网络战时代的大安全新说,从瞎子摸象到心明眼亮。
老周变了。
年纪大了,火气小了,曾经的红衣大炮周鸿祎,似乎这几年变得「谦虚、安静」了。这几年,对周鸿祎来说,也是压力增大的几年,网络安全的形势似乎在不断恶化,三年前「想哭」席卷全球,协助抵御了这次攻击的 360,经过调查,给出了一个细思极恐的结论——这是美国网络武器库里废弃的「二流武器」,被「三流毛贼」偷来,写了段「四流的代码」,都已经威力如斯。
结论的背后是一个新的挑战:如果面对真正「一流」的攻击,360 又能做什么?周鸿祎开始认真思考这个问题。网络攻击的核心是对漏洞的攻击,而新的信息化技术,如大数据、云计算、AI 等的应用,让系统变得越来越复杂,进而不可避免地产生系统漏洞,然后不可避免地给网络攻击留下了机会。
「没有攻不破的网络。」这是周鸿祎的看法。在国际市场上,昂贵的漏洞甚至可以卖到上千万美金的高价,而网络战除了是情报战的重要组成,还可以无接触地达到常规军事力量难以达到的现实损失。过去 5 年,360 发现 40 起 APT 攻击(高级持续性威胁),早已上升到国家的层级,而网络安全态势也已经演进到「大安全」时代。
中国在科技上的迅速发展,让智能设备数量的爆炸式增长,中国有 5 亿台电脑,15 亿部手机,未来甚至可能有百亿规模的智能设备,让虚拟世界的网络攻击已经延伸至现实世界的物理伤害,但信息化的进程不会停滞,面对新形势,需要有新的安全策略来应对。
以下是 360 集团董事长兼 CEO 周鸿祎 在 BMW · 极客公园 Rebuild 2019 科技商业峰会上的演讲实录(经极客公园编辑整理):
张鹏:大家好,非常高兴又回到这个舞台,也特别感谢大家,我们两天的大会现在到了最后的尾声,场内还有这么多人在认真地听这些创业者的独立思考。就像昨天说的,极客公园的风格是要把最精彩的内容放在最后,让它们释放最大的光芒。今天我们「鹏友说」的访谈也非常值得期待,因为今天来到现场的是我一位老朋友,有多老呢?我们俩认识 20 多年了。当年他刚刚开始创业的时候和我刚刚开始工作的时候,我们就认识。这 20 年来,我觉得他见证了波澜壮阔,我在过程中也从他身上学到很多东西。极客公园成立早期,他经常来到极客公园现场,推动对产品的思考和创新的思维。这两年他没有怎么来,今天特别高兴,也感谢成都给我这个机会,把他请到我们现场里一起聊聊新的变化。他就是 360 的董事长创始人周鸿祎先生。相信在今天他跟我们的交流中,你会看到他看到的未来,也能够看到一些全新的思考。下面就让我们用热烈的掌声有请周鸿祎。
周鸿祎:刚才我看前一个演讲者讲的载人火箭挺酷的,但是我不知道在座有没有人愿意乘坐一下。
张鹏:周总考验一下你们的胆量,觉得这个东西过去几年到成熟阶段愿意乘坐的举手看一看。
周鸿祎:我觉得最大的风险就是你计划坐着这火箭飞往纽约,还没到美国,就被美国防空部当成导弹给拦截下来了。
张鹏:大家已经感受到了,一般我跟老周聊天的时候他就会反客为主,我还没有问问题,他今天已经问了你们问题。今天虽然是鹏友说,但可能主要是他说。你还记得你上次来大概多长时间?
周鸿祎:不太记得了,很多年了。
张鹏:那个时候还年轻。我们剪了一个小片子,看看你过去在极客公园留下的经典语录和风采。我们看看老周在当年是怎么发光的。(视频)老周留下了那么多精彩。你都忘了,不敢相信你来过这么多次,讲过这么多。
周鸿祎:我不知道还讲过这么多,很多都不记得了。
张鹏:很多人都觉得老周身上自带网红气质,很多人期待每次你出场都有一堆精彩语录。这两年你变化挺大的,变得安静了很多,也没有像原来那样好像总是在发炮,甚至有一些谦虚。这个事背后是有什么东西带来的变化?是不是产生了一些什么样的心理上的变化?
