǒng)和安全系統(tǒng)的聚合。這種融合要從整個系統(tǒng)規(guī)劃開始,同步規(guī)劃、建設和運營,我們叫“三同步”,客戶也都很認同這個觀點。,
去年,我們提了“安全從0開始”,很多人沒有完全理解,其實說的就是信息化系統(tǒng)和安全系統(tǒng)的聚合,信息化系統(tǒng)“從0到1”的過程中就要讓安全公司參與,讓信息化系統(tǒng)的架構具備安全能力,這時你的業(yè)務才安全。實際上,我們這樣的成功客戶已經非常多,而且這個理論不是我們自己發(fā)明的,是我們在服務客戶的實踐中總結出來的。我們跟客戶之間叫互相促進。因為客戶是我們最好的老師,它有復雜的業(yè)務場景,它有它的要求,它面臨的狀況它也自己最清楚,所以我們應該說是互相促進、互相成長的過程。
齊向東:根據今年初人力資源部做的數據統(tǒng)計,研發(fā)人員占比 44%,技術人員占比 18%,安全服務人員占比 11%,從事安全業(yè)務的人數超過了 4000人。
關于上市,你們應該能在北京證監(jiān)局的網站上看到,我們已經開始接受北京證監(jiān)局的輔導,應該很快會申報上科創(chuàng)板。
另附齊向東的演講全文:
世界正迎來百年一遇的大變局。以互聯(lián)網、5G、人工智能技術的發(fā)展與普及為代表的第四次工業(yè)革命的浪潮,把我們帶入了物聯(lián)網的時代。結合今年的主題,我今天的演講分為三個關鍵詞:進化、內生和聚合。
第一部分,說進化。
首先,我們的環(huán)境經歷了從 I 到 C 的演化。過去,我們討論網絡安全,其實說的是互聯(lián)網安全(Internet Security),但現在網絡安全的內涵和外延不斷擴大,向網絡空間安全(Cyber Security)全面升級。
在互聯(lián)網時代,我們主要防止數據被破壞、被泄漏和網絡癱瘓;在網絡空間安全時代,安全目標是包含設施、數據、用戶、操作在內整個網絡空間的系統(tǒng)安全。攻擊物聯(lián)網,就等于攻擊物理世界。自動駕駛汽車被攻擊,可能導致車毀人亡;電站被攻擊,可能導致災難性事故。
伴隨著從I到C的全面演進,我們必須從更高的維度、更廣的視角來審視網絡安全問題。因為在物聯(lián)網的時代,我們除了要關注信息安全,更要思考如何保障關鍵信息基礎設施和眾多物聯(lián)網設備的運行安全。
其次,我們面對的客戶正經歷從 C 到 B 的變化。互聯(lián)網時代,網絡攻擊的目標主要是個人,安全公司服務的客戶也是個人。我還記得,2005年左右,流氓軟件成災,受影響最嚴重的是記者、大學教授等社會高知識階層。因為工作需要,他們每天要訪問互聯(lián)網,接觸很多新創(chuàng)辦的陌生網站。在這個過程中,他們不斷中招流氓軟件。有位記者給我看他的電腦,中了十幾款流氓軟件,開機要半個小時,開機后鼠標還不能正常工作。所以,在TO C的時代,我們解決的是網民上網的安全問題。
在物聯(lián)網的時代,網絡攻擊的目標升級到了政府、企業(yè)等機構和組織,以達到破壞社會穩(wěn)定的目的。比如今年5月,黑客入侵并控制了美國巴爾的摩市政府的1萬臺電腦,系統(tǒng)持續(xù)癱瘓了三周,政府公務員無法訪問電子郵件帳戶,普通市民無法使用基本的市政服務。所以,安全公司服務的客戶也變成了政府和企業(yè),維護政府和企業(yè)的安全直接關系到社會穩(wěn)定和國家安全。
在變化的安全形勢下,整個社會的安全觀也在變化。回顧過去五年的歷程,我們的安全觀經歷了從外到內的進化。
五年以前,首先要改變的安全觀是重視。當時,爆發(fā)了“心臟滴血”漏洞、微軟XP停服等影響深遠的網絡安全事件,當時整個社會的網絡安全意識非常淡薄,在安全上的投入非常少。我們意識到,一個正確的安全觀是確保安全的第一步,所以我強調“安全第一”。
