聚焦信息技术领域 为产业发声
导读
9月12日,第五届中国互联网安全大会(isc2017)在北京国家会议中心开幕,本次大会以“万物皆变,人是安全的尺度”为主题。在大会开幕式上,360公司董事长周鸿祎发表题为《万物皆变:从安全到“大安全”》的主旨演讲,在演讲中,周鸿祎提到,网络安全近年来受到越来越多的重视,同时也遇到越来越多的挑战,并提出我们已经进入了大安全时代,并分享了对大安全时代的几个趋势和看法。以下为演讲全文:
周鸿祎演讲来自黄河连线00:0003:15
前言
各位朋友大家好!先谢谢patrick paumen先生,但是打死我也不会在身体里植入这些东西。我觉得我们已经够不安全了,如果在体内植入越来越多的设备,那么可能人也会被hack了。所以有一天我站在台上胡说八道的时候,可能就是中毒了。你们也不知道谁在操纵我。互联网安全大会开了五年,我们会议的规模也越来越大,我的理解,这个会并不是我们要宣传什么,而是要给我们安全行业的一个年会,每年这么多同行坐在一起,引发大家更多热烈的讨论,然后对我们下一步往哪里走,有更多思考。
我希望今天能够提出一些有挑战新的问题供我们的从业人员来讨论。实际上这证明了一个现象:一切皆可编程,万物都可互联。整个社会,整个世界运转在软件之上,是软件一定会有漏洞,所以安全这几年,我的感觉是我们越解决越多,我不知道大家有没有这样的感受。前一段有个文章叫《人民呼唤周鸿祎》,我看了看,我给大家解释一下,为什么现在说话比较少,有两个原因,一个就是说,我们回归了,作为中国最大的网络安全公司,如何解决越来越多的安全威胁和挑战,我们有很大的压力和挑战。另一个是作为安全企业,我们要稳重一些,天天嘴上没门,可能影响不好。今天的演讲会严格按照ppt来演讲。另一个是安全挑战越来越多,我们最近也有很多内省和思考。
网络安全的两个现状
过去的五年,网络安全的受重视程度越来越高,我们习主席已经给网络安全做了一个很高的评价:没有网络安全就没有国家安全。网络安全已经上升到了国家高度,中国今年出台了网络安全法,有立法,也有了网络安全战略的制定,网络安全产业这几年好像迎来了春天,投资越来越多,网络安全从业人员的工资越来越高,行业高手至少涨了10倍,整个行业有一种欣欣向荣的态势。
另外一方面,也有人讽刺,你这个会天天开,网络安全的问题还是层出不穷,也没有解决多少问题,网络安全形势越来越严峻,网络攻击越来越多,针对国家安全的,带有政治色彩的,针对特定目标的网络安全问题不断出现,甚至对一些国家的安全和政治稳定提出了挑战。另一个是网络犯罪呈爆发式增长。网络诈骗,敲诈勒索,网络攻击越来越多。去年我讲过有犯罪分子直接从孟加拉央行里直接偷了8000万美金,这种商业窃密日益活跃。有一个数据,去年全球网络犯罪的损失是30000亿美金,预计2021年会达到60000亿美金,实际上网络黑色产业链一直比网络安全产业链要大10倍,有很多世界顶尖的黑客高手,留在了网络安全领域里,但有很多人进入了黑色的产业。
网络安全已经社会融为一体
最近这两年有三个大事给了我们很大的启示:
第一个是美国大选。到今天还在喋喋不休地争论某国黑客的介入究竟有多大程度改变了美国政治的走向;
第二个,在过去两年里,在乌克兰地区发生了多次对乌克兰电力企业的攻击,导致乌克兰多个地区大面积断电,停电。乌克兰现在成了某些国家的练兵场,黑客部队就拿乌克兰的基础设施当成他们演练的阵地;
第三个是之前的勒索病毒,这次勒索病毒在全球爆发,应该说在我们国家的危害得到了及时的管控。但是从勒索病毒里暴露了很多现象让我们重新思考,今天到底如何重新定义网络安全,大家可以看到勒索病毒不是一个小病毒,虽然是一堆小毛贼做的一件很低劣的勒索的事情,因为他们用的是美国泄露的比较成熟的网络武器,威力很大,导致很多公共服务业,重要的业务甚至基础设施无法正常工作。比如加油站不能加油了,有的自自助终端不能工作了,英国有的医院不能给病人做手术了有的地方的出入境的签证不能正常进行了。所以网络安全事件,已经可以直接影响到社会的稳定安全运转。
