0
本文作者: 李勤 | 2019-08-21 18:48 |
8 月 21 日,首届北京网络安全大会(BCS 2019)在国家会议中心召开。奇安信集团董事长齐向东发表名为“内生安全:以聚合应万变”的主题演讲,随后接受了包括雷锋网在内的媒体采访。
这是 4 月周齐分家后,齐向东第一次正面、深入地回答“360 收回数据、品牌、技术后,奇安信有没有受到影响”等相关问题。
不了解前情的读者请点击雷锋网过往文章:《周鸿祎版兄弟情:十米之外,送齐离开》《中国电子战略入股奇安信,老齐说,我要赢》。
我们先来看重点问答。
齐向东:品牌肯定没有受到影响,我们 4 月 29 号一天就把品牌切分完了。我们的政府和企业客户对切品牌这件事是零反响,反正我没接到一个电话。因为在个人互联网安全市场里,安全属于快消品,老百姓看的是品牌,比如喝可乐、喝酒都得看什么牌子,换牌子我不喝。政府购买服务时,他看中的是你的团队的能力,并且组织水平和能力都比你高的专家对你进行评估。你一旦进入这个市场给他提供服务时,服务好,客户就继续用你,服务不好,客户接着就换人,真正的能力和服务起主导性作用。
况且,奇安信不是新公司,我们在 2014 年开始筹划做政企安全时,注册的就是奇安信。2016年,360 从美国退市,我们和 360 分拆时,签约的主体是奇安信 。近三年来,奇安信和客户签署的购销合同并未使用 “360” 品牌,而是奇安信的自有品牌。所以,这次我们停用“360”的品牌,独立使用奇安信的品牌,对我们的业务没有什么影响。
技术层面,企业安全用到的技术是完全不一样的技术,如果我们拿着给老百姓电脑服务的软件买给政府,会被扫地出门,因为你解决不了它的安全问题。
数据层面,泛化的大数据解决不了一个系统的安全问题,需要场景化的具体数据,叫内生数据。只有内生数据才是安全能力的驱动力。比如,工商银行是我们的客户,我们保卫工商银行的网络不被攻击,业务不中断,就必须无死角地收集全工商银行网络里和业务有关的安全数据。我们才能知道,今天访问中国工商银行的一个银行的网站有多少人,哪些人是正常用户,哪些是恶意用户。这些恶意的用户想干什么?应该如何阻击?这才是有效的。360 经过多年的积累,有丰富的网民的电脑数据,这些数据是威胁情报的来源之一。但靠这些数据,解决不了政府和企业网络具体场景的业务安全问题。
我们用五年时间成为了中国最大的政企安全大数据公司。我们现在有超过 4000 万台的政企终端,给 100 多万台服务器提供了保护。我们网络边界防护设备累计部署量达 20 万台,为近 70 万个网站提供了网络边界云防护服务。我们每天都能源源不断地拿到大量对不同网络、不同业务场景进行攻击的数据,这些数据对保护我们的客户安全起着至关重要的作用。这个数据就是内生安全数据。这些内生的安全数据是安全能力的驱动力。
齐向东:中国电子一个人没派,因为它是我们的战略投资股东,我们是做业务协同的,公司的管理机制各方面都没有发生变化。
中国电子加盟之后,确实给我们带来了非常重大的机遇。中国电子是网信领域的国家队,中国电子的战略入股让奇安信变身网络安全国家队,让我们在国家安全的市场上有了更大的发展空间。
我觉得中国电子的进入对我们没挑战,只有机遇。我们跟中国电子是互帮互助,相互促进的关系。中国电子打造的由飞腾(Phytium)CPU+麒麟(Kylin)操作系统组成的 “PK体系”,叫本质安全,喝奇安信的安全能力、CPU、操作系统融合后,就会产生非常强大的内生安全体系。
如果非要说挑战,那么就是市场和客户对奇安信的要求,奇安信一定要变得更强大。
齐向东:我们是先有动作、实践,之后总结出来的这一套成果,我们不是先提一个概念去做宣传。我们完全按这套理论体系做了一年,很多大型机构是我们的成功客户。客户不仅能接受,而且非常希望能建设这样一种内生安全能力,所以我今天把这个成功案例总结了出来。
