360 进军企业安全业务｜周鸿祎演讲全文

编者按： 今日，360公司董事长兼CEO周鸿宣布360进军企业安全业务。 他称，重返企业安全，将为党政军企提供安全服务。 360 计划分三步走： 第一，共建分布式安全大脑，第二，分享威胁情报和知识库，第三，赋能客户。

360公司董事长兼CEO周鸿祎

躲不过的网络战

我觉得“网络战”是一个敏感词，但更要正视网络战的现实。 网络战与传统战役的不同之处在于不分平时、战时，甚至不会存在宣战的说法，网络攻击时刻发生，攻与防的较量从未停止过。

证实网络战序幕已被拉起的例子数不胜数，APT24组织网络武器瞄准中国12个机构，2019年之前乌克兰电网攻击，伊朗震网病毒。 2019年，因网络攻击造成的大规模停电事故时有发生。 在南美洲，俄罗斯电网被植入后门，伊朗号称攻击美国纽约电网......

此外，2019年DEF CON大赛中，7名黑客2天内攻破美国主力战斗机F-15系统。 北约今年举办被称作“锁盾2019”的最大规模网络安全演习，四千个虚拟军事系统承受2000多次攻击......

这一切都在告知世人，网络战不是科幻小说或者美国大片里幻想的未来，网络战就发生在当下。 网络战每天都在发生，然而因为人们习惯了和平的生活环境，因此觉得战争离我们很遥远。

战争从来没有远离，必须意识到网络战的严峻形势。 如果像沙子里的鸵鸟一样不承认网络战的存在，不能意识到网络战带来的挑战，根本谈不上应对网络战。

用备战视角看待网络安全

既然难逃此劫，那就必须用作战的视角看待网络安全。

网络战最大的特点就是不宣而战。 传统作战分战时和平时。 网络作战最重要的是花相当长的时间通过攻击手段进行攻击和潜伏，渗透到基础设施网络里，希望在关键的时候发起致命一击。 潜伏渗透本身也是网络攻击的一部分，谈不上平时战时。

实际上，今年没有任何国家对我们宣战，但已经有很多国家对我们国家基础网络不断地发起攻击。

网络战思维让网络安全人员不得不改变应对手段。

过去，应对的是内部员工或者是窃取商业机密的友商，甚至是小毛贼，网上小黑客的黑产力量。 今天，网络战的对手全部是各个国家成立的网军。

数据显示，今天已经有100多个国家成立了超过200多支网络战部队。 面对军事级的技术，国家之间的对抗，这是国家级的黑客力量，国家级的对手入场。

网络环境没有绝对安全

物联网、工业互联网、车联网以及现在谈的产业互联网带来巨大机会的同时，到了万物互联时代虚拟空间和物理空间完美地衔接。

过去，所有在数字空间里的打击都可以转成物理世界的伤害。 今天，关键基础设施成为未来的战场，所有的网络战攻击不仅仅是为了窃取情报，现在可以对交通、能源、金融等基础设施发起攻击，可以获得比传统作战更好的破坏效果。

老实说，现阶段不存在买了谁的技术、什么系统就可以保证网络设施高枕无忧，这是一个谎言。

今天所有的网络攻击之所以能够得手，黑客都是利用不知道的漏洞，以此可以神奇地控制电脑和主机，入侵网络。 所有软件硬件都是人做的，是人做的就会犯错误。 据悉，每一千行代码里会有四到六个错误，这种技术漏洞无法弥补。

此外，今天很多自动化的系统，云计算、大数据、人工智能有多少代码，这里也隐藏很多漏洞。 这些漏洞无处不在，不可避免。

最后，是人的漏洞。 无论有多么严格的网络安全的规定，每一个单位里总有人会违反网络安全的规定，会被社会工程学进行攻击。 因为有了漏洞，今天的系统一定会被网络战部队攻进来，不存在攻不破的系统。

因此，安全人员必须切断一切安全假设，重新思考战法。

如此，我们便得出一个相对悲观的结论——很多网络里，与国防相关的重要基础设施，科研院所等重要网络设施里，或许已经存在着“敌已在我”的情况。 其含义就是： 敌人已经进来了，已经潜伏在你的基础设施网络里，只是你还不知道。

