9月29日,2015年度暨第三届ISC中国互联网安全大会在北京国家会议中心举行。
随着互联网应用的深入和普及,以及物联网的发展,网络安全形势都发生了很大变化,网络攻击等安全威胁对于国家、社会和企业带来更加严重的后果。
刚刚从西雅图参加中美互联网论坛回来的360公司董事长兼CEO周鸿祎发表了题为“看得见的安全”的主题演讲。
他认为“看见”是安全的一个重要能力,未来安全将是攻防看见能力的争夺,而决定看见能力的基础是数据。
周鸿祎指出,今天大多数已知的威胁和攻击都可以防御。但企业和机构面临更多的是未知的威胁和漏洞,所以传统的防火墙产品和防病毒技术已经力不从心,需要通过大数据技术的应用才能防御新的安全威胁。
这既是安全行业最重要的能力,也是保证国家网络安全和企业安全的核心能力。
周鸿祎称,360目前有超过13亿个安全探测点,还有数十万台服务器。他表示,安全大数据是其能力的核心,在威胁情报的数据收集阶段,具有天然优势。这些安全大数据可以被用来在威胁情报的生产过程中,产生价值更高,针对性更强的高质量威胁情报。
他还透露,360威胁情报中心利用安全大数据与亚马逊、Facebook、Twitter、汇丰银行、英国电讯全球上百家企业、大学和机构合作,分享数据和安全威胁情报,包括美国和英国在内的几十个国家的Cert都已经申请使用360的数据。
以下为周鸿祎演讲的部分摘编:
刚刚从西雅图回来,收获蛮多的。作为中国唯一一家参加中美互联网安全论坛的安全公司,我们有很多安全的想法跟大家交流。
这个演讲的内容应该感谢我们的安全团队。在过去几年里,他们不断总结并提出我们对安全未来的看法。今天大会的主题,其实就是“看见”。
看 见是一种能力,当过去我们讲安全的时候,往往总是把安全技术化、产品化,我们总是说防火墙、扫描、IPS、IDS。实际上,今天所有的攻击都是未知的,都 力图让你看不见。攻防双方的博弈已经从技术的攻防对抗变成了看见与看不见的对抗。制造威胁的人希望自己永远不被人看见。但是,我们这些防御的安全公司永远 希望看见整个网络,这样才能意识到威胁的发生。所以,看见和看不见变成了安全公司和网络攻击之间最大的能力较量。
央视曾经报道过一个伪造的10086诈骗网站。这个诈骗网站为了躲避拦截,不断的伪装、变换,每变换一次就变成一个新的诈骗网站,有的时候一天要变好几次。
我们利用大数据看到的不是一个诈骗网站,也不是1万个诈骗网站,而是把这些诈骗网站背后的关系总结出来。我们可以一直持续追踪,无论它怎么变化,都能够实时进行拦截。
举个不恰当的例子。中国和美国都是网络攻击的受害国。美国人也经常会举出一些例子试图证明中国在攻击他们的网络。这就反映了两国在看见能力上的差异。我们的网络也经常被国外攻击,但以前我们可能压根儿不知道,也看不见,就没有证据可以跟他们争吵。
再次强调,为什么这次会议的主题是谈论“看见”。未来每个安全公司都要思考如何才能看见。
如 何才能看见?看见的基础就是数据,实际上就是我们所说的基于大数据和深度学习做出的分析结果。因为所有的网络行为都会形成痕迹,有痕迹留下就有数据,安全 大数据是形成看见能力的基础。有了数据,还要有数据的关联能力、数据分析能力和数据挖掘能力,结合安全专家的经验,才能形成看见的能力。
一个恶意网站如果要躲避监测,需要不断的变换地址,甚至每天变换多个IP地址,也有多个恶意网站共用一个IP地址。把所有的数据组合在一起可以发现不同恶意网站至今存在的关系。
恶 意网站不断变换着IP地址、域名,很难快速识别和进行拦截。通过360的系统可以及时发现,并且追踪它的变化。它无论怎么变化,都能够进行二次拦截。所以 数据是基础,在大数据的基础之上,通过数据的关联、分析、挖掘、提取,结合安全经验,就应该可以看见你面临的安全威胁。我再次强调,看见了才谈得上防御。 如果我们只是在企业内部部署一些边界防护设备,仅仅是拥有企业数据,而不具备大数据分析能力,你根本就无法看见整个网络上发生了什么。
今天的结论很简单,就是看见会决定企业安全,看见也会决定国家安全。未来无论在国与国的网络空间博弈中,还是在企业安全中,如果企业和国家真的缺乏基于大数据分析的看见能力,必然会成为网络攻击的受害者。
360 已经创办了10年。我们这些人原来没有传统安全的背景,原来是一帮做搜索的人。无意中用搜索的算法在全世界率先推出了基于云端的大数据云安全模型,积累了 10年的数据,有超过13亿个安全探测点,还有数十万台服务器,随时感知各种新型网络威胁。我们有61条DNS的解析记录,每日新增100万,日查询 300亿URL,日处理100亿URL,每日拦截访问的钓鱼网站1亿次,总样本有95亿,日新增样本接近1000万。正是因为有了广泛的数据,才提高了我 们的网络安全的看见能力。美国追踪DDOS最牛的几个公司,都会频繁的跟360交流,有些事件,他们要问360看见没有。一些互联网的大腕公司,包括谷歌 在内,也经常与我们主动交流,参与围观DDOS事件的追踪。有些大规模的DDOS攻击可能是位于中国的僵尸主机发起的,我们看见了,他们看不多。
习 主席也提出“没有网络安全就没有国家的安全”。最近几年,国家间的ATP攻击非常多。截止到7月份,360监测到的向中国境内的政府部门、运营商、大型企 业、科研院所等组织机构发动ATP攻击的境外黑客组织有13个。5月份,360发布了首份溯源APT报告,披露了某个境外黑客组织针对中国境内某政府组织 发起的安全攻击。
在这次西雅图的会议上,我们表达了一个观点,如果不控制网络攻击,对中国和美国来说都是灾难。无论是在政府间,还是在公司间,中国和美国都应该加强合作、沟通,加强技术和信息的分享,共同打击网络犯罪,抵御网络攻击。
我们建立了中国第一个威胁情报中心,超过200多家大型企业、机构在分享我们的数据。我们也加入了全球防DDOS攻击网络,包括英国、美国在内全球几十个国家已经申请使用我们的威胁情报数据。
360希望可以帮助更多的企业发现威胁、看见威胁、看见安全。看见决定企业安全,看见的能力决定国家安全。下一个伟大的网络安全公司一定是诞生在具备看见能力的企业中。
最 近有一个小说很流行,叫《三体》,搞IT的人以没看过《三体》为耻,我也不能免俗。最后的结尾,我想以《三体》的“黑暗森林法则”结束,它的意思是在宇宙 里有不同的文明,每一个文明都不希望被更高级的文明看见。因为被发现总有一方被消灭。在网络安全的攻防世界里,这个规则也适用。我们需要做到的是如何能看 见更多的威胁。
谢谢大家!
