数字安全护航数字文明

2022/07/22


最近研读了陈东升理事长的新作《长寿时代》,他倡导企业家要站在万米高空和百年的时间跨度来审视我们所处的时代。我也在思考,我所处的科技安全行业,要迎来的是什么样的时代?2021年9月的乌镇互联网大会上,习总书记就已经给出了答案,他在给乌镇的贺信上提出:人类将进入“数字文明时代”。


前段时间,我参加了全国政协在北京召开的推动数字经济持续健康发展的专题协商会,深切地感受到国家推动数字经济的决心之大。目前,数字经济已经成为推动中国经济高质量发展的新引擎,数字化已成为国家战略。


但数字化是一个“双刃剑”,数字化程度越高,意味着安全风险越大。我提到“不安全”,不是为了阻止大家做数字化,而是说企业做数字化可能会面临哪些安全风险,怎样才能规避这种风险,从而使数字化跑得更快、走得更远。


以我为代表的做安全的人,都有一个鲜明特点。别人在看到元宇宙、区块链、Web3.0、 DAO(Decentralized Autonomous Organization,去中心化自治组织)、NFT(Non-Fungible Token,非同质化代币,一种用于表示数字资产并且可以买卖的唯一加密货币令牌)等新鲜事物时,可能天天都想着如何有发财的机会;但我们做安全的人首先琢磨的是,这些新鲜事物会带来哪些糟糕的隐患和漏洞。


俄乌网络战,引发四点安全战略启示


俄乌冲突中爆发的网络战就是一个鲜活的例子。对于数字文明时代而言,俄乌冲突相当于一场“开卷考试”,是新时代下数字世界对抗冲突的真实预演,结合俄乌冲突的例子,我分享几点感受:


一是网络战与传统战争结合,正在演变为数字战争,影响战争态势。从网络方面来看,网络战以前只是存在科幻电影里,但此次俄乌战争让我们发现,现实中网络战已经开打。俄乌的政府部门、银行、电力、电信基础设施都遭受了网络攻击,星链卫星、无人机、人工智能等技术与传统武器融为一体,乌方获得美国加持,弥补了弱势;而俄方由于数字化落后,损失扩大。网络战和传统战争相结合,正演变成一种数字化战争,影响战争态势。


二是网络攻击的手段无所不用其极,超出我的预料。我们研究网络战已经很长时间,原本以为利用漏洞的APT(Advanced Persistent Threat,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动)这种定向供给应该是攻击的主力,但这次还发现了像DDoS(Distributed denial of service attack,一般指分布式拒绝服务攻击,它可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用)、数据擦除、数据勒索、供应链攻击甚至网站攻击等各种手段,无所不用其极。


其中特别有意思的是数据擦除,因为当大数据成为数字经济重要的战略资源时,攻击者甚至都不用动脑子去思考怎么破坏硬件,只要擦除你的数据就可以了。


很多人认为自己的数据加密了就都很安全,但其实并非如此。现在勒索攻击已经变成一种商业模式,攻击者去你家,即便打不开你的保险柜,也不担心,他可以带一个更大的保险柜,再把你的保险柜放到他的保险柜里,这样你的钱就用不了了,这种攻击手段,无所不用其极。


三是开启了数字时代的人民战争,高科技公司走向攻防前沿,民间黑客成为生力军。乌方能和俄抗衡,主要是它引入了很多美国互联网公司、民间网安公司。此次网络战方面,本来俄罗斯有信心和优势,因为乌克兰的很多基础设施都是前苏联建造的,在很多关键基础设施里,俄罗斯相信其预埋了很多预制的漏洞或木马、病毒;但没想到这次被北约和美国的一些民营安全公司对其做了事先清理。这次乌方能够与俄国抗衡,就是引用了很多民间的网安公司,获得超50个国际黑客组织、30万 “IT志愿军”参与;而俄国主要靠军事情报部门、黑客组织和白俄罗斯APT组织,但因缺乏实力强的互联网公司,处于劣势。


在数字化体系的对抗上,比如微软、惠普、苹果、谷歌等公司让很多功能在俄罗斯境内失效,这本质也是一种数字战争的体现。高科技公司成了此次冲在最前沿的主力军。各种私营的网安公司纷纷参与、大打出手,最重要的是民间黑客成为了生力军。


