【獵雲網(微信:ilieyun
)北京】8月19日報導(文/呂夢)
8月19日,ISC 2019網際網路安全大會在北京召開,今年ISC大會以「應對網絡戰,共建大安全,同築大生態」為主題。
ISC大會主席、360集團董事長兼CEO周鴻禕在《網絡戰時代的挑戰與應對》的主題演講中從「作戰視角」來看待網絡安全問題,他聲稱,網絡戰正發生,此時,關鍵基礎設施成為「戰場」。
網絡戰的特點,周鴻禕認為,是一場「整體戰」、「超限戰」和「秘密戰」。
首先,它不分軍用民用,部分國家、企業和個人;其次,它手段多元,無所不用其極;再次,網絡戰經過長期謀劃,瞬間致癱,來無影去無蹤,難以溯源。
如何應對網絡戰,周鴻禕認為「看見」是關鍵。其中,網絡安全大數據是看見的基礎;此外,威脅情報和知識庫幫助在大數據中篩選;與此同時,高級別攻防專家起決定作用,其本質是人與人的對抗。
在這個過程中,360的舉措將主要體現在三個方面:共建分布式安全大腦;分享威脅情報和知識庫;賦能客戶,提升應對網絡戰的綜合能力。
以下為周鴻禕演講全文,獵雲網在不改變原意的基礎上進行編輯和整理:
網絡戰是一個敏感詞,過去不讓提。我說「網絡戰」,他們說我是「好戰分子」。我覺得要正視網絡戰的現實。最近網絡戰的話題開始變的不那麼敏感,人民日報、新華社、光明日報都發多篇文章談某些國家對我們使用「網絡戰」。
2019年6月20日,美網軍對伊朗反動準軍事行動,通過網絡攻擊破壞伊朗的飛彈控制系統;7月13日,紐約突發大面積停電,美軍方聲稱遭到來自伊朗革命衛隊信息戰部隊的打擊,後又闢謠。
2019年「黑客世界盃」DEF CON大賽中,7名白帽黑客2天內攻破美國主力戰鬥機之一F-15鷹式,成功攻破關鍵飛行數據採集系統TADS;
此外,北約今年舉辦了最大的網絡安全演習「鎖盾2019」,4000個虛擬軍事系統承受2000多次攻擊。
這些事件都表明,網絡戰不是科幻小說或者美國大片裡幻想的未來,網絡戰就發生在當下。過去幾十年裡和平幸福生活過太久,覺得戰爭離我們很遙遠。
我覺得戰爭從來沒有遠離,必須意識到網絡戰的嚴峻形勢。如果像沙子裡的鴕鳥一樣不承認網絡戰的存在,不能意識到網絡戰帶來的挑戰,根本談不上應對網絡戰。
我強調的觀點,必須用作戰的視角看待網絡安全。
網絡戰最大的特點,與傳統作戰不一樣的是,不宣而戰。
網絡作戰最重要的是花相當長的時間通過攻擊手段進行攻擊和潛伏,滲透到你的基礎設施網絡裡,希望在關鍵的時候對你發起致命一擊。
潛伏滲透本身也是網絡攻擊的一部分,今年沒有任何國家對我們宣戰,但已經有很多國家對我們國家基礎網絡不斷地發起攻擊。
網絡戰讓搞網絡安全人員應對的對手變了。過去應對的是內部員工或者是竊取商業機密的友商,甚至是小毛賊,網上小黑客的黑產力量。
今天,網絡戰的對手全部是各個國家成立的網軍,100多個國家成立了超過200多支網絡戰部隊,都是軍事級的技術。這是國家級的黑客力量,國家級的對手入場。
我們國家有一個技術特別牛的企業,6年前,它的郵件系統被NSA(美國國家安全局)入侵,這是美國紐約時報揭露。很多人說這麼牛的企業怎麼會被NSA入侵。因為NSA代表全球最高水平的網軍力量,入侵一個民間企業有什麼做不到的。
物聯網、工業網際網路、車聯網以及現在談的產業網際網路帶來巨大機會的同時,到了萬物互聯時代虛擬空間和物理空間完美地銜接。過去所有在數字空間裡的打擊都可以轉成物理世界的傷害。
