有人说,深水无声,但这一次,我要为周鸿祎的呐喊鼓掌!

2017-09-12 23:49:58 网络安全 MottoIN


写在前面的话


ISC2017,堪称是今年安全行业的一次盛会,最令MottoIN小编印象深刻的,是再次听到了“人们想念已久的”周鸿祎的声音。


2017年,全球性的网络安全事件频发,网络安全、电信诈骗、黑客攻击、勒索软件、物联网攻击、IoT攻击、个人信息泄露、国家级别的网络间谍战、暗网犯罪、比特币攻击...仿佛一夜之间,这些名词涌现在人们的生活中。


作为信息安全从业人员,深知“冰冻三尺,非一日之寒”:安全个案井喷式的爆发;全球性恶劣事件的规模、速度和频率都达到了历史新高。而与之相对的,是人们依旧淡薄的、滞后的网络安全观念,以及稀缺的网络安全专业人才。


国外有句谚语:A lion does not concern himself with the opinion of sheep,中文翻译过来的大意是:一头雄狮并不会在意羊怎么想。


万物互联,虚拟世界和现实世界的边界越来越模糊,面对日益猖狂的网络犯罪分子、日益严峻的网络空间安全形势,单兵作战的时代已经过去了,联合起来、共同对抗,才有致胜的希望,才能更好的守护互联网和用户的安全。


安全行业需要更多一些的声音,更多一些响亮的呼喊。


有人说,深水无声,但这一次,我要为周鸿祎的呐喊鼓掌!


---以下,为360 CEO 周鸿祎在ISC 2017会议上的演讲摘要---


网络安全进入大安全时代


 今年5月,全球爆发了WannaCry勒索蠕虫,这是网络安全的一个分水岭,标志着大安全时代的到来。


在这个全球性的安全危机中,勒索蠕虫不但破坏大量高价值数据,而且直接导致很多公共服务、重要业务、基础设施无法正常开展。高校、加油站、火车站、自助终端、邮政、医院、出入境签证、交通管理、政府办事等多机构瘫痪。网络安全事件直接影响影响到了社会稳定和正常运行。


这是从未发生过的现象,以前从未出现过跨越全球的病毒袭击,从未出现过涉及如此多工业领域的病毒袭击,从未出现过蔓延速度如此之快的病毒袭击。


今天,全球接入互联网的人数已经达到了30亿,占据了全球一半人口,其中单是中国的互联网用户达到了7.31亿,相当于欧洲的总人口。中国电商在全球各大市场中渗透率增长最快,占全国社会商品零售总额15%。中国移动支付市场迅猛发展,百元以下小额交易占比快速增长,逐步取代现金。在共享出行市场,中国已经走在世界前列。目前,中国每年共享出行次数已过百亿,占全球市场份额的67%。


中国的互联网经济如同泰坦尼克号,是一艘巨大的、繁华的客轮。在互联网经济向前发展的航线是一片未经勘察的海域,对互联网的安全威胁如同冰山一角刚露出海面。


人们没有注意到,在过去的五年里,网络犯罪呈现了爆发式增长,网络诈骗、勒索敲诈、网络攻击、商业窃密等各种犯罪活动日益活跃;去年全球因网络犯罪导致的损失是3万亿美元,到2021年会达到6万亿美元。


同时,网络攻击越来越多,影响国家安全的、带有政治色彩的,针对特定目标的,国家和地区级网络攻击不断出现,甚至对一些国家和地区的政治安全和社会稳定造成了影响;


正因为如此,很多国家越来越重视网络安全,将网络安全上升到了国家安全的高度。中国也不例外,2016年11月7日全国人大常委会通过了《中华人民共和国网络安全法》,并于2017年6月1日起开始实施。并着眼于长期的国家网络安全;2016年12月27日,经中央网络安全和信息化领导小组批准,国家互联网信息办公室发布《国家网络空间安全战略》。


为什么网络化生存已经变成现实的时候,互联网络的安全形势变得如此严峻?

最根本的原因,就是一切皆可编程,万物都要连接;有连接就有漏洞,有漏洞就产生威胁。


今天互联网已经跟整个社会融为一体,你骑自行车是在互联网里,你跑步是在互联网里,你预订餐饮是在互联网里,你买卖商品是在互联网里,你日常娱乐在互联网里,你日常交友是在互联网里……


不仅如此,我们的电力、医疗、交通、通信、航天等众多关键的基础设施,以及国家党政机关和事业单位都在互联网上运行。任何形式的网络攻击都有可能直接影响到我们的现实世界。


勒索病毒在全球进行网络攻击就是这样,它导致我们无法顺利通过边境,无法顺利取出论文,无法顺利的为机动车加油,无法顺利的进行医疗手术……


在计算机安全时代,主要的安全问题是计算机软硬件的安全,主要威胁除了软硬件损坏,就是病毒和非法访问;


在信息安全时代,主要的安全问题是信息系统和信息的安全,主要威胁是数据泄露、数据的保密性以及信息系统的正常运行;


“我们处于一个大安全时代”


在大安全时代,不再像过去一样,安全只是几台电脑的事情,不再是几个企业信息系统的事情,不再是几个数据库的事情。前所未有的大挑战,需要我们在大格局上审视网络里的威胁,需要我们以大产业的视角,形成大战略。


在大安全时代,网络安全不仅仅是网络本身的安全,网络安全就是国家安全、社会安全、基础设施安全、城市安全、人身安全等更广泛意义上的安全。

 

大安全时代的五大趋势


 大安全时代,网络安全产业、网络安全形势、网络安全战略都会发生很大的变化,以下是我们对未来几年行业趋势和方向的判断和展望。

 

一、网络战成为“新常态”


WannaCry事件就是网络战的一次预演,虽然这次事件本身不是一次网络战,看不出攻击者的政治企图,技术水平也很低劣,也没有寻求特定目标,对全球网络进行了一通漫无目的的暴力扫描。


但是攻击者所使用的核心技术是美国NSA泄露的网络武器,这个武器具有很强的先进性和成熟性,虽然攻击者使用这个武器的技术非常低劣,依然造成了巨大的影响,横扫全球Windows电脑,影响一些关键基础设施的运行,初步展现了网络战所能造成的破坏效果。


我们从这次事件中也可以看出未来网络战的一些趋势和特点。


没有攻不破的网络


美国首任网军司令亚历山大将军在2015年的中国互联网安全大会上说过:世界上只有两种系统,一种是已知被攻破的网络,一种是已知被攻破但自己还不知道。刚才本杰明先生在演讲中也给我们演示了,在攻击者面前,没有任何安全的系统。


现实世界中的任何网络系统,即使设计再精巧,结构再复杂,无一例外都会有漏洞,360补天平台一年发现的漏洞数就超过了8万个。这些比比皆是的漏洞,都有可能成为所在系统遭受网络攻击的软肋,而且单靠购买和部署各种网络安全设备也无法防住针对未知漏洞的攻击。因此,网络系统的安全就如同马奇诺防线一样,靠防是防不住的,一定会被攻破。NSA的数据泄露和Mandiant被渗透,充分验证了没有攻不破的网络。


漏洞是战略武器


WannaCry事件深刻揭示了漏洞就是未来网络战的关键,在网络战中,重要漏洞的价值等同于传统战争中的炸弹,谁掌握了对方的网络系统漏洞,谁就找到了攻击的突破口;谁能及时发现和掌握自身的网络漏洞,就可以先为自己夯实安全的堤防。


从震网病毒、火焰病毒、方程式病毒到WannaCry蠕虫攻击等一系列重大的网络攻击中,都利用了各种已知、未知漏洞。漏洞非常重要,没有漏洞就无法建立网络战的进攻和防御体系。


