重返企业市场,360 大安全大在哪里?

2019-08-21 玥玥 极客公园
浏览

「一个漏洞卖了5500 万美元,以色列人和我说,卖得不贵。」在北京怀柔的雁栖湖会展中心,面对着上百名记者,周鸿祎讲起了一件事。2018 年10 月2 日,阿拉伯世界著名记者贾迈勒·卡舒吉(Jamal Khashoggi),走进沙特阿拉伯驻伊斯坦布尔使馆之后,再也没有出来。

在卡舒吉走入使馆的时候,来自沙特的特别小组,早已在守株待兔,事后披露,他们是通过对卡舒吉的iPhone 手机漏洞的破解,掌握了他的信息。这个漏洞,是沙特人从以色列一家研究漏洞攻防技术的公司那里买到的,据称以色列人最初开价2 亿美元,最后还价到了5500 万美元。在ISC 2019(互联网安全大会)的首日,老周和远道而来的以色列专家聊到这个事情,对方表示这个价格卖得并不贵,周鸿祎也表示赞同,在他看来,这样等级的漏洞,完全可以作为国家级网络战的武器了。

老周开玩笑,360 公司是中国挖漏洞最多的公司,作为董事长的他却不清楚挖的漏洞能卖多少钱,没卖过,也没听说中国的政府或者企业买过。不过,在中国网络安全的企业家中,周鸿祎却是对网络战最敏感的人之一。今年的ISC 大会,不像是一家企业的活动,反而硝烟味十足,来自美国、俄罗斯、以色列等国家的专家学者,围绕着网络战的话题进行阐释甚至激烈辩论——这像极了当今世界网络战的形式,表面风平浪静,实际暗潮汹涌。

从物理战到网络战

在一战战场上,交战双方设法保护己方的无线电通信,不被对方窃取和干扰,随着科技的发展,这个范畴不断被拓展,上世纪90 年代,互联网和数据库的广泛应用,为现代化的网络战孕育了战场,而数字世界和现实世界的融合,让网络攻击的威力被放大,针对现实中关键性基础设施的潜伏与攻击也频繁发生。

在今年 6 月,纽约时报称俄罗斯电网被植入后门,同一时间南美四国大规模停电,6 月 20 日,美国网军对伊朗发动准军事行动,通过网络攻击破坏了伊朗的导弹控制系统,随后伊朗威胁攻击美国纽约电网。网络攻击此起彼伏,但和常规军事行动不同的是,网络战隐蔽性强,无接触,对弱者来说,甚至被谁打了都不知道。

(2019 网络安全事件回顾| 图片来源:360)

离伊朗不远的以色列,在网络战领域有着世界顶级的水平。以色列国会现任外交与国防委员会主席艾维·狄希特告诉中国的记者,早在20 年前,以色列就开始了在网络安全方面的布局,以色列国防军的 8200 部队(以色列网军)的退役军人,是允许将自己在军队研发和创新的一部分技术和产品带入民用市场。以色列前国家信息安全局局长、前国家网络安全委员会主任埃雷兹·科雷尔过去五年走访过几十家网络安全领域的初创企业,其中不少创意给他留下了深刻的印象,而这样的初创企业,在以色列有超过500 家。2010 年,美国NSA(美国国家安全局)、CIA 和以色列情报机构利用「震网」病毒瘫痪了伊朗纳坦兹的核设施,最终使伊朗的布什尔核电站推迟启动,一举震惊了世界。

2017 年,NSA 泄露的漏洞「EternalBlue」(永恒之蓝),被黑客利用,通过 WannaCry 病毒进行传播,肆虐全球上百个国家,造成巨额损失。在 360 集团首席安全技术官、伏尔甘团队创始人郑文彬看来,这还只是NSA 网络武器库的「冰山一角」。

(360 集团首席安全技术官、伏尔甘团队创始人郑文彬| 图片来源:360)

网络安全人员的对手变了,周鸿祎在演讲中这样感慨,以往以竞争对手和普通黑客为假想敌的企业安全防护,在面对有组织、有预谋、技术强大的网络攻击时,就力有不逮了,据纽约时报报道,早在6 年前,华为的内部邮件系统就被 CIA 入侵,被非法获取了很多信息。

