專訪｜360高瀚昭：ISC十年，360數(shù)字安全大腦能夠“看見”什么？

摘要： 2013年，ISC（互聯(lián)網(wǎng)安全大會(huì)）驚艷問世；2022年7月30日至8月2日，第十屆互聯(lián)網(wǎng)安全大會(huì)（ISC2022）又如期而至。

2013年，ISC（互聯(lián)網(wǎng)安全大會(huì)）驚艷問世；2022年7月30日至8月2日，第十屆互聯(lián)網(wǎng)安全大會(huì)（ISC2022）又如期而至。

人類的大腦偏愛“十進(jìn)制”，故而對(duì)“十”都有一種特別的情感。逢十，往往都會(huì)是重要的紀(jì)念日。彈指一揮，ISC也已走過十年。十年風(fēng)雨，十年非凡，今已十歲的ISC，在網(wǎng)絡(luò)安全完成向數(shù)字安全演進(jìn)的關(guān)鍵節(jié)點(diǎn)，已然成為數(shù)字安全領(lǐng)域不可或缺的盛會(huì)。

 

ISC 2022圍繞“護(hù)航數(shù)字文明、開創(chuàng)數(shù)字安全新時(shí)代”主題，呼吁行業(yè)凝聚力量，真正支撐國(guó)家和企業(yè)“看見”高級(jí)威脅的實(shí)力，牢筑數(shù)字安全底座，提升數(shù)字安全能力，全方位安全地馳騁于數(shù)字時(shí)代。

眾所周知，數(shù)字經(jīng)濟(jì)帶來(lái)新技術(shù)、新思維、新生態(tài)的同時(shí)，也伴隨著錯(cuò)綜復(fù)雜的安全風(fēng)險(xiǎn)和安全挑戰(zhàn)。十年之前，360就已扛起國(guó)內(nèi)安全大梁；十年之后，360又將如何“看見”安全威脅，又能怎樣幫助政企機(jī)構(gòu)更好地去“看見”，去應(yīng)對(duì)變幻莫測(cè)的高級(jí)威脅呢？為此，我們很榮幸對(duì)話360數(shù)字安全集團(tuán)高級(jí)副總裁高瀚昭，一探“看見”背后的故事。

 

01

為什么要不斷攻克“看見”難題？

首先，我們想知道，當(dāng)前數(shù)字安全為什么要“看見”？高瀚昭給了我們簡(jiǎn)而易懂的答案。

發(fā)現(xiàn)問題肯定是解決問題的前提。其實(shí)，安全行業(yè)的本質(zhì)就是要解決用戶各種各樣的安全風(fēng)險(xiǎn)和安全威脅。想要解決這些問題，首先就要知道這些問題在哪里，看清風(fēng)險(xiǎn)、看見威脅，才能幫助用戶更好地抵御攻擊。

當(dāng)前安全的現(xiàn)狀，也迫切需要更高更全面視角的“看見”。傳統(tǒng)的安全格局，每個(gè)廠商的每款產(chǎn)品都形成了一定的“看見”能力，然而“看見”的視角往往局限、片面，有些安全問題并未被發(fā)現(xiàn)，有些安全問題的整體描述并不清晰，類似于盲人摸象。用戶也沒法獲得自身安全全景視圖。

比如用戶看到某個(gè)攻擊，這個(gè)攻擊從哪里來(lái)，采用什么手段，未來(lái)怎么解決，如何防止被它再次攻擊，需要知道完整的上下文。所以，安全不能只看見一個(gè)點(diǎn)，而是要看見整個(gè)面。

在高瀚昭看來(lái)，安全行業(yè)和其他行業(yè)大不一樣，安全是攻防兩端對(duì)抗的持續(xù)博弈過程。換句話說(shuō)，當(dāng)你看見了，攻擊者就一定要想辦法再讓你看不見，他一定要想辦法突破你看見的能力，找新的招數(shù)，研究新的攻擊手段，當(dāng)你解決了一個(gè)安全問題，或許只是解決了當(dāng)下看見的問題，你的對(duì)面不是單個(gè)業(yè)務(wù)系統(tǒng)，不是需求解決了就萬(wàn)事大吉。
 

 