我们认为客户需求是发展趋势,因为它代表政府、银行、大型企业的想法,这对安全公司来说也是好事,因为你可以更好地履行保障客户安全的责任。这种趋势会改变网络安全产业的技术生态,技术是依据客户需求而进行创新的。所以,我们希望通过我们经验总结出的这套内生安全体系成为这个行业的风向标,让更多的同行能够按照这样的方法跟他们的客户沟通。
我再补充一下关于竞争对手的事。在 to B 行业,一家公司能占到 10% 的市场份额就已经很罕见,它跟互联网这个行当不一样。互联网行业里,有第一,没有第二,所以互联网的竞争非常惨烈,你争不上第一可能就只有死路一条。但是在 to B 这个行业,因为客户极其专业,业务场景极其个性化,所以它的市场是非常广泛的。排名第一的公司,哪怕市场份额占 10%、20%,还有90%、80%的市场是全行业的,所以这个市场里没有“不是第一,一定要死”的这种“魔律”,这个行业的竞争是良性的,通过竞争才能促进互相进步;通过竞争,客户才能得到更好的服务;通过竞争,才能促进技术的创新。
这种竞合关系在互联网行业是不存在的,因为二八定律,不是第一就是死。所以互联网公司进入到面向未来 to B 市场时,大家都很雄心勃勃,但是需要转变观念,别用拼命的心态进入这个市场。对客户来说,你见一个生意就拼命,谁敢雇你,没人敢接受你的服务,你不满意就跳楼,那不行,要保持良好的心态。
齐向东:不是帮助建,是在做信息化系统和安全系统的聚合。这种融合要从整个系统规划开始,同步规划、建设和运营,我们叫“三同步”,客户也都很认同这个观点。,
去年,我们提了“安全从0开始”,很多人没有完全理解,其实说的就是信息化系统和安全系统的聚合,信息化系统“从0到1”的过程中就要让安全公司参与,让信息化系统的架构具备安全能力,这时你的业务才安全。实际上,我们这样的成功客户已经非常多,而且这个理论不是我们自己发明的,是我们在服务客户的实践中总结出来的。我们跟客户之间叫互相促进。因为客户是我们最好的老师,它有复杂的业务场景,它有它的要求,它面临的状况它也自己最清楚,所以我们应该说是互相促进、互相成长的过程。
齐向东:根据今年初人力资源部做的数据统计,研发人员占比 44%,技术人员占比 18%,安全服务人员占比 11%,从事安全业务的人数超过了 4000人。
关于上市,你们应该能在北京证监局的网站上看到,我们已经开始接受北京证监局的辅导,应该很快会申报上科创板。
另附齐向东的演讲全文:
世界正迎来百年一遇的大变局。以互联网、5G、人工智能技术的发展与普及为代表的第四次工业革命的浪潮,把我们带入了物联网的时代。结合今年的主题,我今天的演讲分为三个关键词:进化、内生和聚合。
第一部分,说进化。
首先,我们的环境经历了从 I 到 C 的演化。过去,我们讨论网络安全,其实说的是互联网安全(Internet Security),但现在网络安全的内涵和外延不断扩大,向网络空间安全(Cyber Security)全面升级。
在互联网时代,我们主要防止数据被破坏、被泄漏和网络瘫痪;在网络空间安全时代,安全目标是包含设施、数据、用户、操作在内整个网络空间的系统安全。攻击物联网,就等于攻击物理世界。自动驾驶汽车被攻击,可能导致车毁人亡;电站被攻击,可能导致灾难性事故。
伴随着从I到C的全面演进,我们必须从更高的维度、更广的视角来审视网络安全问题。因为在物联网的时代,我们除了要关注信息安全,更要思考如何保障关键信息基础设施和众多物联网设备的运行安全。
其次,我们面对的客户正经历从 C 到 B 的变化。互联网时代,网络攻击的目标主要是个人,安全公司服务的客户也是个人。我还记得,2005年左右,流氓软件成灾,受影响最严重的是记者、大学教授等社会高知识阶层。因为工作需要,他们每天要访问互联网,接触很多新创办的陌生网站。在这个过程中,他们不断中招流氓软件。有位记者给我看他的电脑,中了十几款流氓软件,开机要半个小时,开机后鼠标还不能正常工作。所以,在TO C的时代,我们解决的是网民上网的安全问题。
