9月4日,2018 ISC互联网安全大会(原“中国互联网安全大会”)在北京国家会议中心隆重开幕。360企业安全集团董事长、互联网安全大会联席主席齐向东出席战略峰会并发表演讲,以下为演讲全文。
尊敬的各位领导、来宾和媒体朋友们,大家上午好!
大数据、云计算、物联网、人工智能等新一代信息技术的应用,给我们带来便利的同时,也带来了新的网络威胁。今年,影响全球的网络安全事件此起彼伏,这些事件告诉我们,感知安全威胁变得越来越困难,我们必须回到安全的本源和原点思考,让安全从0开始,重新审视网络安全的思想、方法、技术和体系。今天,我想从三个层面谈谈对网络安全的思考:行业危机、产业巨变和创新爆炸。
一、行业危机
以前我们做网络安全演讲时,总是理论多、实践少,为了找几个有说服力的网络攻击的例子,总是挖空心思。最近几年,情况变了,全球网络攻击事件不断。每次事件都给我们敲响了安全警钟,因为被攻击的机构用的都是安全公司提供的产品和技术。这说明我们的安全市场出了问题。
去年5月12日,“永恒之蓝”勒索病毒席卷全球,波及到了150多个国家。短短一天内,英国医疗系统、美国快递公司、俄罗斯内政部、西班牙电信公司,以及中国的部分政府部门和加油站等公共服务机构都被攻陷,超过10万家企业和公共组织被感染。但令人欣慰的是,全球数十亿个人电脑却躲过了这场灾难,很少有中招被勒索的。
企业和政府机构的防护能力比个人用户更强大,但却大规模中招,这说明我们的防护技术失灵了。
今年8月,同样的勒索蠕虫的变种入侵了台积电,几小时内三大基地的生产线全数停产。受病毒攻击影响,台积电三季度可能损失1.7亿美元营收。
台积电的内部生产线采用的是隔离网,很多人认为只要网络不与互联网连接就能避免攻击,但事实证明隔离网也不再是避风港。前两年的乌克兰断电事件也是典型例证,电力系统是高度隔离的网络,但在2015年12月和2016年12月,乌克兰电力系统两次遭到攻击,都导致乌克兰包括首度地区大规模停电。这一系列攻击事件告诉我们,隔离网也失灵了。现在普遍认为,“永恒之蓝”勒索病毒来源于美国国家安全局(NSA)被泄漏的网络武器库。2016年8月,黑客组织“影子经纪人”声称攻破了NSA的系统,获取了他们的网络武器库,并公布了第一批黑客工具;2017年,“影子经纪人”又相继公布了第二批、第三批和第四批黑客工具。勒索病毒“永恒之蓝”就在公布的第四批黑客工具中。
不只是NSA遭到过黑客攻击,美国中央情报局(CIA)也未幸免。2017年3月,维基解密发布了近9000份美国CIA的机密文件。这些机密文件显示,CIA网络情报中心拥有超过5000名员工,设计了超过1000个黑客工具。利用这些工具可秘密侵入手机、电脑、智能电视等众多智能设备。
这两起事件告诉我们,最强安全部门的防护也失灵了。
企业防护系统、隔离网、最强安全部门的防护都失灵了,安全行业面临空前危机。防不住的原因一般有两个:要么是技术退步失传,要么是技术陈旧落伍,答案显然是后者。
为什么技术会落伍?我认为,是信息化系统架构的巨变,导致了技术落伍。
从80年代个人电脑发明和普及,到90年代互联网技术成熟,再到2000年互联网应用普及,再到2015年大数据和云计算的技术成熟普及,企业网络从专网,到专网与互联网并行,再到今天专网与互联网融合,网络安全问题已经从传统IT时代的网络安全过渡到互联网时代的网络安全问题,网络安全企业没有跟上这时代发展的步伐。
在这样的形势下,网络被彻底打开,传统边界属性改变,传统的IT安全架构已经跟不上时代发展,我们需要探索全新的安全解决方案。
二、产业巨变
新时代,安全产业将成为风口行业,这是我根据风口行业的特征做出的判断。风口行业有四个显著特征:高动能、强风力、长周期和巨头诞生。