高瀚昭坦言，360在追蹤各種國(guó)家APT或者一些威脅組織時(shí)，發(fā)現(xiàn)攻擊者能力進(jìn)化之快，往往超乎想象。而且攻擊者的資源更為豐富，因?yàn)橥ǔＵJ(rèn)為黑產(chǎn)市場(chǎng)規(guī)模是安全市場(chǎng)的十倍，所以，他們有足夠的資金、資源、動(dòng)機(jī)來(lái)提升攻擊手段，來(lái)突破你的“看見”，這也是安全永無(wú)止境的一個(gè)很大因素。

 

02

360如何建設(shè)和提高“看見”的能力？

在全球數(shù)字化不可逆趨勢(shì)的大背景下，“看見”安全威脅變得至關(guān)重要。但是，工欲善其事，必先利其器，正如武俠江湖中，想要窺透對(duì)方的功力，則需要自身?yè)碛懈叩膬?nèi)功。在安全江湖，想要“看見”攻擊者的種種行為，同樣需要掌握強(qiáng)大的技術(shù)能力與深厚經(jīng)驗(yàn)積累。

因此，360如何提升自身“看見”能力，是一個(gè)不可繞過的話題。高瀚昭認(rèn)為，在提升“看見”能力上，360走了一條比較獨(dú)特的道路。

眾所周知，360過去做的是C端安全，能力分成云、端、數(shù)、人四個(gè)維度。


一是云。360認(rèn)為，“看見”的能力不能建立在某一單點(diǎn)產(chǎn)品上，而要建立在云端，也就是稱之為“數(shù)字安全大腦”。只有把數(shù)據(jù)采集在同一個(gè)地方，通過專家進(jìn)行分析，才有可能把威脅看得更為全面，這也是為什么360是全球最早做云查殺的公司；


二是端。“看見”很大程度上依賴于強(qiáng)大的數(shù)據(jù)獲取能力，360在全球有10億終端，在海量終端基礎(chǔ)上就能夠看見用戶側(cè)的異常行為；


三是數(shù)。即是通過大數(shù)據(jù)分析，把“看見”的每個(gè)終端上的異常行為進(jìn)行綜合分析和研判，來(lái)了解整個(gè)攻擊的途徑；


四是人。即專家能力，專家能力就是在過去十幾年間與攻擊者、黑客組織的攻擊對(duì)抗中不斷總結(jié)出攻擊手法和技戰(zhàn)術(shù)，對(duì)方在不斷演進(jìn)，專家能力也跟著與時(shí)俱進(jìn)，更深入了解對(duì)方怎么攻擊，如何侵入。“未知攻，焉知防”，只有更多地掌握對(duì)方的攻擊手法，才能更好地幫助用戶做安全規(guī)劃，在不同的維度識(shí)別和防御這些攻擊。

 

 

簡(jiǎn)而言之，“看見”本質(zhì)上就是要了解每個(gè)攻擊者的攻擊手法。

當(dāng)前，攻擊者黑客組織已經(jīng)非常體系化和自動(dòng)化，目前每天的惡意樣本數(shù)量達(dá)千萬(wàn)級(jí)，其中光是360每天看到的新增樣本就高達(dá)1300多萬(wàn)，但這肯定不是全部。由此推斷，全網(wǎng)至少是幾千萬(wàn)量級(jí)甚至上億新增樣本。

當(dāng)然，這些樣本不可能靠一個(gè)個(gè)寫出來(lái)。針對(duì)海量樣本分析，就會(huì)發(fā)現(xiàn)，很多攻擊手法萬(wàn)變不離其宗。事實(shí)上要發(fā)現(xiàn)一個(gè)全新的攻擊手段并不常見。這也就意味著，雖然樣本浩如煙海，但實(shí)際上本質(zhì)的攻擊手段有限。

在此前提下，360通過十幾年的實(shí)戰(zhàn)攻防經(jīng)驗(yàn)，總結(jié)了幾千種通用攻擊手法，這些攻擊手法在不同行業(yè)、不同應(yīng)用可能有不同落地手段，真正的難點(diǎn)在于，如何把宏觀技術(shù)和戰(zhàn)術(shù)落實(shí)到每一個(gè)具體的產(chǎn)品中。

高瀚昭稱，360的產(chǎn)品是有限的，但360的知識(shí)是比較全面的，所以，360希望能夠?qū)⒆陨碇R(shí)讓行業(yè)內(nèi)更多廠家獲取到，使得他們也能更全面的看見威脅。他們或許不需要了解細(xì)節(jié)，只要“看見”了，就知道是哪個(gè)組織的哪種常用手法。即用戶的安全體系有一個(gè)面向攻擊者的思路研判。

