周鸿祎：网络安全不是一门“卖货”的生意

梦晨发自凹非寺
量子位报道 | 公众号 QbitAI

周鸿祎开口，总能出些金句。

还是熟悉的红色Polo衫，不同的是，这次更多的是自嘲：

360的盈利模式有点“奇葩”，不以卖货为目标，挣最“庸俗”的广告收入，然后每年在安全上投20到30个亿。

总之是够坦诚了，先鼓个掌????。

不过，为什么要这么绕？就不能直接卖货？

不瞒你说，单纯卖货这条路在网络安全行业还真走不通。

传统安全行业卖的货指防火墙、入侵检测系统、加密芯片、安全盒子等等。

这几种思路都很直接，相当于给自行车加了N把锁。

直觉上似乎是锁越多就越安全。

结果到2017年，出人意料的事情发生了：WannaCry勒索病毒正式登场。

勒索病毒的做法相当于不用费力撬你的锁，而是在车上又加一把锁。

这样不管你原来有多少锁，车都没法用了，想用的话就乖乖交赎金。

这下可好，整个网络安全行业都陷入了病毒名字上描述的那个情绪：Wanna cry，想哭。

其实勒索病毒本身只是问题的冰山一角。

真正令人警醒的，是网络安全已经成为像水、电一样必不可缺的要素。一旦出问题，就会像停水、停电一样严重干扰到公司业务运转和个人生活。

和业内所有企业一样，360开始思考如何面对新的挑战，最后得出的结论也很不寻常：

安全就不是一门生意。

不是生意是什么？

要说明白这个问题，先得来看看什么是生意。

比如说，手机就是一门生意。

手机行业喜欢讲的一个词是“友商”，其实就是美化了的“竞争对手”。

把同行叫做友商只是表面上缓和一下火药味，暗地里可还较着劲呢。

到了安全行业，情况则完全不一样。

在这里，主要矛盾不是同为防御一方的安全厂商们争夺客户，而是厂商和客户共同要面对的攻击一方——

从零散黑客到有组织网络犯罪，甚至外国网军。

360到现在累计捕获过来自46个国家级黑客组织的3600多万次攻击，涉及了2万多个攻击目标。

光今年上半年，就捕获针对我国发起攻击的APT组织(高级可持续威胁攻击)12个。

根据互联网应急中心发布的《中国互联网安全报告》披露，境外黑客组织“白象”在疫情期间冒充我国卫生机构对20余家单位发起定向攻击。

“毒云藤”组织长期利用伪造的邮箱文件共享页面实施攻击，获取了我国百余家单位的数百个邮箱的账户权限。

所以不用怀疑，这就是国际网络安全战，而且正在发生。

与盗取账号和情报相比，更严重的情况是线上与线下的界限已经被打破，网络攻击造成的伤害不再限于虚拟世界。

比如涉及电力、石油天然气、轨道交通、智能制造等重点行业的工业控制系统，一旦遭到攻击后果不堪设想。

这方面最典型的，就是5月份黑客组织DarkSide攻击了美国燃油管道系统，致使美国东海岸17个州进入紧急状态。

再比如，智能驾驶、智慧城市正加速走进人们的生活。

黑客攻击的目标将不只是你的手机和电脑，还包括你的车子、房子。

360将这种数字化时代的特征总结为“软件正在定义世界”，展开来讲就是“一切皆可编程、万物均要互联、大数据驱动业务”。

数字化让整个网络安全环境更加脆弱，安全风险无处不在。

黑客组织在这种环境下可用的手段，超乎你想象。

像最近刚刚发生的，全球第2大黑客组织REvil通过攻击一家管理软件服务商，间接的勒索了全球上千家公司。

这种手段叫做供应链攻击。只需攻击供应链上任意一个薄弱环节，甚至都不需要知道最终受害的公司名字叫什么，做的什么业务。

上演了一出现实版“毁灭你，与你何干”。

面对这样强大的对手，还在用卖安全盒子、抢市场这种生意思维做安全已不再适用。

对此，360提出要以“作战、对抗、攻防思维”来应对新的威胁。

这仗怎么打？

作战思维的一个关键是要关注真正的对手，把注意力从生意上的竞争对手转向直面真正的攻击。

单提供碎片化的安全产品只能解决已知的问题。面对无处不在的安全风险和不断升级进化的攻击手段，更重要的是形成安全能力。

那么360有什么能力？

360以免费杀毒起家，最开始不过是想着靠免费干掉竞争对手，后来也如愿以偿成了最流行的安全产品。

半路出家的360没有传统厂商的病毒库技术，就用前身做搜索引擎的积累搞云查杀，用搜索的方法发现攻击。

两者结合起来，让360意外地收获了世界上规模最大的安全大数据。

