雷帝網 樂天 9月12日報導
360董事長周鴻禕今日做了一場《網路安全進入大安全時代》的演講, 在演講中, 周鴻禕提出了一個大安全的概念。
周鴻禕認為, 今年5月, 全球爆發了WannaCry勒索蠕蟲, 這是網路安全的一個分水嶺, 標誌著大安全時代的到來。
“為什麼網路化生存已經變成現實的時候, 互聯網路的安全形勢變得如此嚴峻?”
周鴻禕指出, 最根本原因是一切皆可程式設計, 萬物都要連接;有連接就有漏洞, 有漏洞就產生威脅。
大安全時代有5大趨勢, 分別是網路戰成為“新常態”、軍民融合是必經之路、網路犯罪和網路恐怖主義的潘朵拉盒子已被打開、網路攻擊向物聯網、車聯網和工業互聯網發展、人是最重要的因素。
周鴻禕指出, 現在有人在鼓吹人工智慧技術的應用, 人會被取代, 360對次此觀點不予置評;在網路安全行業恰恰相反, 人是不可或缺的, 是最重要的生產力。
以下是周鴻禕演講實錄:
今年5月, 全球爆發了WannaCry勒索蠕蟲, 這是網路安全的一個分水嶺, 標誌著大安全時代的到來。
在這個全球性的安全危機中, 勒索蠕蟲不但破壞大量高價值資料, 而且直接導致很多公共服務、重要業務、基礎設施無法正常開展。
高校、加油站、火車站、自助終端、郵政、醫院、出入境簽證、交通管理、政府辦事等多機構癱瘓。 網路安全事件直接影響影響到了社會穩定和正常運行。
這是從未發生過的現象, 以前從未出現過跨越全球的病毒襲擊, 從未出現過涉及如此多工業領域的病毒襲擊, 從未出現過蔓延速度如此之快的病毒襲擊。
今天, 全球接入互聯網的人數已經達到了30億, 佔據了全球一半人口, 其中單是中國的互聯網用戶達到了7.31億, 相當於歐洲的總人口。 中國電商在全球各大市場中滲透率增長最快, 占全國社會商品零售總額15%。
中國移動支付市場迅猛發展, 百元以下小額交易占比快速增長, 逐步取代現金。 在共用出行市場, 中國已經走在世界前列。 目前, 中國每年共用出行次數已過百億, 占全球市場份額的67%。
中國的互聯網經濟如同泰坦尼克號, 是一艘巨大的、繁華的客輪。 在互聯網經濟向前發展的航線是一片未經勘察的海域, 對互聯網的安全威脅如同冰山一角剛露出海面。
人們沒有注意到,
同時, 網路攻擊越來越多, 影響國家安全的、帶有政治色彩的, 針對特定目標的, 國家和地區級網路攻擊不斷出現, 甚至對一些國家和地區的政治安全和社會穩定造成了影響;
正因為如此, 很多國家越來越重視網路安全, 將網路安全上升到了國家安全的高度。
中國也不例外, 2016年11月7日全國人大常委會通過了《中華人民共和國網路安全法》, 並於2017年6月1日起開始實施。 並著眼於長期的國家網路安全;
2016年12月27日, 經中央網路安全和資訊化領導小組批准, 國家互聯網資訊辦公室發佈《國家網路空間安全戰略》。
為什麼網路化生存已經變成現實的時候,互聯網路的安全形勢變得如此嚴峻?
