周鴻禕的戰法進階_風聞

撰文 |懂懂 編輯 | 秦言

來源：懂懂筆記

“從來都沒有什麼歲月靜好，看不見的網絡攻擊隨時在發生，這是一場戰鬥，要用戰爭思想，對抗的思維來指導網絡安全的發展，網絡安全才能有正確的方向。”周鴻禕如是説。

互聯網安全大會（ISC）走到第九年。作為主辦方代表，周鴻禕一直以來意圖將ISC打造成為一個行業的大會，而不是獨屬於三六零（601360.SH，下稱“360”或“360集團”）的客户會。九年時間，每年一次的產業集會，也見證了中國信息安全產業的演變，應對安全問題的能力也在不斷提升。

“安全行業如果還執迷在過去做一些很順手的碎片化的產品、以賣貨為主的思路，一定解決不了我們面臨的安全挑戰，當下需要新的戰法和新的框架。”360作為中國安全的龍頭企業一直在探索，九年ISC不停與行業碰撞，可以説今年新戰法、新框架的提出，是ISC發展九年的一個核心成果。

形勢之變：

軟件定義一切，攻擊無處不在

先讓我們看看新近爆發出來的安全問題。

讓美國東部進入緊急狀態的“油管事件”，涉及到的黑客組織包括三部分：一是俄羅斯的dark side負責製造工具，並不發起攻擊，分享勒索攻擊金額的15%；二是實際發起攻擊者獲得80%的收益；三是一些小黑客負責收集漏洞，分享5%。從這個案例中我們看到，一個勒索攻擊，已經有着嚴密的分工，黑客組織越來越成產業化趨勢。同時，隨着工業互聯網在能源、電力、製造等基礎設施行業的發展應用，大量過去部署在生產網絡中的工業控制設備暴露在互聯網之中，每個連接點都可能成為攻擊點，為勒索攻擊、工控攻擊提供了可乘之機。

最近在全球目前最大的單一勒索攻擊中，ransomware Evil （Revil）黑客組織及附屬機構，通過滲透一個遠程管理軟件Kaseya，一次性地勒索了17個國家、上千家公司。有意思的是他們可能連這家公司的名字都不知道，其實真正的攻擊目標不是這一千多家的受害者，他們攻擊的是Kaseya遠程軟件控制公司。這是一個非常典型的通過供應鏈來攻擊，也就是説你受到攻擊不是你的安全措施做得不好，可能是你的供應鏈做得不好。

智能汽車開始進入到我們的生活當中，新的問題也隨之而來。今年，很多單位開始不讓特斯拉進入到院子裏，因為一輛汽車上的數據不僅涉及駕駛人的個人信息安全，車輛上還有特別多的傳感器，如果採集了很多數據，會涉及國家安全。

這其中我們看到幾個變化：第一，攻擊無處不在，隨着我們進入萬物互聯時代，每一個連接點都有可能成為攻擊點。第二，威脅不斷的走向高端化，小毛賊、小黑客已經成為歷史，勒索軟件攻擊正在向APT化演進，形成有組織、有預謀的犯罪商業模式，攻擊目標從個人轉向政府、重點企業和重點設施，攻擊手法也在發展過程中變得更加定向化、持續化、專業化。有組織的大規模網絡犯罪成為網絡安全的最大威脅，網絡攻擊目標和手法還有產生的破壞都突破常規，網絡攻擊成為大國博弈的一部分。第三，大數據在驅動一切業務，這種情況下數據安全變得非常重要，數據本身被攻擊、被損毀、被污染或是被丟失和被盜竊，都會帶來比網絡攻擊更嚴重的後果。

當然，這些變化不是一天發生的。過去幾年間，周鴻禕在各種場合強調安全的重要性、形勢的嚴峻性，但是數字化發展的速度遠遠大於人們對信息安全的重視程度。從另一個角度來講，常年戰鬥在一線的360在安全這件事上跑在了所有企業的前面，看到了別的企業不一定能看得到的危險。能聽懂並且聽得進去周鴻禕的話的人並不多，高處不勝寒，周鴻禕是有些“寂寞”的，這也是屬於行業領跑者的寂寞。

也正是因為認知上的滯後，直接帶來的結果就是中國信息安全產業整體偏弱，小企業多，產品碎片化，安全能力弱，企業也都賺不到什麼錢。不可否認，每年ISC作為行業性聚會，信息交流、思想碰撞，九年時間也在推動這個產業的發展，中國信息安全產業也正在發生着變化。

在今年的ISC上，總結安全形勢的變化時周鴻禕認為隨着進入數字化時代，未來將是軟件定義一件，數字化有三個特徵：一切皆可編程、萬物均要互聯、大數據驅動業務，這也意味着數字化讓整個網絡安全環境更加脆弱，安全風險更加無處不在，整個世界更易攻擊，造成危害也更大。

思維之變：

沒有一招鮮，要有戰爭思維

“我們很多同行都曾經謀求説我發明了一個產品，這個產品一用就解決網絡安全的問題。事實證明網絡安全是動態的，不是靜態的，你的對手是一羣高智商的人，他不是一個靜態的物理問題等待着被解決。”周鴻禕深知，無論是攻擊的技術還是攻擊的手段都在快速變化，也這使得網絡安全的形勢不斷面臨新挑戰。

每天都在快速變化，以前IT產業“交鑰匙”工程的思維不適合安全領域。在這個領域沒有一招鮮，沒有一個產品可以防所有安全問題，也沒有一個企業可以完成整個安全體系的構建。

