同步建设安全基建
2020年是不平凡的一年,中国和全世界都在经历着史无前例的疫情,每个企业、每个人都面临着巨大的挑战。我想围绕今年的另一个重点话题——新型基础设施建设,从安全角度谈几点看法。
安全是“底座”
“新基建”这个概念,只用了不到半年时间就变成一个现象级的热词,从中央到各个城市,从政府官员到企业家,从互联网行业到传统行业、投资界,所有人都在热烈谈论“新基建”,包括上海、北京、天津在内的20多个地方都在出台“新基建”的规划。除了拉动短期投资,“新基建”的核心在于数字化。5G、大数据、人工智能、工业互联网等新一代信息技术的应用,将加速推动国家从信息化阶段走向数字化阶段。数字化在解构旧世界,同时也在建立新的数字孪生世界。所以,“新基建”的意义就好比上个世纪90年代的“信息高速公路”,它能够产生和带动的是未来几十年的产业变革、经济发展模式变革以及人们生活交往方式的变革。中央讲“在危机中育新机,于变局中开新局”,“新基建”就是这样的新机遇。
既然“新基建”背后是全面数字化,那么“新基建”的本质就是数字化基建。它既是物联网、5G、人工智能、区块链、云、大数据、边缘计算等数字技术的融合,又能带动方方面面的数字化。进入全面数字化,会产生三大特征,即软件定义世界、万物皆可互联、数据驱动一切。同样,数字化也将带来前所未有的安全风险和挑战,涉及工业生产、金融、能源、医疗,甚至国家和社会的治理。安全基础不牢,“新基建”和数字化就无法运转,甚至会崩塌,对未来产业发展、社会运转和老百姓的生活工作产生重大的影响。从这个意义上说,“新基建”是构建数字孪生世界大厦的“地基”,而安全是“底座”。
有人也许会质疑,网络安全虽然重要,但有你说得这么重要吗?这是因为“新基建”和数字化会引起环境变化,届时虚拟空间和物理空间打通,数据驱动所有的业务,同时安全面临的对手和攻击手法也在变化,会出现更高级别的对手、更复杂的攻击手法。网络安全已不仅仅是信息、网络、系统本身的安全,而是扩展至现实世界,关乎政治安全、国防安全、关键基础设施安全、工业生产安全、金融安全、社会安全甚至人身安全,也就是“大安全”。“新基建”面临的这种“大安全”挑战可以概括成“七个大”。
首先是“战场大”。漏洞无处不在,一切皆可攻击。数据驱动一切,意味着通过篡改数据、下达数据指令就可以控制一切业务、流程和设备,影响业务安全,产生物理伤害。好莱坞科幻电影中远程控制汽车造成交通拥堵、控制机器杀人的场景将不再是科幻,而可能成为真实场景。所以,未来网络攻击能够贯穿到各个场景,不分国家、企业和个人,所有的领域都将面临来自网络世界的攻击。
其次是“对手大”。玩家升级,网络攻击方从“白开心”“纯小偷”跃升至网络犯罪组织、网络恐怖主义和国家级黑客组织这样的“大玩家”,其组织化程度和技术实力之高相当于“正规军”。一般的被攻击目标没办法与之抗衡。
第三个是“目标大”。攻击意图更具野心,从伊朗核设施遭受“震网”病毒攻击,到希拉里邮件门事件,再到委内瑞拉电站遭网络攻击陷入崩溃,这些攻击事件主要瞄准企业重要资产、国家关键基础设施、重要政府部门,达到中断工业生产,瘫痪电力、交通、能源等关键基础设施,颠覆政权,甚至影响战局的目的。未来,数字基建必然成为“靶心”,一旦被攻击,影响巨大。
第四个是“布局大”。针对重要目标的攻击往往经过周密准备和复杂的策略,进行长期潜伏、持续渗透。典型代表就是APT攻击(高级可持续威胁攻击),相比传统网络攻击更加狡猾和沉默,攻击链条复杂、持续时间长、隐蔽性强。为了达到目的,在产品中预制后门,或者利用供应链发起攻击都已经是“常规操作”。所以,御敌人于国门之外已经很难做到,必须假设敌已在我,做最坏的打算。
第五个是“手法大”。从网络攻击的趋势看,攻击手法越来越高级化和多样化,暗战越来越多,传统的单点检测、碎片化越来越无能为力。除了后门,APT惯用的手法还包括0Day漏洞利用、定制化恶意代码,以及社会工程学等攻击手法。实践表明,人往往是最薄弱的环节,利用线上渗透和线下情报、间谍手段结合,物理隔离都可以被打穿。