这也证明在未来日益复杂的国际环境里一个国家不分军工民用,不分国有私营,其实很多互联网公司,很多高科技公司还是能为国家作出贡献的。


四是对俄开启断网、断供、断服、断证书、断舆论等全面脱钩,意图将俄从数字空间抹去。西方主要的互联网公司,包括微软、IBM、谷歌、甲骨文等对俄停止骨干互联网传输,停发SSL证书、停止域名解析、中断国际传输网络、停止各种软件和服务等,而芯片和硬件供应商如英特尔、AMD等对俄“断供”,脸书、推特禁止俄发声,彻底将俄孤立。而俄由于缺乏市场化的数字产业支撑,完全被动挨打。


俄乌冲突开辟了数字化战争的新纪元,本质是两方数字化体系能力的直接对抗。过去我们常说,落后就要挨打;今天的俄乌冲突警醒着我们,在数字文明时代,数字产业落后、数字安全能力落后,也会挨打。


数字化跑得越快,安全威胁越大


当前,加快数字化发展已经上升为国家战略。各类产业背后,实际上有个共同的关健词就是“数字化”。国家的十四五规划和2035远景目标中专篇论述数字化,数字化成为未来中国弯道超车、变道超车的重要抓手。国家提出了很多有关“数字化”的概念,最值得大家重视的蓝海市场就是产业数字化。


产业数字化真正的价值是帮助很多传统企业,特别是制造业进行改造升级,未来所有的行业都值得用数字化重塑一遍,无论是供应链、价值链、客户链、用户体验或是商业模式。产业数字化会催生很多像工业互联网、能源互联网、车联网等新的场景,未来,数字化也会重塑整个经济,数字经济在国民经济中的重要地位将进一步凸显。


过去大家对数字经济一直有误解,总以为数字经济就是虚拟经济。但事实上,不是只有互联网游戏才是数字经济,凡是用数字化技术加持的产业产生的经济内容,都可以算是数字经济。所以中国很值得骄傲的一点是“应用为王”,我们有自己的市场红利。中国数字经济占GDP的比重在全球来说相当高。


未来5—10年,可能所有的经济都是数字经济,所有的企业都面临一个转型的窗口期,所有企业都想转型成数字化企业。我相信可能这也是所有企业家重点关注的方向,未来,产业数字化绝对是红海中的蓝海。


然而,事物往往都有双面性。数字文明时代一方面是发展数字经济,另一方面也需要关注安全。数字化在带来新机遇、新场景的同时,让安全也变得更脆弱。为什么这么说?


数字化有三大特征:一切皆可编程、万物均要互联、大数据驱动业务,本质是软件重新定义世界。


“一切皆可编程”就意味着一切皆可数字化,但再好的程序员也是人,只要是人写的软件就不可避免地有漏洞,这也意味着漏洞无处不在。越是新的技术,漏洞越多,那就一定会被人利用和攻击。今天很多攻击都是利用网络漏洞。基本没有攻不破的网络,只有不努力的黑客。


“万物均要互联”意味着物联网已经到来。物联网、车联网、工业互联网最牛的就是把虚拟世界和真实的物理设备连在一起;但反过来,也会让过去只是在虚拟世界里发生作用的网络攻击,变成物理世界的真实伤害。工厂大面积停工、停电,基础设施遭到攻击等都是万物互联带来的问题。


以后我们所有的业务都不再是流程驱动,而是数据驱动。大数据会变成业务系统的中心,一旦数据遭到攻击,那么整个流程业务可能就会停转。未来世界架构在软件之上,无论是政府运转、社会运转、工厂企业的运行,还是老百姓的吃喝玩乐、衣食住行,所有的基础都跑在软件之上。


但软件是这个世界上最脆弱的东西,所以整个世界面临前所未有的脆弱性,这次俄乌战争证明了这一点。我认为,安全是数字文明时代的基础。从 “最短木板”理论看,“安全”都不是最短木板,而是木桶的底板。一只木桶如果连底板都没有,那就连一滴水都装不了。如果我们不重视基础安全,那么数字化跑得越快、做得越先进,一旦出现任何安全问题,都可能会导致灾难。


同时,数字化技术带来的内在安全威胁不断增加,日益复杂的国内外环境也使得网络攻击成为国与国博弈的重要手段,而且它们也是平战结合,平时获取情报、潜伏、渗透、伺机而动,战时响应指令,瞬间瘫痪或者摧毁你的业务系统。从这几年的情况看,其他国家对中国的攻击基本都是360发现的,在过去的十年里,我们监测到有将近4000次攻击。


哪有什么岁月静好?数字化技术带来的内在安全威胁不断增加,网络攻击也成为国与国博弈的重要手段,但很多企业都会想,网络战和我有什么关系?其实在供应链攻击面前,每个人、每家企业都有可能变成受害者。我再举个例子。现在比网安企业更赚钱的一种商业模式迅速崛起,就是勒索攻击。各位企业家未来都要走数字化的道路,那么数据就变成企业最重要的核心资产,它可能会成为勒索攻击的目标。