在物联网的时代,网络攻击的目标升级到了政府、企业等机构和组织,以达到破坏社会稳定的目的。比如今年5月,黑客入侵并控制了美国巴尔的摩市政府的1万台电脑,系统持续瘫痪了三周,政府公务员无法访问电子邮件帐户,普通市民无法使用基本的市政服务。所以,安全公司服务的客户也变成了政府和企业,维护政府和企业的安全直接关系到社会稳定和国家安全。
在变化的安全形势下,整个社会的安全观也在变化。回顾过去五年的历程,我们的安全观经历了从外到内的进化。
五年以前,首先要改变的安全观是重视。当时,爆发了“心脏滴血”漏洞、微软XP停服等影响深远的网络安全事件,当时整个社会的网络安全意识非常淡薄,在安全上的投入非常少。我们意识到,一个正确的安全观是确保安全的第一步,所以我强调“安全第一”。
四年前,安全观从重视向看见进化。随着众多信息泄露事件的不断爆发,网络变得越来越看不清、摸不透。如果连敌人在哪里,要干什么都看不清楚,谈何安全?雁过留声、水过留痕,我在 2015 年提出了“数据驱动安全”,用数据来检测和发现威胁,用大数据做到看得见、看得清网络攻击。仅仅看见还不够,就像一个人如果手无寸铁,只能眼睁睁看着罪犯明火执仗,所以 2016 年我又提出“协同联动”, 动员全社会的力量,通过协同来构筑安全防线,提升安全能力。
两年前,安全观的视角从外部向内部进化。因为信息化与安全系统是剥离的,所以看见的只是局部而不是全部,能“看见”边界的、外部的威胁,而看不见内部业务系统的状况。因此,2017年我提出“人是安全的尺度”,开始触及网络安全的本质,强调人对网络安全起着决定性作用;2018年我提出的“安全从0开始”,则是呼吁客户不能仅仅依赖于创可贴式的安全产品和服务,要在信息化系统从0到1的建设过程中就开始考虑安全。
今年,我们提出了“内生安全”。我们通过实践发现,安全能力必须在内部的业务系统上构建,才能真正解决客户的业务安全问题。
第二部分,再说“内生”。
对于内生安全,在学术界有很多看法。有观点认为,内生安全,指依靠网络自身构造因素产生的安全功效;还有观点认为,内生安全是通过增强计算机系统、网络设备内部的安全防范能力,使攻击根本不可能发生。
以往微软和因特尔组成的Wintel联盟,就是内生安全的一种。今天中国电子CEC打造的由飞腾(Phytium)CPU+麒麟(Kylin)操作系统组成的 “PK体系”,也是内生安全,芮晓武董事长把它称为本质安全。沈昌祥院士十年如一日推动的可信计算、邬江兴院士十年磨一剑研制的拟态防御,孙优贤院士建立的全生命周期工业系统控制体系,也都是内生安全。
我今天说的是攻防过程中的内生安全。我们服务的众多重要客户,他们当中有政府、银行和大型企业,大家普遍关心,如何不断从信息化系统内生长出一种安全能力,随业务的增长而持续提升,持续保证业务安全。
内生安全能力应该具有自适应、自主、自生长三个特点。
第一,内生安全的自适应特点,很像一个强壮的免疫系统。我们都知道,人体的免疫系统是在人体战场上构筑的坚不可摧的防病抗病体系,免疫力是最好的医生,是防卫病毒入侵最有效的武器。
自适应的内生安全系统,有“一方有难、八方支援”的免疫功能。比如,有细菌进入到人体后,免疫系统会指挥吞噬细胞和它作斗争,如果没把它消灭掉,多种类型的淋巴细胞会来支援。在自适应的内生安全里,当有网络攻击到系统内的时候,它会根据预先设定的方案,启动终端和服务器的防护措施,甚至采取隔离等极端措施;为防止攻击蔓延和降低损失,还会自动通知防火墙、交换机、路由器等边界、网络安全设备进行反击。与此同时,调整相应业务系统的授权,严格限制对敏感数据的操作。终端、网络和业务的联合抗击行动,很像免疫功能。
