6月10日,亚布力中国企业家论坛第二十二届年会在黑龙江亚布力拉开序幕。在年会的【中国商业心灵】环节,360集团创始人、董事长周鸿祎发表了“数字安全护航数字文明”的主题演讲,阐释了数字安全对于数字经济和企业发展的重要作用。
周鸿祎表示,数字经济已成为推动中国经济高质量发展的新引擎,但数字化程度越高,安全风险却越大。一旦出现安全问题,将会引发灾难。他说,企业只有改变“将网络安全视为信息化附庸”的传统错误认知,摈弃“卖货”思维,杜绝技术上的抱残守缺和产品上的各自为战,才能在未来获得新成长。
他还预测:未来5-10年,所有的经济都是数字经济,所有企业都要转型成数字化企业,那些没有转型成功的企业,最终可能会消失。
以下为演讲全文:
最近我研读了陈东升理事长的新作《长寿时代》,他一直倡导,企业家要站在万米高空和百年时间的跨度来审视自身所处的时代。我也在思考,我所处的科技公司、安全行业,将要迎接的是什么样的时代。
其实早在去年9月的乌镇互联网大会上,习总书记就已经给出了答案,他在贺信中第一次提出,人类将进入数字文明时代。
前段时间我参加了全国政协在北京召开的“推动数字经济持续健康发展”的专题协商会,深切感受到国家在推动数字经济方面的决心与信心。
但数字化也是一把“双刃剑”,数字化程度越高,也意味着安全风险就越大。俄乌冲突中爆发的网络战就是一个鲜活的例子。对于数字文明时代而言,俄乌冲突相当于一场“开卷考试”,是新的时代下数字世界对抗冲突的真实预演,结合俄乌冲突的例子,我分享几点感受:
一是网络战与传统战争结合,正在演变为数字战争,影响战争态势。在战前,网络战已经开打,俄乌政府部门和银行、电信、电力等关键基础设施均遭受了网络攻击。星链卫星、无人机、人工智能等技术与传统武器融为一体,乌方获得美国加持,弥补了弱势;而俄方由于数字化落后,损失扩大。
二是网络攻击的手段无所不用其极。此次双方使用了包括APT攻击(Advanced Persistent Threat,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动)、DDos攻击(Distributed denial of service attack,一般指分布式拒绝服务攻击,它可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用)、数据勒索/擦除攻击、供应链攻击等手段。
三是开启了数字时代的人民战争,高科技公司走向攻防前沿,民间黑客成为生力军。乌方能和俄抗衡,主要是它引入很多美国互联网公司、民间网安公司,获得超50个国际黑客组织、30万 “IT志愿军”参与;而俄国主要靠军事情报部门、黑客组织和白俄罗斯APT组织,但因缺乏实力强的互联网公司,处于劣势。
四是对俄开启断网、断供、断服、断证书、断舆论等全面脱钩,意图将俄从数字空间抹去。西方主要互联网公司,包括微软、IBM、谷歌、甲骨文等对俄停止骨干互联网传输,停发SSL证书、停止域名解析、中断国际传输网络、停止各种软件和服务等,而芯片和硬件供应商如英特尔、AMD等对俄“断供”,脸书、推特禁止俄发声,彻底将俄孤立。而俄由于缺乏市场化的数字产业支撑,完全被动挨打。
俄乌冲突开辟了数字化战争的新纪元,本质是两方数字化体系能力的直接对抗。过去我们常说,落后就要挨打;今天的俄乌冲突警醒着我们,在数字文明时代,数字产业落后、数字安全能力落后,也会挨打。
当前,加快数字化发展已经上升为国家战略。国家的十四五规划和2035远景目标中专篇论述数字化,数字化成为未来中国弯道超车、变道超车的重要抓手。国家提出了很多有关“数字化”的概念,最值得大家重视的蓝海市场就是产业数字化。
产业数字化真正的价值是帮助很多传统企业,特别是制造业进行改造升级,未来所有的行业都值得用数字化重塑一遍,无论是供应链、价值链、客户链、用户体验或是商业模式。产业数字化会催生很多像工业互联网、能源互联网,车联网等新的场景,未来,数字化也会重塑整个经济,数字经济在国民经济中的重要地位将进一步凸显。
未来5-10年,可能所有的经济都是数字经济,所有的企业都面临一个转型的窗口期,所有企业都想转型成数字化企业。我相信可能这也是在座所有企业家关注重点的方向,未来,产业数字化绝对是红海中的蓝海。
然而,事物往往都有双面性。数字文明时代一方面是发展数字经济,另外一方面也需要关注安全。数字化在带来新机遇、新场景的同时,让安全也变得更脆弱。
总的来说,数字化有三大特征:一切皆可编程、万物均要互联、大数据驱动业务,本质是软件重新定义世界。