高瀚昭強(qiáng)調(diào)，360過去十幾年最大的核心能力，即是建立了全網(wǎng)的云查殺體系，逐漸進(jìn)化為如今“360數(shù)字安全大腦”的安全體系，使得360依托于海量終端、大數(shù)據(jù)、專家能力，能夠比較全面地建設(shè)一套“看見”的安全能力。

 

03

360數(shù)字安全大腦現(xiàn)實(shí)應(yīng)用價(jià)值如何？

“實(shí)踐是檢驗(yàn)真理正確與否的唯一標(biāo)準(zhǔn)”。360數(shù)字安全大腦的“看見”能力強(qiáng)大與否，需要通過現(xiàn)實(shí)實(shí)踐進(jìn)行檢驗(yàn)。事實(shí)上，目前360的安全產(chǎn)品已經(jīng)部署于眾多政企客戶之中，一直以來(lái)也取得了不菲的成績(jī)。

比如，我們最常見的關(guān)于360的新聞，就是360又發(fā)現(xiàn)了某國(guó)對(duì)中國(guó)進(jìn)行的安全攻擊行為，其中包括美國(guó)的APT攻擊等等。

高瀚昭列舉了一系列數(shù)據(jù)：在過去的幾年里，360系統(tǒng)化的發(fā)現(xiàn)和報(bào)告了50家APT組織的攻擊，基于300億樣本庫(kù)數(shù)據(jù)挖掘的智能分析體系，每日攔截惡意網(wǎng)址7.5億，每日云查殺560億，每日自動(dòng)攔截挖礦勒索威脅千萬(wàn)余次，每日攔截手機(jī)惡意詐騙程序攻擊2000萬(wàn)余次，幫助用戶避免被黑產(chǎn)詐騙大額乃至巨額財(cái)款。

高瀚昭介紹，360數(shù)字安全大腦是360自建的一套安全體系。隨著數(shù)字化的演進(jìn)，用戶側(cè)不管是政府還是企業(yè)，對(duì)“看見”的需求也越來(lái)越強(qiáng)，360試圖用自己的這部分能力幫助用戶去獲得更深入全面的“看見”能力。對(duì)此，360總結(jié)有兩種方式：

一、自身具備一些安全運(yùn)營(yíng)和分析能力的用戶，比如一些大的客戶、大的政府部門、大的央企和監(jiān)管部門，這種情況下，更多的是從數(shù)據(jù)、云端支撐、專家和運(yùn)營(yíng)知識(shí)等層面，去給他們提供全面賦能，使得他們能夠更好地建設(shè)以提高自身安全能力為目標(biāo)的安全防護(hù)體系；

二、相對(duì)中型或者小型企業(yè)，他們自身未必具備很高的安全分析能力，即使給了他們相關(guān)安全數(shù)據(jù)，可能也不知道如何全面的分析。此時(shí)，360數(shù)字安全大腦就可以給他們提供服務(wù)，將數(shù)據(jù)打通并做多維度、更全面的分析，然后告訴他們?cè)趺?ldquo;看到”這些威脅，幫助他們解決這些問題。這即是托管業(yè)務(wù)，目前這種業(yè)務(wù)越來(lái)越多。

高瀚昭認(rèn)為，尤其是一些初創(chuàng)公司或中型安全公司，想要自建一套安全能力系統(tǒng)往往耗資巨大。360數(shù)字安全大腦是360花了十幾年時(shí)間，累計(jì)耗資兩三百億方才構(gòu)建而成，其他企業(yè)再重復(fù)建設(shè)類似系統(tǒng)，無(wú)論從時(shí)間還是資源資金投入上考慮都并非良策。

所以，也希望把360數(shù)字安全大腦的能力讓其他廠商利用起來(lái)，通過平臺(tái)和SDK的方式提供給生態(tài)廠商，使得更容易在數(shù)據(jù)和分析層面為他們所用。這種模式下360并非指揮者，而是賦能者，生態(tài)伙伴可以利用360的安全能力建設(shè)和增強(qiáng)自身的安全分析能力體系，并能和360現(xiàn)有的安全體系框架互聯(lián)互通，提高生態(tài)合作伙伴看見威脅的能力。對(duì)業(yè)界廠商，360數(shù)字安全大腦致力于安全行業(yè)的協(xié)作，讓細(xì)分賽道的廠商專注于自己擅長(zhǎng)的產(chǎn)品，做精做強(qiáng)，對(duì)整個(gè)安全行業(yè)來(lái)講，可以避免過多的重復(fù)投入和惡性競(jìng)爭(zhēng)。