四年前,安全觀從重視向看見進化。隨著眾多信息泄露事件的不斷爆發(fā),網絡變得越來越看不清、摸不透。如果連敵人在哪里,要干什么都看不清楚,談何安全?雁過留聲、水過留痕,我在 2015 年提出了“數據驅動安全”,用數據來檢測和發(fā)現威脅,用大數據做到看得見、看得清網絡攻擊。僅僅看見還不夠,就像一個人如果手無寸鐵,只能眼睜睜看著罪犯明火執(zhí)仗,所以 2016 年我又提出“協(xié)同聯(lián)動”, 動員全社會的力量,通過協(xié)同來構筑安全防線,提升安全能力。
兩年前,安全觀的視角從外部向內部進化。因為信息化與安全系統(tǒng)是剝離的,所以看見的只是局部而不是全部,能“看見”邊界的、外部的威脅,而看不見內部業(yè)務系統(tǒng)的狀況。因此,2017年我提出“人是安全的尺度”,開始觸及網絡安全的本質,強調人對網絡安全起著決定性作用;2018年我提出的“安全從0開始”,則是呼吁客戶不能僅僅依賴于創(chuàng)可貼式的安全產品和服務,要在信息化系統(tǒng)從0到1的建設過程中就開始考慮安全。
今年,我們提出了“內生安全”。我們通過實踐發(fā)現,安全能力必須在內部的業(yè)務系統(tǒng)上構建,才能真正解決客戶的業(yè)務安全問題。
第二部分,再說“內生”。
對于內生安全,在學術界有很多看法。有觀點認為,內生安全,指依靠網絡自身構造因素產生的安全功效;還有觀點認為,內生安全是通過增強計算機系統(tǒng)、網絡設備內部的安全防范能力,使攻擊根本不可能發(fā)生。
以往微軟和因特爾組成的Wintel聯(lián)盟,就是內生安全的一種。今天中國電子CEC打造的由飛騰(Phytium)CPU+麒麟(Kylin)操作系統(tǒng)組成的 “PK體系”,也是內生安全,芮曉武董事長把它稱為本質安全。沈昌祥院士十年如一日推動的可信計算、鄔江興院士十年磨一劍研制的擬態(tài)防御,孫優(yōu)賢院士建立的全生命周期工業(yè)系統(tǒng)控制體系,也都是內生安全。
我今天說的是攻防過程中的內生安全。我們服務的眾多重要客戶,他們當中有政府、銀行和大型企業(yè),大家普遍關心,如何不斷從信息化系統(tǒng)內生長出一種安全能力,隨業(yè)務的增長而持續(xù)提升,持續(xù)保證業(yè)務安全。
內生安全能力應該具有自適應、自主、自生長三個特點。
第一,內生安全的自適應特點,很像一個強壯的免疫系統(tǒng)。我們都知道,人體的免疫系統(tǒng)是在人體戰(zhàn)場上構筑的堅不可摧的防病抗病體系,免疫力是最好的醫(yī)生,是防衛(wèi)病毒入侵最有效的武器。
自適應的內生安全系統(tǒng),有“一方有難、八方支援”的免疫功能。比如,有細菌進入到人體后,免疫系統(tǒng)會指揮吞噬細胞和它作斗爭,如果沒把它消滅掉,多種類型的淋巴細胞會來支援。在自適應的內生安全里,當有網絡攻擊到系統(tǒng)內的時候,它會根據預先設定的方案,啟動終端和服務器的防護措施,甚至采取隔離等極端措施;為防止攻擊蔓延和降低損失,還會自動通知防火墻、交換機、路由器等邊界、網絡安全設備進行反擊。與此同時,調整相應業(yè)務系統(tǒng)的授權,嚴格限制對敏感數據的操作。終端、網絡和業(yè)務的聯(lián)合抗擊行動,很像免疫功能。
自適應的內生安全系統(tǒng),有 “明察秋毫、防微杜漸”的告警免疫功能。當人體不能實時消滅病毒達到健康平衡的時候,免疫系統(tǒng)就會通過過敏、頭暈、耳鳴、疼痛等身體不適癥狀進行告警,強制人通過多休息來減少能量消耗,為它對抗外來病毒提供幫助。在自適應的內生安全里,網絡安全態(tài)勢感知就是類似的告警系統(tǒng)。
自適應的內生安全系統(tǒng),有“不惜一切代價,消滅入侵之敵”的免疫功能。“休克療法”是社會管理和經濟管理學中向免疫系統(tǒng)學習的典范,免疫系統(tǒng)在極端失衡時,它會通過讓人體高燒、昏迷等極端休克措施,來對抗入侵的病毒,直至把病毒殺死。在自適應的內生安全系統(tǒng)里,認為人、設備、賬號始終處于零信任的環(huán)境,因此需要進行持續(xù)信任評估。當系統(tǒng)判斷一個設備的安全風險很高,就會自動降低對這個設備的授權,直至取消授權;當系統(tǒng)發(fā)現在遭受大面積攻擊時,會自動關閉掉不重要的業(yè)務系統(tǒng),而集中資源來進行應急響應,直至恢復到安全的狀態(tài)。
