360 進軍企業安全業務｜周鴻祎演講全文

編者按：今日，360公司董事長兼CEO周鴻宣布360進軍企業安全業務。他稱，重返企業安全，將為黨政軍企提供安全服務。360 計劃分三步走：第一，共建分布式安全大腦，第二，分享威脅情報和知識庫，第三，賦能客戶。

360公司董事長兼CEO周鴻祎

以下為雷鋒網編輯整理的周鴻祎演講全文：

躲不過的網絡戰

我覺得“網絡戰”是一個敏感詞，但更要正視網絡戰的現實。網絡戰與傳統戰役的不同之處在于不分平時、戰時，甚至不會存在宣戰的說法，網絡攻擊時刻發生，攻與防的較量從未停止過。

證實網絡戰序幕已被拉起的例子數不勝數，APT24組織網絡武器瞄準中國12個機構，2019年之前烏克蘭電網攻擊，伊朗震網病毒。2019年，因網絡攻擊造成的大規模停電事故時有發生。在南美洲，俄羅斯電網被植入后門，伊朗號稱攻擊美國紐約電網......

此外，2019年DEF CON大賽中，7名黑客2天內攻破美國主力戰斗機F-15系統。北約今年舉辦被稱作“鎖盾2019”的最大規模網絡安全演習，四千個虛擬軍事系統承受2000多次攻擊......

這一切都在告知世人，網絡戰不是科幻小說或者美國大片里幻想的未來，網絡戰就發生在當下。網絡戰每天都在發生，然而因為人們習慣了和平的生活環境，因此覺得戰爭離我們很遙遠。

戰爭從來沒有遠離，必須意識到網絡戰的嚴峻形勢。如果像沙子里的鴕鳥一樣不承認網絡戰的存在，不能意識到網絡戰帶來的挑戰，根本談不上應對網絡戰。

用備戰視角看待網絡安全

既然難逃此劫，那就必須用作戰的視角看待網絡安全。

網絡戰最大的特點就是不宣而戰。傳統作戰分戰時和平時。網絡作戰最重要的是花相當長的時間通過攻擊手段進行攻擊和潛伏，滲透到基礎設施網絡里，希望在關鍵的時候發起致命一擊。潛伏滲透本身也是網絡攻擊的一部分，談不上平時戰時。

實際上，今年沒有任何國家對我們宣戰，但已經有很多國家對我們國家基礎網絡不斷地發起攻擊。

網絡戰思維讓網絡安全人員不得不改變應對手段。

過去，應對的是內部員工或者是竊取商業機密的友商，甚至是小毛賊，網上小黑客的黑產力量。今天，網絡戰的對手全部是各個國家成立的網軍。

數據顯示，今天已經有100多個國家成立了超過200多支網絡戰部隊。面對軍事級的技術，國家之間的對抗，這是國家級的黑客力量，國家級的對手入場。

網絡環境沒有絕對安全

物聯網、工業互聯網、車聯網以及現在談的產業互聯網帶來巨大機會的同時，到了萬物互聯時代虛擬空間和物理空間完美地銜接。

過去，所有在數字空間里的打擊都可以轉成物理世界的傷害。今天，關鍵基礎設施成為未來的戰場，所有的網絡戰攻擊不僅僅是為了竊取情報，現在可以對交通、能源、金融等基礎設施發起攻擊，可以獲得比傳統作戰更好的破壞效果。

老實說，現階段不存在買了誰的技術、什么系統就可以保證網絡設施高枕無憂，這是一個謊言。

今天所有的網絡攻擊之所以能夠得手，黑客都是利用不知道的漏洞，以此可以神奇地控制電腦和主機，入侵網絡。所有軟件硬件都是人做的，是人做的就會犯錯誤。據悉，每一千行代碼里會有四到六個錯誤，這種技術漏洞無法彌補。

此外，今天很多自動化的系統，云計算、大數據、人工智能有多少代碼，這里也隱藏很多漏洞。這些漏洞無處不在，不可避免。

最后，是人的漏洞。無論有多么嚴格的網絡安全的規定，每一個單位里總有人會違反網絡安全的規定，會被社會工程學進行攻擊。因為有了漏洞，今天的系統一定會被網絡戰部隊攻進來，不存在攻不破的系統。

因此，安全人員必須切斷一切安全假設，重新思考戰法。

如此，我們便得出一個相對悲觀的結論——很多網絡里，與國防相關的重要基礎設施，科研院所等重要網絡設施里，或許已經存在著“敵已在我”的情況。其含義就是：敵人已經進來了，已經潛伏在你的基礎設施網絡里，只是你還不知道。

