专访周鸿祎:大安全时代,我们应站在更高的格局看问题

2017 ISC互联网安全大会,FreeBuf有幸受邀参加了“红衣教主”周鸿祎的会后专访。老周还是那么能侃,不过这次明显能感觉到他收着劲儿呢。

我们正处于一个大安全时代。网络安全已经不仅仅是网络本身的安全,更是国家安全、社会安全、基础设施安全、城市安全、人身安全等更广泛意义上的安全。线上线下的安全边界已经消失,我们必须站在更大的格局看问题。

这是老周的原话,我们已经悄然成为历史的见证者,步入了一个崭新的时代。2017 ISC互联网安全大会上,FreeBuf有幸受邀参加了“红衣教主”周鸿祎的会后专访。周鸿祎还是那么能侃,不过这次明显能感觉到他收着劲儿呢。

请来那么多领导在看着,所以我们得低调点儿,不然领导们觉得把关乎国家命脉的安全行业交到一个就会耍嘴皮子的人手上,也不放心啊是不是?

专访上主要就老周提到的大安全时代、网络战、军民联合等话题进行了一系列讨论。今年聊安全,是绕不开WannaCry的。该勒索病毒虽然技术含量不高、肇事者甚至是周鸿祎口中的“小毛贼”。然而黑客所利用的漏洞几乎可以说是军火级攻击工具,将勒索病毒利用漏洞进行传播,对用户数据加密以实现敲诈,并利用比特币支付等匿名互联网技术躲避追踪溯源跟踪,展现出了一种极为高效的变现模式。

随着网络武器的泛滥和网络攻击的服务化,越来越多的“小毛贼”式黑客组织会被武装成网络恐怖组织。可以预见,网络犯罪和网络恐怖主义的潘多拉盒子已被打开,未来此类网络恐怖袭击只会愈演愈烈……

15052207311039-2.jpg

大安全时代究竟是怎样的图景

记者问:

您提出的大安全时代能再详细介绍下吗?

周鸿祎:

最近我们做安全的这几年,有一个思考。现在再孤立地谈网络安全可能太低估这个网络安全的挑战和威胁,所以我们定义为大安全时代,因为这几年安全越做,问题反而越大,这就证明很多策略和思想都要随之改变。我的理解,大安全,网络攻击已经演变成网络战,网络攻击过去还是比较零碎,比较单次,从这次WannaCry事件可以看出来,美国人在网络武器打造上实现了平台化、系统化、自动化,全世界已经进入网络战时代。

除此之外,老周还将漏洞称为“战略资源”。

网络战里,我们提出一个概念,要开始重视一个战略资源——漏洞。过去我们老把漏洞当成软件上不起眼的小错误,但今天别人能供给你可能因为楼,你能防守可能因为发现一个漏洞,所以漏洞变成兵家必争之地,在大安全时代,漏洞变成稀土、原油一样成为国家的网络资源。

周鸿祎指出,WannaCry事件就是网络战的一次预演,未来网络战将常态化。在网络战中,重要漏洞的价值等同于传统战争中的炸弹,谁掌握了对方的网络系统漏洞,谁就找到了攻击的突破口;谁能及时发现和掌握自身的网络漏洞,就可以先为自己夯实安全的堤防。另外,网络安全产业与军工产业联手,军民融合成为必然。网络战很难区分界限,它不是两军对战,而是两国科研力量的全面对抗。

大安全时代,从国家安全开始到产业安全、社会安全、工业互联网安全,到人身安全要有系统化的考虑,在这个大安全时代,攻防思维,策略要改变,格局要改变,包括对人才的需求,产业的发展方向可能都会改变。这是我们今天主要在这次大会上提出的目标。对整个安全行业应该还是正向的。

国内互联网安全的两个极端

记者问:

我们注意到,今天包括工信部、公安部和其他专家学者、企业界的精英交流以后,您能否给我们总数一下当前互联网安全的趋势,各方应该如何合理配合完成工作?

周鸿祎:

这就得说到中国互联网安全的两个极端了。一个极端,领导非常重视,世界各国首脑没有一个人像习主席对网络安全给这么高的评价,说没有网络安全就没有国家安全,所以,各家大家的投入现在也很大;另一方面,网络安全公司产业规模还太小,360在里面属于山中无老虎,我们矮子里面拔将军,算是最大的。但和其他产业比规模还是小的多,安全产业也有很多缺口。所以,我们提出“大安全”,也是希望对产业以更多的激励,希望更多优秀的人才投身到这个行业,很多公司实现业务和商业模式上的转型,从简单一次性卖硬件到卖服务。

年年都说安全人才缺口巨大,我们现在应该用什么样的方式培养更多的年轻人才呢,这是一个问题。

周鸿祎提到,安全人才培养主要是三个方面。一是目前很多企业的安全投入以及薪资水平已有明显提升、二安全企业从拿不到投资到最近愈发火热起来、三就是我们曾给中央上书,目前各大高校也纷纷开建网络安全学院,近几年培养出了一批批人才,还是有目共睹的。

军民融合方面的规划是Top Secret

记者问:

您刚才谈到军民融合方面的问题,360在军民融合方面有什么规划?有什么途径和计划加强与军方的合作?