今天為什麼網絡戰突然成了香餑餑?關鍵基礎設施成為未來的戰場,所有的網絡戰攻擊過去不僅僅是為了竊取情報,現在可以對交通、能源、金融等基礎設施發起攻擊,可以獲得比傳統作戰可能更好的破壞效果。
我們強調一個觀點,很多人總是在兜售買了什麼技術,買了什麼系統就可以保證網絡高枕無憂,這是一個謊言。
因為今天所有的網絡攻擊之所以能夠得手,都是利用不知道的漏洞,利用不知道的漏洞可以神奇地控制電腦和主機,入侵網絡。技術漏洞,所有軟體硬體都是人做的,是人做的就會犯錯誤,每一千行代碼裡會有四到六個錯誤。
今天很多自動化的系統,雲計算、大數據、人工智慧有多少代碼,這裡隱藏很多漏洞。這些漏洞無處不在,不可避免。人的漏洞,無論有多麼嚴格的網絡安全的規定,每一個單位裡有人會違反網絡安全的規定,會被社會工程學進行攻擊。
因為有了漏洞,今天的系統一定會被網絡戰部隊攻進來,不存在攻不破的系統。我們必須切換假設,重新思考戰法。
按照前面的假設提出更加悲觀的論點,很多網絡裡,與國防重要基礎設施,科研很多重要網絡裡,是不是已經存在著敵已在我的情況。敵人已經進來了,已經潛伏在你的基礎設施網絡裡,只是你還不知道。
易攻難防。因為攻擊者很簡單,只需要兩個小夥子知道有一臺電腦,知道幾個漏洞就可以任意對一個國家的基礎設施發起攻擊。而防守方有成千上萬的技術人員,面對著浩如煙海的網絡設備都不知道從何下手。
即使防守住一百次攻擊,進攻者一次得手,他就成功了。你防住了一百次的攻擊,但有一個地方疏漏被別人攻進來,你就失敗了。這會導致嚴重的攻防不平衡。今天來的都在考慮如何保護網絡基礎設施,我們將何去何從。
網絡戰是整體戰。不能不分軍用民用,傳統作戰可能還分一個目標說只炸軍用目標。大家知道網絡戰即使最後的目標是攻擊一個國家基礎設施,也往往會從攻擊一個個人開始作為跳板,經過一連串的攻擊鏈,最後才能達到目標。
在攻擊個人的時候,可能還會攻擊這個人經常上的網站、經常用的郵箱。在網絡戰裡不區分國家、企業和個人,安全是一個整體。
隨著網際網路的發展,我們越來越多地軍事上很多的基礎設施目標和國家重要的設施目標,越發難以隔離,他們會和網際網路緊密聯在一起。隨之帶來的問題,即使把自己保護的很好,但不怕神一樣的對手,就怕豬一樣的隊友。
與你聯網的某一個供應商或者與你聯網的某一個僱員,他的網絡有重要的安全缺陷被人攻陷,可能意味著你所有嚴防死守的網絡也會被攻陷。
我和美國同行交流的時候問一個問題,我問美國人為什麼五角大樓連網際網路,為什麼不隔離?他們說我們後來連上波音,波音連上二級供應商與合作夥伴。今天美國五角大樓還要用亞馬遜的系統。今天的網際網路環境下,聯網的誘惑非常大。整個網絡連成一個整體。
做安全必須得有整體的頂層設計考慮,如果各個單位都是各自為戰,每個人只守住自己當前的一畝三分地是不行的。因為其它人的不安全可能會連累你。
超限戰。現在觀察到的攻擊手法,各種手段無所不用其極,沒有正的招數都是歪招,而且是綜合手段。很多單位覺得隔離有效,通過刻光碟傳遞數據。刻的光碟裡放入一個病毒,我們覺得新買的設備總是沒有問題的。
某國網軍在硬碟裡植入病毒,總有一塊硬碟會賣到你家。某一個核電站隔離的很好,對方的網絡攻擊不會只用網絡攻擊的手段,會利用線下間諜的手段買通一個清潔工或者說內賊,把一個設備插入內部的電腦網路。