以互联网行业为例,用户数量连年增长、需求爆炸。根据中国互联网络信息中心(CNNIC)最新发布的报告,截至今年6月,中国网民从2000年的2250万增长到8亿,18年间增长36倍,互联网普及率从1.78%增长到了57.7%,增长32倍,它是互联网风口的高动能;互联网也是一直是资本热捧的行业,中国互联网协会、工信部信息中心联合发布的2017年中国互联网企业100强中,55%为上市公司,其中4家企业位列全球互联网公司市值前10强,每个人都能感受到互联网风口强大的风力。
在互联网持续高增长15年之后,在大众创业、万众创新的驱动下,互联网+创新不断,资本还在源源不断地涌入。表现了互联网风口的长周期;当然诞生了阿里、腾讯这样几万亿市值的行业巨头更是有目共睹。
同样的逻辑,安全行业也具备高动能、强风力,可预计一定会是长周期和巨头诞生。
先说说高动能。首先是国家安全的推动,没有网络安全,就没有国家安全,网络空间已经成为了大国角力的新战场;其次是在第四次工业革命的推动下,工业生产的个性化定制、网络化协同,产品与服务的网联智能,都把网络安全推到风口浪尖,以往买东西只衡量性价比,以后买东西要安全第一;还有产业强制性法规的推动,比如今年5月,欧盟的《通用数据保护法案》(GDPR),我国的《网络安全法》、《关键信息基础设施安全保护条例(征求意见稿)》等法律法规的实施。
更重要的是,我们正处于从消费互联网向产业互联网和万物互联时代转变的时期,终端从PC和手机变成了万事万物,数量从几十亿变成几千亿更多的连接点意味着攻击面扩大,安全风险加剧,安全防护需求爆炸。
再看下强风力。Gartner的一份最新预测报告显示,全球安全市场高速增长,2017年全球网络安全产业规模达到989.86亿美元,较2016年增长7.9%。
我们再看看中国网络安全市场。安全牛统计了排名前200家独立的安全公司和大型IT企业的安全业务部公司。结果显示,2017年网络安全市场的增速是30%。他们预测,到2022年中国网络安全市场将超过1000亿人民币。
企业不断提高网络安全在IT支出占比是市场扩大的推手。全球平均为3.7%,美国是4.8%,中国是1.1%,我们和美国相差4倍。其实,重要的企业,国家关键基础设施的网络安全投资占比远远高于这个比例,达到10%以上。
如果未来网络安全在IT支出占比进一步提升,年增长率保持在30%左右,每三年市场就会翻一番,十五年后就是三十二倍,按照现在350亿的基数,未来就是近万亿的市场。这是第四次工业革命带给我们的机遇。每一次工业革命爆发之后,都带来了长周期的高速增长。第一次工业革命是蒸汽机的发明,机器替代了手工,风力持续了80年;第二次工业革命是电力的发明,小型自动化的机器替代了大型机器,风口同样持续了80年;第三次工业革命是计算机的发明,标准化的流水线诞生,自动化代替了电气化,风力持续了60年。现在第四次工业革命刚刚起步,可以判断风口行业至少将保持几十年的高速增长。在这个万亿级市场里,一定会出现巨头公司。现在我们和全球排名前列的网络安全公司差距并不大,谁能抓住第四次工业革命的机会,谁就能成为行业巨头。
三、创新爆炸
抓住第四次工业革命的机会,我们需要用创新的方法。我总结了安全大脑+“四新”,用安全大脑打造新战力、新战具、新战法和新战术。
第一,提升新战力,用数据驱动安全大脑,用安全大脑驱动安全构建多级网络安全监测平台,形成新体系。早在2015年,我们就创新推出了“数据驱动安全”的技术理念,以攻防技术研究为基础,利用大数据技术和威胁情报构建以检测和响应为核心的积极防御能力。
今天,用安全大脑驱动安全会更准确。杂乱无章的数据,并不能自动地识别安全事件,我在前几年尝试使用规则引擎来进行计算。比如2014年导致CEO辞职的塔吉特百货网络被入侵事件,攻击者先是通过控制塔吉特合作厂商的机器,窃取证书访问塔吉特的Web应用,利用其漏洞控制了Web应用服务器,再以此服务器为立足点,访问网络内的活动目录,收集机器信息,在服务器内存中得到了管理账号的访问令牌,从而控制了活动目录的服务器。