今天的网络经过20年的发展,今天的互联网不再是一个行业,它已经跟整个社会融为了一体,网络世界和现实世界已经深度连接,马玉天天在谈新零售,在我们安全行业人员看来,线上线下的边界已经消失,网络空间的任何安全问题,都会映射到现实中。所以这几个字都很难描述我们在今天这个时代面临的安全挑战,所以安全问题已经泛化,今天进入了一个大安全时代。在这个大安全时代,网络安全已经不再是网络本身的安全,网络安全实际上是一个安全的集合,它包括国家安全,社会安全,基础安全、城市安全,甚至是人身安全。
所以今天我们如果再孤立的站在一个信息系统安全,或者网络空间安全的角度谈安全,我觉得我们已经不能够真正的去评估我们在下一个5年到10年,我们所面临的真正的风险和挑战。今天我觉得只有站在一个更大的一个格局,更高的一个高度,所以我们重新定义了一个概念,叫整个世界进入了一个大安全的时代。大安全时代我们有几个观点,还有几个对趋势的判断,说出来大家讨论以下。
大安全时代的几个趋势
■ 我们进入了网络战的时代
过去我们看到很多是孤立的网络攻击,但是今天我觉得全世界已经跨入了网络战的时代。我们谈到网络战,我们就必须从战争的角度来看待网络攻击,否则你就会低估网络战对这个时代的影响。所以这次勒索病毒表面上看起来是一个敲诈软件,勒索蠕虫,但是由于它应用的是美国国家安全局泄露的网络武器,所以在这个事件中,尽管损失没有那么大,但是我们必须去深入的反思,我们从这个事件,包括从乌克兰的电站攻击事件,我们来看看到底未来的网络战和传统战争,究竟是什么样的一种关系。
我举几个例子:
第一个,你会发现网络战的时间,可能按照一个时间框架,它很有可能是以数年为单位,对一个国家,对一些单位,进行长期的渗透、潜伏和准备,它不像常规战争,常规战争可能有一个宣战的时间点,什么时间突然两个国家打起来了,所以大家有一个清晰的界限。但是网络战很有可能在和平的时期,它就已经在对你进行各种网络战的准备和渗透。就像这一次美国网上泄露了一些网络武器,实际上这些网络武器除了被勒索病毒使用,你会发现在一些重要单位的网络里,我们已经能够看到一些网络武器曾经渗透过的痕迹。所以我们不要觉得今天是和平时期,我们只谈和平,只谈发展,我们不要忽略,网络战本身已经已经在全球都在准备。
第二,过去的网络攻击和网络战比起来最大的问题,这次wannacry这个病毒表现出来泄露了这个国家他们已经不再满足于利用漏洞做一次攻击,他们已经具备这种能力,把网络武器平台化、系统化,甚至是自动化,就像1945年美国在日本扔了两颗原子弹,实际上给全球展示了原子武器,从那以后世界进入了核竞争的时代,因为只有一个国家掌握于领先于其他国家的武器,这个世界是不平衡的。所以我们对网络战有一个预言,这次展示网络武器的威力之后,世界各国实际上都会在网络军备竞赛方面进入一个新的高度,就是大家都在思考,如何能够让自己网络进攻的武器能够真正的做到平台化、系统化和自动化,这是一个没有办法的事情,但是它一定是一个趋势。
还有一个,最近大家都在看敦刻尔克,诺兰导演,用三个时间的维度,一个是一周,一个是一天,一个是一小时,你从这个角度看网络战也很有意思,当两个国家发生冲突的时候,如果他们要发生底面冲突,是以周、以月来计,因为你调兵遣将,但是大家知道,陆战的前提是必须要有制空权,所以陆战之前就要有空战,空战是以小时和天来计,才能够得出结果。可是有了网络战之后你会发现,也许在以后的战争里面,空战不是第一次打击力量,网络战会成为第一波打击力量,因为经过前面成年累月的积累之后,网络战的时间是以分钟和秒来计算的,对方如果掌握了网络漏洞,在数秒到数分钟之间瘫痪你的网络,大家问瘫痪网络有什么用?如果我战斗机起飞之前,我把你的电站都给摧毁了,对我的空战是不是有非常有利的支持?所以你会发现在未来的战争里面,我们可以大胆的预言一句,网络战在里面占有了角色,甚至可能是会更加重要。