不對等的網絡保衛戰

網絡環境易攻難防。

因為對攻擊者來說，只需要兩個小伙子有一臺電腦，知道幾個漏洞就可以任意對一個國家的基礎設施發起攻擊。而防守方需有成千上萬的技術人員，面對著浩如煙海的網絡設備都不知道從何下手。

即使防守住一百次攻擊，進攻者一次得手，他就成功了。你防住了一百次的攻擊，但有一個地方疏漏被別人攻進來，你就失敗了，這會導致嚴重的攻防不平衡。所以，我們應該如何保護網絡基礎設施，又將何去何從？

網絡戰時代必須報團取暖

網絡戰是整體戰，不分軍用民用。

傳統作戰可能還分一個目標，比如說只炸軍用目標。但是網絡戰即使最后的目標是攻擊一個國家基礎設施，也往往會從攻擊一個個人開始作為跳板，經過一連串的攻擊鏈，最后才能達到目標。

在攻擊個人的時候，可能還會攻擊這個人經常上的網站、經常用的郵箱。在網絡戰里不區分國家、企業和個人，安全是一個整體。

隨著互聯網的發展，我們發現越來越多地軍事基礎設施和國家重要的其他設施越發難以隔離，他們會被互聯網緊密聯在一起。

隨之帶來的問題，即使把自己保護的很好，但俗話說不怕神一樣的對手，就怕豬一樣的隊友。與你聯網的某一個供應商或者與某一個雇員，他的網絡有重要的安全缺陷被人攻陷，可能意味著你所有嚴防死守的網絡也會被攻陷。

關于五角大樓問題，我曾提出過這樣的疑問——五角大樓為什么要連互聯網？為什么不隔離？后來我才知道，起初是連上波音，波音連上二級供應商與合作伙伴，如此便一發不可收拾。諷刺的是，今天美國五角大樓還要用亞馬遜的安全系統。

如今的互聯網環境下，聯網的誘惑非常大。整個網絡連成一個整體。做安全必須得有整體的頂層設計考慮，如為果各個單位都是各自為戰，每個人只守住自己當前的一畝三分地是不行的。因為其它人的不安全可能會連累你。

面臨：網絡超限戰

現在觀察到的攻擊手法，各種手段無所不用其極，沒有正的招數都是歪招，而且是綜合手段。

很多單位覺得隔離有效，通過刻光盤傳遞數據，卻不知刻的光盤里被放入一個病毒；我們覺得新買的設備總是沒有問題的，但某國網軍在硬盤里植入病毒，總有一塊硬盤會賣到你家；某一個核電站隔離的很好，對方的網絡攻擊則會利用線下間諜的手段買通一個清潔工或者內賊，把一個設備插入內部的電腦網絡發起攻擊......網絡戰的手段是多元的，而且美軍已經率先把全域作戰的概念，即陸海空天網，多種情況下的作戰形式綜合使用。

網絡站也是秘密戰

網絡戰可以在瞬間致癱基礎設施，前提是要通過長期的謀劃及滲透，這里有一個攻擊鏈。因為是國家級的團隊，用的都是0-day的漏洞，因此網絡戰的攻擊和傳統的攻擊相比看起來顯得更為隱秘、來無影去無蹤，很難溯源和取證。

未來網絡戰將成為國與國角力的首選，成本低，效果好，烈度可控。連反擊都不知道找誰反擊。美國和伊朗互相揚言攻擊很多次，最后導彈不舍得打。雙方最后選擇在網絡戰上近來角力。未來下一個五年會看到越來越多與網絡戰相關的安全威脅。

“看見”網絡戰

為何今天旗幟鮮明地講出網絡戰？因為這對每一個做網絡安全的人來說代表了全新的挑戰——對手變了，作戰目標變了，戰法也變了。

原來很多成立的假設，例如我們的網絡固若金湯，隔離有效，現在都不是這回事了。通過強調“敵已在我”的理念，要知曉你的內部網絡或許已經有別人的潛伏。

傳統安全模式，通過不斷地購買更多安全軟件，構筑馬奇諾防線的戰法已經失效。今天網絡戰的情況下，傳統網絡安全的戰法確實需要升級。否認面對網絡戰，我們將無以應對。

因此，網絡戰最關鍵的是看見。

在分析最近五年國內乃至全世界所有網絡攻擊事件后，我們發現最可怕的一點是別人來了你不知道，別人走了也不知道，干了什么也不知道，留了什么也不知道。

如果我們不能解決“看見”網絡攻擊的問題，堆砌再多的網絡軍火，堆砌再多的網絡產品，都和打仗沒有雷達像睜眼瞎一樣，有再多的導彈也看不到別人的隱身飛機在哪里，那有談何溯源，談何反制呢？