不对等的网络保卫战

网络环境易攻难防。

因为对攻击者来说，只需要两个小伙子有一台电脑，知道几个漏洞就可以任意对一个国家的基础设施发起攻击。 而防守方需有成千上万的技术人员，面对着浩如烟海的网络设备都不知道从何下手。

即使防守住一百次攻击，进攻者一次得手，他就成功了。 你防住了一百次的攻击，但有一个地方疏漏被别人攻进来，你就失败了，这会导致严重的攻防不平衡。 所以，我们应该如何保护网络基础设施，又将何去何从？

网络战时代必须报团取暖

网络战是整体战，不分军用民用。

传统作战可能还分一个目标，比如说只炸军用目标。 但是网络战即使最后的目标是攻击一个国家基础设施，也往往会从攻击一个个人开始作为跳板，经过一连串的攻击链，最后才能达到目标。

在攻击个人的时候，可能还会攻击这个人经常上的网站、经常用的邮箱。 在网络战里不区分国家、企业和个人，安全是一个整体。

随着互联网的发展，我们发现越来越多地军事基础设施和国家重要的其他设施越发难以隔离，他们会被互联网紧密联在一起。

随之带来的问题，即使把自己保护的很好，但俗话说不怕神一样的对手，就怕猪一样的队友。 与你联网的某一个供应商或者与某一个雇员，他的网络有重要的安全缺陷被人攻陷，可能意味着你所有严防死守的网络也会被攻陷。

关于五角大楼问题，我曾提出过这样的疑问——五角大楼为什么要连互联网？ 为什么不隔离？ 后来我才知道，起初是连上波音，波音连上二级供应商与合作伙伴，如此便一发不可收拾。 讽刺的是，今天美国五角大楼还要用亚马逊的安全系统。

如今的互联网环境下，联网的诱惑非常大。 整个网络连成一个整体。 做安全必须得有整体的顶层设计考虑，如为果各个单位都是各自为战，每个人只守住自己当前的一亩三分地是不行的。 因为其它人的不安全可能会连累你。

面临： 网络超限战

现在观察到的攻击手法，各种手段无所不用其极，没有正的招数都是歪招，而且是综合手段。

很多单位觉得隔离有效，通过刻光盘传递数据，却不知刻的光盘里被放入一个病毒； 我们觉得新买的设备总是没有问题的，但某国网军在硬盘里植入病毒，总有一块硬盘会卖到你家； 某一个核电站隔离的很好，对方的网络攻击则会利用线下间谍的手段买通一个清洁工或者内贼，把一个设备插入内部的电脑网络发起攻击......网络战的手段是多元的，而且美军已经率先把全域作战的概念，即陆海空天网，多种情况下的作战形式综合使用。

网络站也是秘密战

网络战可以在瞬间致瘫基础设施，前提是要通过长期的谋划及渗透，这里有一个攻击链。 因为是国家级的团队，用的都是0-day的漏洞，因此网络战的攻击和传统的攻击相比看起来显得更为隐秘、来无影去无踪，很难溯源和取证。

未来网络战将成为国与国角力的首选，成本低，效果好，烈度可控。 连反击都不知道找谁反击。 美国和伊朗互相扬言攻击很多次，最后导弹不舍得打。 双方最后选择在网络战上近来角力。 未来下一个五年会看到越来越多与网络战相关的安全威胁。

“看见”网络战

为何今天旗帜鲜明地讲出网络战？ 因为这对每一个做网络安全的人来说代表了全新的挑战——对手变了，作战目标变了，战法也变了。

原来很多成立的假设，例如我们的网络固若金汤，隔离有效，现在都不是这回事了。 通过强调“敌已在我”的理念，要知晓你的内部网络或许已经有别人的潜伏。

传统安全模式，通过不断地购买更多安全软件，构筑马奇诺防线的战法已经失效。 今天网络战的情况下，传统网络安全的战法确实需要升级。 否认面对网络战，我们将无以应对。

因此，网络战最关键的是看见。

在分析最近五年国内乃至全世界所有网络攻击事件后，我们发现最可怕的一点是别人来了你不知道，别人走了也不知道，干了什么也不知道，留了什么也不知道。

如果我们不能解决“看见”网络攻击的问题，堆砌再多的网络军火，堆砌再多的网络产品，都和打仗没有雷达像睁眼瞎一样，有再多的导弹也看不到别人的隐身飞机在哪里，那有谈何溯源，谈何反制呢？