所以我们提出来这样一个观点,大安全时代,因为今天来的听众里面,我相信也有很多军队的同行,所以大家可以想一想,在大安全时代,我们是把网络战看成只是一个附属的网络手段,还是我们认为网络战将来可能跟传统战争形式会有非常密切的结合。包括在战争过程中,所谓的宣传战、舆论战,在今天的网络时代最终也是通过网络战对信息的操纵和控制来进行。所以我觉得未来的5到10年里面,就像刚才这位美军上将讲到,也许很多国家都会花大量的军费,我不一定投在传统的飞机、坦克、大炮上,而是要投在智能战争,智能的网络作战、网络军火、网络武器上,所以这是我们一个比较偏激的观点。
■ 漏洞是战略武器
第二个,我觉得网络战的本质我们觉得就是漏洞,漏洞这个词翻译得不好,让很多人觉得漏洞只不过是一个程序的漏洞,是一个软件的小错误。但是我们所有人都应该明白,你在网络里掌握了一个漏洞,就相当于打造一个网络武器的基本的资源。所以从某种角度来说,漏洞和石油,漏洞和很多军用物资一样,它实际上应该被视成是国家级的重要的战略资源。谁掌握了对方的漏洞,谁就能在对方所谓固若金汤的防线上撕开一个口子。今天当我们面临防守的时候,我们如果能找到系统更多的漏洞,我们就能够延缓敌人进攻的能力。
我们谈一个很有意思的现象,第一个,这次nsa泄露的网络武器里面,每一个网络武器都利用了若干个0day漏洞,这些0day漏洞在使用过程中,他们非常注意它们的保密和使用范围,导致在这些漏洞在很长时间里面并没有被世界其他国家所发现,所以可以让网络武器在相当长一段时间里面,能够保持这种威慑。但是并不是每一个国家都能做到这样的一种认知,维基解密里泄密了很多的文件可以看出,美国对漏洞的挖掘和收集非常重视,它一直致力于各种操作系统、嵌入系统和智能设备的,投入巨资,通过合作或者购买的方式获取漏洞,然后利用这个漏洞批量的打造武器。
从另外一方面,美国在防守方面,通过众包,特别有奖比赛的方式,举办各种黑客大赛,征集全世界的黑客实际上为他打工,黑客为了奖金就把辛辛苦苦一个高价值的漏洞可能就暴露给了比如说五角大楼。所以你会发现美国政府,包括五角大楼非常热衷举办一个节目,叫《来黑我吧》。通过这种方式,通过攻防实际的演练,让他的防御系统更加的坚固。
一个很有意思的现象,尽管我们中国有很多团队,包括我们在内,我们得意洋洋的宣称,在这些世界顶级黑客大赛里面我们得了多少奖的时候,我们是不是应该思考一下,是不是这里面有一些战略资源的流失?我们再观察一个现象,在这些比赛里面,赛到现在,你很少见到北约盟国,包括美国自己的队伍来参赛,难道真的是美国人的攻击水平不行吗?我觉得这都是值得我们去思考的一个问题。
在大安全时代下面,既然是一切皆可编程,所有的东西其实都是软件,过去你打车不需要软件,今天需要,过去你定餐不需要软件,今天送餐的公司也基于软件,所以没有什么不基于软件的。下午我们会发布一款安全车,以后网联车、人工智能什么东西,都是基于软件。这里面就有一个结论,软件是人写的,今天人工智能还不能写软件,但是是人都会犯错误,平均1500行代码就可能会有一个错误,这个错误就是漏洞。你现在拿的智能手机里的代码行数,可能也是以千万来计,一个稍微复杂的城市地铁系统里面的代码也是上亿行,这里面一定充满了无数的漏洞。有漏洞就会被人利用,所以今天我们再次强调一个结论,在大安全时代,要放弃做一个攻不破系统的想法,而是说我们要接受一个事实,就是没有攻不破的网络。
15年亚历山大将军来到这个论坛,他说世界上只有两种网络,两种系统,一种是已知被攻破的,一种是被攻破自己还不知道的。所以这一年我们来看,我们确实要如何系统防御,可能要有新的策略。实际上今天对全世界特别是以国家力量作为后盾的这种攻击团队来讲,确实没有攻不破的网络。
我再次提到电影《敦刻尔克》,他忘了讲一个前提,为什么英法联军会溃败到敦刻...