有着上亿级的用户，360成了全世界黑客绕不过的坎。任何黑客要在中国干坏事，就得拿360做测试，把病毒改到360不报警为止。

不过360很机智，即使不报警也会把这些没见过的攻击样本统统收集到云，再通过自动筛查和人工分析，又得到了超过300亿样本的攻击知识库。

在不断与天下黑客对抗的过程中又培养了一批超3800人的顶尖安全专家团队。

有了大数据+知识库+专家，再配合海量算力，360推出云端安全大脑。

通过安全大脑，在商业公司和民营公司里面，超过96%以上的国家级黑客都是360发现的。

有了安全能力，才是第一步。

要想让安全能力真正发挥作用，网络安全不能仅仅是数字化的附庸，更要成为数字化的基础。

为了让政府部门和企业真正感受到安全问题的重要性，360坚持做实网实兵实战的演练，不搞仿真。

讲一百遍不如打一遍，经历过真刀真枪后很多单位才能有意识把安全和业务紧密结合，让安全能力基础设施化。

有了基础设施，下一步要做的是持续运营。

周鸿祎将之比作医院。ICU、住院部门诊楼，这些是医院的基础设施。

但医院真正能给人治病还要靠持续工作的医生护士，以及挂号门诊、手术康复这些运营体系。

网络攻防归根结底也是人与人的对抗，攻击手段会不断进化，防守方也不能止步不前。

360把人才培养、漏洞挖掘能力、实战对抗能力等进行持续精细化运营，让安全基础设施能够面向未来持续运营。

有了持续运营的基础设施，最终要通过服务把安全能力推向一线。

360把自身的能力打造成一套安全能力框架，通过云端服务的方式帮助客户建立能力完备、可运营、可成长、可输出的安全体系。

360政企安全集团用了17个月的时间，在重庆、天津、青岛、鹤壁、苏州、郑州等10多个城市启动安全大脑和安全基础设施群建设，并与各大中央部委、央企、金融和运营商开展了合作。

未来：分布式安全大脑

就如前面所说，网络安全行业的对手不是同行，而是黑色产业和国际网军。

行业内各环节不能各自为战，如果A厂商的防火墙和B厂商的杀毒软件之间没有合作，那就像一个聋，一个瞎。

同样的道理，以地域为边界各管各的，也不是一个理想的状态。

对此，周鸿祎还在第9届互联网安全大会(ISC 2021)上提出了一个愿景：

未来要建立一套网络空间的“反导防御系统”。帮助各行各业建立自己的安全大脑体系，互相的数据可以查询，情报可以沟通，构建起一个国家级范围的分布式的安全大脑，真正提升整个国家对网络攻击的安全应对能力。

为了解释这一愿景，周鸿祎举了一个让人印象挺深的例子：

假设北京某单位发现一个可疑的访问，IP地址可以跨地域查询所属运营商，攻击行为可由云端安全大脑分析。

判定为威胁后，全国所有地区、所有行业、所有的网络设备都能收到封杀这个IP的指令，瞬间把这个威胁干掉。

要完成这么庞大的工程，肯定不能只靠360一家，得靠生态内的合作伙伴共同努力。

说到这里，周鸿祎又有新鲜观点：

生态这个词让一些人给玩坏了。真正的生态，不是一家企业在行业链上通吃。

每家企业各有所长，垂直领域的企业对各自的垂直方向的了解可能超过360，多样化也是行业创新的驱动力。

安全行业的一个特点是碎片化，每个行业、每种业务场景，只要数字化、只要联网就都需要安全。

360希望行业内熟悉具体业务的众多厂商一同参与生态建设，做到把安全能力框架与各种场景方案深度整合。

于是，在ISC大会现场除了华为、VIVO等科技巨头，山石网科、统信等安全头部企业，我还看到了各种垂直细分领域的近70家安全厂商都来参与交流。

有Authing身份云，是专做身份认证的。

有酷德啄木鸟，是专做源代码安全的。

还有易安联，是专做零信任解决方案的。

……

除了这些在各自领域已经取得一定成绩的厂商，360还联合多家投资机构举办了独角兽创新沙盒大赛。

一方面是让网络安全初创公司也有崭露头角的机会，另一方面也是希望能挖掘出更多引领安全行业未来发展的新方向。

正如360宣称的“不做生态的竞争者，要做生态的赋能者”。

9年来，ISC并没有被办成360的年会，而是举办了包括ISC创新独角兽沙盒大赛、HackingClub白帽峰会、千人生态大会在内的60多场特色活动，400多场主题论坛，真正被打造成为了一大行业盛会。

ISC大会办到了第9年，每一年都像这样以开放合作和平台和面向未来的视角把安全行业连接在一起。

能有这样一群人和企业以开放合作的心态做安全，不得不说是一件好事。