攻與防就像魔與道，魔高一尺，道就需要再高一丈。魔在不斷進化，道也需要不斷修煉。“我們這個行業的從業人員像希臘神話裏的西西弗斯一樣，每天辛辛苦苦推石頭上山，第二天石頭又落下來，你在這個行業裏工作，就要不斷的歷經從成功到失敗，從失敗到成功，所以在這個行業堅持下來的人，我覺得都是理想主義者。”

也正因為，周鴻禕在今年的ISC上正式提出安全領域的“新戰法”：我們只有向軍隊學習，把這個看成一場戰鬥，用戰爭思想，對抗的思維來指導我們網絡安全的發展，以‘作戰、對抗、攻防思維’為指導體系化建設安全能力，我們的網絡安全才能有正確的方向。

同時，周鴻禕還提出，以前安全只是數字化的“附庸”。但是隨着數字化的深入，安全的重要性不斷提升，未來不能再把網絡安全當成信息化數字化的附庸，而應該將網絡安全視作數字經濟的底座。“把安全能力基礎設施化，就是要打造像水電氣一樣的安全設施。這個基礎設施不同於傳統的碎片化的產品，而是在防護、檢測、響應等產品之上，轉化為一個長期運營的安全能力平台。”周鴻禕表示，360會先行一步，把自己在安全方面的能力開放出來，基礎設施化，成為整個產業的雲端基礎設施體系的一部分。

“有產品和有能力不能劃等號。所以如何能夠幫助用户建立起能力體系。建立起體系化作戰，這是今天網絡安全到了一個行業拐點。”周鴻禕所説的行業拐點是指安全產業到了進入新戰法的階段。

360政企安全集團首席執行官葉健在此次ISC上提出：安全的新戰法，即作戰的三個維度：第一要從全網安全態勢入手，第二要從基於實戰方法論入手，第三要從新一代的能力框架入手。

國家、城市、行業、企事業，它的暴露面是巨大的，即便我們從企業來説，很多企業，他們有上下游供應鏈（Revile），有分支機構，兒子孫子公司，他們的連接很可能通過互聯網，物聯網。解決安全問題，只有從全局出發才能看清局部，也只有瞭解全局的安全態勢，才有可能提前做好準備。所以，安全戰略的佈局需要從全網安全態勢入手。

360在過去十五年，一直在網路攻防的第一線，先後投入200多億的研發經費，建立東半球最強的白帽子軍團。可以説，360的成長史就是網絡安全的戰爭史，所以可以最終總結出實戰方法論，包括3個部分：首先總結黑客攻擊的戰術、技術、流程。未知攻，焉知防。360從來不做攻擊但是，要知道防守，必須瞭解進攻。其次，黑客攻擊的方法基礎上，建立了縱深防禦體系的方法論，這裏保護我們的三層大腦架構，能力框架，運營體系等。第三，為了未來更好地提升防守能力，總結出了成熟度評估，幫助同行和客户不斷提升能力。

網路攻防是一個永不落幕的戰爭，試圖通過技術手段，通過一次性購買建設一個系統，是不可能實現防護的。只有不斷提升能力，才有可能和黑客鬥爭中，生存下來。基於此，需要一個全新的能力框架。

打法之變：從單點突破到體系化作戰

在ISC大會上，來自各方的專家、領導、企業代表，都有一個共識：解決安全問題，需要體系化作戰。

“面對高級別攻擊力量入場所引發的威脅，我國必須建立新的自上而下的網絡安全保障框架。其中，政府引領是關鍵，還須在產業體系建設、政策扶持、人才戰略和市場環境等方面同時發力，並加大基礎研究與技術的銜接。正是基於這樣的背景下，網絡安全體系化、規模化的戰略非常重要。”中國科學院院士韓啓德認為。

“今年，全世界的部隊在談及打仗，都知道不是能用某一種武器就能獲勝，而是講究體系化作戰。今天的網絡安全也是如此。”周鴻禕舉了一個例子，中國也有了航母，航母的戰鬥力並不是依賴於某一個單一的武器，航母的運營體系中有不同的角色，也有不同的處理流程，這些相互結合才形成航母真正的戰鬥力。

360結合多年的實戰經驗提出新一代安全能力框架，其中包括四個部分：一是區域/行業/企業總部的安全大腦，二是安全基礎設施體系，三是安全專家運營應急體系，四是安全基礎服務賦能體系。

“這套框架可以從360複製到各黨政軍企單位，建設各單位自己的安全大腦和基礎設施，讓各單位管理運營自己的安全數據，並且建立起運營體系，通過服務賦能下屬單位。對於各單位能力不足的地方，360還可以通過雲端持續提供全網大數據和高級安全專家的賦能。”周鴻禕表示。

用健康行業來類比這套新架構比較形象。賣產品，就像是賣藥，有時候藥能解決問題，但有時候看似對症下藥但也解決不了問題。而到醫院去，有化驗室、門診樓、手術室、住院部、ICU，有醫生、有藥、有醫療器械，這樣一套體系才能高效提供醫療服務，幫助更多的病人解決不同的病痛。

周鴻禕強調，安全能力框架能夠整合各種生態產品，擴展支撐各行各業的各種數字化場景。例如工業互聯網、車聯網、能源互聯網、智慧城市等等，形成面向場景的安全解決方案。更重要的是，以前單個產品的能力有限，而這套框架可運營、可成長、可輸出，能力是可以不斷“變大”的。

顯然，周鴻禕的安全觀是不賣貨，賣的是體系，賣的是能力。如果説，安全是一場持久戰，周鴻禕再次披掛上陣，“戰”安全。