周鸿祎的战法进阶

　　撰文懂懂
　　来源：懂懂笔记
　　“从来都没有什么岁月静好，看不见的网络攻击随时在发生，这是一场战斗，要用战争思想，对抗的思维来指导网络安全的发展，网络安全才能有正确的方向。”周鸿祎如是说。
　　互联网安全大会（ISC）走到第九年。作为主办方代表，周鸿祎一直以来意图将ISC打造成为一个行业的大会，而不是独属于三六零（下称“360”或“360集团”）的客户会。九年时间，每年一次的产业集会，也见证了中国信息安全产业的演变，应对安全问题的能力也在不断提升。
　　“安全行业如果还执迷在过去做一些很顺手的碎片化的产品、以卖货为主的思路，一定解决不了我们面临的安全挑战，当下需要新的战法和新的框架。”360作为中国安全的龙头企业一直在探索，九年ISC不停与行业碰撞，可以说今年新战法、新框架的提出，是ISC发展九年的一个核心成果。
　　形势之变：软件定义一切，攻击无处不在
　　先让我们看看新近爆发出来的安全问题。
　　让美国东部进入紧急状态的“油管事件”，涉及到的黑客组织包括三部分：一是俄罗斯的darkside负责制造工具，并不发起攻击，分享勒索攻击金额的15；二是实际发起攻击者获得80的收益；三是一些小黑客负责收集漏洞，分享5。从这个案例中我们看到，一个勒索攻击，已经有着严密的分工，黑客组织越来越成产业化趋势。同时，随着工业互联网在能源、电力、制造等基础设施行业的发展应用，大量过去部署在生产网络中的工业控制设备暴露在互联网之中，每个连接点都可能成为攻击点，为勒索攻击、工控攻击提供了可乘之机。
　　最近在全球目前最大的单一勒索攻击中，ransomwareEvil（Revil）黑客组织及附属机构，通过渗透一个远程管理软件Kaseya，一次性地勒索了17个国家、上千家公司。有意思的是他们可能连这家公司的名字都不知道，其实真正的攻击目标不是这一千多家的受害者，他们攻击的是Kaseya远程软件控制公司。这是一个非常典型的通过供应链来攻击，也就是说你受到攻击不是你的安全措施做得不好，可能是你的供应链做得不好。
　　智能汽车开始进入到我们的生活当中，新的问题也随之而来。今年，很多单位开始不让特斯拉进入到院子里，因为一辆汽车上的数据不仅涉及驾驶人的个人信息安全，车辆上还有特别多的传感器，如果采集了很多数据，会涉及国家安全。
　　这其中我们看到几个变化：第一，攻击无处不在，随着我们进入万物互联时代，每一个连接点都有可能成为攻击点。第二，威胁不断的走向高端化，小毛贼、小黑客已经成为历史，勒索软件攻击正在向APT化演进，形成有组织、有预谋的犯罪商业模式，攻击目标从个人转向政府、重点企业和重点设施，攻击手法也在发展过程中变得更加定向化、持续化、专业化。有组织的大规模网络犯罪成为网络安全的最大威胁，网络攻击目标和手法还有产生的破坏都突破常规，网络攻击成为大国博弈的一部分。第三，大数据在驱动一切业务，这种情况下数据安全变得非常重要，数据本身被攻击、被损毁、被污染或是被丢失和被盗窃，都会带来比网络攻击更严重的后果。
　　当然，这些变化不是一天发生的。过去几年间，周鸿祎在各种场合强调安全的重要性、形势的严峻性，但是数字化发展的速度远远大于人们对信息安全的重视程度。从另一个角度来讲，常年战斗在一线的360在安全这件事上跑在了所有企业的前面，看到了别的企业不一定能看得到的危险。能听懂并且听得进去周鸿祎的话的人并不多，高处不胜寒，周鸿祎是有些“寂寞”的，这也是属于行业领跑者的寂寞。
　　也正是因为认知上的滞后，直接带来的结果就是中国信息安全产业整体偏弱，小企业多，产品碎片化，安全能力弱，企业也都赚不到什么钱。不可否认，每年ISC作为行业性聚会，信息交流、思想碰撞，九年时间也在推动这个产业的发展，中国信息安全产业也正在发生着变化。
　　在今年的ISC上，总结安全形势的变化时周鸿祎认为随着进入数字化时代，未来将是软件定义一件，数字化有三个特征：一切皆可编程、万物均要互联、大数据驱动业务，这也意味着数字化让整个网络安全环境更加脆弱，安全风险更加无处不在，整个世界更易攻击，造成危害也更大。
　　思维之变：没有一招鲜，要有战争思维
　　“我们很多同行都曾经谋求说我发明了一个产品，这个产品一用就解决网络安全的问题。事实证明网络安全是动态的，不是静态的，你的对手是一群高智商的人，他不是一个静态的物理问题等待着被解决。”周鸿祎深知，无论是攻击的技术还是攻击的手段都在快速变化，也这使得网络安全的形势不断面临新挑战。
　　每天都在快速变化，以前IT产业“交钥匙”工程的思维不适合安全领域。在这个领域没有一招鲜，没有一个产品可以防所有安全问题，也没有一个企业可以完成整个安全体系的构建。
