离中国*的安全漏洞报告平台乌云网“停摆”还不到一个月,每年一届的中国互联网安全大会在国家会议中心开幕,网络安全再度成为热门话题。
8月16上午奇虎360(活动主办方)周鸿祎出现在国家会议中心的会场,如果没有出事,方小顿和他的乌云网很可能也是嘉宾之一。政企关系、白帽子、协同共建,都是这场关于网络安全大会上讨论的焦点。奇虎360董事长周鸿祎本人也在360退市之后,首次进行了公开演讲。
周鸿祎演讲后接受了媒体采访,从乌云网事件谈到网络安全中白帽子的尴尬境地,从360私有化回归谈到中国网络安全大环境的未来趋势。
周鸿祎表示,回归之后的360将很快成为一家内资的公司,也将在安全市场上有更多的动作。
“此次回归,并不是出于资本上的考虑,更主要的是国家安全层面。像360这样体量的公司回归其实风险很大,整个数目接近100亿美金。但作为中国*的网络安全公司,如果是一个有境外资本、在美国上市的公司,对于国家安全来说是没有安全感的。 ”周鸿祎说。
他还透露,360已经在做很多*安全方面的业务,同时也正在和政府公安部门之间进行合作,而为了更好的拿到这些“资质”,成为一家内资公司是必须的。
关于乌云网和国内企业对网络安全的漠视,周鸿祎则多次为白帽子发声,他表示还是希望政策上可以给白帽子一些保护,对于网络安全而言白帽子的存在非常必要。
不管是白帽子还是企业安全意识,都需要新的规则360公司在2005年正式成立,做企业做了十一年,周鸿祎最无奈的还是国内企业对网络安全的漠视。“有时候小网站发现自己有了漏洞,但不涉及金钱等机密交易,就不去修补了。但黑客不一样,网站攻破后他们可以获取用户账号密码,然后再用破获的用户口令批量去攻击别的网站,万一有一个,就成了。”周鸿祎举例说,此前发现了一个高校的漏洞,发布近一年并多次通知对方,但仍没有人认领并进行修补。
接着他谈到,一方面由于国家在网络安全上并没有相关的法规,除了一些特殊部门之外,多数企业并没有规则去规定必须补齐漏洞,即使在攻击还没有发生的时候。另一方面,企业方本身的安全意识也比较淡薄。“不出事就没有事”,这似乎是多数企业默认的一个观点。
模拟攻击尝试发现漏洞,是白帽子常采用的手段,而这大多数发生在企业并不知情的情况下,尽管方法较为灰色,但确实只有模拟攻击才能发现未知的漏洞,而这却也是目前行业内*争议的部分。
同乌云网一样,360也有着自己的漏洞报告平台——补天,不过和其他漏洞平台不同的是,“补天”征集来的漏洞并不进行公开,而是无偿提供给企业。但对于白帽子发现漏洞却被反咬的事情,周鸿祎颇显无奈,“白帽子发现漏洞并不是为了牟利,但这存在一个悖论,尽管他发现漏洞的初心是好意的,但方法却是灰色的,有的企业可能就是接受不了。”
“其实很多企业可以像美国五角大楼那样,用奖金来鼓励白帽子攻击并让他们发现漏洞进行修补。”周鸿祎说道,“最极端的情况是,如果白帽子一直以不合法的身份做事情,那有可能他们会反而转向黑色产业链。”因此,周鸿祎在采访中不断的强调,如果可以从政策上对白帽子进行授权、管理、报备,将这件事合法起来,不管是对企业还是白帽子都是*的解决方式。
安全不是软件和软件斗、电脑和电脑斗,而是人跟人企业的安全意识淡薄的原因还在于,他们对于网络黑客的认识还停留在几年前。“现在的网络安全,早已不是软件和软件斗,也不是电脑和电脑斗,而是人跟人。”周鸿祎强调,买一套软件或者硬件就可以安全的时代已经过去了。
他向记者举例,美国一个著名的反恐机构,其有着多达4000人的数据专家和情报专家团队,在大数据的背后其实是一个个的人力密集型组织。“中国以前的安全市场没有做起来,其实就是不注重安全服务。”周鸿祎认为,比硬件和软件更重要的是安全咨询服务,而这一点,恰好是白帽子们所擅长的。
如果按照“补天”的免费模式来说,白帽子们所可以获得的回报少之又少,那么什么才是白帽子正确的生存方式?周鸿祎表示,从商业模式上来说,白帽子其实是可以收费的,因为他们的行为为企业提供了有价值的信息。同企业签订服务协议,是周鸿祎能想出来的合理方式,他表示,在网络安全上,相比防火墙、硬件软件,白帽子、安全咨询顾问的服务才是企业最终要意识的。
国内安全市场,未来五年可能会有很大的爆发空间要想周鸿祎的设想成真,前提是国内企业真的开始重视网络安全的作用,而观点和意识的改变,往往是最难的。
为了做大市场,周鸿祎决定推出“360威胁情报共享工程”,陆续开放自家的数据和能力。*个被开放的是360全球网络扫描实时监测系统。据了解,在这个系统中,可以实时了解全网恶意扫描源,然后对这些恶意扫描源封堵处置,降低系统被攻击的概念。
周鸿祎表示,开放监测系统的原因在于,如今的网络安全最主要的是“协同”,但是单从一个路由器上来看已经没办法判断是不是网络攻击的源头,现在的网络安全需要从全网的角度来看,需要基于云端的大数据情报。“没有雷达的终端设备就相当于瞎子。”周鸿祎比喻到,但安全行业存在的怪象却是,家家都想做全产业链,互为竞争对手,业务种类大而全,全而不精。
按照周鸿祎的设想,未来每个安全企业都有自己合理的定位,为大数据贡献数据,又分享结果。同时,军民协作,通过政策协同来调动市场化的力量。
在这些判断之下,周鸿祎认为,国家将会在网络安全上进行巨大的投入,服务业也会应运而起,未来五年国内的安全市场可能会有很大的爆发空间。
而目前,360已经做了一些基础工作。比如,在网络安全领域大规模应用人工智能技术,通过深度学习对文件、网址、流量及基础网络数据进行特征识别、风险预警和异常行为分析,推出了DDoS 实时追踪、病毒木马疫情实时监测、钓鱼攻击实时溯源、全网漏洞监测、伪基站追踪等大数据可视化系统。