總結起來,內生安全的自適應就是指信息化系統(tǒng)具有針對一般性網絡攻擊自我發(fā)現、自我修復、自我平衡的能力;具有針對大型網絡攻擊自動預測、自動告警和應急響應的能力;具有應對極端網絡災難、保證關鍵業(yè)務不中斷的能力。
第二,內生安全的自主性特點,很像“我的安全我做主”。換句話說,安全是買不來的,如果只依靠購買外部的安全能力,而沒有自主的安全能力,是不能解決安全問題的。因為在業(yè)務安全第一的時代,每一個客戶的業(yè)務和支撐業(yè)務的網絡都是不同的,它們的薄弱環(huán)節(jié)是不同的,應對網絡攻擊的方法和手段也是不同的。尤其多數APT攻擊都是通過模擬正常業(yè)務行為,來實現對業(yè)務的破壞,完全依靠外部的安全能力很難區(qū)分一個業(yè)務行為是否正常。
比如一個女孩兒,她的安全手冊里肯定有很重要的一條是深夜不能獨自去偏僻的地方;一位富翁的安全手冊里應該會有一條是對自己的住所加強保衛(wèi);一個小朋友的安全手冊里肯定會強調不能獨自出門、過馬路。同樣的,每個組織的安全手冊也一定是不同的,必須針對自己的業(yè)務特性,立足于自己的安全需求,建設自主的安全能力。
只有外生的安全大數據,解決不了內部的安全問題。我們說,數據驅動安全 ,是指業(yè)務場景的數據是安全能力的驅動力。就像一個人疑似得了流感,必須去醫(yī)院做檢查,通過抽血等手段,掌握有針對性的、精細化的內生數據,才能確切知道問題出在哪兒,如果醫(yī)生只參考咳嗽、頭暈等流感癥狀這樣的外生數據,這個病是沒法治的。要了解核電站的安全情況,必須對核電站正常運行時期、非正常運行時期、不同內外部環(huán)境下、不同業(yè)務指令下的數據足夠了解。
安全大腦的作用不能被泛化地夸大。如果人只有大腦這一個器官,連生活都不能自理。和業(yè)務系統(tǒng)相結合的是安全內腦,來自外部的情報是安全外腦。從哲學上說,內因是第一位的,外因是第二位的,外因必須通過內因起作用。所以,空有泛化的安全大腦不能解決安全問題,而這個具化的安全內腦就是內生安全的自主能力。
第三,內生安全的自成長特點,就像“魔高一尺道高一丈”。指的是對安全能力動態(tài)提升的要求。因為當信息化系統(tǒng)和安全系統(tǒng)升級換代的時候,業(yè)務系統(tǒng)流程再造的時候,安全能力應該能動態(tài)提升,它的核心是人的進步和成長。
對一個組織來說,盡管遭受網絡攻擊的手段難以預測,但我們還是可以盡量多地窮舉,比如通過網絡風暴演習、滲透測試等手段,不斷去發(fā)現問題、解決問題,讓網絡安全人才在網絡攻防的對抗中成長起來。不斷成長的人才隊伍,才能滿足系統(tǒng)自成長的內生安全需要。
就像一個拳擊手,需要不斷地與不同的拳擊手對打,才有可能成長為一代拳王。還有,歷史上任何強大的軍隊,都是在戰(zhàn)爭中成長起來的。現在,我們面臨網絡戰(zhàn)的威脅,不經過錘煉是不可能成為強軍的。
第三部分,最后說聚合。
聚合是實現內生安全的手段。前面講到我們期望內生出的安全能力,能和人體的免疫系統(tǒng)一樣,力量足夠強大、應變足夠靈敏。
人體的免疫系統(tǒng)是天生的,依靠這套與生俱來的生理功能,人體能識別“自己”和“非己”,抵抗或防止病毒感染與入侵。
而之前的網絡安全防護都是外生的,立足于邊界防護,就像是給人戴上了口罩,極其脆弱。現在安全要做出改變,從外生安全變成內生安全。
如何內生?靠聚合。前面我談到,內生安全的三個能力,是自適應、自主和自生長,它們靠聚合產生:信息化系統(tǒng)和安全系統(tǒng)的聚合,產生自適應安全能力;業(yè)務數據和安全數據的聚合,產生自主安全能力;IT人才和安全人才的聚合,產生自成長的安全能力。
第一個聚合,是信息化系統(tǒng)與安全系統(tǒng)的聚合。