最根本的原因,就是一切皆可程式設計,萬物都要連接;有連接就有漏洞,有漏洞就產生威脅。
今天互聯網已經跟整個社會融為一體,你騎自行車是在互聯網裡,你跑步是在互聯網裡,你預訂餐飲是在互聯網裡,你買賣商品是在互聯網裡,你日常娛樂在互聯網裡,你日常交友是在互聯網裡……
不僅如此,我們的電力、醫療、交通、通信、航太等眾多關鍵的基礎設施,以及國家黨政機關和事業單位都在互聯網上運行。任何形式的網路攻擊都有可能直接影響到我們的現實世界。
勒索病毒在全球進行網路攻擊就是這樣,它導致我們無法順利通過邊境,無法順利取出論文,無法順利的為機動車加油,無法順利的進行醫療手術……
在電腦安全時代,主要的安全問題是電腦軟硬體的安全,主要威脅除了軟硬體損壞,就是病毒和非法訪問;
在資訊安全時代,主要的安全問題是資訊系統和資訊的安全,主要威脅是資料洩露、資料的保密性以及資訊系統的正常運行;
我們處於一個大安全時代。
在大安全時代,不再像過去一樣,安全只是幾台電腦的事情,不再是幾個企業資訊系統的事情,不再是幾個資料庫的事情。前所未有的大挑戰,需要我們在大格局上審視網路裡的威脅,需要我們以大產業的視角,形成大戰略。
在大安全時代,網路安全不僅僅是網路本身的安全,網路安全就是國家安全、社會安全、基礎設施安全、城市安全、人身安全等更廣泛意義上的安全。
大安全時代的五大趨勢
大安全時代,網路安全產業、網路安全形勢、網路安全戰略都會發生很大的變化,以下是我們對未來幾年行業趨勢和方向的判斷和展望。
一、網路戰成為“新常態”
WannaCry事件就是網路戰的一次預演,雖然這次事件本身不是一次網路戰,看不出攻擊者的政治企圖,技術水準也很低劣,也沒有尋求特定目標,對全球網路進行了一通漫無目的的暴力掃描。
但是攻擊者所使用的核心技術是美國NSA洩露的網路武器,這個武器具有很強的先進性和成熟性,雖然攻擊者使用這個武器的技術非常低劣,依然造成了巨大的影響,橫掃全球Windows電腦,影響一些關鍵基礎設施的運行,初步展現了網路戰所能造成的破壞效果。
我們從這次事件中也可以看出未來網路戰的一些趨勢和特點。
沒有攻不破的網路:
美國首任網軍司令亞歷山大將軍在2015年的中國互聯網安全大會上說過:世界上只有兩種系統,一種是已知被攻破的網路,一種是已知被攻破但自己還不知道。剛才本傑明先生在演講中也給我們演示了,在攻擊者面前,沒有任何安全的系統。
因此,網路系統的安全就如同馬奇諾防線一樣,靠防是防不住的,一定會被攻破。NSA的資料洩露和Mandiant被滲透,充分驗證了沒有攻不破的網路。
漏洞是戰略武器
WannaCry事件深刻揭示了漏洞就是未來網路戰的關鍵,在網路戰中,重要漏洞的價值等同于傳統戰爭中的炸彈,誰掌握了對方的網路系統漏洞,誰就找到了攻擊的突破口;誰能及時發現和掌握自身的網路漏洞,就可以先為自己夯實安全的堤防。
從震網病毒、火焰病毒、方程式病毒到WannaCry蠕蟲攻擊等一系列重大的網路攻擊中,都利用了各種已知、未知漏洞。漏洞非常重要,沒有漏洞就無法建立網路戰的進攻和防禦體系。
比如五角大樓安全供應商的ZDI項目組舉辦PWN2OWN比賽; “攻破五角大樓”、“攻破空軍”這些項目都可以收集很多的漏洞。
網路不宣而戰
不同于傳統戰爭有明顯的開始和結束,網路戰時時處處都在不宣而戰,震網病毒對伊朗核設施的攻擊,經過了長時間的潛伏和一系列的隱藏措施,無聲無息地進行了攻擊。360威脅情報中心監測到的多個APT事件中,攻擊者也都已經滲透或者潛伏了很長時間,並且通過各種手段隱匿自己不被發現。
所以應對網路戰要平時籌畫,時時刻刻準備,做到未雨綢繆。
二、大安全時代,軍民融合是必經之路