當(dāng)然，以上都是在企業(yè)層面。對(duì)于國(guó)家、城市、政府機(jī)構(gòu)安全的層面，高瀚昭認(rèn)為國(guó)家安全是一個(gè)大詞，國(guó)家安全是由每個(gè)企業(yè)、每級(jí)政府、每個(gè)個(gè)人組成。無(wú)論軍民融合也好，建立國(guó)防體系也好，都在強(qiáng)調(diào)怎樣讓民營(yíng)企業(yè)和國(guó)家相關(guān)部門共同合作，共享信息，最終達(dá)到對(duì)各方面安全威脅的“看見”和對(duì)攻擊的有效防御。

為何這么說(shuō)？因?yàn)橐粋€(gè)威脅，有可能是通過某個(gè)供應(yīng)鏈進(jìn)入到某軟件企業(yè)，再植入到某個(gè)關(guān)系到國(guó)家命脈的關(guān)鍵基礎(chǔ)設(shè)施中去。如果只看關(guān)鍵基礎(chǔ)設(shè)施這一層面，則往往是看不全安全威脅的。　
　

所以，高瀚昭強(qiáng)調(diào)，這才是為什么說(shuō)安全隨著數(shù)字經(jīng)濟(jì)的發(fā)展整體是一張網(wǎng)，互相之間都有很強(qiáng)的依賴性，不可能只保衛(wèi)某個(gè)具體的國(guó)家安全。如果沒有把具體的企業(yè)安全、城市安全、人民安全保護(hù)好，那也不太能夠?qū)崿F(xiàn)整體的國(guó)家安全。

 

04

如何基于數(shù)字安全大腦構(gòu)建生態(tài)體系？

當(dāng)下，在數(shù)字安全領(lǐng)域，生態(tài)一詞比較火熱。許多安全大型企業(yè)都在致力于安全生態(tài)的建設(shè)，因?yàn)榇蠹叶家庾R(shí)到一個(gè)問題，安全從來(lái)都不是一個(gè)點(diǎn)或一條線，而是一個(gè)面，甚至是立體式的體系。所以只有形成立體的生態(tài)，才有可能抗衡立體化的高級(jí)威脅和黑客攻擊。

 

在高瀚昭看來(lái)，生態(tài)其實(shí)有好幾種類型。其中有一種稱之為帶貨，比如集成商，用戶有什么樣的需求，缺什么產(chǎn)品，就找一家產(chǎn)品集成商前來(lái)合作，這是商業(yè)合作的一種生態(tài)。

然而，360更希望的是在技術(shù)上的一種共贏生態(tài)，能夠從用戶的角度出發(fā)。高瀚昭認(rèn)為，現(xiàn)在用戶最大的困擾是什么？用戶不希望只被一家廠商鎖定，但是購(gòu)買多家廠商產(chǎn)品時(shí)，一定會(huì)碰到一個(gè)問題，這些廠商之間的產(chǎn)品無(wú)法互聯(lián)互通。

 

所以，360希望通過賦能方式，打通其中的某些關(guān)聯(lián)。當(dāng)然，對(duì)此360持有兩點(diǎn)理念：一是讓合作伙伴和客戶能夠獲得“看見”的能力；更重要的一點(diǎn)是，希望“看見”的能力之間可以融會(huì)貫通，能夠讓用戶獲得一個(gè)完整的安全圖景，長(zhǎng)期來(lái)看，這一點(diǎn)價(jià)值更大。

高瀚昭對(duì)此擁有美好的愿景，因?yàn)槿缛暨_(dá)成上述目標(biāo)，那么對(duì)360有好處，對(duì)合作伙伴也有好處，對(duì)客戶更有好處，這是一件三方共贏的事情。

想必許多人好奇，目前在360安全生態(tài)中，已經(jīng)擁有哪些合作伙伴。高瀚昭介紹稱，目前共有三大類型的企業(yè)。

 

