360 首席安全官聊 5G 時代下的安全:9 個確定與不確定

語言: CN / TW / HK

週末宅在家的雷鋒網編輯看了斯皮爾伯格的神作《頭號玩家》,電影向我們展示了一個未來科技生活的圖景,每個人只要佩戴“綠洲”遊戲感測器,就可以完全生活在線上遊戲世界,在遊戲世界裡夢想也觸手可及。酷炫的畫面、腦洞大開的劇情、充滿青春回憶的上百個彩蛋,看過電影的雷鋒網編輯不禁感嘆,這樣的生活未免也太爽了吧。

但電影終歸是電影,回到現實,5G 依舊是一個不確定的因素,而這種不確定性會給各行各業都帶來特別大的挑戰,因為安全和所有東西都相關,所以當所有事情都不確定的時候,安全就會有很大的挑戰。

1 月 11 日,“ 5G+ ”智慧安全融創發展論壇暨 2019 網路安全“金帽子”年度盛典在北京舉行,360 集團首席安全官杜躍進圍繞 5G 時代下的安全的確定與不確定做了主題演講。

杜躍進認為 5G 帶動了網路環境的鉅變,推動智慧化的全面和深入發展。進一步實現了網路世界和物理世界的融合,推動安全被重新定義。而客觀上邊界的消失,造成攻擊者僅需一點突破即可“內網漫遊”。嚴重的資源不對稱,也會給受攻擊方造成大量的隱患。

所以在他看來,我們需要升級到“智慧時代”,而安全大腦是實現智慧安全的基礎,解決問題離不開持續高水平的安全服務,首先要完善企業頂層設計,給予人員最佳實踐學習機會。通過定製化的威脅情報和威脅應對支援服務,對企業系統化的和持續的培訓,以及專業、規範和持續的實網攻防與演練、系統化的漏洞發現和管理,專業的安全運營和應急響應,以此幫助組織建立更加完善的安全體系。

以下為演講全文,雷鋒網 (公眾號:雷鋒網) 在不影響原意的情況在對其進行了編輯。

我們都非常不喜歡不確定性,不知道明天會怎麼樣,所以我們都很焦慮。

一方面,國際形勢會對安全本身造成影響,比如說中美貿易戰、英國脫歐等,世界經濟也處於疲軟狀態, 正是這種國際因素的不穩定性,讓大家莫名的感到恐懼,所以很多人都說不安全,但沒有人知道為什麼不安全。

另一方面,從安全本身來看,幾乎每天我們都會聽到各種各樣的安全事件發生,勒索病毒、資料洩露、黑灰產、漏洞威脅等,但市面上的安全產品眼花繚亂,安全觀點林立,我們更不明白到底什麼才是安全的  產品,所以這造成了更大的不確定性恐慌。這樣估算下來,至少還有三十年我們會處在這樣快速的變化和不確定的世界裡面。我們如何適應這樣一個世界,變成每一個人必須思考的問題。

適應這樣的世界,個人認為需要在這種不確性裡面找到那些確定的東西,只有這樣才能讓自己時刻保持  清醒,保持進步。

第一個是安全行業本身的確定和不確定,確定的是安全公司一定是更被需要的,不確定的是有些企業被忽悠買了無效的安全產品卻不知道問題出在哪,或者認為安全公司是騙子解決不了問題。安全這件事情是潘多拉盒子,它不是被開啟,而是腐朽了,潘多拉盒子裡流出來的黑水正在流向世界的每一個角落。過去只是我們這幫搞計算機的人,搞網路安全的人跟潘多拉盒子裡面跟壞人對抗著,因為攻擊者攻的是計算機系統,攻的是和計算機系統相關的各種各樣的東西。這些人雖然我不知道,也不敢說就比壞人多厲害,但是我們知道壞人都在幹什麼,我們知道壞人的手段和他們的想法。但是今天的世界是智慧世界、智慧世界,所有的東西都在變智慧,所有的東西都可以聯網,世界上的每一個角落都變得聰明,但是聰明並不意味著安全。

第二個確定的是安全行業的任務更艱鉅了,不確定的是我們能應對嗎?能應對到什麼程度和水平?