與傳統戰爭不同,網路戰不再限於軍隊之間的對決,而是國家和社會之間的整體對決。這意味著軍民融合在網路安全領域具有現實的必要性,沒有軍民之間的深度融合,就不可能有真正的網路安全。
在傳統戰爭中,軍事目標和民用目標有明確的區分,雙方所要攻擊和保護的目標主要是大壩、電廠等重要軍事目標。而網路戰不同,網路是一個相互連接的整體,分不清楚民用和軍用目標,任何單位或個人所使用的終端或者系統都是網路的一部分,任何人或者設備被攻破,整個網路可能就會被攻陷。
因此網路戰是一場整體戰,對每個個人、每台終端以及民用目標的安全保護都非常重要,是和整個國家的網路安全緊密聯繫在一起的。
網路安全產業和軍工產業將會融合,軍民融合成為必然,在美國過去做飛機、做導彈的和做網路安全的是不同的兩波人,現在結合在了一起。除了上面提到的“攻破五角大樓”、“攻破空軍”這些軍事專案都是民間網路公司HackerOne做的,抓獲本拉登發揮最大作用的是民間網路安全公司Palantir。
軍民融合是網路安全產業的一個大機會。
三、大安全時代,網路犯罪和網路恐怖主義的潘朵拉盒子已被打開
傳統的網路黑色產業鏈中,犯罪分子製作、傳播木馬病毒,竊取使用者隱私資訊,並通過網路詐騙、控制肉雞發動DDoS攻擊等方式來獲取商業利益,過程相對複雜,與之形成鮮明對比的是,WannaCry蠕蟲攻擊使用軍火級攻擊工具,利用漏洞進行傳播,對用戶資料加密以實現敲詐,並利用比特幣支付等匿名互聯網技術躲避追蹤溯源跟蹤,展現出了一種極為高效的變現模式。
這種模式會給全球網路犯罪分子帶來巨大啟發,即只要有了網路武器,即使沒有太多專業化知識和技能,也可以對重要機構、企業、個人發起敲詐勒索攻擊並獲得巨大的商業利益。
隨著網路武器的氾濫和網路攻擊的服務化,越來越多的小毛賊式駭客組織會被武裝成網路恐怖組織。可以預見,未來此類網路恐怖襲擊將大行其道,甚至成為一種愈演愈烈的常態。
同樣的,這些網路武器也可能流傳到敵對勢力和恐怖組織手中,成為他們發動攻擊的主要手段之一,以前他們的攻擊主要以DDoS攻擊、網站纂改為主,未來他們利用這些網路武器,可以發起敲詐勒索這樣的低級攻擊,還可以實施更精巧、更有針對性的、更隱蔽的攻擊,以竊取重要單位的機密資訊為目標,其危害性將更加巨大。
更進一步,這些攻擊還可能導致政府資訊系統、民生設施等癱瘓,對國家安全、社會秩序和人民的日常生活都將產生不可估量的嚴重影響,後果將不堪設想。
四、大安全時代,網路攻擊向物聯網、車聯網和工業互聯網發展
隨著物聯網、車聯網和工業互聯網的發展,他們開始成為網路攻擊的目標,去年10月的美國互聯網斷網事件就是由惡意軟體控制了近百萬攝像頭組成的僵屍網路,攻擊美國的DNS解析服務商造成的。
前不久,國內外安全公司緊急發佈了Samba遠端代碼執行漏洞警報,Samba是被廣泛應用到各種Linux和Unix系統上的開源共用服務軟體,和WannaCry蠕蟲利用Windows的SMB服務漏洞一樣,Samba漏洞將威脅眾多Linux/Unix伺服器、NAS網路存儲產品和路由器等物聯網設備。
而Linux和Unix系統被廣泛應用在各種工業控制系統和其他關鍵基礎設施中,因此類似的攻擊有可能會逐漸蔓延到工業互聯網和重要的基礎設施領域,造成的破壞更為嚴重。
烏克蘭電網在2015和2016年兩次遭遇駭客攻擊並導致大面積停電,電力設施成為了駭客的練兵場。
今年1月份,美國能源部專門發出警告,警示電網面臨被駭客攻擊的危險,4月份美國國防部專門投資7700萬美元建立新的網路安全計畫,專門打擊針對電網設施的駭客攻擊。
最近美國政府還與各電力企業合作建立網路戰演習,重點保護電力等基礎設施,今年演習的覆蓋範圍還延伸到了大銀行、華爾街和電信行業。
