魔与道,攻与防,人与机器,认识大安全的正确姿式
最近最火的一部电影《敦刻尔克》,从战争的角度看是这样一段历史故事:法国人认为因若金汤的马奇诺防线,在德国人的进攻战略升级之后形同虚设,最后导致英法联军大溃败。这场战争带给我们新的启示:任何时代,都没有万无一失的防线。
中国互联网安全大会(ISC) 已经开到第五届,由360公司发起的这个大会,每年都会提出新的技术趋势,与来自全球的行业专家和业内大咖一起探讨,联手去解决很多问题。每年随着市场的变化,探讨的内容都会迎来新的挑战。
今年,第五届ISC 2017以“万物皆变,人是安全的尺度”为主题,似乎在宣告安全进入全新的历史阶段。在新的网络安全形势下,用工具和技术构建的“马奇诺防线”不再安全,在技术、工具之外,人成为了更重要的因素。
“总结过去五年,展望未来一年,我们今年提出更有挑战性的问题:从人的角度来讨论大安全话题。”360公司创始人周鸿祎在安全大会的开场演讲中说到。
对于这个话题,中国网络安全空间协会副理事长、360企业安全集团董事长齐向东认为,面对不断升级的新的网络攻击形式,需要采用“人+系统”的方法,“并且人起到了关键性作用。”
懂懂笔记关注ISC也已经是第五年了。这五年是移动互联网、大数据、云计算、人工智能快速发展的五年,安全形势已经跟我们熟悉的PC时代、互联网时代完全不同。
每一年的ISC,都会根据当下的热点提出新的主题。一年又一年主题的变化,本身就说明安全是一个快速演进的产业。2017年,之所以提出“人是安全的尺度”,是因为这一年多整个行业又在发生巨变。
在业界大咖演讲中,我们看到Patrick Paumen的身体里植入了9块生物芯片,他动一动左手手指,就可以将钥匙吸起来;不接触手机,就能给手机屏幕解锁,如同现实版的钢铁侠。
这当然不是一场魔术表演。出现在ISC上的极客Patrick Paumen,用事实在告诉全球:一切皆可编程,万物均要互联,整个社会,整个世界实际上都运转在软件之上。
从PC时代到互联网时代,再到移动互联网时代,人们现在开始进入万物互联、人工智能时代。技术的进步始终伴随着一个阴影:安全攻击。软件写进PC,黑客就攻击PC;软件写进网络,黑客就攻击网络;软件写进一座电站,黑客就可以攻击电站;软件写进你的身体,黑客也同样可以攻击……这就如同魔与道之间的斗法,魔高一尺、道高一丈,他们之间的较量从没有停止,随着科技融入到更多的物体和场景里,形势也更加严峻。
几个真实又让人震撼的例子:美国大选的结果到今天还在喋喋不休的争论,某国网络黑客的介入究竟有多大程度改变了美国政治的走向;乌克兰地区发生了多次电站被攻击的事件,导致大面积断电,那里好像已经成了某些国家黑客的练兵场,黑客部队就拿乌克兰的基础设施当成他们演练网络战的一个阵地;今年5月勒索病毒在全球爆发,黑客使用的是美国很成熟的黑客工具,导致全球范围内一些公共服务停止、基础设施无法正常工作,包括加油站、医院、签证处等等,直接影响到社会的正常稳定运转。
万物互联,科技无处不在的时代,安全问题就同样无处不在。作为中国最大的安全公司,360认为安全问题已经泛化,以今年5月份爆发的勒索蠕虫攻击事件为网络安全分水岭,标志着大安全时代的到来,出现了网络战不宣而战、漏洞是重要武器、没有攻不破的网络、工业互联网成为攻击目标、网络犯罪和网络恐怖主义的潘多拉盒子被打开等五大趋势。
从PC时代走过来的用户都知道,以前的防病毒卡、杀毒软件,可以保一台电脑的安全。那么现在建一道技术上的“防火墙”,是不是可以保证所有设备的安全呢?
现在的安全形势已经完全不同。过去的网络防护依赖于技术体系,一味地堆砌设备,重金打造的防线看似固若金汤,很可能不堪一击,犹如马奇诺防线。当下,社会要正视现实,所有的网络都有被攻破的可能。如果把安全完全寄托于一套防护系统,恰恰是最危险的做法,因为安全不仅仅是技术问题,更是人的问题。
网络安全没有绝对。恶人(或是黑客)想尽办法的利用各种手段作恶,作恶的目的有的是盈利,有的是伤害,有的是攻击。以前黑客进行网络攻击,伤害的是数据安全或是部分财产安全,而现在攻击的范围更加广泛,有可能是高铁,有可能是电站,有可能是卫星,也有可能是人的身体……
这样复杂且不断变化的形势,作为防守方必须要有足够的人作为重要防御资源,并且像士兵操练一样经常学习,人通过电脑、网络、设备这些工具更容易获取安全的整体信息,然后通过学习,再去改进设备。所以,只有人的参与才会让安全能力不停地叠加。
整个大会听下来,懂懂笔记认为关于“人”的作用,主要体现在两个方面:第一方面是思想意识,即观念。第二方面是技术能力,即人才。
先从观念上看。从思想上不能对于工具和技术过于依赖,即使安全工具可以起到99.99%的作用,但是只要漏掉万分之一,造成的损失都是不可挽回的。我们知道以前的安全主要是针对数据和财产,而现在则是人身安全、国家安全,有可能是地铁、飞机被攻击,甚至可能是植入人体的芯片。这样的攻击后果不堪想象。
在过去,很多企业的网管人员对待安全的态度比较随意,容易忽略。根据360的统计,在过去十二个月里,有85%的网络安全事件,来自内部人员的疏忽、大意和故意。从这个角度上讲,人的态度、观念是关键,是安全的尺度。
再说人才。在为客户服务的过程中,系统拿不准的,360就用强大的安全运营团队顶上去,用人去做出决定,用出色的、有能力、有经验的人去弥补系统的缺失,在争取100%的检出率和零漏报率的过程中,人起到最关键性作用。
事实上,人才虽然非常非常重要,但无论在360这样的安全企业,还是放眼全行业,网络安全人才都比较匮乏,对人才的需求都很迫切。网络安全人才一直呈现出金字塔形结构,大部分从业人员都集中在低技能基础岗位,比如基础运维及研发,而高技能人才的空缺则非常大。2017年上半年,通过智联招聘发布的网络安全岗位,就比2016年同比增长了232%。
高级网络人才一直是供不应求的状态,360将这次大会的主题设定为“人是安全的尺度”,就是力图向整个行业传达人在安全里面的重要性,以及要重视技术人才的安全理念。只有这样的理念在全行业以及所有的客户群体中得到认同,安全才能真正地提高一个层面。
正如前面所讲,今天社会面临的安全形势与PC时代、互联网时代完全不同。周鸿祎想了好几个月想到一个新词:大安全。大安全在懂懂笔记看来也是泛安全,即安全问题无处不在,而且引发的问题也呈现多样化、复杂化。
那么,在大安全时代,除了提高人的重要性,懂懂笔记认为:这个时代还需要大安全公司,有担当的公司。
在PC和互联网时代,安全公司在企业界的地位并不高,也没有产生超大型的公司,曾经赛门铁克、诺顿、麦咖啡都名骚一时,但他们的企业规模比起其他的软件公司相差甚远。在物联网时代、人工智能时代,或将有超大型安全企业产生。这也应该是360私有化、回归中国资本市场的重要原因吧。
目前,无论是从全球,还是从中国来看,安全厂商规模小、技术实力不强,各管一摊的现象非常严重。“现在我们面临的问题不是政策层面的问题,也不是客户的问题,实际上是行业自己存在问题。”齐向东表示,小而全和恶性竞争是网络安全产业的“毒药”。
齐向东总结出来三“毒”:第一,“毒”企业自身,小而全的理念分散了企业的研发精力,最后导致没有核心产品,竞争力下降;第二,“毒”客户,恶性的价格竞争让很多中标企业不得不选择偷工减料,导致客户使用的产品质量严重降低;第三,“毒”市场,恶性竞争不仅会破坏行业规矩,也会让行业失去创新机会。
在这样的时代责任背景下,360特意在这次大会期间安排了一个“担当论坛”,发起了“威胁与攻击情报交换共享联盟”。很有意思的是,启明星辰、360、卫士通、北信源、拓尔思、华为等几十家竞争对手出现在了同一个活动现场,而且决定联手协作,通过数据互换、信息共享,建立安全、高效、高价值、高可用的威胁情报共享互通平台,共同打造国际先进的网络空间安全交流枢纽。
自从360私有化、回归中国资本市场,360身上就担负了更多的责任,这一点不用360说,懂得安全形势转变的人都明白这个道理。(嘿嘿,360回归后的股份有多抢手,圈里人都知道)
纵观这几届安全大会的影响力,可以看到360正在成为安全领域的中坚力量,引领并推动着整个行业的发展。从周鸿祎所提的大安全来看,未来需要更多的企业参与,更多的人参与,这将是一个非常庞大的产业链条。
懂懂认为,这次大会最值得点赞的有两点:第一,组织了“担当论坛”,把行业中的相关企业都召集在一起,群策群力,安全产业小而散的局面有可能会被改变;第二,提出“人是安全的尺度”,让所有相关的人都参与到安全中来,只有人人参与,才会真正实现安全。