在零售行業(yè),阿里巴巴集團主席馬云看到零售線上線下的邊界逐漸模糊,為應(yīng)對行業(yè)的變革,他提出了“新零售”。
而互聯(lián)網(wǎng)的發(fā)展,物聯(lián)網(wǎng)的推進,變革的不僅僅是零售行業(yè),在安全領(lǐng)域,360公司董事長兼CEO周鴻祎也意識到,安全空間線上線下的界限正在消弭。
從美國紐交所退市后,曾經(jīng)那個能說敢說的周鴻祎不再頻繁見諸媒體報端,從而導致最近在網(wǎng)絡(luò)上出現(xiàn)“人民想念周鴻祎”的呼聲。
在9月12日舉行的中國互聯(lián)網(wǎng)安全大會上,周鴻祎現(xiàn)身坦言,“最近確實說話少了”,一方面是因為360作為回歸中國的最大的網(wǎng)絡(luò)安全公司,他覺得自己有必要穩(wěn)重些,所以這段時間他在學習變得更加穩(wěn)重;另一方面,在學習穩(wěn)重的同時,他還在思考我們所面臨的安全威脅和挑戰(zhàn)。
在“閉關(guān)”的這幾個月的時間里,周鴻祎在屋里內(nèi)省、思考、琢磨了好長時間,最后他總結(jié)出了“大安全”的概念。
他認為,“網(wǎng)絡(luò)安全”這個詞已經(jīng)很難描述今天這個時代面臨的安全挑戰(zhàn),現(xiàn)在面臨的安全問題已經(jīng)泛化,在這個新的大安全時代,網(wǎng)絡(luò)安全涵蓋的范圍更廣,它包括國家安全、社會安全、基礎(chǔ)設(shè)施安全、城市安全,甚至是人身安全。
近年來,從網(wǎng)絡(luò)詐騙、到敲詐勒索到國際間的網(wǎng)絡(luò)攻擊事件越來越多,萬物互聯(lián)的時代,安全問題顯然變得越來越嚴峻?!吨袊?jīng)營報》記者采訪了周鴻祎,嘗試解構(gòu)他提出的大安全概念,以及解析我國安全行業(yè)面臨的威脅和挑戰(zhàn)。
大安全時代來臨
《中國經(jīng)營報》:在每年的中國互聯(lián)網(wǎng)安全大會上你都會有一些總結(jié)性的東西,為什么在今年你要提出大安全的概念?
周鴻祎:我們做安全這件事已經(jīng)很多年了,最近幾年網(wǎng)絡(luò)安全的挑戰(zhàn)越來越大,所以最近很長一段時間我陷入了內(nèi)省和思考中。我發(fā)現(xiàn)現(xiàn)在再孤立地談網(wǎng)絡(luò)安全可能太低估網(wǎng)絡(luò)安全的挑戰(zhàn)和威脅,安全問題越來越大,證明很多策略和思想都要隨之改變,所以我們定義現(xiàn)在為大安全時代。
而最近兩年有三件事給了我很大的啟示。第一件事是至今還被人喋喋不休的美國大選,網(wǎng)絡(luò)黑客的介入,究竟多大程度改變了美國政治的走向?第二件事是在過去兩年時間里面,烏克蘭發(fā)生了多次針對當?shù)仉娏ζ髽I(yè)變電站的網(wǎng)絡(luò)攻擊,導致烏克蘭多個地區(qū)大面積的斷電、停電,烏克蘭好像成了某些國家黑客的練兵場。第三件事是今年在全球爆發(fā)的勒索病毒事件,它雖然是一幫小毛賊做的很低劣的勒索事情,但是因為使用的是美國很成熟的網(wǎng)絡(luò)武器,勒索病毒襲擊了很多公共服務(wù)業(yè),甚至導致一些基礎(chǔ)設(shè)施無法正常工作。窺一斑而見全豹,這些事件的發(fā)生讓我們不得不思考究竟該如何重新定義網(wǎng)絡(luò)安全。
《中國經(jīng)營報》:重新定義的網(wǎng)絡(luò)安全就是大安全嗎?請你詳細闡釋一下大安全。
周鴻祎:我不一定能給出一個嚴謹?shù)亩x,但是感覺今天的網(wǎng)絡(luò)安全已經(jīng)不是當年計算機時代的網(wǎng)絡(luò)安全。