另外在物聯網、車聯網和工業互聯網中開始使用一些人工智慧技術,使用人工智慧技術發展無人化的系統,無人值守的汽車、無人飛機、無人值守的武器,這些無人系統一旦被劫持,將帶來更多、更嚴重的安全問題。
五、大安全時代,人是最重要的因素
人是網路安全最脆弱的因素,也是網路攻擊中最薄弱的環節,攻擊往往是從重要目標身邊的個人開始,如目標單位供應鏈中的員工、目標政府官員身邊的親人等,然後以個人為跳板,進行橫向滲透,最後對目標人物、組織和設施進行竊密和破壞。
比如,美國大選郵件門事件對競選人希拉蕊•克林頓的網路攻擊,就是利用了人的安全意識不強、違規、失誤等弱點,攻陷了她最信任的助理阿貝丁和競選總幹事約翰•波德斯塔,然後逐步入手的。
WannaCry蠕蟲攻擊中很多隔離網被感染,也是利用了人的懶惰不打補丁,隔離網內設備違規接入互聯網等入侵得手的。
比如美國著名的大資料公司Palantir,不僅具備大資料核心技術,實際上還擁有超過4000名大資料領域的專家在進行人工的分析和研判。
網路安全是科技勞動密集型行業,需要大量的專業技術人員的智力密集型服務,目前的現實是安全人才缺口很大,人才供需缺口依然存在數量級上的差別。
我們的政企單位不僅需要培養自己的網路安全隊伍,還需要充分利用網路安全企業提供的專業化的安全服務。
現在有人在鼓吹人工智慧技術的應用,人會被取代,我們對次此觀點不予置評;在網路安全行業恰恰相反,人是不可或缺的,是最重要的生產力。
不管我們是否做好準備,是否願意接受,大安全時代都已經來了,這個時代帶來了更多的不安全和不確定,給人類帶來了更多的威脅和挑戰,對網路安全行業和從業者來說,帶來了更多的責任、壓力還有基於,我們要對全人類的安全負責,對世界安全負責。
————————————————
雷帝觸網由資深媒體人雷建平創辦,其為頭條簽約作者,若轉載請寫明來源。
國家互聯網資訊辦公室發佈《國家網路空間安全戰略》。為什麼網路化生存已經變成現實的時候,互聯網路的安全形勢變得如此嚴峻?
最根本的原因,就是一切皆可程式設計,萬物都要連接;有連接就有漏洞,有漏洞就產生威脅。
今天互聯網已經跟整個社會融為一體,你騎自行車是在互聯網裡,你跑步是在互聯網裡,你預訂餐飲是在互聯網裡,你買賣商品是在互聯網裡,你日常娛樂在互聯網裡,你日常交友是在互聯網裡……
不僅如此,我們的電力、醫療、交通、通信、航太等眾多關鍵的基礎設施,以及國家黨政機關和事業單位都在互聯網上運行。任何形式的網路攻擊都有可能直接影響到我們的現實世界。
勒索病毒在全球進行網路攻擊就是這樣,它導致我們無法順利通過邊境,無法順利取出論文,無法順利的為機動車加油,無法順利的進行醫療手術……
在電腦安全時代,主要的安全問題是電腦軟硬體的安全,主要威脅除了軟硬體損壞,就是病毒和非法訪問;
在資訊安全時代,主要的安全問題是資訊系統和資訊的安全,主要威脅是資料洩露、資料的保密性以及資訊系統的正常運行;
我們處於一個大安全時代。
在大安全時代,不再像過去一樣,安全只是幾台電腦的事情,不再是幾個企業資訊系統的事情,不再是幾個資料庫的事情。前所未有的大挑戰,需要我們在大格局上審視網路裡的威脅,需要我們以大產業的視角,形成大戰略。
在大安全時代,網路安全不僅僅是網路本身的安全,網路安全就是國家安全、社會安全、基礎設施安全、城市安全、人身安全等更廣泛意義上的安全。
大安全時代的五大趨勢
大安全時代,網路安全產業、網路安全形勢、網路安全戰略都會發生很大的變化,以下是我們對未來幾年行業趨勢和方向的判斷和展望。
一、網路戰成為“新常態”
WannaCry事件就是網路戰的一次預演,雖然這次事件本身不是一次網路戰,看不出攻擊者的政治企圖,技術水準也很低劣,也沒有尋求特定目標,對全球網路進行了一通漫無目的的暴力掃描。
