文 | 搜狐科技 馬文玥

8月19日，以“應(yīng)對網(wǎng)絡(luò)戰(zhàn)、共建大生態(tài)、同筑大安全”為主題的第七屆互聯(lián)網(wǎng)安全大會在北京雁棲湖舉行，ISC大會主席、360集團董事長兼CEO周鴻祎在會上做了演講。

“網(wǎng)絡(luò)戰(zhàn)”一詞此前在互聯(lián)網(wǎng)安全和媒體宣傳領(lǐng)域鮮有提及。

周鴻祎表示，“網(wǎng)絡(luò)戰(zhàn)過去不讓提。我說網(wǎng)絡(luò)戰(zhàn)，他們說我是好戰(zhàn)分子”，最近這一話題不再敏感。

據(jù)他透露，今年已經(jīng)有很多國家對我國基礎(chǔ)網(wǎng)絡(luò)不斷地發(fā)起攻擊，其中關(guān)鍵基礎(chǔ)設(shè)施是重要戰(zhàn)場。過去五年里，360已發(fā)現(xiàn)針對中國的境外APT組織40個，涉及到上千個重要部門，能源、通信、金融、交通、制造、教育、醫(yī)療等關(guān)鍵的基礎(chǔ)設(shè)施和政府部門、科研機構(gòu)。

周鴻祎強調(diào)，必須用作戰(zhàn)的視角看待網(wǎng)絡(luò)安全，網(wǎng)絡(luò)戰(zhàn)已成為國與國之間戰(zhàn)爭的首選。網(wǎng)絡(luò)戰(zhàn)具有“整體戰(zhàn)、超限站、秘密戰(zhàn)”等特點。整體即在網(wǎng)絡(luò)戰(zhàn)里不區(qū)分軍用民用，國家、企業(yè)和個人;超限戰(zhàn)即沒有固定招數(shù)，例如安插內(nèi)部間諜、網(wǎng)絡(luò)設(shè)備出廠前設(shè)置病毒等;秘密戰(zhàn)即主要以長期的潛伏滲透為主要形式，很難溯源和取證。

他認為，要打贏網(wǎng)絡(luò)戰(zhàn)首先要構(gòu)建網(wǎng)絡(luò)安全大數(shù)據(jù)，記錄整個網(wǎng)絡(luò)空間里所有通信行為、包括企業(yè)和消費者個人;此外，還得構(gòu)建AI分析知識庫，在大數(shù)據(jù)中學(xué)習(xí)，從而篩選出可疑的因素;最為重要的是，網(wǎng)絡(luò)戰(zhàn)的本質(zhì)是人與人的對抗，高級別的攻防專家最后關(guān)頭有決定性的作用。

以下為周鴻祎演講全文：

網(wǎng)絡(luò)戰(zhàn)是一個敏感詞，過去不讓提。我說網(wǎng)絡(luò)戰(zhàn)，他們說我是好戰(zhàn)分子。我覺得要正視網(wǎng)絡(luò)戰(zhàn)的現(xiàn)實。最近網(wǎng)絡(luò)戰(zhàn)的話題開始變的不那么敏感，人民日報、新華社、光明日報都發(fā)多篇文章談某些國家對我們使用網(wǎng)絡(luò)戰(zhàn)。

APT24組織網(wǎng)絡(luò)武器里瞄準(zhǔn)中國12個機構(gòu)，2019年之前烏克蘭電網(wǎng)攻擊，伊朗震網(wǎng)病毒。2019年，停電發(fā)生多次，南美洲，俄羅斯電網(wǎng)被植入后門，伊朗號稱攻擊美國紐約電網(wǎng)。美國與伊朗互相打嘴炮，一個說攻擊導(dǎo)彈基地，一個威脅攻擊電力。2019年DEF CON大賽中，7名黑客2天內(nèi)攻破美國助理戰(zhàn)斗機F-15系統(tǒng)。北約今年舉辦最大的網(wǎng)絡(luò)安全演習(xí)，鎖盾2019，四千個虛擬軍事系統(tǒng)承受2000多次攻擊。網(wǎng)絡(luò)戰(zhàn)不是科幻小說或者美國大片里幻想的未來，網(wǎng)絡(luò)戰(zhàn)就發(fā)生在當(dāng)下。網(wǎng)絡(luò)戰(zhàn)每天都在發(fā)生，過去幾十年里和平幸福生活過太久，覺得戰(zhàn)爭離我們很遙遠。我覺得戰(zhàn)爭從來沒有遠離，必須意識到網(wǎng)絡(luò)戰(zhàn)的嚴(yán)峻形勢。如果像沙子里的鴕鳥一樣不承認網(wǎng)絡(luò)戰(zhàn)的存在，不能意識到網(wǎng)絡(luò)戰(zhàn)帶來的挑戰(zhàn)，根本談不上應(yīng)對網(wǎng)絡(luò)戰(zhàn)。