網絡戰的手段是多元的,而且今天美軍已經率先把全域作戰的概念提出來,陸海空天網,多種情況下的作戰形式綜合使用。
秘密戰。網絡戰可以在瞬間致癱基礎設施,前提是要通過長期的謀劃及滲透,有一個攻擊鏈。因為是國家級的團隊,用的都是0day的漏洞。網絡戰的攻擊和傳統的攻擊相比看起來顯得更為隱秘,來無影去無蹤,很難溯源和取證。
未來網絡戰將成為國與國角力的首選,成本低,效果好,烈度可控。連反擊都不知道找誰反擊。美國和伊朗互相揚言攻擊很多次,最後飛彈不捨得打。雙方最後選擇在網絡戰上近來角力。未來下一個五年會看到越來越多與網絡戰相關的安全威脅。
為什麼今天旗幟鮮明地講出網絡戰?對每一個做網絡安全的人來說代表了全新的挑戰。對手變了,作戰目標變了,戰法變了。
原來很多成立的假設,我們的網絡固若金湯,我們的隔離有效,現在什麼都變了。我現在強調敵已在我,可能在你的內部網絡已經有別人的潛伏。傳統的通過不斷地購買更多安全軟體,構築馬奇諾防線的戰法已經失效。一戰時非常有效果,但二戰對付不了轟炸機和裝甲集群和閃電戰。今天網絡戰的情況下,傳統網絡安全的戰法確實需要升級。否認面對網絡戰,我們將無以應對。
360分享一個觀點。網絡戰最關鍵的是看見。我們分析最近五年國內所有網絡安全事件,全世界發生的網絡攻擊。我們發現最可怕的一點是別人來了你不知道,別人走了你也不知道。幹了什麼也不知道,留了什麼也不知道。
如果我們不能解決看見網絡攻擊的問題,堆砌再多的網絡軍火,堆砌再多的網絡產品,打仗沒有雷達像睜眼瞎一樣,有再多的飛彈也看不到別人的隱身飛機在哪裡,談何溯源,談何反制。
看見別人的網絡攻擊,看見網絡戰的攻擊是1,其餘都是0。
如何看見?網絡安全大數據是看見的基礎,網絡安全大數據可以記錄整個網絡空間裡所有正常軟體的通信行為,也包括不正常的行為。只有企業的數據是不夠的,網絡攻擊不僅僅是攻擊企業,會從攻擊個人消費者開始入手。我們必須考慮要有全網的數據。
只有最近幾天的數據也是不夠的,因為剛才講了網絡安全的攻擊時效周期很長,有的謀劃長達幾年,潛伏期也很長。只有把全網所有發生的事情在各種維度上看才能真正地知道網絡空間裡發生了什麼。
網絡安全大數據是看見的基礎,今天滿大街有很多的攝像頭,記錄下來每一個片段,當把這些片段的碎片放在一起才能還原出很多犯罪事件及攻擊事件。
AI的前提是要有知識庫,威脅情報和知識庫是最重要的核心,它幫助我們在大數據中學習,從而篩選出可疑的因素。漏洞,因為所有的攻擊都要利用漏洞,可以理解為什麼很多的網絡安全公司根本不玩漏洞也不影響賣產品。
360過去幾年發展成為全世界挖掘漏洞最多的公司,每一個漏洞給我們提供很多知識。誰利用了漏洞,如何利用漏洞,這都代表了一種攻擊的手法。APT的攻擊行為,APT攻擊鏈上可以把行為分成幾十個階段,這幾十個階段什麼樣的行為做什麼,這裡的知識可以幫助我們發現更多的攻擊。
惡意樣本和惡意網址的知識,惡意樣本哪怕有上百個,最後的模式是可以進行分析。
有了大數據和知識庫,網絡戰的本質是人與人的對抗。高級別的攻防專家最後關頭有決定性的作用。網絡戰的層面,AI短期內起不了決定的作用,起決定作用的依然是雙方高水平的網絡攻防人員。
當我們利用大數據、知識庫篩選出可疑的入侵信號以後,妄想靠任何自動化的軟體自動發現阻斷是不可能的,我們需要高水平的安全專家。通過專家快速地響應,快速在實戰中的分析,從而能夠發現和定位攻擊,才能做到對攻擊進行阻斷和溯源以及止損。