从维基解密曝光的CIA系列文件看,美国非常重视漏洞的挖掘和收集,CIA一直致力于以Windows、Linux、iOS、Android等各种操作系统、嵌入式系统和IOT设备为研究对象,投入巨资通过合作或者购买方式获取这些系统的安全漏洞,然后针对这些漏洞开发攻击工具。此外美国还以各种比赛或者众包、众测的方式通过民间力量来获取漏洞资源。


比如五角大楼安全供应商的ZDI项目组举办PWN2OWN比赛; “攻破五角大楼”、“攻破空军”这些项目都可以收集很多的漏洞。


网络不宣而战


不同于传统战争有明显的开始和结束,网络战时时处处都在不宣而战,震网病毒对伊朗核设施的攻击,经过了长时间的潜伏和一系列的隐藏措施,无声无息地进行了攻击。360威胁情报中心监测到的多个APT事件中,攻击者也都已经渗透或者潜伏了很长时间,并且通过各种手段隐匿自己不被发现。


所以应对网络战要平时筹划,时时刻刻准备,做到未雨绸缪。

 

二、大安全时代,军民融合是必经之路


与传统战争不同,网络战不再限于军队之间的对决,而是国家和社会之间的整体对决。这意味着军民融合在网络安全领域具有现实的必要性,没有军民之间的深度融合,就不可能有真正的网络安全。


在传统战争中,军事目标和民用目标有明确的区分,双方所要攻击和保护的目标主要是大坝、电厂等重要军事目标。而网络战不同,网络是一个相互连接的整体,分不清楚民用和军用目标,任何单位或个人所使用的终端或者系统都是网络的一部分,任何人或者设备被攻破,整个网络可能就会被攻陷,因此网络战是一场整体战,对每个个人、每台终端以及民用目标的安全保护都非常重要,是和整个国家的网络安全紧密联系在一起的。


网络安全产业和军工产业将会融合,军民融合成为必然,在美国过去做飞机、做导弹的和做网络安全的是不同的两波人,现在结合在了一起。除了上面提到的“攻破五角大楼”、“攻破空军”这些军事项目都是民间网络公司HackerOne做的,抓获本拉登发挥最大作用的是民间网络安全公司Palantir。


中国已经将军民融合上升到了国家战略的高度,习近平主席在6月份的军民融合发展委员会第一次全体会议上指出,网络空间、海洋、太空、生物、新能源等领域军民共用性强,要在筹划设计、组织实施、成果使用全过程贯彻军民融合理念和要求。

军民融合是网络安全产业的一个大机会。

 

三、大安全时代,网络犯罪和网络恐怖主义的潘多拉盒子已被打开


传统的网络黑色产业链中,犯罪分子制作、传播木马病毒,窃取用户隐私信息,并通过网络诈骗、控制肉鸡发动DDoS攻击等方式来获取商业利益,过程相对复杂,与之形成鲜明对比的是,WannaCry蠕虫攻击使用军火级攻击工具,利用漏洞进行传播,对用户数据加密以实现敲诈,并利用比特币支付等匿名互联网技术躲避追踪溯源跟踪,展现出了一种极为高效的变现模式。


这种模式会给全球网络犯罪分子带来巨大启发,即只要有了网络武器,即使没有太多专业化知识和技能,也可以对重要机构、企业、个人发起敲诈勒索攻击并获得巨大的商业利益。随着网络武器的泛滥和网络攻击的服务化,越来越多的小毛贼式黑客组织会被武装成网络恐怖组织。可以预见,未来此类网络恐怖袭击将大行其道,甚至成为一种愈演愈烈的常态。


同样的,这些网络武器也可能流传到敌对势力和恐怖组织手中,成为他们发动攻击的主要手段之一,以前他们的攻击主要以DDoS攻击、网站纂改为主,未来他们利用这些网络武器,可以发起敲诈勒索这样的低级攻击,还可以实施更精巧、更有针对性的、更隐蔽的攻击,以窃取重要单位的机密信息为目标,其危害性将更加巨大。