第一類：做單一產(chǎn)品的企業(yè)。比如防火墻和WAF類單一產(chǎn)品的企業(yè)，可以通過360數(shù)字安全大腦的賦能，使得產(chǎn)品檢測(cè)更準(zhǔn)；

 

第二類：做橫向安全，云安全、數(shù)據(jù)安全等方面的廠商。不管是云安全還是數(shù)據(jù)安全，本質(zhì)上也是要看見對(duì)云、對(duì)數(shù)據(jù)的攻擊，以及知道這些攻擊者究竟是誰(shuí)，有什么目的，攻擊手法怎樣？這些360積累非常多，可以為這些企業(yè)做賦能；

 

第三類：垂直領(lǐng)域。比如工業(yè)互聯(lián)網(wǎng)，許多企業(yè)對(duì)工業(yè)互聯(lián)網(wǎng)、醫(yī)療或者教育等特定行業(yè)安全能力有專長(zhǎng)，但是在通用的攻防領(lǐng)域，360可以給他們提供更好的支撐。因?yàn)楣粽咄环中袠I(yè)，今天攻擊醫(yī)療行業(yè)，明天可能攻擊電網(wǎng)。

 

 

05

尾聲：數(shù)字安全越來(lái)越受到官方重視

近十年來(lái)，國(guó)家高層屢次提及網(wǎng)絡(luò)安全的重要性，甚至已經(jīng)提升到了戰(zhàn)略地位的高度。在《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)的政策引導(dǎo)下，一定程度上也促使政企相關(guān)人士愈發(fā)意識(shí)到網(wǎng)絡(luò)安全亟需升級(jí)為數(shù)字安全的重要性。

 

對(duì)此，高瀚昭深有同感，并有著切身體會(huì)。他說(shuō)，他看到的是，尤其是在政府部門，以前安全往往都是IT部門的職責(zé)，現(xiàn)在已經(jīng)是政府主管領(lǐng)導(dǎo)和城市主管都很關(guān)注的事情。360在與眾多政府機(jī)關(guān)交流的時(shí)候，越來(lái)越感覺到他們重視安全，他們?cè)谥匾晹?shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化的同時(shí)，數(shù)字安全問題也成為越來(lái)越關(guān)心的點(diǎn)。

 

高瀚昭坦言，實(shí)話實(shí)說(shuō)，即便放到兩三年前，在與各省市領(lǐng)導(dǎo)交流數(shù)字經(jīng)濟(jì)相關(guān)問題的時(shí)候，對(duì)方也很少主動(dòng)提及數(shù)字安全。由此可以看出，政府部門領(lǐng)導(dǎo)的對(duì)數(shù)字安全的觀念看法，正在發(fā)生巨大的改變。數(shù)字安全已經(jīng)成為許多地方官員的職責(zé)重任，許多政府領(lǐng)導(dǎo)越來(lái)越認(rèn)識(shí)到，沒有安全基礎(chǔ)，他們的數(shù)字化發(fā)展會(huì)受到很大的制約。

 

當(dāng)安全不再只是經(jīng)濟(jì)利益的分內(nèi)之事，而是關(guān)乎國(guó)計(jì)民生、政府職責(zé)，那么，對(duì)于各類數(shù)字安全威脅的“看見”也變得尤為重要。“看見”能力的背后，往往是時(shí)間、人力、財(cái)力、智力等各類資源的重重堆疊。就像孫悟空若未在太上老君八卦爐中煉化七七四十九天，也不可能擁有能夠識(shí)別各種妖魔鬼怪的火眼金睛。

 

正如高瀚昭在“數(shù)字安全大腦生態(tài)合作及發(fā)展圓桌論壇”所講述的那樣，360基于數(shù)字安全大腦核心能力開啟生態(tài)賦能計(jì)劃，致力于幫助整個(gè)行業(yè)的所有合作伙伴實(shí)現(xiàn)產(chǎn)品和產(chǎn)品之間，廠商和廠商之間，云端和本地之間可以互聯(lián)互通，將360數(shù)字安全大腦的能力、企業(yè)自身產(chǎn)品的安全能力、生態(tài)產(chǎn)品的安全能力等多種能力協(xié)同一致、戰(zhàn)術(shù)統(tǒng)一，大幅度提高“感知風(fēng)險(xiǎn)、看見威脅、抵御攻擊”的能力。

 

數(shù)字安全，需要“看見”！