360的實踐。過去的十年裡,是世界上擁有最大安全大數據的公司,2EB安全大數據。360擁有全球最大的威脅情報和知識庫,特別是我們是全球挖漏洞最多的公司。我們有幾千名專業的安全專家,12個安全研究中心,17支攻防團隊。
最近國際上有一個黑客的排名大賽,360榮獲第一名和第二名。我們構成網絡安全大腦,使得它能夠真正地看見更多國家級的網絡攻擊,實現防禦智能升級。在5G時代,阿里做智慧城市大腦,谷歌有谷歌大腦。今天的網絡戰時代要有跨時代的網絡安全大腦,才能幫助我們更好地解決看見的問題。
360過去的五年裡,我們率先獨立發現針對中國的境外APT組織40個,涉及到上千個重要部門,能源、通信、金融、交通、製造、教育、醫療等關鍵的基礎設施和政府部門、科研機構。
我們發現了主流廠商漏洞超過1500個,獨立捕獲7次0Day漏洞。我們看到很多國與國的攻擊,背後都是其它國家的網軍。360競爭對手不是在座的大家,而是其它國家的網絡戰部隊。
360重返企業安全,很多人不理解,有的以為我們放棄企業安全。不是的,我們重返企業安全。
還有的以為重返企業安全與所有的同行競爭成為行業公敵,錯了。我們的定位很簡單,進軍企業安全要幹點非360莫屬的事,我們為黨政軍企提供安全服務。定位在國與國網絡戰下的,幫助大家基礎設施,幫助企業和國家能夠看見攻擊,阻斷攻擊和修復系統的能力,這是360的使命和定位。
光靠360解決不了整個網絡戰的問題,還做三件事。
第一,共建分布式安全大腦。很多單位有自己的大數據,我的大數據不可能給你,你的大數據也不可能給我。我們會輸出分享網絡安全大腦的大數據分析技術,幫助政府部門基礎設施企業,也幫助生態夥伴打造自己的安全大腦。自己掌控自己的網絡安全大數據,也具備很強的分析能力。
今天講大數據,不求擁有和拷貝,但求互相查詢。像分布式的雷達防禦系統一樣,每個人可能都能夠看到網絡裡發生的碎片事件,但當我們把碎片拼起來的時候能夠告訴國家又發生怎樣的網絡戰攻擊。
第二,分享威脅情報和知識庫。360最重要的就是由大數據產生的威脅情報和知識庫,並不是傳統安全的產品就過時無用。傳統安全的很多產品,防火牆和終端軟體也需要升級。360會向友商分享威脅情報知識庫,幫助傳統的網絡軟硬體產品升級。
每一個網絡安全產品在背後都有網絡安全大腦,都可以得到最新的網絡威脅情報的時候,我們所有的老產品及新產品一塊能夠聯合起來都能夠發現威脅,阻斷威脅。
第三,賦能客戶。過去解決的是小安全問題,我們給客戶琢磨賣點東西,客戶再弄幾個網管可以解決安全問題。到了網絡戰時代,客戶面臨的網絡威脅是專業的軍事力量。我們希望給客戶賣點東西就解決安全問題嗎,這是閉門造車。
最重要的不是給客戶賣東西,而是如何提升客戶應對網絡戰的能力。如何幫助客戶建立應急響應隊伍,如何通過實戰攻防幫助客戶提升應對能力,如何幫助客戶利用眾包把中國甚至是全世界的優秀安全人員發動起來幫助你找漏洞以及修補漏洞。
如何幫助大家培養自己的人才。武器不是萬能的,今天賣再多的安全產品,如果每一個單位的基礎設施不能建立核心的網絡安全應對力量,不能建立起自己的安全應對體系,不能建立自己的靶場,不能建立自己的培訓體系,只是買了一堆產品就夢想著可以應對網絡戰是不現實的。
我們未來不賣產品,只是安全服務的搬運工。