我強調(diào)的觀點，必須用作戰(zhàn)的視角看待網(wǎng)絡(luò)安全。網(wǎng)絡(luò)戰(zhàn)最大的特點，與傳統(tǒng)作戰(zhàn)不一樣的是，不宣而戰(zhàn)。傳統(tǒng)作戰(zhàn)分戰(zhàn)時平時，伊朗和美國說干這個，干那個的，這不是地道的網(wǎng)絡(luò)戰(zhàn)。網(wǎng)絡(luò)作戰(zhàn)最重要的是花相當(dāng)長的時間通過攻擊手段進行攻擊和潛伏，滲透到你的基礎(chǔ)設(shè)施網(wǎng)絡(luò)里，希望在關(guān)鍵的時候?qū)δ惆l(fā)起致命一擊。潛伏滲透本身也是網(wǎng)絡(luò)攻擊的一部分，談不上平時戰(zhàn)時。今年沒有任何國家對我們宣戰(zhàn)，但已經(jīng)有很多國家對我們國家基礎(chǔ)網(wǎng)絡(luò)不斷地發(fā)起攻擊。

網(wǎng)絡(luò)戰(zhàn)讓搞網(wǎng)絡(luò)安全人員應(yīng)對的對手變了。過去應(yīng)對的是內(nèi)部員工或者是竊取商業(yè)機密的友商，甚至是小毛賊，網(wǎng)上小黑客的黑產(chǎn)力量。今天，網(wǎng)絡(luò)戰(zhàn)的對手全部是各個國家成立的網(wǎng)軍，100多個國家成立了超過200多支網(wǎng)絡(luò)戰(zhàn)部隊，都是軍事級的技術(shù)，國家之間的對抗，這是國家級的黑客力量，國家級的對手入場。我們國家有一個技術(shù)特別牛的企業(yè)，六年前，它的郵件系統(tǒng)被NSA入侵，這是美國紐約時報揭露。很多人說這么牛的企業(yè)怎么會被NSA入侵。因為NSA代表全球最高水平的網(wǎng)軍力量，入侵一個民間企業(yè)有什么做不到的。

物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)以及現(xiàn)在談的產(chǎn)業(yè)互聯(lián)網(wǎng)帶來巨大機會的同時，到了萬物互聯(lián)時代虛擬空間和物理空間完美地銜接。過去所有在數(shù)字空間里的打擊都可以轉(zhuǎn)成物理世界的傷害。今天為什么網(wǎng)絡(luò)戰(zhàn)突然成了香餑餑?關(guān)鍵基礎(chǔ)設(shè)施成為未來的戰(zhàn)場，所有的網(wǎng)絡(luò)戰(zhàn)攻擊過去不僅僅是為了竊取情報，現(xiàn)在可以對交通、能源、金融等基礎(chǔ)設(shè)施發(fā)起攻擊，可以獲得比傳統(tǒng)作戰(zhàn)可能更好的破壞效果。

以色列專家有兩頁PPT和我的一樣，他說每一個系統(tǒng)等于可能被攻擊。我們強調(diào)一個觀點，很多人總是在兜售買了什么技術(shù)，買了什么系統(tǒng)就可以保證網(wǎng)絡(luò)高枕無憂，這是一個謊言。因為今天所有的網(wǎng)絡(luò)攻擊之所以能夠得手都是利用不知道的漏洞，利用不知道的漏洞可以神奇地控制電腦和主機，入侵網(wǎng)絡(luò)。技術(shù)漏洞，所有軟件硬件都是人做的，是人做的就會犯錯誤，每一千行代碼里會有四到六個錯誤。今天很多自動化的系統(tǒng)，云計算、大數(shù)據(jù)、人工智能有多少代碼，這里隱藏很多漏洞。這些漏洞無處不在，不可避免。人的漏洞，無論有多么嚴(yán)格的網(wǎng)絡(luò)安全的規(guī)定，每一個單位里有人會違反網(wǎng)絡(luò)安全的規(guī)定，會被社會工程學(xué)進行攻擊。因為有了漏洞，今天的系統(tǒng)一定會被網(wǎng)絡(luò)戰(zhàn)部隊攻進來，不存在攻不破的系統(tǒng)。我們必須切換假設(shè)，重新思考戰(zhàn)法。