周鸿祎:对,你的这个总结,我自己想了想,大家如果今天是来看我说段子的可能要失望了,我估计一会儿大家要退票了。我觉得这两年,可能也是年纪大了,火气小了一些。
张鹏:这个话好像有人说过。
周鸿祎:也目睹了很多网红企业家的陨落。
张鹏:你太坏了,这是在成都好吧。
周鸿祎:很多人都曾经希望自带流量,希望为自己的产品摇旗呐喊,这没有什么不对。历史证明,做一个网红企业家,精彩段子满天飞是能带来一定的效果,但是不能从根本上解决你产品做得好不好,是不是能做出硬核的黑科技,做网红不是我的目标。
这两年我在业务上做的很多思考。这几年我的心理压力蛮大的。我做网络安全。大家对 360 有一个误解,我们以前做免费杀毒做得比较成功,大家对我们的印象就停留在 360 不就是一个做杀毒的公司吗。
但是实际上,这几年网络安全形势发生了非常大的变化,我们面临了很多的挑战,甚至压力。
我举一个例子,比如三年前勒索病毒 WannaCry 席卷全球,也把中国很多重要的政府单位,把很多企业的网都打穿了,当时就像一场网络战的预演。360 帮助很多单位做了应急处置,很多单位对我们表示感谢。按理说,我们应该得意洋洋。
但是我们对 WannaCry 做了一个分析,是美国国安局泄露的做废的网络武器,被三流毛贼写了四流代码,应用了一下就把我们国内很多网络打穿了,完全是超出想象。所以我就扪心自问,在想一个问题,要是其他国家的网军部队拿一流的武器对我们来一下,我们国家的网络会怎么样。
反过来,再想一下,这么多网络安全公司,这么多年忙着卖东西,忙着把各种各样的防火墙、这个硬件那个软件卖给单位,很多都像买大力丸一样,都说自己的东西多么玄妙,多么固若金汤,结果二流的网络武器都挡不住。
如果有人来问,你周鸿祎天天吹牛,说 360 是中国网络安全第一,你做了一些什么?为什么我们挡不住这些网络攻击。所以这个问题我做了很长时间的思考,我就发现我们不能停留在一些简单的产品和技术层面,兵来将挡、水来土掩。
我们必须系统思考一下,网络安全行业到底在发生什么,为什么有这样的情况。能不能从更高的角度解决网络安全问题。道高一尺魔高一丈,未来进入网络战时代,我们到底能做什么?我们能解决什么问题?这几年我都在思考和解决网络安全下一个五年、十年面临的挑战。
张鹏:你说这个东西好多人新闻上看过,但是没有太现实的感觉。但是我从你刚才说的话里面应该拿出来再讨论一下。你说过去做网络安全,很多时候卖产品,卖防火墙,这个东西并不能解决今天你看到的问题。最主要的原因是什么?因为当年这些防火墙安全软件,用户用完了木马就都拦住了,你现在说的不能解决的问题是怎么一回事?大家可能需要更多了解一下。
周鸿祎:极客公园既然是讲硬核黑科技的地方,我们的听众应该也都是理工科直男。
张鹏:不能只说科技男。
周鸿祎:先不讲大的,先讲一个概念。为什么要让大家对安全重新理解?因为安全已经不是当年杀病毒和木马的时代。在木马和病毒时代,我只要不下一些乱七八糟的软件,不浏览一些不好的网站,我就能保持洁身自好,今天这个观念已经过时了。今天黑客也好,网军部队也好,他能入侵,并不是黑客多牛,也不是他水平多高,而是他掌握了一个只有他知道,全世界其他人都不知道的漏洞,我们称之为 Zereday,或者 0day 漏洞。
漏洞的出现改变了网络攻防的格局。漏洞是怎么产生的呢?我一直觉得「漏洞」这个词翻译得非常不好,大家听到漏洞都觉得是不多大一个事,但是一个系统只要有漏洞就一定会被人利用,被人利用,别人就可以顺利进入系统。
我举一个例子,今天网络攻击上最常见的是钓鱼邮件。邮件里带一个附件,这个附件可以是一个正常的,比如张鹏喜欢美女,我就放一个美女,如果他对美女不感兴趣,我就放一个「XX 基金计划投资极客公园」的邮件,如果是给极客公园的员工,我就发一个极客公园高管薪酬表。我一定会把这封邮件的题目,编得好奇害死猫,邮件的附件也不是病毒,就是一个正常的 PPT、正常的 PDF,正常的图片,打开之后工作一切正常,但这个附件里就有我植入的漏洞。利用这个漏洞,在你打开附件的瞬间,我就可以控制你的电脑。
最近爆出来的几个漏洞非常匪夷所思。很多人以为,U 盘往电脑上插,只要不打开应该就不会中招,但现在已经有一种新的漏洞,你只要把 U 盘插上去,不用打开,通过 U 盘就可以劫持你的电脑。最近还出来一个漏洞,两个电脑之间什么事都不用干,攻击方只要从一台电脑上向另一台电脑发一个通信包,然后那个电脑就被劫持了。
张鹏:用户没有任何察觉。
周鸿祎:漏洞已经成为网络攻击的主要战略资源。无论攻,还是防,都在于你有没有掌握网络漏洞。
你们老觉得黑客很神奇,360 拥有东半球最强的白帽子黑客团队。曾经有领导到我们公司参观,说周鸿祎听说你们公司有很多黑客,能不能出来给我们看看。在很多人的心中,以为黑客就像 Xman 一样,不是三头六臂,就是长着翅膀。后来请我们黑客出来以后,领导看了很失望,都是两个眼睛一个鼻子没有什么特殊。
唯一让领导们惊奇的是,我们很多黑客没有大学文凭,都是自学成才,特别酷爱这个事情。360 的白帽子黑客团队跟全球顶尖水平的黑客相比,我们的能力一点不逊色。
大家经常在新闻上看到,有黑客入侵到了什么网络,有黑客能够攻击哪个地方的电站,实际上他们都是通过「漏洞」。
漏洞怎么产生的呢?两种方式,第一,我们现在用了很多别人的系统,有的国家有预见性,他在系统里预留了一些漏洞,这些漏洞只有放的人知道,别人不知道。这就是为什么我们的网络对于一些国家的网军来说,如入无人之境。第二,随着信息化不断提升,这两年大数据、云计算、人工智能、物联网、移动通信各种各样信息化技术,用得越多,给我们做安全的人带来巨大的压力。系统越复杂,系统越智能,后面都是基于软件,软件越复杂。代码行数就成比例增加。
只要是人就会犯错误,像张鹏你对国家忠诚吗?
张鹏:忠诚啊。
周鸿祎:像你这样对国家忠诚的人去写代码,一千行的代码也会有 8 到 10 个错误,像我这么优秀的程序员,一千行也会有 4 到 6 个错误,这是全球的统计规律。无论什么样的人写代码,无论是不是自主产权、自主技术,代码复杂到一定程度,就有很多错误的存在。
张鹏:这就是概率的问题。
周鸿祎:这些错误被别人利用了就是漏洞。既然系统避免不了漏洞,所有的系统就避免不了攻击,这是经过这几年的分析,我们总结出的一个结论。认识到挑战,认识到问题是我们解决问题的开始。不能自我麻痹,自我欺骗。告诉大家说我们的网络固若金汤,我们的网络坚不可摧那才是害人。我们得出一个结论「没有攻不破的网络」。我们曾经把美国网军司令请过来交流,他也很同意这个观点,他们认为世界上只有两种网络攻击,一种被攻击了,你知道,另一种是被攻击了,你不知道。
张鹏:都是有可能被攻击。
周鸿祎:举一个漏洞的例子大家就可以想象。为什么今天网络上很多东西非常的脆弱,就是因为有大量的漏洞。而且这些漏洞很难修补。
很多人觉得 360 为了挣钱,天天恐吓你们赶快打补丁,很多人天天打补丁也不知道自己为什么打补丁,其实打补丁是为了修补已知的漏洞,修补已知的漏洞不能防止别人用新的漏洞攻击,至少小毛贼再用已有的漏洞攻击就可以拦截。为什么大家要及时修补电脑上的漏洞,就是因为漏洞是别人进来的唯一途径。
张鹏:人们对原来定义的网络安全可能是不够的,因为那个是一种静态的防御,只知道已知的漏洞,但是面对的必然有新的漏洞,未来必然可能会越来越复杂,这个时候就需要用一些新的方式做思考。我觉得你有这个感觉一定是看到了一些我们可能没有看到的东西,就刚才你说的这个东西我们在逻辑上理解了,你可以分享一点具体的吗?
周鸿祎:我给大家讲一个例子。前几个月委内瑞拉的电站遭到了攻击,这个事情到现在还不知道是谁干的,委内瑞拉政府也没有请我去帮他们分析。
不过,几年前我们研究了乌克兰某个电站被攻击的事件,并且复现了整个攻击过程。那个攻击很简单,利用一系列漏洞,先写一封钓鱼邮件给乌克兰电站的员工,编造的内容就是乌克兰最新的征兵名单,员工肯定会打开看看名单里有没有自己。有人打开之后,就可以利用漏洞把办公网劫持了,然后再渗透到工业控制网,然后利用电站内部可编程控制器的漏洞,最后直接远程把电站关掉。
今天利用网络攻击,可以不用再出动轰炸机扔炸弹,就可以造成大面积的停电。在未来的世界,提到网络安全已经不是杀杀小病毒,对付一些小木马,拦截一两个诈骗短信,这都是小儿科。
在网络战时代,我们面对的对手已经变成其他国家的网军,这个级别的对手。我们要应对的是国家之间的网络战。
我提网络战,很多人会觉得我像一个战争贩子,但实际上网络战跟传统战争相比,发生的概率大得多。网络战不分战时和平时,因为网络战没有宣战的时候。今天网络战其实时时刻刻都在发生。通过网络攻击,让一个国家网络崩溃,这只是网络战最明显的一个表现形式,今天的网络战,更多的形式是在你的网络里潜伏好几年,等待一个时机,突然把你的网络弄瘫痪。
张鹏:先做渗透。
周鸿祎:网络战很关键就是渗透。今天的网络战承担一个很重要的职责,就是情报。今天得情报战已经不止是收买间谍,潜入办公室去拍照了,都是通过网络攻击的方式入侵一切重要人物的电脑获取文件。
我们中国人在这方面吃了很多亏,我们很大度,很隐忍。很多国家老是攻击中国公司如何,华为公司如何。在过去五年里,360 是中国唯一一家,在全球也是最多的发现 APT 攻击的公司,我们一共发现起了 40 起。
APT 攻击就是持续高级威胁。就是国家级情报机构和网络战部队给另外一个国家发起的渗透和情报的窃取。
所以说,没有什么岁月静好,而是很多人在你看不见的地方做工作。很不客气的讲,在中国周边的国家里,很多国家都对我们国家做过网络攻击,比如去年,印度一个网络公司对我们的攻击频度比原来高了几十倍。印度人技术比我们差,被我们追踪到了,并且溯源,这家公司在新德里什么地方,什么人都查到了。
张鹏:黑客世界里面,被真名实姓抓出来是大失败。
周鸿祎:我们已经不止是在杀毒,反流氓软件,也不是抓几个小毛贼。今天真正让我们有压力,有思考的是,网络时代已经进入了「大安全」时代,或者网络战时代。我们要考虑面临的对手是其他国家的网军,是国家级的黑客。他们用的很多漏洞从来没有见过,攻击模式也从来没有见过,你不知道他什么时候发生攻击。他进来的整个过程你压根儿就看不见,在这种情况下,如何打赢网络战,这对于 360 这样的网络安全公司,是非常大的责任和压力。
张鹏:这个事我觉得我们基本听明白了。刚才你讲了这几个例子,我印象很深。不过老周都很实诚,保护老周,大家尽量不扩散,你们掌握就好。我做了一些研究,关于网络安全这个市场,非常奇特。有一些数据显示,中国的网络安全市场,可能是传统定义的安全市场,它的量很小。而美国则是反过来,网络安全市场的量大很多。这个事情说明什么问题,或者中国未来要解决这样的问题时会产生哪一些必然性,会有什么连锁反应发生?
周鸿祎:中国在信息化投入上比其他国家低,我们在网络安全方面投入也不足,我们络安全公司也不争气。很多网络安全产品就像卖保健品,吃下去不会死人,但不知道有没有效,很难评判这个价值到底多大。原来的网络安全对付的是病毒,心怀不满的内贼或者其他的商业间谍,这都是小毛贼,大家在安全上并没有特别的重视。
习总书记说,没有网络安全就没有国家安全,很多人不理解。我们在网络安全的第一线,跟我们交手的十几个国家,我们跟他们的网军都有交手。我们在安全上不能找到真正解决问题的方法,未来在网络战时代会吃很大的亏。
未来网络战的一个很重要趋势就是攻守不平衡。会场有人讲 VR,IOT,智慧城市,产业互联网,工业 4.0,随着科技的发展,物联上设备越来越多,物联网设备到中国 2025 年有几百亿,到 2030 年中国有上千亿设备。
张鹏:上千亿台?
周鸿祎:对,远远超过今天手机和电脑的数量。就拿智能家居来说,你们家里面有上百个设备都联网了,以后该联的都联了,以后甚至城市每个路灯和垃圾盖都联网了,数字化以后给大家带来美好幸福生活的同时,给大家带来一个问题,每个智能设备里面都有一个小的操作系统,都可以联网,都有漏洞,都会成为被攻击的样本。
三年前,美国东海岸发生了一次断网事件。当时中国出产的摄像头有 30 万台被劫持,把美国东海岸的网络搞瘫痪了,当时正是美国大选期间,美国情报局很紧张,他们觉得不是俄罗斯就是中国破坏美国大选。
那次 360 提前预警了这次网络攻击事件,美国方面就找到了我们,我们要消除对方的误解。最后,我们配合他们抓住攻击的源头,是美国两个大学生,还有欧洲的一个黑客,那个黑客现在还没有抓到。这件事情给我们全球所有安全公司上了一课,物联网不出事则已,一出事将比电脑上发起的攻击伤害增加很多倍。
当你们描绘未来物联网世界,大家可以想一想,今天我们盯着中国 5 亿部电脑,15 亿部手机,还天天琢磨敌人从哪里攻击。未来我们能不能盯着中国 500 亿个设备,说哪个地方装杀毒软件,哪个地方加防火墙,这样肯定会崩溃。
物联网最大的贡献就是把虚拟世界和物理世界连接在一起,带来的好处就不说了,带来最大的挑战就是过去的网络攻击就是丢掉数据,有的人给老板交不出数据,就说我昨晚电脑中病毒。病毒就是最常见的罪魁祸首。今天有了物联网,所有网络虚拟空间的攻击都会变成物理世界的伤害。今天通过网络攻击可以让电站断电,可以让航班错乱,让高铁停运,可以把银行的钱偷走,甚至搞停你的电梯。未来电梯都可以联网了,某些重要人物进电梯我可以把他卡在里面,所有想到的坏事都可以通过物联网的感应控制系统落地。
随着整个科技的发展,未来世界的生活是变得更美好了,还是更不安全了,现在很难下结论。
张鹏:所以你觉得,这样说下来都害怕。如果是你自己选,是要往前继续推动这种数字化互联网,还是说我们得停下还是怎么办?听起来很可怕。
周鸿祎:如果按照传统安全公司的做法,对付网络攻击,搞一些安全软件,弄一个防火墙,安装一些入侵检测的设备,这都是以销售为目的来推销产品,解决不了网络战的安全问题。我们信息化的步骤可能就需要慢下来,因为你信息化越充分,可能将来的灾难就会越大。
张鹏:风险越大。
周鸿祎:我的观点是道高一尺,魔高一丈,总有解决问题的方法。信息化继续往前推动,包括今天很多人讲先进的黑科技,这些没有问题。最重要的是 360 这种网络安全公司,能不能真正找到一些解决刚才说的所有问题的办法。而不能头痛医头,脚痛医脚。
最近几年我们做了大量的工作,也有大量的思考。有了一些解决问题的方法。今天跟大家分享一下。最重要是我们意识到,如果当网络攻防手段变了,别人的作战方法变了,我们自己的思考也要跟着变。到了新时代,不能用过去的方式对付网络攻击,你永远不知道别人从哪里攻。就好像马奇诺防线,在对付一战时的阵地战、战壕战有作用,但是到二战的时候,在德国装甲集群快速推进的闪电战面前,根本不起作用,敌方可以绕开你的防线。
包括今天网络做隔离已经没有用了。今天网络越来越多,你不知道什么地方就连到互联网上了。今天很多人隔离了网站,无线互联网,我们每个人有手机,也把原来的边界打破。我们研究美国的网络战武器,它专门有 5—6 种对付隔离网络的武器。
举个例子,很多内部的隔离网络为了防止资料在网上传输被盗取,通过光盘传递数据,美国人一开始觉得没有办法,但后来他们发现,刻盘软件全世界就两家公司,他们就打入这两个刻盘软件的公司,通过技术,让这两家公司的软件不管刻什么盘,都刻一段病毒代码进去。
美国还派人打入全世界最大的两家做硬盘的公司,在出厂新的硬盘固件里面放入病毒和木马。这些硬盘最终会卖到世界各地,也不知道在什么地方就安装使用了,其中肯定会有隔离的网络。别人有很多先进的打击方式,隔离也无效。我们不知道别人用什么手段发起进攻,谈何防守。
现在很多网络安全公司跟瞎子一样,我们不断造武器,造坦克和飞机,但是我们没有雷达,不知道敌人从哪里进来,来了以后什么时候走了,不知道,进来干了什么,不知道,进来留了什么,不知道。如果我们不能解决看见的问题。所有的网络公司都是像瞎子一样忙忙碌碌,没有针对性,没有目标,不可能保护网络不被攻击。
张鹏:这是不是安全大脑?
周鸿祎:对,很多人认为网络安全对我没有关系,说你是不是保护国家什么基础设施。错了,现在国家重要网络基础设施跟整个民用网络是连在一起,所有网络攻击,网络战是不分军用和民用,是无差别的攻击,网络攻击的效果一定是打击基础设施,最后让整个社会停摆。
今天网络攻击如果让你打不了车,点不了餐,出不了门,你们家也停电,出去飞机不正常,高铁也停运了,这样的网络战效果比传统作战效果更好。因为可以打击一个国家的社会稳定,可以打击社会次序,还让你有脾气发不出来,你不知道谁干的,这个效果比扔炸弹的效果还好。
未来的网络安全不仅关系到国家网络安全,关系到社会上每个人的生活。今天不要说停电,我们每个人手机有半小时不能上网,你们各位会疯狂成什么样子,肯定马上忍受不了,如果停电两天,我们什么网都不能用,我们生活会倒退到什么程度。
今天我不是来推销产品。我们跟很多网络安全专家、学者和领导谈一个概念。我们要放弃一个不切实际的幻想,不要做固若金汤的系统,用了某某技术可以挡住任何人的攻击,这不可能。我们现在重新建立一个目标「能不能通过大数据,当别人进攻我们网络,他总会有一个网络攻击链会留下蛛丝马迹,我们把所有发生攻击大数据拿到,我们可以做到最快的看见。」像雷达一样,别人的隐型飞机飞过来了,我们至少知道要做好准备,至少知道从哪个方向飞进来的。
这是我们提出的第一个目标,我们强调在中国整个国家的网络安全防御系统上,需要有一个顶层的设计,需要数据打通。现在很多人电脑里装了各种各样的安全软件。很多单位花钱装了各种各样的网络安全设备。如果今天这些数据没有打通。每个人电脑里发生了什么事情,每个单位网络理发生了什么事情,我们看到的都是局部,我们无法判断是恶意软件,还是来自其他国家的网络攻击?今天通过聚合网络安全大数据能力,才能真正看清楚网络理发生了什么。
华为有一个很好的方法论,叫五看三问,不要只闭门造车,要看看同行看看市场看看全球,看对手都在做什么。我们就去看,美国有一个「爱因斯坦计划」,这个计划的想法跟我们想法完全一样,他们利用互联网骨干网大部分在美国的这种优势,他们把全球网络大数据汇集起来,做一个比棱镜还要大的计划,要把网络上发生的任何事情存储起来,然后追溯全网发生的事件,溯源其他国家对美国发起的攻击。
全世界的商业公司里面,有三家可以做这样的事,美国有两家,一家是谷歌,一家是微软,中国有一家就是 360。因为我们三家公司的软件分布的密度非常高,同时掌握浏览器的数据,掌握安全软件的数据。网络上任何攻击行为最后总会干两件事,第一、生成一个文件在一台设备上存活下来,我们很关心有什么可执行的文件被生成。第二、这个文件在得到指令进行破坏或者是偷窃之后,一定要把情报传出去,所以一定会访问一些莫名其妙的域名,如果掌握了这些安全数据,基本上就能够把那些隐藏在正常上网之中的不正常行为找出来,我们用这种方法在过去几年里面,准确预测了一些还未发生的网络攻击,抓住了 40 起其他国家对我国重要基础设施和敏感单位的渗透和攻击,就是利用这个网络安全大数据。
张鹏:我尝试把这个事用一个方式解释,就是你刚才说的数据聚合,不是把你做的什么事记下来,核心是看脚印。不是说把你都拍下来,看脚印就好了。并不是说你在上面干什么事儿都要知道,而是要知道在里面跟安全相关的行为数据。
周鸿祎:比如你每天用浏览器正常的访问没有关系,人工的访问都会被过滤。我们关心的是你的浏览器并没有人工操作,而是在后台偷偷摸摸访问了一个奇怪的域名,很有可能就是干坏事。就像几年前的 WannaCry,它访问的域名非常长,基本上是人不可能记得住的,像这种奇怪的访问就会引起我们的关注。
张鹏:所以你们关注可疑脚印。刚才听你讲了有舍我其谁的感觉,三家公司信心背后的支撑是什么东西?刚才你说的这些黑客的强大的。
周鸿祎:很多人现在在神话大数据,神话 AI。觉得有了 AI,这边数据一进去就把哪个国家木马攻击抓住了。其实不是这样。通过大数据,通过一定的机器学习算法,在浩如烟海的数据中进行可筛选的数据,最后要抓住还得靠技术专家。在未来相当长的时间里,网络安全的攻防还是高水平黑客之间的对决。
我们公司有上千名白帽子黑客,被称为东半球最强的安全团队。要抓到网络攻击要分析漏洞,挖掘漏洞。我们是这几年挖掘漏洞最多的公司。同时,通过漏洞的分析就能把这个软件如何利用某个漏洞渗透进来,才能分析清楚,才能抓住网络战攻击的元凶。APT 攻击。我们是全球这几年发现 APT 攻击最多的公司,这就是 360 的核心技术。
网络安全行业的评价标准肯定要做一点变化。过去评价标准是收入,谁收入最高就是最牛的网络安全公司,你卖再多的防火墙,你连一个漏洞都没有抓过,你说你能应对网络战,打死我都不相信。按这个维度来说,360 不仅有网络安全这么十几年下来积累最大的安全数据。最重要我们有一支网络安全专家团队。
周鸿祎:360 在安全领域干了这么多年,如果只是停留在炫技,今天又搞了什么产品,明天又打了什么补丁,我们就和其他公司没有本质差别。
或者我们只想做销售,今天把产品搞一个新的包装,叫新一代防火墙、新新一代防火墙去卖,用 360 的品牌也能卖得很好。但是真正能解决问题吗?所以我扪心自问,我是希望 360 从国家级智库的角度,在面对网络安全上提出一些新的思想,提出一些新的战法,提出一些新的思维。360 应该做一些只有 360 才能做的事情,可以给网络安全整个产业带来推动,而不是我们一家公司挣多少钱。
这几年我没有做很多演讲,确实是因为有这方面的压力很大。当你不再是卖东西,过去卖网络安全产品很容易,但产品有没有效果,谁用谁都不知道,因为没有发现过网络攻击,有人攻进来了也不知道。
今天我们的目标很明确,如果我们遭到了网络攻击,我们能最快知道,能最快的封堵,最快的止损,最快的反击,能最快的溯源,这样就变成一个标杆,这个不能靠吹牛,这是实打实的真刀真枪的干,不能光靠 PPT 和申请专利。做了这些事以后,我们还是看到了效果。360 安全大脑现在掌握的数据里面,也许一年里能够发现十起网络攻击,随着我们把这个数据输出给大企业,输出给运营商,输出给大的部委,把里面的威胁情报跟国内很多中小公司开放,帮助大家加固自己的平台,我能得到更多数据反馈。未来,我们就能从一年发现十起网络攻击,变成也许到 50 起,也许到 100 起,这样我们有更多的实锤,证明中国才是网络攻击的受害者。
将来有其他国家对我们做网络攻击时,我们能真正的抵御住,这是我们最重要的目标。
顺带说一下,这些天大家在谈华为,很气愤。美国举一国之力对付一家公司,实际我一点都不意外,我跟他们交手很多年了。美国《纽约时报》六年前就揭露了美国国安局入侵了华为的邮件系统,大家可以想一想,华为这么高科技的公司,为什么抵御不了美国攻击?因为攻击它的是国家级的网络部队,一个非安全专业的公司是抵御不了的。美国为什么要整它?在我看来美国有一句话没有说出来,美国特别害怕别人在网络上攻击他,未来 4G、5G 通信美国一定是要保持它的领导权,要在网上对很多数据进行截获和监听,如果都用了华为的 5G 网络,它要拿到数据就不那么容易了。说白了科技战的背后还是网络战,还是对网络数据的争夺。
从这个角度来说,为什么 360 很早的时候退市,很多人不理解,这两天中芯国际退市了。我们上市之后,很早就在美国做了一些业务探讨,发现网络安全这个行业跟别的行业最大的不一样,它未来就是网上军火商,这个行业跟游戏跟娱乐行业不一样,他要挣钱没有问题,但是首先要和所在国的国家利益、社会利益、老百姓的利益是一致的。所以很早我们就做了退市,变成了一个内资的公司,到今天中美关系走到这一步,很多人才明白过来 360 的先见之明。我们的身份问题解决之后,这样才能真正为国家承担对付国外网络攻击的抵御,如果我还是美国上市公司,不可能做这一件事情。
张鹏:老周你今天讲了很多这两年的思考,我也得到解释为什么你每次都不出来,因为你思考这样一些问题,有很多事要解决,但是你还是。
周鸿祎:我做了很多事也不适合对外说。
张鹏:今天还是尽量别外传。
周鸿祎:我还有很多没有说,还有两个小时的量。
张鹏:360 再怎么着也是上市公司,你今天讲的这个事,我们觉得对整个社会的意义能理解,做这一件事可能你的追求我能理解。但是很显然,就刚才你也讲了,攻防你肯定不会卖五千万美金的漏洞,你肯定不会干这个事,但是这些事对你的收入对你的产业地位,对你的市值听起来不是很直接的影响。就中国这些年,当年你搞到 100 亿美金用了多少年?得有小十年吧?