周鸿祎:

我们退市以后最重要的一件事儿其实是解决了我们的身份问题,我们现在是一家纯粹的中国互联网公司。我们现在和军队有很多的探讨,但都已经涉密。我们集团旗下一个子公司也获得二级涉密机制,我们现在有这个执照可以参与到国防工业很多研发和产品提供,但内容都是保密的,没法跟你说。

关于出国参加漏洞大赛的不同看法

今年年初,为期3天的Pwn2Own 2017世界黑客大赛结束,来自中国的360安全团队、腾讯Sniper团队和长亭科技团队包揽了大赛前3名。值得一提得是,来自中国的360安全团队以总积分63分排名Pwn2Own官方积分榜榜首,成功加冕“Masterof Pwn”。

但是360掌门人老周现在却反过来禁止团队出国比赛了。

时间长了我发现一个问题,美国军方、美国情报机构特别热衷干这个?为什么呢?开始搜集漏洞了。不知道你们发现没有,这比赛从来就没有美国队,前三名都被中国队包办,美国就不参加。北约有个规定,北约盟国研究漏洞的人根本不允许来中国、俄罗斯,东方武器禁运国。美国人就不想参加奥林匹克吗?世界坦克大赛美国人为什么不来?因为来了以后就必然会导致泄密。我意识到这个问题,美国人拿了一个漏洞,他可不能轻易拿来做比赛,可能送给国安局,类似WannaCry做个网络武器,武器很保密,一用三年,悄悄地用,要不是这次被泄露的,没准还能长期使用。我们拿到漏洞,有点像你挖到了国家重要战略资源。到世界顶级黑客大赛去攻关,美国专门给你设了命题,让你去攻,这都是高价值漏洞,美国也就给你十几万元奖金就觉得很高兴,如果卖给某个犯罪集团和国家情报机构是百万美金算的。这些漏洞是不是应该留在国内,看国家是不是需要?比如我们很多漏洞是来不及修补的,可能意味着你把很多的信息都告诉了其他国家。我是对这个是持公开反对态度的,但没办法,它形成了风气,有的公司不干别的事儿就以去国外参加比赛、得奖为主,对他来讲就是天天压着360就行了。我的人老忍不住,非要较这个劲,这是个大问题,我的观点还是很明确的。在大安全时代,网络战时代,不要呈匹夫之勇,不要图一时之快,我们今天得了一个黑客大赛第一名,so what?中国长期来看需要积累网络资源和网络资产,否则有点漏洞就用了,真哪一天和别的国家打起网络战,你手里什么都没有,你有的东西美国人全知道,你说这个仗怎么打?

我们今天得了一个黑客大赛第一名,So What?中国长期来看需要积累网络资源和网络资产,否则有点漏洞就用了,真哪一天和别的国家打起网络战,你手里什么都没有,你有的东西美国人全知道,你说这个仗怎么打?

360企业多样化业务的处理之道

记者问:

这次谈安全是3Q大战之后首次跟您深入谈安全,好像很多年没有谈了。360对在未来安全界将处于什么样的位置?第二点是,现在很多互联网公司在搞多样化,360在非核心业务上会怎么处理?

周鸿祎:

你的问题挺好的。安全还是360的安身立命之本,做到一定程度上它不仅是个业务,也是个责任。一个企业除了让员工挣钱,员工买了房子之后,也需要一种成就感,我们在行业里也需要。我也有个价值观地企业能不能长久,当然是做到AT这么大而不倒也很牛,还有就是被人民离不开,政府离不开,社会离不开,你也很有机会。安全不管挣不挣钱都会坚定地把它做好。安全肯定要做大,大安全的时代,大家对360的理解不能只是免费杀毒,拦截骚扰电话,其实在今天的工业安全、社会安全、国家安全、网络战攻防方面360都能发挥重要的角色。我们为此还成立了企业安全集团,2B这块专门有集团在做。除了2B,我们安全、社会安全和未来新兴的物理安全领域都是巨大的机会,就像我刚才说到了,军民融合是个大的机会,美国最挣钱的是军工产业,一打仗军工产业都挣钱。最近雷神公司承担了美国好几个网络安全项目,现在这两个产业在融合。

军民融合是人民战争,还是精英战争?

记者问:

您设想大安全是人民战争的方式还是设计一个秩序我们按秩序前进,另外,您怎么看待某漏洞平台创建人失踪了很久?

周鸿祎:

我认为要做顶层设计规则、网络战,光靠军队EPR、公安、政府国防工业的大企业依然是不够的,还得把安全公司算上。举个例子,中移动这种通讯企业也会有安全团队,过去他们只是解决自己的安全问题,但是不是也可以协调进来,还有大量在民间的安全人员。国内对安全感兴趣,我们做调查论坛和采样,经常登点论坛,发点帖子,或者关注地域新闻或搜索安全关键词在国内还是有几十万的,统共起来可以是一场人民战争。  

记者问:

应该怎么发动和制定这个秩序呢?  

周鸿祎:

那就是大安全,今天我们谈到策略、战略的改变,这都是不断在做推动工作。  

记者问:

周总,您刚才提到漏洞还是挺有战争价值和经济价值的,您有没有考虑过设立一个类似漏洞交易所或者中国建立一个漏洞交易所?  

周鸿祎:

事实上,我们现在有两种方式,第一,我们已经在花钱收漏洞了。第二,我们也鼓励国家应该做投入,做漏洞交易所没准就卖到了黑产手里,所以国家应该加强投入。美国每年在漏洞上,办比赛每年奖金几百万美金,中国这么国富民强,每年拿出几亿、十几亿买点漏洞不是应该的吗。  

记者问:

这就是漏洞交易所?  

周鸿祎:

对,它只有一个买方就是国家。

关于大安全时代名字的由来

马云最近提出新零售,我觉得这说法太好了,虽然谁也不知道是什么意思,但觉得挺高瞻远瞩。所以,我在屋里想了好几个月,终于想了一个“大安全”,但这个安全是货真价实存在的,能自圆其说。

发表评论

已有 1 条评论

取消
Loading...
css.php