“一切皆可编程”就意味着一切皆可数字化,而凡是人编写的软件都会有漏洞,这也意味着“漏洞无处不在”,越是新技术越有漏洞。对此,我们得出的结论就是,因为软件有漏洞就一定会被人利用和攻击。今天所有的攻击都是利用漏洞发生的攻击。“没有攻不破的网络,只有不努力的黑客。”
“万物均要互联”意味着物联网时代已经来到,物联网、车联网、工业互联网等技术,把虚拟世界和真实的物理设备连在一起,也让过去只在虚拟世界里发生作用的网络攻击,可以变成今天物理世界的伤害。
“大数据驱动业务”意思是所有的业务都不再是流程驱动,而是数据驱动,大数据会变成这个业务系统的中心,所以一旦数据遭到攻击,那么整个流程业务可能就停转。
我们想象一下,未来这个世界架构在软件之上,老百姓的吃喝玩乐、衣食住行,整个社会的运转、政府的治理、工厂的运作都架构在软件之上,整个世界的脆弱性将前所未有。所以,安全已经成为数字文明时代的“基座”。
说到“最短木板”理论,我觉得安全都不是最短木板,而是木桶的那个底板,如果木桶连底板都没有了,就可能连一滴水都装不了。如果我们不重视基础安全,那么数字化跑得越快,做得越先进,一旦出现任何安全问题,都可能会导致灾难。
同时,数字化技术带来的内在安全威胁不断地在增加,日益复杂的国内外环境也使得网络攻击成为国与国博弈的重要手段,而且它们也是平战结合,平时获取情报、潜伏、渗透、伺机而动,战时响应指令,瞬间瘫痪或者摧毁你的业务系统。
很多企业都会想,网络战和我有什么关系?其实在供应链攻击面前,每个人、每家企业都有可能变成受害者。我再举个例子。现在比网安企业更赚钱的一种商业模式迅速崛起,就是勒索攻击。各位企业家未来都要走数字化的道路,那么数据就变成企业最重要的核心资产,它可能会成为勒索攻击的目标。
这种专业的对手、大型的目标、超大的布局、独特的手法,造成的危害和挑战都非常大,所以,未来安全无小事。
随着大量数字化新技术、新应用的产生,很多简单的安全问题已经升级为复杂安全问题,超出了传统网络安全的范畴。数字化面对的不再是过去办公自动化、企业内网这些简单场景,而是像工业互联网、车联网、数字政府、智慧城市等很多新场景,涉及到大量的上云技术、大数据技术、供应链技术、物联网技术、区块链技术,还有应用技术、供应链安全,场景非常复杂;但现在很多人对安全的认识,依然停留在计算机安全、网络安全时代,以为安全就是杀病毒木马,用防火墙隔离等传统手段。
事实上,随着新兴的数字技术和复杂的数字化场景带来的挑战,简单安全升级为复杂安全,网络安全行业也应当被重新定义,将计算机安全、网络安全升维到数字安全,才能跟得上国家的产业数字化发展要求,才能保障人们进入数字文明时代。
为保护数字经济发展、数字中国建设,党和国家高度重视数字安全的升级发展。党的十八大以来,党中央明确以“总体国家安全观”为指导,统筹“传统安全与非传统安全”。习近平总书记在致2021年世界互联网大会乌镇峰会贺信中强调,筑牢数字安全屏障,让数字文明造福各国人民,推动构建人类命运共同体。中共中央政治局审议《国家安全战略(2021—2025年)》,明确提出加快提升网络安全、数据安全、人工智能安全等领域的治理能力,这些本质都是“数字安全” 。国家还从立法层面推进和完善数字安全的发展。继《网络安全法》后,国家于2021年又出台了《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等一系列法律法规。
这意味着,2022年已经是数字安全元年。然而,让我感到担忧的是,虽然时代变了,但仍有很多政企单位的安全思维依旧停留在传统认知上,主要表现在三个方面:
第一,在指导思想上将网络安全视为附庸,投入不够,没有顶层设计。传统的网络防御措施,经常是把信息系统、把数字化的系统建好之后,最后急急忙忙买点零碎的软硬件产品凑合。但最后到底自己的数据有没有丢、系统有没有被人入侵,并不知道。
第二,以卖货思维为主导,重视产品而忽视运营。很多行业把货卖给用户,用户就能用,但网络安全行业卖货没用。网络安全是一个高度强调运营和以人为本的一个行业,也就是说,网络设备不会告诉你谁攻进来,它可能会检测到不正常,这里就需要人工的干预和运营。
就像今天城市建立了大数据中心,但如果没有人对数据进行治理、清洗,对数据做模型,用数据做计算,那么即使采集了很多大数据,就如同积累了很多石油而不做提炼,是不能直接驱动汽车发挥价值的。如果我们买了一批货回家,就等于买了再多的医疗设备,但没有医生和大夫在里面看病、诊断,那么这个医院也不能建立起强大的医疗能力。
第三,技术上抱残守缺,产品各自为战,看不见安全风险。因为卖产品只需要说服用户购买,而不需要以实战对抗为指导。网络安全行业有很强的对抗性。一个产品好不好,到底能不能看见别人的风险,到底能不能看见别人的攻击或者能不能拦得住,或者能不能将已经攻进来的攻击踢出去,这是需要通过实战对抗来实现的。