因此，看見網絡戰的攻擊是1，其余都是0。

那么，如何看見？

網絡安全大數據是看見的基礎，網絡安全大數據可以記錄整個網絡空間里所有正常軟件的通信行為，也包括不正常的行為。只有企業的數據是不夠的，網絡攻擊不僅僅是攻擊企業，會從攻擊個人消費者開始入手，我們必須考慮要有全網的數據。

只有最近幾天的數據也是不夠的，因為網絡安全的攻擊時效周期很長，有的謀劃長達幾年，潛伏期也很長。只有把全網所有發生的事情攤開在各種維度上看才能真正地知道網絡空間里發生了什么。

想要“看見”，威脅情報和知識庫是最重要的核心，它幫助我們在大數據中學習，從而篩選出可疑的因素、漏洞。

有了大數據和知識庫，網絡戰的本質是人與人的對抗，高級別的攻防專家最后關頭有決定性的作用。

網絡戰的層面，AI短期內起不了決定的作用，起決定作用的依然是雙方高水平的網絡攻防人員。當我們利用大數據、知識庫篩選出可疑的入侵信號以后，妄想靠任何自動化的軟件自動發現阻斷是不可能的，我們需要高水平的安全專家。通過專家快速地響應，快速在實戰中的分析，從而能夠發現和定位攻擊，才能做到對攻擊進行阻斷和溯源以及止損。

360為何重返企業安全？

之所以重返企業安全，不是為了與所有的同行競爭成為行業公敵。其實定位很簡單，進軍企業安全要干點非360莫屬的事——我們為黨政軍企提供安全服務，定位在國與國網絡戰下的，幫助搭建基礎設施，幫助企業和國家能夠“看見”攻擊，阻斷攻擊和修復系統的能力，這是360的使命和定位。

光靠360解決不了整個網絡戰的問題，還做三件事。

第一，共建分布式安全大腦，很多單位有自己的大數據，我的大數據不可能給你，你的大數據也不可能給我。我們會輸出分享網絡安全大腦的大數據分析技術，幫助政府部門基礎設施企業，也幫助生態伙伴打造自己的安全大腦。

自己掌控自己的網絡安全大數據，也具備很強的分析能力。今天講大數據，不求擁有和拷貝，但求互相查詢。像分布式的雷達防御系統一樣，每個人可能都能夠看到網絡里發生的碎片事件，但當我們把碎片拼起來的時候能夠告訴國家又發生怎樣的網絡戰攻擊。

第二，分享威脅情報和知識庫。

360最重要的就是由大數據產生的威脅情報和知識庫，并不是傳統安全的產品就過時無用。傳統安全的很多產品，防火墻和終端軟件也需要升級。360會向友商分享威脅情報知識庫，幫助傳統的網絡軟硬件產品升級。每一個網絡安全產品在背后都有網絡安全大腦，都可以得到最新的網絡威脅情報的時候，我們所有的老產品及新產品一塊能夠聯合起來都能夠發現威脅，阻斷威脅。

第三，賦能客戶。

過去解決的是小安全問題，我們給客戶琢磨賣點東西，客戶再弄幾個網管可以解決安全問題。到了網絡戰時代，客戶面臨的網絡威脅是專業的軍事力量。我們希望給客戶賣點東西就解決安全問題嗎，這是閉門造車。最重要的不是給客戶賣東西，而是如何提升客戶應對網絡戰的能力。如何幫助客戶建立應急響應隊伍，如何通過實戰攻防幫助客戶提升應對能力，如何幫助客戶利用眾包把中國甚至是全世界的優秀安全人員發動起來幫助你找漏洞以及修補漏洞。如何幫助大家培養自己的人才。

武器不是萬能的，今天賣再多的安全產品，如果每一個單位的基礎設施不能建立核心的網絡安全應對力量，不能建立起自己的安全應對體系，不能建立自己的靶場，不能建立自己的培訓體系，只是買了一堆產品就夢想著可以應對網絡戰是不現實的。雷鋒網雷鋒網雷鋒網

我們未來不賣產品，只是安全服務的搬運工。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。