360集团首席安全官杜跃在经济观察报主办的2021数字化转型与创新峰会中表示,我们数字时代面临的安全危险,就是安全挑战急速地扩张到很多很多的新领域,在没有准备好的情况下,就像打开了潘多拉的魔盒。这里面也孕育着机会,这个机会就是安全正在被重新定义。赢得未来的数字安全,需要懂大数据技术、有人工智能技术、懂安全和业务;适应数字时代需要的基本能力是快速,更有效,更开放地学习能力;持续创新的能力;调整适应的能力。杜跃进认为,适应这个时代,必须是大范围开放协同创新的方式来实现持续创新。
以下是演讲内容精选:
大家好,我今天汇报的题目叫《数字安全的觉醒时代》。从2020年上次参加这个峰会到现在2021年的年底,我们到底看到了什么,首先我还是非常想跟大家分享一下去年在经济观察报的峰会上面我的演讲,去年我的题目叫做《数字时代的安全危机》,特别讲了我们数字时代面临的安全危险,用一句话来讲就是安全挑战急速地扩张到很多很多的新领域,完全没有准备好,所以叫做潘多拉的盒子被打开了。危机里面同时孕育着机会,这个机会就是安全正在被重新定义。所以我们有可能找到很多全新的方法,同时安全将逐渐成为全社会各个行业,各个企业,各个国家的刚需和竞争力。在此分享我对如何赢得未来数字时代安全的几个关键的钥匙。
第一把钥匙,我们认为在数字时代的安全,它是要融入业务的安全。实现协同的能力,有几个关键词,第一是融入业务,第二是要能够实现协同,第三是非常关键的,是一个能力的体系。
第二把钥匙,是在这个能力体系里面是有一个核心的,这个核心就是安全大脑,安全大脑用最精简的话来定义就是实现大连接,大数据,大计算和大协同。
第三把钥匙就是安全能力一定需要可衡量,并且要能够持续成长的,要不断地进化,才能实现不断地适应新环境,不断地实现“魔高一尺,道高一丈”。
一年过去了,从2020年,我在这个会议上跟大家汇报的结论,今天看看到底是怎么样了。从去年11月开始,我挑几个影响力非常大的事件简单总结。2020年的12月,爆出了一个巨大的事件,其实是一个供应链的安全问题。在软件世界里,某公司的产品被用在各种行业里面,结果这个产品被爆出来发现漏洞,也就是说通过这个零部件就可以入侵到系统,入侵了多少?到2021年1月份的时候初步调查是美国至少有超过1.8万个非常重要的部门受到这件事情的影响。这是一个典型的供应链的安全问题,在我们不知道用的什么东西里面出了问题,就会引起非常严重而广泛的安全问题。
另外一个事件,今年的5月7号,美国东部的一家燃油输送管道公司,被通过网络来实施攻击,导致业务中断,中断了六天多的时间,,攻击方勒索500万美元。当时相关交通部门宣布进入紧急状态,因为除了油价上升之外,燃油不能供应了,影响是非常重大的。这件事情引起了全世界的轩然大波,我当时接受媒体采访的时候曾表示,第一,美国是全世界网络安全能力最强大的国家,面对这种攻击,美国依然束手无策,对于中国来说是一个非常重要的一个提醒;第二,我当时预言认为,这类攻击马上就会进入爆炸性的增长,而后大家看到这类事情开始非常快的蔓延。美国为了应对这种勒索攻击,在全球成立联盟,专门针对如何打击这种攻击来进行讨论,也没有太好的办法。勒索攻击到目前俨然成为当前特别主要的一种攻击方式。