周鸿祎:记不清了。
张鹏:现在中国创业的氛围到百亿美金的公司就是两三年、三四年。你做的这个事跟这个时代,你感觉你做的是很厚重的东西,但是这边发生的是很亮的东西,就是你心里有没有什么反差?怎么说服自己做这个选择?
周鸿祎:这么想我也觉得很奇怪,我们公司商业模式有一点奇葩,原来杀毒免费,大家觉得我们 250,经常说 250 加 110 就等于 360。然后我们靠互联网赚钱,互联网也是我们战略之一,互联网给我们带来了很好收入,一年上百亿的收入,几十亿利润,超过其他的网络安全公司。现在很多做安全的公司还是很苦逼的,可能还需要 360 来把安全产业做大,解救他们。如果我只做安全,不做互联网,根本没有足够的财力去聘请这么多人才,养上千名黑客是很花钱的。
张鹏:你不养好他们就不是白帽了,很可能变成别的。
周鸿祎:很多黑客过去做黑产,因为赚不到钱,现在告诉他你不作恶也能赚钱,原来很多灰色、黑色都转成白色。360 每年从互联网收入当中拿出几十亿来反哺安全业务,这个模式被市场认可,他们既觉得我是互联网公司,又是安全公司。
360 的个人安全业务原来确实不赚钱,因为免费了,现在进入到政企市场,我是要解决国家、社会的网络安全,我相信如果 360 真正解决了问题,为国家和社会抵挡住国外的网络攻击,保护了我们的重要基础设施,这里面一定有商业回报,我们有这个耐心。
网络安全行业过去解决的都是小毛贼的问题,所以投入产出比是不高的。到了网络战时代,政府和企事业单位对网络安全的重视越来越高,他们明白今天网络安全不搞好,面临的不是丢失一个文件,可能是整个业务都被打瘫,整个物理设施会遭到破坏,所以我认为网络安全产业在中国才刚刚起步,未来网络安全是服务业,是高智商的技术专家提供服务的安保产业,这里面有很多商业上的想象空间。
一个公司市值高取决于两部分,一部分可能跟你的收入利润有关系,360 今天把核心安全做好,给国家和政府、企业提供有价值的安全服务,完全可以采取收费模式,对吧。国际上一个漏洞卖 5 千万美金,我们不卖这么贵,一个漏洞卖 5 千万人民币总行吧。
张鹏:就是卖给有漏洞的公司。
周鸿祎:当然这是开一个玩笑,只是想说政企安全业务会给 360 增加更多收入模式。我对未来很有信心。
另外,我觉得公司存在的价值给你收入和利润没有多大关系,取决于一个公司是不是国家离不开你,社会离不开你,人民离不开你。我们看过很多挣钱的公司,也许因为一个事情,一夜之间就完蛋了。
这次华为事件应该让我们重新思考评价公司的标准。华为公司原来没有互联网公司这么热。互联网有很多网红公司,今天干共享经济,明天干那个,反正都能说出各种道道,包括各种 PPT 造车的。互联网造了这么多概念这么多网红,牛吗?挺牛的,挺吸引眼球的。但是,在美国政府眼里,视你为无物,美国政府怕的是华为这样做硬核科技的公司。
360 一方面做互联网业务,另外一方面在硬核黑科技上一定要做到国际先进的能力。360 作为民间部队,跟其他国家网络军队交手过程中,至少能立于不败之地,这个做好了,360 的价值就不是用金钱能够衡量的。
我们大家都说学习华为,我们不能光是用嘴巴表达这种学习和尊敬。我觉得我们很多公司要少一点网红行为,和仅仅是模式上的作秀,我们还是应该回归初心,回到核心技术的研发,回到真正解决更大的问题。
互联网搞了这么多年确实给我们带来很多娱乐,每天刷视频、玩游戏,都很开心。但是对社会带来了什么更大的价值?刚才的小伙子讲,如果他的载人火箭真的能实现 2 小时飞到美国,虽然收入也许不会比一些做广告的公司更多,但它也有很高的价值。
我特别想呼吁,老说中国要创新,那我们能不能在创新的价值观上不搞「一元化」,应该根据公司不同的贡献给予不同的评价,不是最后只有一个标准——谁挣钱多,谁的市值高。我觉得如果按这个标准,永远只有少数几个公司能成为被人尊重的公司。
今年两会的时候,我就提出一个观点,我说企业家不是生意人,生意人可以进化成企业家,只想着挣钱,只关注收入的人,生意做得再好只是一个商人。企业家在挣到足够钱的时候,具有了雄厚实力,一定要做一些对社会和国家有改变有利的事情。
张鹏:曾经沧海。现在兴奋的是什么?