今天的网络攻击中最要命的是供应链攻击。它可能无法攻击一个国家的军事目标和重要的基础设施,但它的供应商、员工的相关信息都能掌握。所以,在数字化攻击漫长的杀伤链中,每个人都有可能都变成受害者。供应链攻击现在已经变成了一种商业模式。勒索攻击来钱太快,美国的勒索起价大约是500万—1000万美元,中国的勒索起价大约是500万—1000万人民币。一旦你的数据被人加密后,绝大多数情况下,我们只能帮你去支付赎金。


安全行业其实不挣钱,干这行的人比较苦,还得有些家国情怀,有时善恶就在一念之间。未来企业都要数字化,一旦数字化之后,企业的数据就变成自身最重要的核心资产,很可能会成为被勒索攻击的对象。


这种专业的对手、大型的目标、超大的布局、独特的手法,造成的危害和挑战都非常大,所以,未来安全无小事。


随着大量数字化新技术、新应用的产生,很多简单的安全问题已经升级为复杂安全问题,超出了传统网络安全的范畴。数字化面对的不再是过去办公自动化、企业内网这些简单场景,而是像工业互联网、车联网、数字政府、智慧城市等很多新场景,涉及到大量的上云技术、大数据技术、供应链技术、物联网技术、区块链技术,还有应用技术、供应链安全,场景非常复杂;但现在很多人对安全的认识,依然停留在计算机安全、网络安全时代,以为安全就是杀病毒木马,用防火墙隔离等传统手段。


数字安全遭遇新挑战,企业亟需转变传统思维


事实上,随着新兴的数字技术和复杂的数字化场景带来的挑战,简单安全升级为复杂安全,网络安全行业也应当被重新定义,将计算机安全、网络安全升维到数字安全,才能跟得上国家的产业数字化发展要求,才能保障人们进入数字文明时代。


为保护数字经济发展、数字中国建设,党和国家高度重视数字安全的升级发展。党的十八大以来,党中央明确以“总体国家安全观”为指导,统筹“传统安全与非传统安全”。习近平总书记在致2021年世界互联网大会乌镇峰会贺信中强调,筑牢数字安全屏障,让数字文明造福各国人民,推动构建人类命运共同体。中共中央政治局审议《国家安全战略(2021—2025年)》,明确提出加快提升网络安全、数据安全、人工智能安全等领域的治理能力,这些本质都是“数字安全” 。国家还从立法层面推进和完善数字安全的发展。继《网络安全法》后,国家于2021年又出台了《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等一系列法律法规。

这意味着,2022年已经是数字安全元年。然而,让我感到担忧的是,虽然时代变了,但仍有很多政企单位的安全思维依旧停留在传统认知上,主要表现在三个方面:

第一,在指导思想上将网络安全视为附庸,投入不够,没有顶层设计。传统的网络防御措施,经常是把信息系统、把数字化的系统建好之后,最后急急忙忙买点零碎的软硬件产品凑合。但最后到底自己的数据有没有丢、系统有没有被人入侵,并不知道。


第二,以“卖货”思维为主导,重视产品而忽视运营。很多行业把货卖给用户,用户就能用,但网络安全行业卖货没用。网络安全是一个高度强调运营和以人为本的一个行业,也就是说,网络设备不会告诉你谁攻进来,它可能会检测到不正常,这里就需要人工的干预和运营。


就像今天城市建立了大数据中心,但如果没有人对数据进行治理、清洗,对数据做模型,用数据做计算,那么即使采集了很多大数据,就如同积累了很多石油而不做提炼,是不能直接驱动汽车发挥价值的。如果我们买了一批货回家,就等于买了再多的医疗设备,但没有医生和大夫在里面看病、诊断,那么这个医院也不能建立起强大的医疗能力。


第三,技术上抱残守缺,产品各自为战,看不见安全风险。因为卖产品只需要说服用户购买,而不需要以实战对抗为指导。网络安全行业有很强的对抗性。一个产品好不好,能否看见别人的风险,能否看见别人的攻击或者能不能拦得住,能否将已经攻进来的攻击踢出去,这是需要通过实战对抗来实现的。


重塑网络安全,开启数字安全新战法


不同于传统网络安全公司,360不以卖货为目标,而是真正帮助国家和企业解决“看见”APT攻击的“卡脖子”难题,提升数字安全能力。


360最早从免费杀毒起家,大多数国内终端上都有360的产品。有了这么多用户,每天电脑上发生的攻防事件360都能看到。在这个过程中,360常年处在攻防对抗一线,积累了全球最大的安全大数据,但因为用户太多,世界各国的黑客组织都觉得360很麻烦,所以它们如果做了一个新的攻击软件,一般就会先用360测试一下;但360也很“狡猾”,必须要联网才能工作,因此很多时候,360第一次监测到它,在不知道它是攻击软件的情况下,就把它传到云端去做分析去了。