对中国的政府部门和企业来说,网络安全需要更好的保护。

不一样的2B安全

新的网络安全时代,需要新的安全思维。周鸿祎用三个词,概括了他对网络战的理解:整体战、超限战和秘密战。

整体战意味着在网络战中,国家、企业和个人的安全是一个整体,以某个国家基础设施的攻击,往往会从攻击个人开始,以网站、邮件作为跳板,经过一连串的攻击链,最后达到目标,严防死守的网络很可能因为某个供应商或雇员而失陷。超限战意味着攻击手段无所不用,不止来自网络,还可能来自硬件设备,甚至利用线下间谍的手段买通内贼,用多元化的方式达成目标。秘密战是指网络战往往是经过长期的谋划及渗透,利用漏洞一举达成目的,隐秘,难以溯源和取证。

不难发现,面对这样的网络攻击,最重要的是「看见」攻击,这也是网络安全中最难的一部分。以360 为例,想要发现网络攻击,就需要通过大数据技术,收集长期、全网的数据,然后在云端通过多维度分析来对攻击还原;而要筛选出全网大数据中可疑的因素,就要有相应的威胁情报和知识库,因为所有的攻击都是利用漏洞来进行的;利用大数据、知识库筛选出可疑的入侵信号后,是攻防专家之间的对战,高水平的安全专家快速响应分析,发现和定位攻击,进而对攻击进行阻断、溯源以及止损。这三部分流程,对应着 360 安全技术的核心能力。

(360 网络安全大脑的组成| 图片来源:360)

目前 360 有上千名安全专家,12 个安全研究中心和17 支攻防团队,过去5 年间,360 独立发现针对中国的境外APT(Advanced Persistent Threat,高持续性威胁)组织40 个,涉及到上千个重要部门,能源、通信、金融、交通、制造、教育、医疗等关键基础设施和政府部门、科研机构,发现了主流厂商漏洞超过1500 个,独立捕获7 次0-Day 漏洞。

在一些媒体列出的中国安全企业排名中,360 的两极分化严重,一方面在技术实力上遥遥领先,另一方面在收入规模上却接近垫底。在今年年初,360 以37.3 亿元出售奇安信股份后,告别企业安全市场,不过这种告别是暂时的。对周鸿祎来说,一个只做2C的安全公司,显然承担不起保卫中国关键基础设施和企业安全,乃至网络战的重任。在昨天,周鸿祎正式宣布回归企业安全市场,但与当初高调「免费杀毒」不同,这一次的360,对同行释放了友善的态度。

一方面,仅靠360 解决不了网络战的问题,另一方面,周鸿祎希望做的是只有360 能做好的事情,而不是去已有的红海抢食。郑文彬在采访中表示,数据、专家和情报是360 的三个核心,也是目前360 在国内和国际上都靠前或最强的能力,体现在企业安市场,360 要做事情主要有三件:第一,是共建分布式安全大脑,通过输出分享网络安全大脑的大数据分析技术,帮助政企和生态伙伴打造自己的安全大脑;第二,分享威胁情报和知识库,帮助传统的网络软硬件产品升级,发现和阻断新的威胁;第三,赋能客户,提升客户应对网络战的能力。周鸿祎将 360 的安全大脑比喻成网络战的雷达:「现在很多网络,我有把握说,只要你给我装探针的机会,让我把网络安全大脑接进去,我就一定能够发现问题。」而完成侦测后,下一步的阻断、止损,可以由合作的安全企业完成。

(演讲中的周鸿祎| 图片来源:360)

这一战略的转变,也体现在今年 ISC 的日程上,除了硝烟味更重外,其他安全公司也来帮 360 站台,如启明星辰、天融信、安恒就来到了ISC,今年还第一次设置了以色列专场,并签署合作协议,360 将帮助以色列的安全公司进入中国。「360 做好360 的大数据,大家做好自己创新的产品,我们团结起来,虽然都是民间力量,但通过军民融合与国家网络力量的合作,使得中国的网络安全不被其它的网络战攻击,使得老百姓幸福的生活和社会安宁得到保障。」网络战的单位是国家,网络攻击的影响也经常突破国家的范围,在演讲的结尾,周鸿祎说,面对网络安全对人类经济与社会的威胁,国际间应该携手交流,共同应对。