到了今年的12月,一个核弹级的漏洞被报告了。什么叫核弹级的漏洞?全球有一个标准,就是对一个安全漏洞它的评级的严重程度的标准,这个漏洞的标准被评为最高级,它是什么?它是开元组件里面的一个漏洞,而且是一个影响使用极其广泛的,基础性的开元软件里面被发现了极其严重的漏洞,基础到什么程度?就好像我们所有的人都离不开碳原子,结果碳原子里面没设计好,出了问题了,几乎所有人都受影响。我们几乎所有的网站在黑客面前就是彻底开放了,人家随便干什么,所以这个东西在12月份被曝光之后,很快被发现有人开始在利用它攻击,所以全世界进入到一个极其混乱的,极其狼狈的应对阶段。以上几个举例表明,安全事件的影响,在更大的范围,更大的领域里面,用更深刻的方式发生着。
同时我们还看到了各种各样的应对动作。美国国防部在2020年11月30号开始宣布用五年的时间来落实网络安全的能力成熟度的要求,今年的4月份,美国国防部推出网络安全能力成熟度模型认证,叫CMMC。去年我在这个会议上汇报了关于能力的几个关键字,能力体系,能力的衡量,能力的持续成长。同样,美国的国务院体系,美国的能源部,在今年的7月底的时候,正式发布网络安全能力成熟度模型的2.0版,叫C2M2,他们的核心思想都是一样的,他们在转向网络安全的能力成熟度的概念。
观察欧洲,在去年的12月份,欧洲网络与信息安全局,ENISA,发布国家网络安全能力评估框架,他们在用这个框架对欧盟的各个国家,也对其他国家的网络安全能力进行评估。
我们再来看看中国,恰逢十四五的第一年,今年11月16号,工信部的十四五规划里面,有信息通信行业发展规划,在安全方面提出了四大工程,其中一个叫网络安全智慧大脑工程,从2020年,我们认为安全大脑将成为新一代网络安全能力体系里面的核心,到现在,除了工信部之外,还有很多的部委,很多的行业都开始在启动安全大脑的建设,我们也是看到了这个趋势是正在发生。今年的12月份,中国管理科学学会,评选 2021中国管理年度价值案例,在这个案例里面,排在第一名的是基于成熟度理念的区域网络安全能力评估,这个模型也是我们来做的,其实翻译下来就是城市网络安全能力评估的标准框架。我们看到了这一年发生的安全事件,安全威胁的变化,它是符合我们之前的预期的。我也看到了世界各个不同的地方,不同的领域,大家对安全的未来的走向,有趋向一致的地方,那就是能力,能力成熟度等。在我最经典的定义是,数字时代的安全就是数字安全。
在今年的乌镇互联网大会上面的主题开始,我们国家开始提出数字文明的概念。随后在中国网信办发布材料里面也提到了,提升全民数字素养的问题,从这个时候开始,数字安全,数字文明,数字素养等,就变成热词。我们今年还有很多别的热词,元宇宙等等,它的本质的规律都是一样的,就是我们正在迎来的第四次工业革命后半场给世界带来的变化,是现实世界和虚拟世界的融合。特别是经过了这一次工业革命的20年左右的时间的融合,我们开始对它看到更多的可能性和更多的挑战。
总的结论是,我会把它分成三个阶段,从我们过去说虚拟世界是对现实世界的映射或者是镜像,这是第一个阶段,如何映射的更加深刻,准确,灵敏。第二个阶段,两个世界开始互动,我们其实也已经一定程度上在同时进入到这个阶段,然后我们将会进展到第三个阶段,两个世界会相互增强,由于数字世界,虚拟世界的工作,让我们对现实世界的影响能力增强,反之亦然。
在这个趋势下,对于安全,最大的挑战就是这个融合世界的安全。我们传统讲得网络安全,正在讲的数据安全,正在发生的人工智能安全,正在发生的工业制造,工业互联网,智慧城市,智慧医疗等等,所有的这些各种业务领域的安全,变得全都是互相深度影响,互相不可分割,这个是我们今天说的数字安全,所以并不是某个领域的安全,而是一种融合世界的安全。
