做安全就像西西弗斯反复推石头上山
希腊神话中,讲述了西西弗斯循环往复地将滚落的巨石推上山巅。这与网络安全行业的性质相近,随着全球信息化的步伐加快,网络安全面临的数字化场景不断扩大,应对的技术挑战也不断迭代升级,就像那颗循环滚落的巨石永远无法常驻终点。
但总要有人来推。360集团创始人周鸿祎将这个故事解读为“不断战斗”,从推出免费安全服务,颠覆传统互联网安全概念,到提出数字化思维重塑网络安全,他和一众从业者一样,都在不断探索行业的动态和边界,周而复始,无法停歇。那么,在新时代下,关于安全的现状与挑战,这位西西弗斯又会给出什么答案?
网络安全应升级为数字安全
亚布力论坛:元宇宙如果是未来十年的互联网风口,网络安全将扮演什么角色?
周鸿祎:构建元宇宙,首先要构建的基础设施就是安全。软件正在重新定义世界,元宇宙则更加极端,可能连现实世界都不要了。整个现实世界或许都是软件化、虚拟化、数字化、网络化和数据化。在这种情况下,整个世界的基础变得极其脆弱,所有的安全挑战到了元宇宙中都将上升到一个新的维度,威胁更广、伤害更大。
比如,对车企云端网络进行网络攻击,有可能让正常行驶的汽车失控;再比如,很多人为了追求元宇宙的虚拟化,愿意把大脑直接连上电极,连到元宇宙,未来可能还要保护人的大脑。
不过,元宇宙面临的安全挑战更加复杂,网络安全已经难以涵盖,而是应该包括人工智能、云计算、物联网等。所以,网络安全行业不应抱残守缺,而应该升维到数字安全。
亚布力论坛:你一直在强调,“城市越先进,面临网络攻击的时候,也就越脆弱。”具体怎么理解?
周鸿祎:随着数字新基建的不断深入,城市的安全挑战正受到越来越多的关注。这是因为城市在数字化进程中呈现出三个特征:一切皆可编程、万物均要互联、大数据驱动业务。
一切皆可编程,意味着软件里的漏洞无处不在,没有攻不破的网络。数字化应用只要是人编写的,哪怕是再高级的程序员,都不可避免会存在安全漏洞,甚至新技术用得越多,漏洞就越多。
万物均要互联,意味着原来虚拟世界的攻击能够直接转换为物理世界的伤害。在5G、NB-IoT等网络通信技术的支持下,企业上云、工业互联网、车联网、物联网的普及带来网络边界的模糊,导致城市场景中数以亿计的物联网设备、新终端设备将直接暴露在网络上,传统隔离网络的解决方法已经失效。
大数据驱动业务,意味着数据安全变得前所未有的重要,数据成为新的攻击对象,直接攻击大数据将导致城市业务系统的停摆。
可以说,数字时代城市面临的已经不再是简单的安全问题,而是升级为大数据安全、云安全、物联网安全、新终端安全、网络通信安全等复杂的安全挑战。
亚布力论坛:传统企业如何应对这种复杂的安全挑战?
周鸿祎:他们需要以作战、对抗、攻防、斗争思维为导向,用数字化思维重塑网络安全,建立面向数字化的安全能力体系。一是要统筹顶层设计,底层建设,要建设安全基础设施,也就是说要在安全基础设施的基础上,建立安全运营团队;二是要攻防兼备,攻击面筑牢威胁防御能力,管控面重构信任边界;三是要解决看见的问题,要全网部署探针,最大范围内的,像美军一样,汇集全网、全维、全时数据,从大数据中建立全局视角,实现数据制胜;四是要生态共建,用大数据和威胁情报建立安全生态,实现数据共享、产品互通和协同联防;五是要坚持运营为王,实现平战结合、持续运营,形成安全生产力;六是要以人为本,人是安全能力的决定因素,人的能力决定安全水平。因为对手不是静止的木马病毒,而是一群高水平、高智商的黑客,他们也在不断改变战术战法;七是要将安全基础能力服务化输出,赋能基层,要形成自己强大的公共服务能力,就像远程炮火支援一样,给下属单位提供远程支持。
亚布力论坛:未来五年,网络安全产业将以何种趋势发展?
