360 周鸿祎：希望未来网络安全公司摆脱堆砌产品的做法

所以网络安全不再是附庸、不再是辅助，而是新基建数字化的基础，没有安全的顶层设计和方法论，我们面临得将是 " 数字裸奔 "，数字化跑得越快，将来数字化带来的灾难就会越大。但是这么多年，我们在安全上其实没有这样一套能力的框架。我举一个例子，比如说一个安全系统里，你用了 A 公司的杀毒软件，你用了 B 公司的防火墙，这么多年这两个东西不会对话，不会通信，当然也谈不上联动联防，更谈不上有什么样的协调机构能够调动它俩的能力资源共同作战，这都是因为我们在安全上缺乏一整套新的框架。

所以这些年我想问行业，问我自己，问 360 团队，到底什么是不安全的源头？我的答案是，漏洞和人带来的问题是不安全的源头。第二个问题，安全的本质是什么？我们很多人老觉得安全问题就是 IT 问题，但其实 IT 问题是最容易解决的，数据库性能慢，优化一下，电脑速度慢，我们换个 CPU，或者今天网络吞吐量不足，我们就加带宽，这都是静态问题。为什么安全很困难呢？因为今天我们的安全解决的不是一个静态的写好的木马、病毒，我们今天面对的实际上是对方一个安全专家，一个国家级背景的黑客团队，这里边本质是人和人的对抗，对方会不断地改变他的战术，对方会不断地改变他的技术，对方会不断地找到新的漏洞，找到新的方法。所以，我们这里边，我觉得最本质，一定要强调人和人的对抗。一切没有经过对抗，经过检验的安全，我觉得都是假安全。

第三个问题，什么是安全的关键要素。有人说当然是好的产品，但很长时间以来我们这个行业总是迷信一个 Silver Bullet（银弹策略），老是迷信有一个最超级的武器就能横扫一切不安全的因素，但真的是这样的吗？如果世界上谁能做出这样一个安全产品，是不是就可以放之四海而皆准？

我觉得还是前面讲到的，你面对的是人，是可以不断随机应变的人，所以无论你做出来多么美好的产品，对方都可以通过很长时间的漏洞挖掘，找到漏洞，最后通过很长的攻击链的巧妙攻击，就攻入系统。所以安全的要素不在于做出什么产品，产品总是会被抛弃，产品总是需要升级更新换代的。所以，我认为最重要的是安全专家的持续运营，我们不能再去梦想装一个什么产品就可以一劳永逸地自动解决问题，再好的安全产品也需要安全专家进行长期运营，这才是安全的关键要素。

我的一个答案是，实际上我们应该帮助用户建立安全的基础设施。所以，我就在想什么是安全基础设施？比如我们给用户建立了一个实战的靶场，在一个城市有了实战的靶场之后，我们可以在十年以后，依然可以通过靶场开展这种长期的攻防演练，可以帮助我们不断发现新的产品有什么漏洞，有什么问题。这个靶场它不是一个产品，它是一个基础设施，那么用户可能未来 5-10 年都可以通过这个来增强防守能力。

我们最不难看到的是各种新产品层出不穷，但是从用户侧来讲，这些新产品不断地推出，老产品不断升级，换句话说什么能够帮助用户积累能力？我觉得对抗过程中产生的知识库实际上是最重要的。我们不能总是堆砌产品，而是应该积累知识。

我最后一个问题是，我们如何能系统性地解决问题。我们不能总是见招拆招，头疼医头，脚疼医脚。明天这个设备出了毛病就加一个盒子，明天那个系统出点毛病就加一段代码。如果按照前面描绘的场景，那我们将无法应对在物联网时代、全数字孪生时代网络拓扑结构和网络设备一百倍增长的挑战。所以，我们有一个答案，就是要构建客户安全能力的框架体系，从根本上解决安全的问题，从根本上能够提升客户的能力，从根本上帮助客户建立运营体系。

所以，基于过去 15 年的实践和这几年的思考，360 形成了一套新的安全理念，有四个大的认知和大家分享一下，首先网络安全是数字时代的基石。在产业数字化的同时请不要再把网络安全看成附属功能，网络安全将是数字时代的基座，将是底座或者基石。

第二，我觉得网络安全必须动态地来看，它的本质是人和人的对抗，在攻防两端的能力较量，你在变化，对手也在变化。所以我们不能再用静态、合规的思路来看待网络安全。

第三，漏洞是网络安全最重要的命门，也是最重要的战略资源。如果不研究漏洞，不消除漏洞，不想办法给漏洞打上补丁，我们就很难从根源上去铲除这个不安全产生的源泉。

第四，获得能力，积累能力，提升能力，进而能够输出能力是安全体系建设的核心目标，也是我们一个很重要的衡量标准。举个例子，一个人生病要去医院看病，不过这仅仅是因为医院有 B 超、医院有 CT、医院有呼吸机吗？不仅仅是这样，还是因为医院有医疗的能力。而衡量安全能力的一个很重要的标准，我觉得就是对抗，就是实战。

如果我们在认知观上有了共同的认识，我们就可以接着介绍八个方法。

第一真正要先解决看得见的问题，一定是用大数据来解决。今天只有基于全网的大数据，才能看见这种隐匿的高级威胁的前提。

第二个安全体系中，确实需要一种标准化的协议，把各个安全设备，把各个安全子系统，把各个安全模块都能够打通，这里打通的关键是威胁情报。所以我们要建设情报的体系。

第三个建设安全的基础设施，是未来五道十年帮助我们的国家、城市和企业持续提升安全能力的重要的方向和载体。

第四，安全能力的提升离不开持续的运营。国际上打击一些恐怖分子的方式是通过持续的跟踪，持续的情报分析，持续的搜集，这证明了运营的重要性。

第五，攻防、安全的知识的积累是非常重要的，这不是每一家公司都重新发明轮子，但知识从对抗中来，要到运营中去。

第六，安全专家是攻防对抗的决胜因素，不管我们吹嘘我们的 AI、大数据、云计算有多么牛，但在这个行业里对手是高水平的安全专家，人是最聪明的，能想出各种各样的方法，所以我反复强调，再好的武器要看掌握在什么人手里，所以安全专家是攻防的决胜因素。

第七，实战是检验安全能力的唯一标准。原来安全在早期发展的时候，合规其实给了我们一个安全的底线，也给安全行业带来了很好的发展，但是你会发现在新时代面对新的威胁，仅仅靠合规是不够的。也就是你买了一堆合规的设备，是不是意味着你有了安全的能力？答案是不一定。如何验证？——实战。这几年实战攻防，蓝队和红队模拟攻击的方式对安全行业带来了巨大的改变，这件事就由这个方法论来指导的。

第八，必须要制定互联互通的标准，才能实现安全行业的协同联防。

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!