在安全领域我们观察到了什么,第一,新领域受到“蓄意破坏”的安全威胁快速增长。 第二,安全大脑被认可和接受了,大家开始逐渐地认识到安全不是只靠安全产品就能保障的,安全是需要用新的东西来保证。第三,能力和能力的成熟度迅速升温,我们国家出了很多的标准,都开始用能力和能力成熟度,刚才也看到很多国家也都在全面转向,因此我有一个大胆的结论,在安全领域里面,能力主义的时代马上就要到来了。最后我们可以看到,数字安全这个概念开始被接受了。
赢得未来数字安全的“密码”
我认为要想赢得数字安全,需要四个最重要的基本功。
第一要懂大数据技术,所有的领域都离不开大数据和数据驱动,在解决未来的数字安全的各种挑战的时候,同样离不开大数据技术。
第二个基本功,要有人工智能技术,大数据是无法用人的肉眼来简单看看就能得到结论的,大数据离不开人工智能技术的支持,我们才能够把大数据里面的价值挖掘出来,我们才能够让大数据帮助我们发现更深层次的威胁,找到更本质的风险,才能有效地应对它。
第三,懂安全,但是这个安全要一分为二,这个安全是两种安全的组合,我在去年的演讲里面也讲过,《牛顿定律》和《孙子兵法》都需要,《牛顿定律》揭示的是自然世界的规律,我们工厂的设备失灵,自然环境的对抗等等,材料的老化等等,这都是属于这个领域的;同时还需要能够应对蓄意破坏,特别是虚拟世界跟现实世界打通之后,来自虚拟世界的看不见,摸不着的人类的蓄意破坏,我们把它叫做社会科学领域的东西,我把它叫做《孙子兵法》领域。当我们在今天讲安全的时候,基本是这两个组合在一起的安全。
第四个基本功是业务,一定要结合到业务才可以,我们所有的安全到最后保障的是业务的安全,所以业务的支持不具备,就不可能做好数字安全。如何拥有这四个基本功,简单说结论的话,要靠生态,没有任何一家公司或者是一家企业同时具备这四项基本功,有些公司可能会具备的多一点,有些公司可能会具备的少一点。
适应数字时代的基本能力
适应数字时代需要三大基本能力,不仅适用于安全行业,对于其他行业也都一样,是我认为比较重要的几个。
第一,需要能力,办法非常快,跨界非常多,变化非常复杂,你能不能够突破自己原来的领域,能不能够更快速,更有效,更开放地学习,这是适应这个数字时代的第一要务,有没有这样的能力。
第二,持续创新的能力,学习的目的是为了适应这个世界,找到新的道路,你能不能学以致用,能不能够创新,并且持续地创新,找到新的方法。
第三个能力是调整适应的能力,我们在未来20到30年到需要不断地调整自己的方式,调整自己的思维,调整自己的业务模式,调整自己的理念等等,你调的很慢,就会被这次工业革命淘汰,你调的很快,这次工业革命可能就会为你带来巨大的机会。
一大关键路径,我认为是适应这个时代最重要的,就是新时代的“举国机制”,只是借用这个词,并不是过去那种方式,它必须是大范围开放协同创新的方式来实现持续创新,来实现更好地调整和适应,更好地尝试新的方案方法。
尝试与实践
过去这一年,我们做了大量的实践,也证明了这条道路应该是正确的,一个案例是从2021年的3月份开始,我们开始策划,发起成立了数字安全公开赛,到今年的12月份,我们成功完成了第一届数字安全公开赛的比赛,我们的收获是非常好的,效果极其显著。我们用了三个国家级的平台,分别来实现这个领域的专业化的组织,这个领域就是我们说的数字安全,专门聚焦数字安全赛道。
我们在今年出了三道,这都是来自真实需求的题目,需要用到人工智能和大数据的,真实的题目。