按照前面的假設(shè)提出更加悲觀的論點，很多網(wǎng)絡(luò)里，與國防重要基礎(chǔ)設(shè)施，科研很多重要網(wǎng)絡(luò)里，是不是已經(jīng)存在著敵已在我的情況。敵人已經(jīng)進來了，已經(jīng)潛伏在你的基礎(chǔ)設(shè)施網(wǎng)絡(luò)里，只是你還不知道。

易攻難防。因為攻擊者很簡單，只需要兩個小伙子知道有一臺電腦，知道幾個漏洞就可以任意對一個國家的基礎(chǔ)設(shè)施發(fā)起攻擊。而防守方有成千上萬的技術(shù)人員，面對著浩如煙海的網(wǎng)絡(luò)設(shè)備都不知道從何下手。即使防守住一百次攻擊，進攻者一次得手，他就成功了。你防住了一百次的攻擊，但有一個地方疏漏被別人攻進來，你就失敗了。這會導(dǎo)致嚴(yán)重的攻防不平衡。今天來的都在考慮如何保護網(wǎng)絡(luò)基礎(chǔ)設(shè)施，我們將何去何從。

網(wǎng)絡(luò)戰(zhàn)是整體戰(zhàn)。不能不分軍用民用，傳統(tǒng)作戰(zhàn)可能還分一個目標(biāo)說只炸軍用目標(biāo)。大家知道網(wǎng)絡(luò)戰(zhàn)即使最后的目標(biāo)是攻擊一個國家基礎(chǔ)設(shè)施，也往往會從攻擊一個個人開始作為跳板，經(jīng)過一連串的攻擊鏈，最后才能達到目標(biāo)。在攻擊個人的時候，可能還會攻擊這個人經(jīng)常上的網(wǎng)站、經(jīng)常用的郵箱。在網(wǎng)絡(luò)戰(zhàn)里不區(qū)分國家、企業(yè)和個人，安全是一個整體。隨著互聯(lián)網(wǎng)的發(fā)展，我們越來越多地軍事上很多的基礎(chǔ)設(shè)施目標(biāo)和國家重要的設(shè)施目標(biāo)，越發(fā)難以隔離，他們會和互聯(lián)網(wǎng)緊密聯(lián)在一起。隨之帶來的問題，即使把自己保護的很好，但不怕神一樣的對手，就怕豬一樣的隊友。與你聯(lián)網(wǎng)的某一個供應(yīng)商或者與你聯(lián)網(wǎng)的某一個雇員，他的網(wǎng)絡(luò)有重要的安全缺陷被人攻陷，可能意味著你所有嚴(yán)防死守的網(wǎng)絡(luò)也會被攻陷。我和美國同行交流的時候問一個問題，我說美國人為什么傻，為什么五角大樓連互聯(lián)網(wǎng)，為什么不隔離。他們說我們后來連上波音，波音連上二級供應(yīng)商與合作伙伴。今天美國五角大樓還要用亞馬遜的系統(tǒng)。今天的互聯(lián)網(wǎng)環(huán)境下，聯(lián)網(wǎng)的誘惑非常大。整個網(wǎng)絡(luò)連成一個整體。做安全必須得有整體的頂層設(shè)計考慮，如果各個單位都是各自為戰(zhàn)，每個人只守住自己當(dāng)前的一畝三分地是不行的。因為其它人的不安全可能會連累你。