網(wǎng)絡(luò)經(jīng)過20多年的發(fā)展,互聯(lián)網(wǎng)已經(jīng)不再是一個行業(yè),整個社會和互聯(lián)網(wǎng)的結(jié)合越來越緊密了。有一種說法是:整個社會運轉(zhuǎn)在互聯(lián)網(wǎng)上、運轉(zhuǎn)在軟件上。加上現(xiàn)在物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)的發(fā)展,真實物理世界和網(wǎng)絡(luò)虛擬世界的界限被打破,線上線下全都連通,這樣的情況下,網(wǎng)絡(luò)世界的攻擊開始蔓延到我們的真實世界。
我們就發(fā)現(xiàn),大安全時代,網(wǎng)絡(luò)安全已經(jīng)不僅僅是網(wǎng)絡(luò)本身的安全,現(xiàn)在談到安全,勢必要談到國家安全、社會安全、基礎(chǔ)設(shè)施安全、城市安全甚至人身安全。如果再像以前孤立地站在信息系統(tǒng)安全,或者網(wǎng)絡(luò)空間安全的角度談安全,那樣的角度已經(jīng)不能夠真正地去評估在下一個5年到10年,我們所面臨的真正的風險和挑戰(zhàn)。這就是我們站在更大的格局、更高的角度重新定義的大安全。
潘多拉盒子已經(jīng)打開
《中國經(jīng)營報》:360私有化完成之后成為了一家真正的中國安全公司,作為國內(nèi)安全行業(yè)的領(lǐng)頭羊,大安全時代你們認為世界安全會呈現(xiàn)怎么的格局,或者會有哪些趨勢?
周鴻祎:過去我們看到很多孤立的網(wǎng)絡(luò)攻擊,但是大安全時代,我們覺得全世界進入了網(wǎng)絡(luò)戰(zhàn)的時代。談到網(wǎng)絡(luò)戰(zhàn),我們覺得必須從戰(zhàn)爭的角度來看待網(wǎng)絡(luò)攻擊,否則就會低估網(wǎng)絡(luò)戰(zhàn)對這個時代的影響。
雖然今天是和平時期,其實網(wǎng)絡(luò)戰(zhàn)全球都在準備著。從勒索病毒來看,一些國家不再滿足于利用漏洞做一次攻擊,他們已經(jīng)具備把網(wǎng)絡(luò)武器平臺化、系統(tǒng)化,甚至是自動化的能力。到了網(wǎng)絡(luò)戰(zhàn)時代,以分鐘和秒鐘來計算網(wǎng)絡(luò)武器會成為第一波打擊力量。
《中國經(jīng)營報》:網(wǎng)絡(luò)戰(zhàn)時代最重要的武器是什么?
周鴻祎:網(wǎng)絡(luò)戰(zhàn)的本質(zhì)我們覺得就是漏洞,但是對于“漏洞”這個詞翻譯得不好,這個翻譯會讓很多人覺得漏洞只不過是一個程序的漏洞,是一個軟件的小錯誤。但是我們應(yīng)該明白,在網(wǎng)絡(luò)里掌握了一個漏洞,就相當于掌握了打造一個網(wǎng)絡(luò)武器的基本資源。
所以從某種角度來說,漏洞和石油、建材、藥材等很多軍用物資一樣,應(yīng)該被視為是國家級的、重要的戰(zhàn)略資源。誰掌握了對方的漏洞,誰就能在對方所謂固若金湯的防線上撕開一個口子。當我們面臨防守的時候,如果能找到更多的系統(tǒng)漏洞,也能夠延緩敵人進攻的能力。
《中國經(jīng)營報》:網(wǎng)絡(luò)戰(zhàn)更多的是國家層面考慮的東西,考慮的是大安全時代國與國之間的關(guān)系。如果從國內(nèi)的安全,以及關(guān)乎企業(yè)發(fā)展甚至每一個個人的安全角度出發(fā),大安全時代會有哪些趨勢?