周鸿祎:一方面,网络安全产业将从合规需求走向实战对抗。实战攻防演练已成为网络安全建设的重要一环,成为检验参演单位网络安全综合防御水平的 “试金石”和提升网络攻击应对能力的 “磨刀石”。在攻防实战演习的带动下,客户对网络安全的需求也从被动防御向主动防御转变升级。具备作战、对抗、攻防、斗争思维,以及体系化建设能力的公司具有更高的景气度,能够持续受益行业红利。
另一方面,网络安全产业将从卖产品走向卖服务。网络安全归根结底是人与人的对抗,有产品不一定有能力,就像军队有了航母不代表就一定马上形成战斗力。因此,网络安全产业不要寄希望于一夜之间解决所有问题,而是需要立足本地,开展全天候、全方位的运营服务,帮助客户建立起一套可运营、可持续、可成长、可输出的安全能力体系。
在这个过程中,网络安全行业尤其要注重生态合作,仅靠一家企业不能解决中国面临网络威胁。因为网络安全绝不仅仅是一门生意,这个行业的敌人不是友商,而是其他国家的网军、有国家背景的黑客组织、有组织的犯罪集团,甚至是未来有可能用网络攻击做网络犯罪的网络恐怖组织。
智能汽车数据安全问题备受关注
亚布力论坛:360投资哪吒汽车,你提出用“科技平权”带来“体验平权”,但网上有声音质疑“科技平权”是否真正存在。
周鸿祎:360以智能网联汽车为切入点进入先进制造业,投资哪吒汽车,把互联网基因赋予哪吒。我在造车中的角色首先是在产品策略、市场策略方面花精力和张勇(哪吒汽车联合创始人、CEO)谈定位,甚至定价;其次是希望自己变成一个智能汽车的产品经理,亲自参与中国汽车产业的数字化和智能化。
我相信“科技平权”的存在,我希望秉持“科技平权”的理念为人民造车。智能汽车的革命不仅是产业革命,也是一场消费革命。我们喊出了“为人民造车”的口号,就是要颠覆10万元左右车型“low”“差”“慢”“小”的既有观念,背后支撑的是“科技平权”的理念,让中国最普通的老百姓也有权利享受智能汽车革命带来的红利。“科技平权”主要包括驾驶性能的平权、乘坐空间的平权 、智能座舱的平权、网络安全的平权。
我之所以认为“科技平权”存在,是因为我相信汽车作为新型智能终端,也将遵循摩尔定律。按照摩尔定律,未来所有和电子、芯片、电器有关的设备,每隔18—24个月性能可提升一倍,或在性能不变的前提下,价格下降一半。现在,智能汽车成本最高的是激光雷达,我相信未来用不到三年,华为等公司一定能把激光雷达做到白菜价。另一方面,随着软件定义汽车,网络效应会发生作用。网络效应会迅速降低软件的研发成本和边际成本,随着用户的增多,最终降为很低的一个数字。也就是说,汽车智能体验的本质是边际效应为零。
亚布力论坛:目前,智能网联汽车的数据安全问题备受关注,智能汽车在安全方面面临什么挑战?
周鸿祎:我认为主要面临四个方面的安全挑战。
第一个挑战是代码数量增加,车载系统安全缺陷激增。汽车未来发展的重点不再是马力,而是算力,构建智能汽车的代码成倍增加。有代码就不可避免地有漏洞,每千行代码平均4—6个安全缺陷。根据最新的统计,从2016年到2020年全球汽车网络安全事件数量增长近10倍。
第二个挑战是万物互联增大攻击面,云端隐患威胁车辆安全。随着车联网的加速推进,万物互联使得汽车的攻击面大大增加,为黑客提供了无数个攻击入口。所有智能网联汽车都必须连接到车企的云端服务器,为云端攻击提供了可乘之机。
第三个挑战是车企网联程度不断提高,供应链安全隐患巨大。数字化时代,每家车企都是工业互联网企业,车企网络化、开放化程度越高,对网络安全的挑战也就越高,但是目前车企普遍采用传统制造业的生产安全保障方案,无法达到车联网环境下的网络安全要求。据工信部统计,近六成车企缺乏自动化的网络安全监测响应能力,85%的汽车关键部件存在安全的漏洞,80%以上的车联网平台存在缺乏身份认证、数据明文传输等隐患。
第四个挑战是大数据驱动智能,数据安全风险攀升。大数据驱动业务,一方面,自动驾驶、智能座舱等功能的提升依赖于算法训练,一旦遭到数据攻击,车辆的功能面临失效风险;另一方面,车主身份、通讯录、出行轨迹、车内语音录像等个人隐私数据存在泄露风险。
亚布力论坛:现代生活中,人们确实需要一些数据记录。安全维护其实是反人性的,但隐私保护又极其重要,如何破解这个矛盾?