世界越來越不安全,其實不是我軍無能,實在是敵軍成長太快,僅中國就有超過200萬人在做黑灰產,每年我們國家的 IT 預算裡只有很小的一點點留給安全,都不知道用在哪裡去了。

第三個確定的是原來搞安全的方法行不通了。

第一,客觀上各種各樣的邊界都在消失。安全是一種對抗,我們習慣用傳統的對抗理論來看安全。傳統的對抗領域理論是找到關鍵的必經之路,然後在這裡守住,集重兵之力防禦就行了。但是現在的世界哪裡還有關口?邊界都沒有了。現在我們在一個點上防禦、或者在一個面上防禦,其實這些都不對,現在是立體空間,任何地方都是可以被入侵的:每個人都是弱點;每個業務都在快速迭代,每個迭代的版本都會出問題;每個業務規則稍不小心配錯公司就會破產,一個規則配錯,一個業務配錯,公司都會破產,5G 更是讓每個地方都可以被入侵進來。這種情況下應該在哪裡守?所以在這種情況下其實無險可守。

第二,攻防不對稱,資源不對稱。對方可以收集很多的資源,可以用殭屍網路,利用全世界大量的資源攻擊你,而你的每個資源是你自己花錢買的。在這種客觀條件下,我們主觀上的原因讓自己陷入了更加糟糕的境地。一是各自為戰,我說的各自為戰不完全是指安全企業之間缺乏配合,更多是指客戶們各自為戰。我們試圖在自家院子裡搭一些攝像頭,看不到敵人就認為世界是安全的。但事實上,我們只看到了一部分的資料,看不到整個威脅情況。

所以這樣看來,不確定的是我們改變這些問題的進度是什麼?或者說來不來得及?

第四個確定的是安全如果要想有未來,需要有大資料。今天我們把資料當成魔鬼,談資料色變,我的觀點和別人不一樣,在我看來,採集不等於做壞事,採集之後怎麼用、怎麼防才決定是不是做壞事,而從安全的角度來說如果不讓一個 APP 採集資料,實際上會讓安全徹底無法做了。所以和別的行業一樣,我們需要更大範圍的資料,我們需要更長時間的歷史資料,因為你今天看到的異常行為,可能對方在三年前或五年前就已經有準備了,今天如果沒有三、五年前的資料,你就無法還原對方到底在幹什麼。

而不確定的是這樣的資料在哪裡?或者說有了大資料有能力用起來嗎?

第五個確定的是我們所有的安全,一定要轉到攻防視角。無論你給客戶講什麼,一定要轉到攻防視角。在客戶的視角也是如此,當別人給你講任何事情的時候,你要想一想,這是不是符合攻防視角,因為安全產品最後靈還是不靈,就看一件事情,實戰扛不扛得住。

不確定的是到底應該怎麼做到這一點。

第六個確定的是合規是底線、身份是青銅。

對抗最典型的就是軍事級的對抗,所以,合規只是一個最基本的東西。但是可以衡量的是能力,合規只是一個底線,我們不能再拿合規忽悠所有的使用者,合規只是基本要求。

不確定的是怎麼讓客戶改變這樣的認識?

第七個確定是我們需要高質量的人,人是創造力、戰鬥力,是提供服務的基礎,不確定的是人在哪裡?要怎麼用?

第八個確定的是網路安全需要整體思維。能看見的範圍越大、越清楚,安全產品才有競爭力。如果沒有整體思維,我們永遠做不到這一點,如果沒有整體思維,我們看到的中國網路空間安全,就只是你看到自己領地的小燈照亮的範圍,其他地方全是黑的,加上 360 全網 C 端的安全大資料,底座可能是亮的,但其他地方都是黑的。當然整體思維不僅僅是指發現,整體思維是指很多方面的東西,要形成聯動。

而不確定的是對方會在任何一個地方打我們任何一個點,要怎麼防?

第九個確定的是,我們需要升級到“智慧時代”,和別的領域一樣,安全也需要大腦。解決問題離不開持續高水平的安全服務,首先要完善企業頂層設計,給予人員最佳實踐學習機會。通過定製化的威脅情報和威脅應對支援服務,對企業的系統化和持續化的培訓,以及專業、規範和持續的實網攻防與演練、系統化的漏洞發現和管理、專業的安全運營和應急響應,以此幫助組織建立更加完善的安全體系。

不確定的是對方是通過超時空、超能力和隱身衣來攻擊的,可以從任何一點把能力投射到任何另外一點,網路空間防禦有可能做到這一點嗎?

最後,大安全時代物理世界和網路世界不分,所有的東西都在融合,生存密碼一定是智慧互聯、整體攻防和實戰能力。

注:圖片為嘶吼傳媒官方提供

雷鋒網原創文章,未經授權禁止轉載。詳情見 轉載須知

分享到: