📖 ZKIZ Archives

周鴻祎：網絡威脅面前沒有幸存者，協同是出路

周鴻祎 2016-08-16 14:57

i黑馬訊 8月16日消息，第四屆中國互聯網安全大會在京召開，360公司創始人、董事長兼CEO周鴻祎做了主題為《協同，網絡空間安全的出路》演講。

以下為周鴻祎演講全文：

ISC（中國互聯網安全大會）到今年已經是第四屆了，過去的三屆安全大會，2013年，我講了安全的邊界需要重新定義，判斷隨著移動設備和雲計算的普及，傳統的安全邊界被打破，需要重新定義；

2014年，我講的是萬物互聯時代的安全，認為隨著IOT的普及，我們將迎來萬物互聯安全時代，數據的安全將成為挑戰；

2015年，我講的是看得見的安全，強調在數據驅動安全時代，看見威脅成為安全最重要的一種能力。

現在回頭來看看，這3個技術趨勢都已經成為了現在的行業共識。

過去我更多的從技術角度講安全，這是一種術；今天的安全不能單純的依靠技術，所以今天我希望講幾個故事，從道的層面，講講安全的協同和合作。

政府與企業的協同

第一個是政府與企業的協同故事：

今年是美國總統大選年，總統大選一直是美國大事件，美國人寫美國史一般都是以美國總統大選為主線。這次希拉里所在的民主黨的郵件泄露事件是一個大事件，郵件泄露後曝出的各種醜聞讓希拉里和民主黨很被動，如果最終影響了美國總統大選結果，這對美國和世界都將產生重大影響，所以郵件泄露事件有可能成為載入歷史史冊的大事件。

有關郵件是如何泄露的有各種說法。

一是希拉里自己不嚴謹，曾經使用自己的個人郵箱，這種基於公有系統的郵箱都基於相同的架構和體系，很容易被攻擊，所以郵件泄露不是小概率事件；

二是黑客組織有目的的攻擊造成了郵件泄露造成了最後的後果。

奧巴馬在7月26日發布了一個總統令：PPD-41，建立美國國家網絡攻擊指揮響應鏈。這個總統令中最值得關註的是以附件的形式專門發布了《美國網絡事故協同方案》，制定了政府對網絡事件調查、預防和處置響應的協同原則。明確了政府各部門在網絡安全事件響應的分工和責任，以及響應流程。

總統令規定：首先針對事件成立網絡響應小組，由總統特別助理兼網絡安全協調員；美國司法部直接負責指揮響應針對美國的網絡威脅；國土安全部將按要求立即幫助機構和企業平息網絡或“資產”威脅；政府在網絡事件處理中和民間機構、企業和公眾進行互動和協同。

奧巴馬之所以發布這個總統令，是因為在安全事件處置中需要提高處置的速度，任何一方單獨做都沒有辦法做到很高的效率，任何一方占有的能力和情報都是比較片面的，只有大家一起協同起來才有可能做到更高的效率。

從這個總統令可以看出美國對於政府在網絡安全中的定位和在網絡安全中扮演的重要角色，同時政府應起到一個協調者的作用，通過政府領導和指揮，協同企業等民間安全能力，共同應對網絡威脅。

今天我們國家對網絡安全很重視，當網絡遭遇境內外有組織的攻擊時，應該向美國學習，政府不能只考慮政府部門的能力，也應該把民間的公司、企業、安全企業、科研院所甚至很多個人力量融合進來，才能更好地解決安全問題，所以政府應成為協同國家和民間安全力量的領導者。

在這里我提出三個呼籲：

第一希望政府能重視在網絡安全數據和能力方面與民營企業的合作，在網絡安全中政府起到一個領導者和指揮者的作用，融合政府、國企、民營企業的能力和數據，提升國家網絡安全能力。

第二希望政府大力扶植和重視民營企業，把整個安全產業鏈條都做好做精，形成良性競爭，形成共同目標，更好的保護網絡安全、保護國家安全。

第三希望政府積極推動網絡安全領域的軍民融合，國家在國防裝備發展中大力推進軍民融合。雷神公司是美國的網絡安全國防承包商，它就是一家民營公司，這個公司先後收購了WEBsense 、黑鳥等多家公司，它的安全能力強了，美國國防網絡安全水平自然就會提高。在這點上美國模式很值得我們學習，在網絡安全領域推進軍民融合。

企業與企業的協同

第二故事是有關企業間的協同。

近年來網絡威脅越來越靠近錢，無論是網絡詐騙、勒索軟件還是今年以來連續發生的黑客攻擊銀行事件，目標都直接指向了錢。

今年2月5日，孟加拉國央行被黑客攻擊導致8100萬美元被竊取。

在這個事件中，攻擊者獲取了孟加拉國央行SWIFT跨行交易系統的操作權限，利用惡意軟件篡改了SWIFT報文，向孟加拉央行在紐約的聯邦儲備銀行發出了35筆轉賬申請、總價值9.51億美元，其中雖然被拒絕了30筆；但仍有4筆金額共8,100萬美元轉到菲律賓。

這是一個沒有協同的案例，第一我們通過溯源發現在2013年索納莉就曾經發生過類似的攻擊，而且在孟加拉國央行發生SWIFT案件後，越南先鋒銀行、厄瓜多爾銀行等多家銀行也先後遭受到了類似的攻擊。