第六个是“代价大”。据埃森哲估算,2019 年全球因网络攻击造成的经济损失约 2.5 万亿美元,是 2018 年的 1.6 倍,2025 年预计达到 5.2 万亿美元。Gartner 数据也显示,2019 年 66%的企业遭到黑客攻击,54%的企业至少被黑客攻击一次或多次。当外部威胁与内部脆弱性叠加共振,一次网络攻击即可造成重大损失。
第七个是“难度大”。数字化时代,攻防不对称急剧加大,攻防资源向供给方倾斜,要发现、阻断和溯源网络攻击都面临更大的难度,所以会出现“谁进来了不知道、是敌是友不知道、干了什么不知道”的被动局面。
在各国激烈角逐制网权的网络空间新变局下,来自大对手针对“新基建”发起的大布局、大烈度、防护难度大的网络攻击,让传统安全防护体系似乎都成了“摆设”。
360同步打造“安全基建”
过去一年,针对关键基础设施的攻击此起彼伏。2019年3月,铝业巨头Norsk Hydro全球IT网络遭恶意攻击,自动化生产线无奈关闭;6月,伊朗石油、金融乃至军事导弹发射控制系统,遭不明来源网络攻击,多次陷入瘫痪状态;7月,委内瑞拉水电站遭网络攻击,首都及10余州水电网崩溃,全境陷入至暗时刻;10月,印度最大库丹库拉姆核电站计算机网络遭受外来攻击,危及印度南部供电;12月,美国航空公司RavnAir计算机网络遭受恶意攻击,航班取消、系统被迫停摆。
在“新基建”浪潮之下,针对关键基础设施的网络攻击必然只增不减,过去“头疼医头、脚疼医脚”式传统安全体系局限性进一步凸显。概括起来,传统安全体系的问题是“七个缺”:缺能力导向的正确意识、缺体系化的顶层设计、缺有效运营、缺能力积累、缺全局情报、缺一体化作战的协同联防、缺实战检验。
七“缺”之下,亟需补位。应对未来网络安全问题,需放弃碎片化或单点防御的思路,构建持续进化的安全能力体系。基于此,360在十多年的网络攻防对抗中,不断抽象、沉淀出一套面向“新基建”的“6个1”网络安全框架体系。我们把它称为“面向未来的网络安全框架体系”。
360之所以能提出这个安全框架体系是基于两点。一方面是因为360拥有真实的高级别网络对抗攻防经验和先进技术,360是国内唯一一家长期与国家级黑客组织交手,并捕获40多个境外APT组织的网络安全企业;另一方面是因为360拥有世界级规模和时间长度的安全原始数据资源,也是国内唯一做过国家级超大流量、海量数据、全景攻防知识沉淀的企业。
这套新的网络安全框架体系中的第一个“1”是一套网络安全互联标准。新的框架体系不是要推翻传统的安全体系,而是升级传统的安全体系,首先要建立一套安全互联标准,包括安全知识库标准、威胁情报标准、实网靶场标准等等,解决目前各安全节点间互不相通的问题,起到“润滑油”效果。
第二个“1”是规划一套安全基础设施,整合现有安全节点的能力,构造出一系列的从应对威胁视角出发的能力中心,包括漏洞管理中心、情报运营中心、安全运营中心、实战评测中心等等,作为安全体系的能力载体。
第三个“1”是一个作为体系中枢的“安全大脑”,其核心组成是安全大数据中台+全视检测分析引擎+全景安全知识库。它的作用相当于网络空间的预警机和反导系统,能够为安全基础设施进行情报、知识、漏洞、专家赋能。
第四个“1”是一套安全运营战法,指导网络安全整体规划,以及网络安全风险识别、防御、响应、恢复、预测的全生命周期。
第五个“1”是一套安全专家团队。网络安全的本质是对抗,对抗的根本在人。通过安全专家团队为客户提供咨询规划、建设运营、应急响应、实网攻防、持续评估、教育培训等专业定制服务,形成安全生产力。
第六个“1”是一套实战检验机制。网络安全讲百遍不如打一遍,实战才是检验安全能力的唯一标准,利用实战攻防积累经验教训,持续迭代能力。
利用这套“6个1”的安全框架体系,同步规划、建设“新基建”的安全基建,就能够为“新基建”打造一个应对大安全挑战的安全底座,为“新基建”保驾护航。未来,360将继续深耕安全运营和安全能力服务,成为各个城市、政府和企业的安全合作伙伴,为大家守护安全。
(周鸿祎 360公司董事长)