所以,360就无意中收集了全球最大的攻击样本库。也就是说,全球黑客的攻击样本,360都能拿得到,然后我们再通过机器的自动分析加上人工辅助,就能看得到它们的攻击行为。这就是为什么360能够累计发现境外APT组织50个,包括4000多次攻击,涉及了两万多个攻击目标的原因。


360以前不急着卖货,是因为我们的商业模式比较奇葩。360之前商业模式很俗,主要是做互联网广告和网络游戏,因为它赚钱,然后通过赚的钱,每年大约平均投20—30亿元到安全上。所以,360在安全领域的研发投入,比安全行业里第二名到第十名所有公司的研发投入加起来还多。


当我开始卖货时,我发现自己也变得很庸俗,因为卖货思维和实战思想不一样。卖货时,你不需要考虑发现敌人,只需要搞定客户。但不卖货时,无所谓客户,反正大家都免费用。所以360也因此培养了国内最多的白帽子黑客团队。一般的安全公司不会这么做,它们有2个白帽黑客做“吉祥物”就可以了。因为黑客对卖货最没有帮助,他们只有真正与国外APT组织进行攻防实战时才用到。这也是360无意中取得的一个成绩,就是当年的免费杀毒发展到今天巨大的能力。


360基于20年的攻防实战经验,总结了一套新的战法。


第一是数据制胜,一定要用大数据分析。唯一的网络攻击方法就是从全网大数据中建立全局的视角。这就如同当满大街有了摄像头之后,中国的社会治安得以大大改善的原因。因为你无论干点什么,总会被摄像头拍下来传入视频库,只要经过认真筛选,就能够通过碎片的摄像头信息,还原完整的案件。在数字文明时代,面临高级别的网络攻击,最重要的是看见,即“看见是1”,就像你吹嘘自己的火炮有多么猛烈、导弹有多么精确,但如果你压根看不见别人的隐形飞机突破防空系统,就完全起不了作用。


第二是以人为本。安全行业未来发展,就像医疗产业是以人为本的产业,而不是通过堆砌一堆产品来解决问题,而是需要依靠高级专家持续运营。


第三是实战攻防。“是骡子是马,拉出来溜溜”,网络安全不是看你写多少论文、吹多少牛,而是要在实战中接受检验。在数字化安全领域,实战是检验安全能力的最终标准。


第四是顶层设计。要打破安全是信息化附庸的传统思想禁锢,改变先做数字化建设、后做安全防护的被动局面,立足系统思维,对安全做整体规划和体系化设计。


依托新战法,360希望能重塑网络安全,打造以安全大脑为核心的数字安全能力体系,为政府、企业还有城市提供完整的安全解决方案。我们希望能够像建立“数字安全医院”一样,帮助客户建立起一套自己的能力体系。目前,360是唯一能够给城市做整体安全运营和顶层设计方案的公司,能够提供城市级的安全防护,这套新框架现在已经在上海、重庆、天津、青岛、苏州等10多个城市部署和落地。


以数字政府为例,习近平总书记在主持召开中央深改委第二十五次会议中指出,加强数字政府建设是创新政府治理理念和方式的重要举措,要求加快构建数字政府全方位安全保障体系,全面强化数字政府安全管理责任。过去,城市不是安全的用户;但未来,城市可能会成为网络攻击的主战场。一是因为智慧城市本身未来就是各种智能设备的集中地;二是城市发展数字经济,各个产业发展数字化、进行数字化转型及数字政府建设本身,都需要安全保障。


但过去城市并非数字安全的建设主体,而是各个企业、单位“谁建设谁负责”,自行建设、能力分散,缺乏统一的数字安全感知、应急、指挥体系。所以要以城市为中心,像在物理世界建立应急体系一样,建立数字空间安全基础设施,包括城市级的统一感知系统、应急系统和指挥系统,让城市在遭受网络攻击时,能够及时发现、快速响应、联防联控,来保障整个城市的数字经济安全、产业数字化转型安全、数字社会安全和智慧城市的安全,实现高质量发展。


360作为全球最大的数字安全公司,未来希望能帮助更多的政府、城市、企业实现数字化转型,为数字经济发展、数字中国建设、数字文明时代保驾护航。


(周鸿祎   360集团创始人、董事长)