自适应的内生安全系统,有 “明察秋毫、防微杜渐”的告警免疫功能。当人体不能实时消灭病毒达到健康平衡的时候,免疫系统就会通过过敏、头晕、耳鸣、疼痛等身体不适症状进行告警,强制人通过多休息来减少能量消耗,为它对抗外来病毒提供帮助。在自适应的内生安全里,网络安全态势感知就是类似的告警系统。
自适应的内生安全系统,有“不惜一切代价,消灭入侵之敌”的免疫功能。“休克疗法”是社会管理和经济管理学中向免疫系统学习的典范,免疫系统在极端失衡时,它会通过让人体高烧、昏迷等极端休克措施,来对抗入侵的病毒,直至把病毒杀死。在自适应的内生安全系统里,认为人、设备、账号始终处于零信任的环境,因此需要进行持续信任评估。当系统判断一个设备的安全风险很高,就会自动降低对这个设备的授权,直至取消授权;当系统发现在遭受大面积攻击时,会自动关闭掉不重要的业务系统,而集中资源来进行应急响应,直至恢复到安全的状态。
总结起来,内生安全的自适应就是指信息化系统具有针对一般性网络攻击自我发现、自我修复、自我平衡的能力;具有针对大型网络攻击自动预测、自动告警和应急响应的能力;具有应对极端网络灾难、保证关键业务不中断的能力。
第二,内生安全的自主性特点,很像“我的安全我做主”。换句话说,安全是买不来的,如果只依靠购买外部的安全能力,而没有自主的安全能力,是不能解决安全问题的。因为在业务安全第一的时代,每一个客户的业务和支撑业务的网络都是不同的,它们的薄弱环节是不同的,应对网络攻击的方法和手段也是不同的。尤其多数APT攻击都是通过模拟正常业务行为,来实现对业务的破坏,完全依靠外部的安全能力很难区分一个业务行为是否正常。
比如一个女孩儿,她的安全手册里肯定有很重要的一条是深夜不能独自去偏僻的地方;一位富翁的安全手册里应该会有一条是对自己的住所加强保卫;一个小朋友的安全手册里肯定会强调不能独自出门、过马路。同样的,每个组织的安全手册也一定是不同的,必须针对自己的业务特性,立足于自己的安全需求,建设自主的安全能力。
只有外生的安全大数据,解决不了内部的安全问题。我们说,数据驱动安全 ,是指业务场景的数据是安全能力的驱动力。就像一个人疑似得了流感,必须去医院做检查,通过抽血等手段,掌握有针对性的、精细化的内生数据,才能确切知道问题出在哪儿,如果医生只参考咳嗽、头晕等流感症状这样的外生数据,这个病是没法治的。要了解核电站的安全情况,必须对核电站正常运行时期、非正常运行时期、不同内外部环境下、不同业务指令下的数据足够了解。
安全大脑的作用不能被泛化地夸大。如果人只有大脑这一个器官,连生活都不能自理。和业务系统相结合的是安全内脑,来自外部的情报是安全外脑。从哲学上说,内因是第一位的,外因是第二位的,外因必须通过内因起作用。所以,空有泛化的安全大脑不能解决安全问题,而这个具化的安全内脑就是内生安全的自主能力。
第三,内生安全的自成长特点,就像“魔高一尺道高一丈”。指的是对安全能力动态提升的要求。因为当信息化系统和安全系统升级换代的时候,业务系统流程再造的时候,安全能力应该能动态提升,它的核心是人的进步和成长。
对一个组织来说,尽管遭受网络攻击的手段难以预测,但我们还是可以尽量多地穷举,比如通过网络风暴演习、渗透测试等手段,不断去发现问题、解决问题,让网络安全人才在网络攻防的对抗中成长起来。不断成长的人才队伍,才能满足系统自成长的内生安全需要。
就像一个拳击手,需要不断地与不同的拳击手对打,才有可能成长为一代拳王。还有,历史上任何强大的军队,都是在战争中成长起来的。现在,我们面临网络战的威胁,不经过锤炼是不可能成为强军的。
第三部分,最后说聚合。
聚合是实现内生安全的手段。前面讲到我们期望内生出的安全能力,能和人体的免疫系统一样,力量足够强大、应变足够灵敏。
人体的免疫系统是天生的,依靠这套与生俱来的生理功能,人体能识别“自己”和“非己”,抵抗或防止病毒感染与入侵。
而之前的网络安全防护都是外生的,立足于边界防护,就像是给人戴上了口罩,极其脆弱。现在安全要做出改变,从外生安全变成内生安全。