要實現自適應,需要把信息化系統(tǒng)與安全系統(tǒng)聚合起來。這種聚合需要信息化系統(tǒng)把網、云、數據、應用、端分層解耦,以便把安全能力插入其中;為了讓安全能識別業(yè)務,還需要把接口、協(xié)議、數據標準化,即便異構也能兼容。
這種聚合要求安全系統(tǒng)也要解耦,把安全能力資源化、目錄化,通過標準接口進行協(xié)同,實現這種聚合,安全能力就融入到了業(yè)務系統(tǒng)的各環(huán)節(jié)之中,就好比業(yè)務系統(tǒng)內生出了一種安全能力。
這種聚合拉通了網絡控制系統(tǒng)和業(yè)務控制系統(tǒng),當網絡檢測到攻擊,業(yè)務控制系統(tǒng)會自動收緊安全訪問控制權限;當業(yè)務檢測出異常,網絡會自動采取措施來嚴防死守。
我們在某大型部委的大數據體系試點建設中,就實現了這種聚合,網、云、大數據、安全等多個廠商共同解決了數據分離、認證、應用、交換等各類業(yè)務場景問題。
第二個聚合,是業(yè)務數據和安全數據的聚合。
數據既是業(yè)務的核心,也是解決安全問題的核心。以往安全關注的是網絡運行數據,但要建立自主的內生安全,還必須關注相關的業(yè)務數據。這些業(yè)務數據包括業(yè)務元數據、業(yè)務訪問行為數據等。
網絡安全數據,像流量數據、終端數據、漏洞數據、系統(tǒng)日志等,更多的用以描述網絡行為。但在攻防對抗中,攻擊者都會隱藏、偽裝網絡行為。
只有把業(yè)務數據和網絡數據聚合起來,將網絡威脅與業(yè)務異常結合起來進行分析,才能更準確地發(fā)現攻擊者。
聚合這兩種數據,我們需要建立起業(yè)務與安全統(tǒng)一的實體關系數據模型,把不同的數據聚合成一個完整的安全數據視圖,通過檢索、AI及更廣泛的知識來發(fā)現隱藏在多層關系背后的安全問題。這里解釋一下“實體關系”,“實體”是指客觀的對象,如身份賬號、IP、域名、URL、證書等,“關系”是表示對象和對象之間的聯(lián)系、事件、行為。
在實際的應用中,把零信任體系和用戶實體行為分析結合起來的數據安全管控平臺,就是很好的例子。在這個案例中網絡攻防數據、身份數據、業(yè)務訪問行為數據,甚至物理環(huán)境的數據都會成為數據聚合的關鍵,從而不僅能夠感知網絡層面的威脅,而且能感知數據濫用與泄漏竊取。
第三個聚合,是IT人才和安全人才的聚合。
網絡安全體系中,人是不可或缺的角色。在一個具體的安全業(yè)務場景中,我們既需要懂金融、工業(yè)等專業(yè)知識的IT人才,也需要具備打補丁、配置安全策略等專業(yè)能力的安全人才。只有聚合起IT人才和安全人才,才能-----真正讓安全運轉起來。
在軍事中,有一個重要的原則是為了達到總的戰(zhàn)役目標,各軍種、兵種和專業(yè)兵分隊必須聚合起來,實施協(xié)調一致的行動。
再比如,以某個大型實網攻防演習為例,需要匯聚組織方、攻擊方和防守方三支隊伍,才能完成對系統(tǒng)安全性和運維保障有效性的檢驗。在這樣的演習中,防守隊的組成,并不僅僅由目標系統(tǒng)運營單位獨立承擔,而是由系統(tǒng)運營單位、攻防專家、安全廠商、軟件開發(fā)商、網絡運維隊伍、云提供商等多方人才聚合組成的防守隊伍。
所以,企業(yè)與組織在建設自身安全體系時,不能只想到技術體系的IT人才建設,安全人才的投資建設也非常關鍵。在規(guī)劃階段,提前進行安全人才儲備,將IT人才和安全人才聚合起來,是后續(xù)安全發(fā)展的根基。
概括地說,我們提出的“內生安全 聚合應變”,就是為安全而生,應安全而變,通過信息化系統(tǒng)和安全系統(tǒng)的聚合、業(yè)務數據和安全數據的聚合、IT人才和安全人才的聚合,點聚為線再合為面,建設屬于自己的安全能力,達到自適應、自主、自成長。
雷鋒網注:另有相關鏈接360 進軍企業(yè)安全業(yè)務|周鴻祎演講全文。
雷峰網原創(chuàng)文章,未經授權禁止轉載。詳情見轉載須知。