到这一步,攻击者已经基本控制了塔吉特的网络,他们通过访问网络中的数据库服务器,窃取了7000万用户数据,还在所连接的POS机器上植入恶意代码,收集到4000万银行卡信息。在整个攻击活动的环节中,对于异常的活动目录和用户数据库访问,我们通常有基于统计和日常基线的规则来发现可能的攻击。规则就像单位的制度、国家的法律,不管多复杂,都是可枚举的、有限的,所以经常有人钻制度和法律的空子。在传统社会被钻空子,有危害但可以承受,补救方法就是完善制度和法律。欧美国家还用陪审团制度来弥补规则不足,用人的大脑主观判断有罪与否。安全大脑就像陪审团的法律大脑,它是通过常识知识训练过的思维来判断合理、不合理,合法、不合法。安全大脑第一个功能是收集大数据、包括主动采集和传感器自动上传,并把它存储在安全大数据中心;安全大脑的第二个功能是学习,通过以往曾出现的漏洞和网络攻击实例,用机器学习的方法,训练出数学模型,用于大数据中心的深度分析;安全大脑的第三个功能是发号施令,把感知到的异常流量和捕获的攻击威胁,变成快速响应的指令,能更有效应对未来不断变化、日益增长的安全威胁。第二,研究新战具,以数据安全为主要场景,依托安全大脑,发展第三代“查行为”的网络安全新技术。在社会信息化三十多年的发展过程中,出现了网络攻击的三次浪潮,也随之诞生了三代网络安全核心技术。1985年-2000年,网络攻击主要以磁盘介质感染的计算机病毒为主,木马病毒数量有限,传播缓慢。当时应对这些病毒的方式,是通过查杀引擎逐一扫描电脑硬盘上的文件,实时与特征库比对,文件中某一段代码与病毒特征匹配上了,就杀掉,否则就放过。这就是俗称的“黑名单”机制,我称其为“查黑”的第一代网络安全技术。这类技术只能管已知的病毒,并且查杀是滞后的。2001年以后,随着互联网的快速发展,开始大规模出现蠕虫病毒。蠕虫病毒破坏性比普通病毒要高得多,短短时间内就能蔓延至整个网络。2006年,流氓软件爆发,更把木马数量进一步推高。这一时期木马病毒呈指数级爆发,每天新增样本数量从1万个上涨到峰值时期的近1000万个。传统安全公司的样本分析运营部门再也无力及时分析每日上千万个样本,导致病毒库无法及时更新;另外,网络病毒的传播速度变得极快,短短几分钟就可能感染上百万台设备,传统杀毒软件滞后几天甚至几周才能杀掉病毒,变得毫无作用了。在这样的背景下,360创新发明了第二代“查白”的网络安全技术,首次把搜索引擎、云技术、人工智能等互联网技术应用于安全领域,建立了全球最大的白名单文件数据库,只要这个文件不在白名单中,它就很可能是新的木马病毒。从“非黑即白”变成“非白即黑”,效果是很显著的。2015年前后,APT攻击成为主流,出现了大量“白利用”攻击手段,利用已知或未知的系统漏洞,把恶意程序注入到系统白文件中,操纵系统文件对系统进行攻击,让安全软件看上去是一个系统文件的正常操作,好比我们守着安检门,但黑客跟随有免检证的人走了VIP通道,安全技术再次进入颠覆期。所以,我们又创新提出了用依托安全大脑“查行为”的第三代网络安全技术,从关注样本黑与白上升到关注网络行为。白名单只能作为参考依据,而不再是无原则的信任清单。第三代技术突破了终端和边界的限制,通过尽可能全地收集大数据,安全大脑对每个样本ID、IP、流量进行计算,判断行为是否合法,把可疑行为找出来告警,行为分析至关重要。第三,锤炼新战法,围绕“人是安全的尺度”,形成人+安全大脑协同运营的新方法。首先,网络安全的最主要来源是人,我从FBI和CSI等机构联合做的一项安全调查报告上看到,超过85%的网络安全威胁来自于内部,危害程度远远超过黑客攻击和病毒造成的损失。