第一道是人工智能的技术用于我们传统的网络安全领域的对抗。现在的攻击越来越高级,现在我们仅仅360手里掌握的各种各样的攻击的样本有将近300亿条。当发生了一个新的攻击的时候,经常是需要拿它和过去的这些样本做各种各样的分析的,还要快,所以人工智能技术非常重要的。我们在这次题目之一就是用人工智能的技术来辅助我们分析,非常有意思的是,1604支全国的参赛队,分布在31个省都有人参加,1604支参赛队,最后有15支队伍,每个赛题由前5名进入到最后的决赛,得第一名的不是我们的传统方法,这也是说的今天的创新,其他领域的人用了完全不同于我们思维的方法取得了最好的效果,这个效果不是裁判打分出来的,是真实跑出来的。
第二个题目是反诈,反炸是面临着我们和诈骗团伙之间各种各样极其复杂的技术对抗的,其中一个就是对反诈领域里面各种各样变体字的识别,用人工智能的技术来实现。我们这道题也是,前5名效果也是超出预期,这个领域的专家也都是极其佩服地说他们的想法,他们的做法超出原来的想象,开拓思路,非常厉害。
第三道题也是现实中的问题,在工厂,智慧化工厂,数字化工厂里边有各种各样的安全要求,但是你不可能全靠人在那看着,需要用视频分析技术来看,在复杂场景的情况下,背景非常复杂,人也会动,你能不能够识别这种违规行为,这也是现实中真实的题目,我们花了大量的时间来寻找真实的题目,为这些题目准备数据,准备场景。
1604支队伍,来自全国各地,15支队伍进入到决赛,最后得到的结果非常好,而且这里面非常有意思的是70%的参赛队伍都不是计算机专业的,这也是证明了一个跨学科的,这是我们第一届的比赛,我们信心十足,将来会持续做这个比赛,寻找更多真实的问题,建立更多真实的数据、场景、知识,把这个持续开放创新的平台打造的更加深入,吸引全国,甚至是全球更多人参与,这就是适应数字时代安全领域里面的开放协同创新的一条路径。
另一个案例是我们的护航计划。从2020年第一季度开始筹备,到2021年的12月终于完成了第一次的比赛。我们今天用的开元软件,应用于供应链里面,可能有各种各样的问题,如果不被知道和研究,当攻击者利用它的时候,你是没有任何的还手之力的。我们国家在过去这两年来,做了大量的信息技术创新的工作,有数千家厂商正在各种各样的信息化的领域里面推出他们的产品,服务,这些产品,服务,安全性怎么样?我们过去做的工作是不太多的,过去,我们的安全研究人员全都在瞄着全世界最领先的那些国际性企业的产品,去发现他们的安全问题,帮助这些产品和用户修复这些安全问题。可是我们自己反而是重视度不够。我们用两年的时间将挑战赛落地,吸引了全国88支非常专业的长期从事网络安全的队伍来参赛,选择了19支进入到最后最后的审核校验和确认过程中,我们为他们准备了,筹措了300万奖金,因为你必须要把整个生态带动起来,要让大家愿意来做这件事情才行。
这次的效果还是很好的,大家参加都很踊跃。更好的是,我们国内的信息技术创新的厂商开始逐渐认识到安全不是不让别人碰才是安全的,更好的安全,更对用户负责的安全是真正开放出来,让大家帮助自己来找找问题,让大家用开放的协同创新的方式帮助自己不断地提升产品的安全性,所以这次尝试非常可喜,20多家国内的信息技术创新厂商提供了36款的产品,挑战赛的结果是这些厂商非常开心,我们帮助他们找出很多问题,关键是这个生态会形成,会有更多的人帮助他们找问题,让他们安全设计水平越来越高,这是介绍的数字安全的两个协同开放创新的案例。
我今天的汇报就到这里,我们相信,我们未来是需要用安全来确保的,谢谢大家。
观看论坛完整视频,请登陆直播链接:
//www.yunxiqiu.com/autozt/7c6fc2ec-cf66-509b-1227-0779bea73280/
京公网安备 11010802028547号