周鴻祎:過去談到的網(wǎng)絡(luò)安全更多是指個人隱私泄露,隨著互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)的發(fā)展,意味著大安全時代威脅在變大。
車聯(lián)網(wǎng)的發(fā)展在今天看來已經(jīng)是一個趨勢,未來當滿大街都跑著無人車的時候,無人車一定是黑客最好的工具,而一旦被劫持之后無人車就會變成僵尸汽車。
過去我們講保護網(wǎng)絡(luò),往往是指保護網(wǎng)上的基礎(chǔ)設(shè)施,比如說服務(wù)器、網(wǎng)絡(luò)基礎(chǔ)節(jié)點,或者交換系統(tǒng)等。但是今天大安全的時代,真的要關(guān)注社會基礎(chǔ)設(shè)施的安全,而這個安全是由公安、軍隊,還是網(wǎng)絡(luò)企業(yè)來保護?還是由大家合作來保護?我認為這既是一個挑戰(zhàn),也是一個巨大的市場機會。
大安全時代還有兩個巨大的挑戰(zhàn),一個是網(wǎng)絡(luò)犯罪,另一個是網(wǎng)絡(luò)恐怖主義,這個潘多拉盒子已經(jīng)被打開,未來的犯罪一定是網(wǎng)絡(luò)犯罪為主。
比如說中國網(wǎng)絡(luò)安全市場,我們所有的安全從業(yè)人員在網(wǎng)絡(luò)安全上賺的錢,產(chǎn)業(yè)規(guī)模不到400億元,但是中國網(wǎng)絡(luò)黑產(chǎn)的產(chǎn)值超過1000億元。
既是挑戰(zhàn)也是機遇
《中國經(jīng)營報》:我們看到大安全時代,對國家、企業(yè)在安全方面提出了哪些挑戰(zhàn)?
周鴻祎:安全時代一定要有大的格局,政府和民間企業(yè)要有協(xié)同性,軍民融合在網(wǎng)絡(luò)安全產(chǎn)業(yè)是必然趨勢。
和傳統(tǒng)戰(zhàn)爭最大的不一樣在于,網(wǎng)絡(luò)戰(zhàn)很難區(qū)分界限。今天哪怕是針對軍事目標的網(wǎng)絡(luò)攻擊,往往是先對一個民用目標,或個人進行攻擊,得手之后再以他為跳板,然后不斷滲透到核心目標。所以網(wǎng)絡(luò)戰(zhàn)是一個整體戰(zhàn),任何單位和個人都是網(wǎng)絡(luò)的一部分,一個節(jié)點在網(wǎng)上的失守,就有可能導致整個網(wǎng)絡(luò)的淪陷。
《中國經(jīng)營報》:大安全時代的核心是什么?
周鴻祎:大安全時代人是最重要的因素,同樣也是最脆弱的因素。
所有的攻擊都是從人開始, 可以發(fā)現(xiàn),再多的安全規(guī)定都繞不過人性。如果安全產(chǎn)品不能夠從人性出發(fā),讓用戶愿意使用,最后這種技術(shù)管理手段一定會失效,人就會成為整個系統(tǒng)中的漏洞。
而解決安全問題的最后一道防線同樣是人。安全公司的安全人員,實際上是跟攻擊的黑客做智力對抗。
《中國經(jīng)營報》:大安全時代,安全行業(yè)一個最重要的變化是什么?
周鴻祎:網(wǎng)絡(luò)系統(tǒng)一定會有漏洞,有漏洞就一定會被利用。以前的一些人以為采購防火墻等軟硬件設(shè)備隔離起來就可以高枕無憂,現(xiàn)在發(fā)現(xiàn)網(wǎng)絡(luò)安全不再是簡單的采購軟硬件,網(wǎng)絡(luò)安全其實最終是服務(wù)業(yè)。
大安全時代意味著需要安全服務(wù)咨詢?nèi)藛T,在你系統(tǒng)正常的時候,通過不斷模擬攻擊來幫助你修補漏洞,在真正遇到攻擊的時候,幫你最快的響應(yīng)和封堵,把損失降到最低,這里就需要大量的專業(yè)人員。
過去我們一說網(wǎng)絡(luò)安全行業(yè)屬于勞動密集型行業(yè)大家都不愛聽,但是我覺得網(wǎng)絡(luò)安全產(chǎn)業(yè)未來5年,會變成一個高質(zhì)量、高科技的勞動密集型行業(yè),需要大量的專業(yè)人員的投入,這里面有巨大的產(chǎn)業(yè)機會,而把安全人員的培訓做好本身也是一個巨大的機會。所以對于整個安全行業(yè)的同行來說,我其實覺得好日子才剛剛開始。