但是攻擊者所使用的核心技術是美國NSA洩露的網路武器,這個武器具有很強的先進性和成熟性,雖然攻擊者使用這個武器的技術非常低劣,依然造成了巨大的影響,橫掃全球Windows電腦,影響一些關鍵基礎設施的運行,初步展現了網路戰所能造成的破壞效果。
我們從這次事件中也可以看出未來網路戰的一些趨勢和特點。
沒有攻不破的網路:
美國首任網軍司令亞歷山大將軍在2015年的中國互聯網安全大會上說過:世界上只有兩種系統,一種是已知被攻破的網路,一種是已知被攻破但自己還不知道。剛才本傑明先生在演講中也給我們演示了,在攻擊者面前,沒有任何安全的系統。
因此,網路系統的安全就如同馬奇諾防線一樣,靠防是防不住的,一定會被攻破。NSA的資料洩露和Mandiant被滲透,充分驗證了沒有攻不破的網路。
漏洞是戰略武器
WannaCry事件深刻揭示了漏洞就是未來網路戰的關鍵,在網路戰中,重要漏洞的價值等同于傳統戰爭中的炸彈,誰掌握了對方的網路系統漏洞,誰就找到了攻擊的突破口;誰能及時發現和掌握自身的網路漏洞,就可以先為自己夯實安全的堤防。
從震網病毒、火焰病毒、方程式病毒到WannaCry蠕蟲攻擊等一系列重大的網路攻擊中,都利用了各種已知、未知漏洞。漏洞非常重要,沒有漏洞就無法建立網路戰的進攻和防禦體系。
比如五角大樓安全供應商的ZDI項目組舉辦PWN2OWN比賽; “攻破五角大樓”、“攻破空軍”這些項目都可以收集很多的漏洞。
網路不宣而戰
不同于傳統戰爭有明顯的開始和結束,網路戰時時處處都在不宣而戰,震網病毒對伊朗核設施的攻擊,經過了長時間的潛伏和一系列的隱藏措施,無聲無息地進行了攻擊。360威脅情報中心監測到的多個APT事件中,攻擊者也都已經滲透或者潛伏了很長時間,並且通過各種手段隱匿自己不被發現。
所以應對網路戰要平時籌畫,時時刻刻準備,做到未雨綢繆。
二、大安全時代,軍民融合是必經之路
與傳統戰爭不同,網路戰不再限於軍隊之間的對決,而是國家和社會之間的整體對決。這意味著軍民融合在網路安全領域具有現實的必要性,沒有軍民之間的深度融合,就不可能有真正的網路安全。
在傳統戰爭中,軍事目標和民用目標有明確的區分,雙方所要攻擊和保護的目標主要是大壩、電廠等重要軍事目標。而網路戰不同,網路是一個相互連接的整體,分不清楚民用和軍用目標,任何單位或個人所使用的終端或者系統都是網路的一部分,任何人或者設備被攻破,整個網路可能就會被攻陷。
因此網路戰是一場整體戰,對每個個人、每台終端以及民用目標的安全保護都非常重要,是和整個國家的網路安全緊密聯繫在一起的。
網路安全產業和軍工產業將會融合,軍民融合成為必然,在美國過去做飛機、做導彈的和做網路安全的是不同的兩波人,現在結合在了一起。除了上面提到的“攻破五角大樓”、“攻破空軍”這些軍事專案都是民間網路公司HackerOne做的,抓獲本拉登發揮最大作用的是民間網路安全公司Palantir。
軍民融合是網路安全產業的一個大機會。
三、大安全時代,網路犯罪和網路恐怖主義的潘朵拉盒子已被打開
傳統的網路黑色產業鏈中,犯罪分子製作、傳播木馬病毒,竊取使用者隱私資訊,並通過網路詐騙、控制肉雞發動DDoS攻擊等方式來獲取商業利益,過程相對複雜,與之形成鮮明對比的是,WannaCry蠕蟲攻擊使用軍火級攻擊工具,利用漏洞進行傳播,對用戶資料加密以實現敲詐,並利用比特幣支付等匿名互聯網技術躲避追蹤溯源跟蹤,展現出了一種極為高效的變現模式。
這種模式會給全球網路犯罪分子帶來巨大啟發,即只要有了網路武器,即使沒有太多專業化知識和技能,也可以對重要機構、企業、個人發起敲詐勒索攻擊並獲得巨大的商業利益。
隨著網路武器的氾濫和網路攻擊的服務化,越來越多的小毛賊式駭客組織會被武裝成網路恐怖組織。可以預見,未來此類網路恐怖襲擊將大行其道,甚至成為一種愈演愈烈的常態。