如何内生?靠聚合。前面我谈到,内生安全的三个能力,是自适应、自主和自生长,它们靠聚合产生:信息化系统和安全系统的聚合,产生自适应安全能力;业务数据和安全数据的聚合,产生自主安全能力;IT人才和安全人才的聚合,产生自成长的安全能力。
第一个聚合,是信息化系统与安全系统的聚合。
要实现自适应,需要把信息化系统与安全系统聚合起来。这种聚合需要信息化系统把网、云、数据、应用、端分层解耦,以便把安全能力插入其中;为了让安全能识别业务,还需要把接口、协议、数据标准化,即便异构也能兼容。
这种聚合要求安全系统也要解耦,把安全能力资源化、目录化,通过标准接口进行协同,实现这种聚合,安全能力就融入到了业务系统的各环节之中,就好比业务系统内生出了一种安全能力。
这种聚合拉通了网络控制系统和业务控制系统,当网络检测到攻击,业务控制系统会自动收紧安全访问控制权限;当业务检测出异常,网络会自动采取措施来严防死守。
我们在某大型部委的大数据体系试点建设中,就实现了这种聚合,网、云、大数据、安全等多个厂商共同解决了数据分离、认证、应用、交换等各类业务场景问题。
第二个聚合,是业务数据和安全数据的聚合。
数据既是业务的核心,也是解决安全问题的核心。以往安全关注的是网络运行数据,但要建立自主的内生安全,还必须关注相关的业务数据。这些业务数据包括业务元数据、业务访问行为数据等。
网络安全数据,像流量数据、终端数据、漏洞数据、系统日志等,更多的用以描述网络行为。但在攻防对抗中,攻击者都会隐藏、伪装网络行为。
只有把业务数据和网络数据聚合起来,将网络威胁与业务异常结合起来进行分析,才能更准确地发现攻击者。
聚合这两种数据,我们需要建立起业务与安全统一的实体关系数据模型,把不同的数据聚合成一个完整的安全数据视图,通过检索、AI及更广泛的知识来发现隐藏在多层关系背后的安全问题。这里解释一下“实体关系”,“实体”是指客观的对象,如身份账号、IP、域名、URL、证书等,“关系”是表示对象和对象之间的联系、事件、行为。
在实际的应用中,把零信任体系和用户实体行为分析结合起来的数据安全管控平台,就是很好的例子。在这个案例中网络攻防数据、身份数据、业务访问行为数据,甚至物理环境的数据都会成为数据聚合的关键,从而不仅能够感知网络层面的威胁,而且能感知数据滥用与泄漏窃取。
第三个聚合,是IT人才和安全人才的聚合。
网络安全体系中,人是不可或缺的角色。在一个具体的安全业务场景中,我们既需要懂金融、工业等专业知识的IT人才,也需要具备打补丁、配置安全策略等专业能力的安全人才。只有聚合起IT人才和安全人才,才能真正让安全运转起来。
在军事中,有一个重要的原则是为了达到总的战役目标,各军种、兵种和专业兵分队必须聚合起来,实施协调一致的行动。
再比如,以某个大型实网攻防演习为例,需要汇聚组织方、攻击方和防守方三支队伍,才能完成对系统安全性和运维保障有效性的检验。在这样的演习中,防守队的组成,并不仅仅由目标系统运营单位独立承担,而是由系统运营单位、攻防专家、安全厂商、软件开发商、网络运维队伍、云提供商等多方人才聚合组成的防守队伍。
所以,企业与组织在建设自身安全体系时,不能只想到技术体系的IT人才建设,安全人才的投资建设也非常关键。在规划阶段,提前进行安全人才储备,将IT人才和安全人才聚合起来,是后续安全发展的根基。
概括地说,我们提出的“内生安全 聚合应变”,就是为安全而生,应安全而变,通过信息化系统和安全系统的聚合、业务数据和安全数据的聚合、IT人才和安全人才的聚合,点聚为线再合为面,建设属于自己的安全能力,达到自适应、自主、自成长。
雷锋网注:另有相关链接360 进军企业安全业务|周鸿祎演讲全文。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。