周鸿祎:我们干安全干了这么多年,安全业务之外的事情干得不是那么好,让我做抖音也没有这个基因,后来想想我们还是做安全。大安全时代,安全这个话题很广,就把这个话题做透,迪士尼就是围绕快乐,做游乐园、拍动画片,360 是做安全。第一个就是刚才讲的网络安全大脑,就是我们不和其他网络安全公司竞争,就做非 360 不可的事,就是通过网络安全大数据和网络安全专家,再加上人工智能技术,能够做到在网络攻击发生时,用最快的时间发出告警,然后其他的网络安全公司就可以上了。这是第一件大事,这个事做完了可以让我们的生活多一点安心。第二是我们现在正在探索,其实在成都也马上会落地一些项目,我们在想能不能利用物联网,解决物理世界和真实生活中的安全问题。比如今天中国高楼越来越多,哪一个高楼真的半夜一失火,可能很多人会得不到警报,发现的时候再打 119,可能这个火和烟已经起来了,很多人就难以逃生了。今天很多楼里装了烟感器,但是没有联网,能不能正常工作也不知道。假设把一个城市里面所有高楼都布上可联网的传感器,利用 5G 网络,万一有红外感应的信号,有烟的传感就可以迅速确定,就可以传到大数据中心,迅速的把这个消息判断之后,广播给火灾附近的人,尽可能地避免人员伤亡和财产损失。
我们准备用投资的方式打造一个安全的生态,在城市安全领域可以产生很多家公司。比如那年天津港有一个爆炸,最近江苏有一个爆炸,就是危化品的管理。我们每个人可能就会觉得这个问题怎么解决,事实上通过物联网设备,可以把危险品的运送、堆放实时监控起来,可以有针对性的发现某个地方,危险品堆得太多了,就可以提前预警,让执法部门进行干预。这样的场景有很多,通过大数据和人工智能能够解决城市里面很多安全问题,从消费到交通,从危险品到电梯。还有一个是我们一直坚持在做的家庭安全大脑,解决家庭安全问题。很多人都很忙,家里有孩子有保姆,保姆对孩子好不好,家里有老人,中国进入老龄社会,很多老人都是空巢老人,年轻人没有足够时间陪他们。最近我们做了一些工作,可视门铃抓住了很多贼,你不在家的时候隔壁有人来敲门,你可以第一时间知道是不是隔壁老王,家里如果有摄像头可以进行一些预警。一句话,我们希望未来让大家更放心的在外面工作的时候,家里发生了什么事尽在你的掌握当中。所以这是 360 未来的三个安全战略,从国家社会的网络安全到城市物理的世界安全,到家庭的人身安全,我们希望 360 能把安全做大,这也是大安全的第二个含义。
张鹏:理解了,如果要我总结,刚才我问的问题很关键,老周你认为科技互联网还要继续推进,人们还要享受它的便利。这个过程中我们就要面对安全必然遇到的挑战,在这个挑战过程当中除了这种应对,同时反过来讲,如果有人会用物联网攻击我们,我们怎么样用物联网保护自己甚至优化自己的安全,把问题转一个方向变成贡献,我能理解。今天聊的时间差不多了,你也要赶飞机。大家知道,我上场说今天他说的话比我多,我没有说错吧。
周鸿祎:今天要赶飞机,时间有限,所以我其实好多东西没有说。
张鹏:好,广告时间留给我。更多内容请关注极客鹏友说,欢迎大家关注我的公众号「极客鹏友说」,今天跟老周聊有很多收获。你还有什么补充的?
周鸿祎:非常感谢张鹏,我们认识 20 多年了。极客公园原来我有没有来过,看视频我才想起来,确实来过。
张鹏:太丢人了。
周鸿祎:所以我最后还是想讲一点,很多人对我原来的印象如果还停留在红衣大炮,或者 360 还是在做免费杀毒,我觉得最重要的是人要与时俱进,虽然今年马上就 50 岁了,但是还是让我觉得很兴奋,因为有更多的挑战,可以用新的技术新的创新,用新的思路新的战法去解决问题。我也很希望,两句话,一个是极客公园有很多创业者,我也希望未来创业者和很多公司的技术负责人,希望当你们在用各种各样的黑科技改变我们这个世界和生活的时候,请你们提前想一想如何同时跟我合作让它更安全。根据马斯洛理论,安全是人最基本的需求,如果不安全,所有的东西都免谈。刚才那位兄弟的载人火箭,如果问我愿不愿意坐,我其实先不会考虑价格,我肯定关心安全的问题。第二个也是自勉和勉励,不管中国未来面临多么复杂的国际环境,我还是觉得很有信心。因为我们中国有 14 亿勤劳勇敢的人民,大家真的人口红利就没有了吗?我不相信这一点。每个人真的对生活很满意吗?大家真的对生活的期待到达顶点了吗?没有啊。我们还有很多人对生活还不满意的,还不够安全,还有好多黑科技没有用过,只要每个人可以保持年龄好奇的心,不断去探索。就像我一样,我经历了很多事情,做了很多产品,我今天在大安全的领域,在应对国外网军部队攻击的方向上,我找到了新的感觉,有了新的动力,找到了新的奋斗目标。所以我觉得 360 未来几年会重新激活,会 Rebuild 成为一家新的大安全公司,也跟各位共勉。各位到极客公园来,听了什么不重要,台上人来人往也很难记住到底讲了什么,最后只要记住「保持好奇心就好了」。谢谢大家。
张鹏:谢谢。今天真的非常有收获。我觉得也祝福吧,老周快 50,但其实又找到了一个新的奋斗目标,我觉得在这个层面上争取能够让你自己未来的好奇心也会给自己带来更加的兴奋。曾经沧海都是过去,接下来你做的事情对整个社会,对在座每个人都能有更大的价值。在这方面对你最真诚的祝福,掌声献给老周。谢谢!
