文/360公司董事長兼CEO 周鴻祎

看得見的安全

文/360公司董事長兼CEO 周鴻祎

看見是一種能力，過去講安全的時候，往往總是把安全技術(shù)化、產(chǎn)品化，一直在說防火墻、掃描、IPS、IDS。實際上，現(xiàn)在所有的攻擊都是未知的，都力圖讓別人看不見。攻防雙方的博弈已經(jīng)從技術(shù)的攻防對抗變成了看見與看不見的對抗。制造威脅的人希望永遠不被人看見。防御的安全公司希望永遠看見整個網(wǎng)絡(luò)，這樣才能意識到威脅的發(fā)生。所以，看見和看不見變成了安全公司和網(wǎng)絡(luò)攻擊之間最大的能力較量。

企業(yè)安全現(xiàn)在被描述成很糟糕、很黑暗，到處存在漏洞。其實，最重要的問題就是源于看見能力的缺失?？吹靡姴拍芤庾R到威脅，才能知道威脅正在發(fā)生，才能防御。看見發(fā)生了什么，企業(yè)才會有安全感。

中國和美國都是網(wǎng)絡(luò)攻擊的受害國。美國人也經(jīng)常會舉出一些例子試圖證明中國在攻擊美國的網(wǎng)絡(luò)。這就反映了兩國在看見能力上的差異。中國的網(wǎng)絡(luò)也經(jīng)常被國外攻擊，但中國可能以前根本不知道，就沒有證據(jù)可以跟其他國家爭執(zhí)。

如何才能看見？看見的基礎(chǔ)是數(shù)據(jù)，是基于大數(shù)據(jù)和深度學習做出的分析結(jié)果。因為所有的網(wǎng)絡(luò)行為都會形成痕跡，有痕跡留下就有數(shù)據(jù)，安全大數(shù)據(jù)是形成看見能力的基礎(chǔ)。之后還需要有數(shù)據(jù)的關(guān)聯(lián)能力、數(shù)據(jù)分析能力和數(shù)據(jù)挖掘能力，結(jié)合安全專家的經(jīng)驗，才能形成看見的能力。

看新聞報道的時候，如果沒有大數(shù)據(jù)，就會出現(xiàn)一部分人看到的是新聞，一部分人看到的是內(nèi)幕的情況。最近蘋果APP的安全事件，引起了一些用戶的恐慌。由于它的開發(fā)工具被植入了后門，導致很多知名的APP被植入了后門。

在今年年初，惡意后門的訪問量，在4月份曾經(jīng)達到高峰。隨著更多APP的感染，對后門訪問量的加劇，導致后門制作者的網(wǎng)站支撐不了這么大的訪問量，所以訪問失敗。為什么蘋果用戶會感到恐懼？是因為看不見，不知道自己的手機上發(fā)生了什么。

到9月份，突然出現(xiàn)特別異常的訪問高峰，包括整個惡意主控網(wǎng)站發(fā)生癱瘓。為什么9月8號到23號突然出現(xiàn)后門網(wǎng)站訪問量激增？其實是因為微信的新版本上線了，而微信的新版本也被感染了惡意代碼。

因為微信的用戶量特別大，導致訪問量的激增，攻擊者的主機承受不了這么大的訪問量，所以主動把主機網(wǎng)站下線了。

未來無論在國與國的網(wǎng)絡(luò)空間博弈中，還是在企業(yè)安全中，如果企業(yè)和國家真的缺乏基于大數(shù)據(jù)分析的看見能力，必然會成為網(wǎng)絡(luò)攻擊的受害者。

看見決定企業(yè)安全，看見的能力決定國家安全。下一個偉大的網(wǎng)絡(luò)安全公司一定是誕生在具備看見能力的企業(yè)中。

最近有一個小說很流行，叫《三體》，搞IT的人以沒看過《三體》為恥，我也不能免俗。最后的結(jié)尾，我想以《三體》的“黑暗森林法則”結(jié)束，它的意思是在宇宙里有不同的文明，每一個文明都不希望被更高級的文明看見。因為被發(fā)現(xiàn)總有一方被消滅。在網(wǎng)絡(luò)安全的攻防世界里，這個規(guī)則也適用。我們需要做到的是如何能看見更多的威脅。

（本文摘錄整理自360公司董事長兼CEO周鴻祎先生在“ISC2015——中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會”上的發(fā)言報道。）X

>>看見和看不見是安全公司和網(wǎng)絡(luò)攻擊之間最大的能力較量。