更进一步,这些攻击还可能导致政府信息系统、民生设施等瘫痪,对国家安全、社会秩序和人民的日常生活都将产生不可估量的严重影响,后果将不堪设想。


四、大安全时代,网络攻击向物联网、车联网和工业互联网发展


随着物联网、车联网和工业互联网的发展,他们开始成为网络攻击的目标,去年10月的美国互联网断网事件就是由恶意软件控制了近百万摄像头组成的僵尸网络,攻击美国的DNS解析服务商造成的。


前不久,国内外安全公司紧急发布了Samba远程代码执行漏洞警报,Samba是被广泛应用到各种Linux和Unix系统上的开源共享服务软件,和WannaCry蠕虫利用Windows的SMB服务漏洞一样,Samba漏洞将威胁众多Linux/Unix服务器、NAS网络存储产品和路由器等物联网设备。而Linux和Unix系统被广泛应用在各种工业控制系统和其他关键基础设施中,因此类似的攻击有可能会逐渐蔓延到工业互联网和重要的基础设施领域,造成的破坏更为严重。


乌克兰电网在2015和2016年两次遭遇黑客攻击并导致大面积停电,电力设施成为了黑客的练兵场。


今年1月份,美国能源部专门发出警告,警示电网面临被黑客攻击的危险,4月份美国国防部专门投资7700万美元建立新的网络安全计划,专门打击针对电网设施的黑客攻击。


最近美国政府还与各电力企业合作建立网络战演习,重点保护电力等基础设施,今年演习的覆盖范围还延伸到了大银行、华尔街和电信行业。


另外在物联网、车联网和工业互联网中开始使用一些人工智能技术,使用人工智能技术发展无人化的系统,无人值守的汽车、无人飞机、无人值守的武器,这些无人系统一旦被劫持,将带来更多、更严重的安全问题。

 

五、大安全时代,人是最重要的因素


人是网络安全最脆弱的因素,也是网络攻击中最薄弱的环节,攻击往往是从重要目标身边的个人开始,如目标单位供应链中的员工、目标政府官员身边的亲人等,然后以个人为跳板,进行横向渗透,最后对目标人物、组织和设施进行窃密和破坏。


比如,美国大选邮件门事件对竞选人希拉里•克林顿的网络攻击,就是利用了人的安全意识不强、违规、失误等弱点,攻陷了她最信任的助理阿贝丁和竞选总干事约翰•波德斯塔,然后逐步入手的。


WannaCry蠕虫攻击中很多隔离网被感染,也是利用了人的懒惰不打补丁,隔离网内设备违规接入互联网等入侵得手的。


人也是网络安全中最重要的因素,网络安全不是购买并部署一批网络安全设备,堆砌一些产品和技术就能防的住的,还需要大量专业的安全专业人员来做分析、研判、响应和处置。比如美国著名的大数据公司Palantir,不仅具备大数据核心技术,实际上还拥有超过4000名大数据领域的专家在进行人工的分析和研判。


网络安全是科技劳动密集型行业,需要大量的专业技术人员的智力密集型服务,目前的现实是安全人才缺口很大,人才供需缺口依然存在数量级上的差别。我们的政企单位不仅需要培养自己的网络安全队伍,还需要充分利用网络安全企业提供的专业化的安全服务。


现在有人在鼓吹人工智能技术的应用,人会被取代,我们对次此观点不予置评;在网络安全行业恰恰相反,人是不可或缺的,是最重要的生产力。



不管我们是否做好准备,是否愿意接受,大安全时代都已经来了,这个时代带来了更多的不安全和不确定,给人类带来了更多的威胁和挑战,对网络安全行业和从业者来说,带来了更多的责任、压力还有机遇,我们要对全人类的安全负责,对世界安全负责。



点击左下角“阅读原文”(原文作者:360安全)