這個事件全世界都很關註。銀行被攻擊丟失錢是個問題，最重要的引發公眾對銀行的信任危機，這有可能引發全社會恐慌，造成擠兌等嚴重的社會和經濟危機。

但是如果在13年索納莉銀行第一次發生SWIFT攻擊時就能通過威脅情報共享讓其他銀行有所防範，就不會造成後來的巨大損失。

但所幸運的是，在孟加拉央行攻擊事件曝光後，我們國內的幾個銀行客戶馬上向我們咨詢，希望了解這個事件的真相，大家都很擔心類似的攻擊發生在自己身上。

360在自己的威脅情報系統，也結合了其他合作夥伴的威脅情報，引入國內的多家銀行的業務專家參與，了解了攻擊手法、攻擊使用的惡意軟件和攻擊目標和流程，成功對這個事件進行了溯源，讓我們客戶避免了攻擊和損失。

在這個故事中，由於沒有銀行間的威脅情報共享和安全企業的協同，一家銀行的問題變成了多家銀行共同的問題，其他銀行也遭受了損失。

而另一方面，在事件排查過程中，因為協同將整個事件很清楚地進行了溯源。這是一個沒有企業間協同造成損失的故事，我再講一個因為協同能夠避免被攻擊的故事。

在美國有一個抗DDoS的聯盟服務叫UTRS，這是一個基於信任的基礎網絡攻擊流量清洗協同聯盟，聯盟中目前有140多家全球知名的安全機構、運營商、互聯網企業和大學等，360也是UTRS組織成員。組織中所有機構的網絡路由器都配置了相應的規則，一旦哪家機構遭遇了DDoS攻擊，該機構的路由器就會將被攻擊的IP通過UTRS廣播到UTRS組織中的每一家機構的路由器,實時協同動作，對攻擊流量IP本地屏蔽，進行所謂近源清洗，從而減輕骨幹網絡以及被攻擊目標的壓力，這是對抗DDoS攻擊的全球協同。

通過這兩個故事，我們可以看到企業間的協同對於安全的重要性，這不僅指安全企業間的協同，還有安全企業與客戶之間的協同，以及企業客戶與企業客戶之間的協同合作。

所以我們希望客戶在遭受網絡攻擊時，不要羞於披露，應該及時分享出來，避免其他企業遭受類似的攻擊；安全企業之間也應該打破門戶之見，相互協同，共同提高網絡安全防禦能力和水平，因為，網絡威脅面前沒有幸存者！

360在國內擁有最大的百萬級企業客戶群，我們希望在客戶與客戶之間創造一種合作機制，建立一個基於威脅情報共享的協同體系，誰被攻擊了，發現了攻擊者用了什麽樣本，都應該共享出去，讓其他客戶馬上響應和處置，不要讓更多企業成為犧牲品。網絡安全不應有旁觀者！

安全產品的數據和能力協同

講了很多協同的故事，那到底協同能不能夠在技術和產品層面落地呢？大家如果還記得，去年我講的是看得見的安全，是用大數據方法解決安全問題，但實際數據是基礎，有了數據產生了威脅情報，再加上安全專家和產品體系，才能實現一個完整的防禦體系。

360公司已經和多個合作夥伴共同建立了一套完整的協同防禦體系，這是一個在威脅情報驅動下的預測、檢測、響應、溯源一體化的安全協同防禦體系。

舉個例子：

某政府機構部署了這套協同防禦體系，有一天他們系統中的一個終端異常請求被防火墻攔截了，防火墻將異常攔截數據上傳到了威脅情報中心，生成了威脅情報；

威脅情報中心將這個威脅情報下發到了所有的安全設備中，所有安全設備馬上進行了排查，並將排查信息和相關日誌匯集到了NG SOC系統，安全人員通過NG SOC的可視化系統對這個異常進行了分析，發現是一起利用惡意軟件的攻擊行為，並完成了整個事件的溯源。

溯源後制定了響應規則，再下發到了終端安全設備和下一代防火墻，所有設備協同聯動阻斷了這起攻擊。

目前360在威脅情報和基於威脅情報的產品協同方面已經形成了成熟體系和方法，我們也希望將相關情報和能力與同行分享，其他安全廠商的設備將來也可以協同使用360的威脅情報。

360推出威脅情報共享工程

那作為全球最大的安全公司之一、中國最大的互聯網安全公司，360是目前中國為數不多的有能力建立數據和威脅情報共享體系的公司。

為了更好的解決網絡安全、國家安全問題，我們決定率先走一步，推出360威脅情報共享工程，陸續開放自己的數據和能力，今天首先開放的是360全球網絡掃描實時監測系統，在這個系統中，可以實時了解全網惡意掃描源，然後對這些惡意掃描源封堵處置，降低系統被攻擊的概念。

10年前360開創了免費安全模式，不是為了搶市場，而是為了降低安全軟件使用門檻，讓整個互聯網安全環境更好，極大地促進了中國互聯網產業的發展。

正是在360免費安全理念的帶動下，中國成為全世界第一的，全民享有免費安全和免費殺毒服務的互聯網大國，也是世界上惡意軟件感染率最低的國家。

微軟2015年全球安全感知報告顯示，惡意軟件感染數量指標，中國連續第三年蟬聯全球最低，全球指標為16.9，中國僅為2.6。

今天，我們在企業安全市場開放我們的有價值安全數據，是為了讓安全產業基礎更好，共同提升國家網絡安全能力和水平。

只有協同，才能形成安全的洪荒之力。

文章評論

匿名用戶

發布

全部評論：10

發布