因此，看见网络战的攻击是1，其余都是0。

那么，如何看见？

网络安全大数据是看见的基础，网络安全大数据可以记录整个网络空间里所有正常软件的通信行为，也包括不正常的行为。 只有企业的数据是不够的，网络攻击不仅仅是攻击企业，会从攻击个人消费者开始入手，我们必须考虑要有全网的数据。

只有最近几天的数据也是不够的，因为网络安全的攻击时效周期很长，有的谋划长达几年，潜伏期也很长。 只有把全网所有发生的事情摊开在各种维度上看才能真正地知道网络空间里发生了什么。

想要“看见”，威胁情报和知识库是最重要的核心，它帮助我们在大数据中学习，从而筛选出可疑的因素、漏洞。

有了大数据和知识库，网络战的本质是人与人的对抗，高级别的攻防专家最后关头有决定性的作用。

网络战的层面，AI短期内起不了决定的作用，起决定作用的依然是双方高水平的网络攻防人员。 当我们利用大数据、知识库筛选出可疑的入侵信号以后，妄想靠任何自动化的软件自动发现阻断是不可能的，我们需要高水平的安全专家。 通过专家快速地响应，快速在实战中的分析，从而能够发现和定位攻击，才能做到对攻击进行阻断和溯源以及止损。

360为何重返企业安全？

之所以重返企业安全，不是为了与所有的同行竞争成为行业公敌。 其实定位很简单，进军企业安全要干点非360莫属的事——我们为党政军企提供安全服务，定位在国与国网络战下的，帮助搭建基础设施，帮助企业和国家能够“看见”攻击，阻断攻击和修复系统的能力，这是360的使命和定位。

光靠360解决不了整个网络战的问题，还做三件事。

第一，共建分布式安全大脑，很多单位有自己的大数据，我的大数据不可能给你，你的大数据也不可能给我。 我们会输出分享网络安全大脑的大数据分析技术，帮助政府部门基础设施企业，也帮助生态伙伴打造自己的安全大脑。

自己掌控自己的网络安全大数据，也具备很强的分析能力。 今天讲大数据，不求拥有和拷贝，但求互相查询。 像分布式的雷达防御系统一样，每个人可能都能够看到网络里发生的碎片事件，但当我们把碎片拼起来的时候能够告诉国家又发生怎样的网络战攻击。

第二，分享威胁情报和知识库。

360最重要的就是由大数据产生的威胁情报和知识库，并不是传统安全的产品就过时无用。 传统安全的很多产品，防火墙和终端软件也需要升级。 360会向友商分享威胁情报知识库，帮助传统的网络软硬件产品升级。 每一个网络安全产品在背后都有网络安全大脑，都可以得到最新的网络威胁情报的时候，我们所有的老产品及新产品一块能够联合起来都能够发现威胁，阻断威胁。

第三，赋能客户。

过去解决的是小安全问题，我们给客户琢磨卖点东西，客户再弄几个网管可以解决安全问题。 到了网络战时代，客户面临的网络威胁是专业的军事力量。 我们希望给客户卖点东西就解决安全问题吗，这是闭门造车。 最重要的不是给客户卖东西，而是如何提升客户应对网络战的能力。 如何帮助客户建立应急响应队伍，如何通过实战攻防帮助客户提升应对能力，如何帮助客户利用众包把中国甚至是全世界的优秀安全人员发动起来帮助你找漏洞以及修补漏洞。 如何帮助大家培养自己的人才。

武器不是万能的，今天卖再多的安全产品，如果每一个单位的基础设施不能建立核心的网络安全应对力量，不能建立起自己的安全应对体系，不能建立自己的靶场，不能建立自己的培训体系，只是买了一堆产品就梦想着可以应对网络战是不现实的。

我们未来不卖产品，只是安全服务的搬运工。