同樣的,這些網路武器也可能流傳到敵對勢力和恐怖組織手中,成為他們發動攻擊的主要手段之一,以前他們的攻擊主要以DDoS攻擊、網站纂改為主,未來他們利用這些網路武器,可以發起敲詐勒索這樣的低級攻擊,還可以實施更精巧、更有針對性的、更隱蔽的攻擊,以竊取重要單位的機密資訊為目標,其危害性將更加巨大。
更進一步,這些攻擊還可能導致政府資訊系統、民生設施等癱瘓,對國家安全、社會秩序和人民的日常生活都將產生不可估量的嚴重影響,後果將不堪設想。
四、大安全時代,網路攻擊向物聯網、車聯網和工業互聯網發展
隨著物聯網、車聯網和工業互聯網的發展,他們開始成為網路攻擊的目標,去年10月的美國互聯網斷網事件就是由惡意軟體控制了近百萬攝像頭組成的僵屍網路,攻擊美國的DNS解析服務商造成的。
前不久,國內外安全公司緊急發佈了Samba遠端代碼執行漏洞警報,Samba是被廣泛應用到各種Linux和Unix系統上的開源共用服務軟體,和WannaCry蠕蟲利用Windows的SMB服務漏洞一樣,Samba漏洞將威脅眾多Linux/Unix伺服器、NAS網路存儲產品和路由器等物聯網設備。
而Linux和Unix系統被廣泛應用在各種工業控制系統和其他關鍵基礎設施中,因此類似的攻擊有可能會逐漸蔓延到工業互聯網和重要的基礎設施領域,造成的破壞更為嚴重。
烏克蘭電網在2015和2016年兩次遭遇駭客攻擊並導致大面積停電,電力設施成為了駭客的練兵場。
今年1月份,美國能源部專門發出警告,警示電網面臨被駭客攻擊的危險,4月份美國國防部專門投資7700萬美元建立新的網路安全計畫,專門打擊針對電網設施的駭客攻擊。
最近美國政府還與各電力企業合作建立網路戰演習,重點保護電力等基礎設施,今年演習的覆蓋範圍還延伸到了大銀行、華爾街和電信行業。
另外在物聯網、車聯網和工業互聯網中開始使用一些人工智慧技術,使用人工智慧技術發展無人化的系統,無人值守的汽車、無人飛機、無人值守的武器,這些無人系統一旦被劫持,將帶來更多、更嚴重的安全問題。
五、大安全時代,人是最重要的因素
人是網路安全最脆弱的因素,也是網路攻擊中最薄弱的環節,攻擊往往是從重要目標身邊的個人開始,如目標單位供應鏈中的員工、目標政府官員身邊的親人等,然後以個人為跳板,進行橫向滲透,最後對目標人物、組織和設施進行竊密和破壞。
比如,美國大選郵件門事件對競選人希拉蕊•克林頓的網路攻擊,就是利用了人的安全意識不強、違規、失誤等弱點,攻陷了她最信任的助理阿貝丁和競選總幹事約翰•波德斯塔,然後逐步入手的。
WannaCry蠕蟲攻擊中很多隔離網被感染,也是利用了人的懶惰不打補丁,隔離網內設備違規接入互聯網等入侵得手的。
比如美國著名的大資料公司Palantir,不僅具備大資料核心技術,實際上還擁有超過4000名大資料領域的專家在進行人工的分析和研判。
網路安全是科技勞動密集型行業,需要大量的專業技術人員的智力密集型服務,目前的現實是安全人才缺口很大,人才供需缺口依然存在數量級上的差別。
我們的政企單位不僅需要培養自己的網路安全隊伍,還需要充分利用網路安全企業提供的專業化的安全服務。
現在有人在鼓吹人工智慧技術的應用,人會被取代,我們對次此觀點不予置評;在網路安全行業恰恰相反,人是不可或缺的,是最重要的生產力。
不管我們是否做好準備,是否願意接受,大安全時代都已經來了,這個時代帶來了更多的不安全和不確定,給人類帶來了更多的威脅和挑戰,對網路安全行業和從業者來說,帶來了更多的責任、壓力還有基於,我們要對全人類的安全負責,對世界安全負責。
————————————————
雷帝觸網由資深媒體人雷建平創辦,其為頭條簽約作者,若轉載請寫明來源。