其次,网络安全的本质是人与人之间的攻防对抗,再聪明的机器,再强大的安全大脑也不能取代人。我们几年之前就组建了机器智能自动攻防团队,目前在国际比赛上已经处于领先水平,但终究还是不能与高手专家比,只能机器和机器比赛。因为网络安全是逆向思维,而机器智能是“经验主义”。再次,及时告警、快速响应是网络安全核心问题,需采用“人+安全大脑”的方法,人起到关键性作用。现在我们面对的是APT等高级攻击,攻击的目标可能是毁掉一个基础设施,哪怕是只漏掉万分之一,损失都是不可承受的。争取100%的检出率和零漏报率,单纯靠手工作业是办不到的,只能借助人工智能,借助安全大脑。第四,磨炼新战术,我们把安全能力分为三种:高位能力、中位能力和低位能力。安全大脑是高位能力,安全管理中心是中位能力,软硬件安全设备是低位能力。“三位能力”立体联动是网络攻击的克星。今年大会的主题是“安全从0开始”,0意味着“零信任”策略,就是默认不相信任何人、任何设备,哪怕曾经有过授权。回顾以往的安全事件,被攻击、被渗透的设备几乎无一例外都是我们授权的可信设备,我们需要建立新的安全体系。“三位能力”的划分源于著名的滑动标尺模型,包含架构安全、被动防御、积极防御、威胁情报和进攻反制五个阶段,我喜欢叫它“五段论”。架构安全是在系统规划、建设和维护的过程中应该充分考虑安全要素,从而构建一个安全要素齐全的基础架构。被动防御是建立在架构安全基础上的,目的是假设攻击者存在的前提下,保护系统的安全。添加到架构安全上的系统,可以起到保护资产、阻止或限制已知安全漏洞被利用等作用。积极防御是分析人员对防御网络内的威胁进行监控、响应、获取经验和应用行动的过程。在这个阶段,人的参与是重点。情报是帮助防御者了解攻击者的行动、能力及战术等信息,以便更好地识别威胁和做出响应。进攻反制指的是以自卫为目的,对攻击者采取的合法反制措施和反击行动。我们从这个演进过程中的能力维度,构建了一个低、中、高“三位能力”系统,这是安全从0开始的最佳实践。低位能力相当于人的“五官和四肢”。它位于架构安全和被动防御阶段,通过部署终端、边界等安全产品,实现数据的生产和采集,负责听、看、闻、尝、取,以及在大脑指挥下采取动作行动。中位能力相当于人的“心脏”,以及肝、胆、脾、肺、胃。它位于主动防御阶段,它包含态势感知、安全运营、应急响应等,是对海量数据的汇集与分析能力,就像人的“心脏”,不断输送血液,为人体供应氧气和各种营养物质。高位能力是安全大脑。它位于情报和进攻反制阶段,能对中位和低位提供支撑和决策,就像人的“大脑”,负责复杂的思考和下达行为指令。为了让大家更好地理解这三位能力,我打个比方。假设4万个网络安全防护人员分布在1万个关键基础设施,平均每个设施上是4个人。如果进攻的敌方也是4万人,他们不会对1万个基础设施同时发起攻击,而是选择重点个个击破,那就是4个人与4万人的对抗,显然是守不住的。所以我们总说,网络攻防对抗是不对等的。怎么解决这种不对等呢?如果把这1万个基础设施、4万个人的能力数字化,集中到一个中心里来,有任何一个点被攻击,都能实时感知并调度其他点的人力来应对,就是4万人对4万人,一盘散沙变成了一支能被灵活调配的集团军,不对等就变成了势均力敌。4万人分散开来守卫1万个目标,就是架构安全和被动防御阶段要做的事,也是“三位能力”系统里的低位能力;这种把分散能力数字化,集中起来形成能力中心,相当于传统作战时的参谋部和前线指挥部,是中位能力;应急响应需要安全大脑,需要威胁情报和进攻反制,是高位能力。 朋友们,我们正处在新的时代。新一代信息技术应用给我们带来了新的安全危机,但也让网络安全产业迎来了爆发式增长的发展机遇。让我们携起手,以创新为引擎,让网络更安全,让世界更美好。谢谢大家!声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