周鸿祎:人类进入数字文明时代,数字化技术深刻地改变了人类的工作和生活方式。只要使用数字化服务,就不可避免地要让渡一部分数据,这是不可逆转的。
从隐私保护的角度来看,个人信息保护不是老百姓的责任,而是各大公司的责任。把老百姓培养成安全专家是不可能的。用户把个人信息数据都托付给了各大互联网公司,所以这些公司有责任保护好数据,不去滥用,不让大数据丢失,不买老百姓的大数据,不跟别的公司做大数据交换。他们能做到这些,老百姓的个人信息保护就会得到极大改善。此外,国家已经意识到个人数据安全的问题,2021年以来密集发布《个人信息保护法》《数据安全法》等法规,从政策角度规范数据的采集与使用。
亚布力论坛:《个人信息保护法》一定程度上会使企业合规成本提高,但你认为收益反而更大?
周鸿祎:“个保法”的确会引发企业提升相应的成本,但企业必须要遵从,这是开展业务时必须要承担的责任。否则,企业会面临业务下线,罚款等合规风险,这种处罚成本可能会更大。同时,企业在按照相关法律法规进行数据治理的过程中,实际上能给企业业务赋能。比如,为满足个保法对数据的分类分级要求,要进行数据资产盘点,这有助于企业进一步对数据开发利用。
总体来说,从战略宏观角度来看,合规成本会有提升,但是它带来的收益会更大。这也是近二十年的发展中,我看到的一些案例能够印证的。
安全人才的黄金时代
亚布力论坛:如今网络安全不再是信息化的附庸,这是否也意味着安全人才等来了黄金时代?
周鸿祎:安全人才确实将迎来发展的黄金时代。
一方面,网络安全的本质是人跟人的对抗,尤其近几年安全威胁变得越来越大,网络安全已经不是靠安装一套软件、硬件就能够简单地应对。从实际攻防对抗和能力提升的角度来看,网络安全需要发挥高水平攻防专家的力量来对抗安全风险。未来,网络安全行业将是一个高智商、高智力密集型的服务业,网络安全人才的重要性不言而喻。另一方面,目前来看,我们国家的网络安全人才缺口巨大。但伴随数字化发展,网络安全人才需求将持续增加,网络安全人才培养已经刻不容缓。
亚布力论坛:你一直呼吁给“白帽子黑客”正名,这个角色有什么独特价值?
周鸿祎:“白帽子黑客”就像数字化时代的侠客,他们的独特价值在于,通过发现漏洞、协助修复漏洞、发现APT等方式护航用户上网安全与数字化时代安全。比如,2020年,360的“白帽子黑客们”,为某国际汽车巨头披露并协助修复了19个安全漏洞,避免了被黑客攻击,为护航车联网安全做出了积极贡献。
亚布力论坛:“白帽子黑客”更具“侠客”特性,会涉及行为边界的争议,怎么做既可以规避这方面的风险又能让这类人才发挥能量?
周鸿祎:我建议采取特殊人才认定和激励政策,具体有四个方面:一是制定专门的网络安全特殊人才认定政策。建议国家制定出台以能力为导向、成果为标尺的网络安全特殊人才认定标准,突出专业性、创新性、实用性,突出解决实际问题能力,并保持这类特殊人才的独立性和发展潜力。二是加强对“白帽子黑客”国家安全意识的进一步培养,帮助这一群体树立牢固的国家安全观。“白帽子黑客”群体是漏洞挖掘、发现的主要贡献团体,而国家在对其行为规范上还并没有较强的引导及管理,曾导致战略级漏洞资源外泄。三是建议国家建立可信可控的技术支撑人才体系,为“白帽子黑客”群体正名。例如,我们可以打造网络安全民兵预备役,让这些可信可控的技术力量定期为关键信息基础设施及重点行业领域进行定向研究、渗透和测试,提供相应的支撑服务。四是行业内要重视“白帽子黑客”群体的培养。比如,360在每年的ISC大会上为“白帽子黑客”颁发各种奖项,充分肯定其为守护中国网络安全做出的贡献。
网络安全企业吸引和培养相关人才都可以从以上方法入手。
亚布力论坛:你曾说,“安全从业者就像西西弗斯一样,每天反复推石头上山。”解读这个故事有很多视角,你呢?
周鸿祎:我的视角是,我们这个职业的魅力就在于战斗,且战斗会不断升级。
网络安全行业和其它行业最大的差别是不能“一招鲜吃遍天”,当你觉得解决了问题,“敌人”也会随之而变。所以,从业者就要像希腊神话里的西西弗斯一样,每天辛辛苦苦推石头上山,第二天石头又落下来,然后再把它推上去。从事网络安全,就是不断地从解决一个问题,到面临新的挑战,周而复始,但永不停歇。
(周鸿祎 360集团创始人、董事长)
(文 | 邢君 亚布力中国企业家论坛编辑)