不同于传统网络安全公司,360不以卖货为目标,而是真正帮助国家和企业解决“看见”APT攻击的“卡脖子”难题,提升数字安全能力。
360最早从免费杀毒起家,大多数国内终端上都有360的产品。有了这么多用户,每天电脑上发生的攻防事件360都能看到。在这个过程中,360常年处在攻防对抗一线,积累了全球最大的安全大数据。这中间还有个小插曲:因为用户太多,世界各国的黑客组织都觉得360很麻烦,所以它们如果做了一个新的攻击软件,一般就会先用360测试一下;但360也很“狡猾”,必须要联网才能工作,因此很多时候,360第一次监测到它,在不知道它是攻击软件的情况下,就把它传到云端去做分析去了。
所以,360就无意中收集了全球最大的攻击样本库。也就是说,全球黑客的攻击样本,360都能拿得到,然后我们再通过机器的自动分析加上人工辅助,就能看得到它们的攻击行为。这就是为什么360能够累计发现境外APT组织50个,包括4000多次攻击,涉及了两万多个攻击目标的原因。
原来360不急着卖货,现在却急着卖货了,这是为什么?以前不急着卖货,是因为我们的商业模式比较奇葩。360之前商业模式很俗,主要是做互联网广告和网络游戏,因为它赚钱,然后通过赚的钱,每年大概是平均投20亿元-30亿元到安全上。所以,360在安全领域的研发投入,比安全行业里第二名到第十名所有公司的研发投入加起来还多。
当我开始卖货时,我发现自己也变得很庸俗,因为卖货思维和实战思想不一样。卖货时,你不需要考虑发现敌人,只需要搞定客户。但不卖货时,无所谓客户,反正大家都免费用。所以360也因此培养了国内最多的白帽黑客团队。一般的安全公司不会这么做,它们有2个白帽黑客做“吉祥物”就可以了。因为黑客对卖货最没有帮助,他们只有真正与国外APT组织进行攻防实战时才用到。这也是360无意中取得的一个成绩,就是当年的免费杀毒发展到今天巨大的能力。
360基于20年的攻防实战的经验,总结了一套新的战法。
第一是数据致胜,一定要用大数据分析。唯一的网络攻击方法就是从全网大数据终建立全局的视角。这就如同当满大街有了摄像头之后,中国的社会治安得以大大改善的原因。因为你无论干点什么,总会被摄像头拍下来传入视频库,只要经过认真筛选,就能够通过碎片的摄像头信息,还原完整的案件。在数字文明时代,面临高级别的网络攻击,最重要的是看见,即“看见是1”,就像你吹嘘自己的火炮有多么猛烈、导弹有多么精确,但如果你压根看不见别人的隐形飞机突破防空系统,就完全起不了作用。
第二是以人为本。安全行业未来发展,就像医疗产业一样,它绝对是以人为本的产业,而不是通过堆砌一堆产品来解决问题,而是需要依靠高级专家持续运营。
第三是实战攻防。“是骡子是马拉出来溜溜”,网络安全不是看你写多少论文、吹多少牛,而是要在实战中接受检验。在数字化安全领域,实战是检验安全能力的最终标准。
第四是顶层设计。要打破安全是信息化附庸的传统思想禁锢,改变先数字化建设后做安全防护的被动局面,立足系统思维,对安全做整体规划和体系化设计。
依托新战法,360希望能重塑网络安全,打造以安全大脑为核心的数字安全能力体系,为政府、企业还有城市提供完整的安全解决方案。我们希望能够像建立“数字安全医院”一样,帮助客户建立起一套自己的能力体系。目前,360是唯一能够给城市做整体安全运营和顶层设计方案的公司,能够提供城市级的安全防护,这套新框架现在已经在上海、重庆、天津、青岛、苏州等10多个城市部署和落地。
以数字政府为例,习近平总书记在主持召开中央深改委第二十五次会议中指出,加强数字政府建设是创新政府治理理念和方式的重要举措,要求加快构建数字政府全方位安全保障体系,全面强化数字政府安全管理责任。过去,城市不是安全的用户;但未来,城市可能会成为网络攻击的主战场。一是因为智慧城市本身未来就是各种智能设备的集中地;二是城市发展数字经济,各个产业发展数字化、进行数字化转型及数字政府建设本身,都需要安全保障。
但过去城市并非数字安全的建设主体,而是各个企业、单位“谁建设谁负责”,自行建设、能力分散,缺乏统一的数字安全感知、应急、指挥体系。所以要以城市为中心,像在物理世界建立应急体系一样,建立数字空间安全基础设施,包括城市级的统一感知系统、应急系统和指挥系统,让城市在遭受网络攻击时,能够及时发现、快速响应、联防联控,来保障整个城市的数字经济安全、产业数字化转型安全、数字社会安全和智慧城市的安全,实现高质量发展。
360作为全球最大的数字安全公司,未来希望能帮助更多的政府、城市、企业实现数字化转型,为数字经济发展、数字中国建设、数字文明时代保驾护航。