　　攻与防就像魔与道，魔高一尺，道就需要再高一丈。魔在不断进化，道也需要不断修炼。“我们这个行业的从业人员像希腊神话里的西西弗斯一样，每天辛辛苦苦推石头上山，第二天石头又落下来，你在这个行业里工作，就要不断的历经从成功到失败，从失败到成功，所以在这个行业坚持下来的人，我觉得都是理想主义者。”
　　也正因为，周鸿祎在今年的ISC上正式提出安全领域的“新战法”：我们只有向军队学习，把这个看成一场战斗，用战争思想，对抗的思维来指导我们网络安全的发展，以‘作战、对抗、攻防思维’为指导体系化建设安全能力，我们的网络安全才能有正确的方向。
　　同时，周鸿祎还提出，以前安全只是数字化的“附庸”。但是随着数字化的深入，安全的重要性不断提升，未来不能再把网络安全当成信息化数字化的附庸，而应该将网络安全视作数字经济的底座。“把安全能力基础设施化，就是要打造像水电气一样的安全设施。这个基础设施不同于传统的碎片化的产品，而是在防护、检测、响应等产品之上，转化为一个长期运营的安全能力平台。”周鸿祎表示，360会先行一步，把自己在安全方面的能力开放出来，基础设施化，成为整个产业的云端基础设施体系的一部分。
　　“有产品和有能力不能划等号。所以如何能够帮助用户建立起能力体系。建立起体系化作战，这是今天网络安全到了一个行业拐点。”周鸿祎所说的行业拐点是指安全产业到了进入新战法的阶段。
　　360政企安全集团首席执行官叶健在此次ISC上提出：安全的新战法，即作战的三个维度：第一要从全网安全态势入手，第二要从基于实战方法论入手，第三要从新一代的能力框架入手。
　　国家、城市、行业、企事业，它的暴露面是巨大的，即便我们从企业来说，很多企业，他们有上下游供应链（Revile），有分支机构，儿子孙子公司，他们的连接很可能通过互联网，物联网。解决安全问题，只有从全局出发才能看清局部，也只有了解全局的安全态势，才有可能提前做好准备。所以，安全战略的布局需要从全网安全态势入手。
　　360在过去十五年，一直在网路攻防的第一线，先后投入200多亿的研发经费，建立东半球最强的白帽子军团。可以说，360的成长史就是网络安全的战争史，所以可以最终总结出实战方法论，包括3个部分：首先总结黑客攻击的战术、技术、流程。未知攻，焉知防。360从来不做攻击但是，要知道防守，必须了解进攻。其次，黑客攻击的方法基础上，建立了纵深防御体系的方法论，这里保护我们的三层大脑架构，能力框架，运营体系等。第三，为了未来更好地提升防守能力，总结出了成熟度评估，帮助同行和客户不断提升能力。
　　网路攻防是一个永不落幕的战争，试图通过技术手段，通过一次性购买建设一个系统，是不可能实现防护的。只有不断提升能力，才有可能和黑客斗争中，生存下来。基于此，需要一个全新的能力框架。
　　打法之变：从单点突破到体系化作战
　　在ISC大会上，来自各方的专家、领导、企业代表，都有一个共识：解决安全问题，需要体系化作战。
　　“面对高级别攻击力量入场所引发的威胁，我国必须建立新的自上而下的网络安全保障框架。其中，政府引领是关键，还须在产业体系建设、政策扶持、人才战略和市场环境等方面同时发力，并加大基础研究与技术的衔接。正是基于这样的背景下，网络安全体系化、规模化的战略非常重要。”中国科学院院士韩启德认为。
　　“今年，全世界的部队在谈及打仗，都知道不是能用某一种武器就能获胜，而是讲究体系化作战。今天的网络安全也是如此。”周鸿祎举了一个例子，中国也有了航母，航母的战斗力并不是依赖于某一个单一的武器，航母的运营体系中有不同的角色，也有不同的处理流程，这些相互结合才形成航母真正的战斗力。
　　360结合多年的实战经验提出新一代安全能力框架，其中包括四个部分：一是区域行业企业总部的安全大脑，二是安全基础设施体系，三是安全专家运营应急体系，四是安全基础服务赋能体系。
　　“这套框架可以从360复制到各党政军企单位，建设各单位自己的安全大脑和基础设施，让各单位管理运营自己的安全数据，并且建立起运营体系，通过服务赋能下属单位。对于各单位能力不足的地方，360还可以通过云端持续提供全网大数据和高级安全专家的赋能。”周鸿祎表示。
　　用健康行业来类比这套新架构比较形象。卖产品，就像是卖药，有时候药能解决问题，但有时候看似对症下药但也解决不了问题。而到医院去，有化验室、门诊楼、手术室、住院部、ICU，有医生、有药、有医疗器械，这样一套体系才能高效提供医疗服务，帮助更多的病人解决不同的病痛。
　　周鸿祎强调，安全能力框架能够整合各种生态产品，扩展支撑各行各业的各种数字化场景。例如工业互联网、车联网、能源互联网、智慧城市等等，形成面向场景的安全解决方案。更重要的是，以前单个产品的能力有限，而这套框架可运营、可成长、可输出，能力是可以不断“变大”的。
　　显然，周鸿祎的安全观是不卖货，卖的是体系，卖的是能力。如果说，安全是一场持久战，周鸿祎再次披挂上阵，“战”安全。