超限戰(zhàn)?，F(xiàn)在觀察到的攻擊手法，各種手段無所不用其極，沒有正的招數(shù)都是歪招，而且是綜合手段。很多單位覺得隔離有效，通過刻光盤傳遞數(shù)據(jù)?？痰墓獗P里放入一個病毒，我們覺得新買的設(shè)備總是沒有問題的。某國網(wǎng)軍在硬盤里植入病毒，總有一塊硬盤會賣到你家。某一個核電站隔離的很好，對方的網(wǎng)絡(luò)攻擊不會只用網(wǎng)絡(luò)攻擊的手段，會利用線下間諜的手段買通一個清潔工或者說內(nèi)賊，把一個設(shè)備插入內(nèi)部的電腦網(wǎng)絡(luò)。網(wǎng)絡(luò)戰(zhàn)的手段是多元的，而且今天美軍已經(jīng)率先把全域作戰(zhàn)的概念提出來，陸?？仗炀W(wǎng)，多種情況下的作戰(zhàn)形式綜合使用。

秘密戰(zhàn)。網(wǎng)絡(luò)戰(zhàn)可以在瞬間致癱基礎(chǔ)設(shè)施，前提是要通過長期的謀劃及滲透，有一個攻擊鏈。因為是國家級的團隊，用的都是0-day的漏洞。網(wǎng)絡(luò)戰(zhàn)的攻擊和傳統(tǒng)的攻擊相比看起來顯得更為隱秘，來無影去無蹤，很難溯源和取證。

未來網(wǎng)絡(luò)戰(zhàn)將成為國與國角力的首選，成本低，效果好，烈度可控。連反擊都不知道找誰反擊。美國和伊朗互相揚言攻擊很多次，最后導(dǎo)彈不舍得打。雙方最后選擇在網(wǎng)絡(luò)戰(zhàn)上近來角力。未來下一個五年會看到越來越多與網(wǎng)絡(luò)戰(zhàn)相關(guān)的安全威脅。

為什么今天旗幟鮮明地講出網(wǎng)絡(luò)戰(zhàn)?對每一個做網(wǎng)絡(luò)安全的人來說代表了全新的挑戰(zhàn)。對手變了，作戰(zhàn)目標(biāo)變了，戰(zhàn)法變了。原來很多成立的假設(shè)，我們的網(wǎng)絡(luò)固若金湯，我們的隔離有效，現(xiàn)在什么都變了。我現(xiàn)在強調(diào)敵已在我，可能在你的內(nèi)部網(wǎng)絡(luò)已經(jīng)有別人的潛伏。傳統(tǒng)的通過不斷地購買更多安全軟件，構(gòu)筑馬奇諾防線的戰(zhàn)法已經(jīng)失效。一戰(zhàn)時非常有效果，但二戰(zhàn)對付不了轟炸機和裝甲集群和閃電戰(zhàn)。今天網(wǎng)絡(luò)戰(zhàn)的情況下，傳統(tǒng)網(wǎng)絡(luò)安全的戰(zhàn)法確實需要升級。否認面對網(wǎng)絡(luò)戰(zhàn)，我們將無以應(yīng)對。

360分享一個觀點。網(wǎng)絡(luò)戰(zhàn)最關(guān)鍵的是看見。我們分析最近五年國內(nèi)所有網(wǎng)絡(luò)安全事件，全世界發(fā)生的網(wǎng)絡(luò)攻擊。我們發(fā)現(xiàn)最可怕的一點是別人來了你不知道，別人走了你也不知道。干了什么也不知道，留了什么也不知道。如果我們不能解決看見網(wǎng)絡(luò)攻擊的問題，堆砌再多的網(wǎng)絡(luò)軍火，堆砌再多的網(wǎng)絡(luò)產(chǎn)品，打仗沒有雷達像睜眼瞎一樣，有再多的導(dǎo)彈也看不到別人的隱身飛機在哪里，談何溯源，談何反制?？匆妱e人的網(wǎng)絡(luò)攻擊，看見網(wǎng)絡(luò)戰(zhàn)的攻擊是1，其余都是0。

如何看見?網(wǎng)絡(luò)安全大數(shù)據(jù)是看見的基礎(chǔ)，網(wǎng)絡(luò)安全大數(shù)據(jù)可以記錄整個網(wǎng)絡(luò)空間里所有正常軟件的通信行為，也包括不正常的行為。只有企業(yè)的數(shù)據(jù)是不夠的，網(wǎng)絡(luò)攻擊不僅僅是攻擊企業(yè)，會從攻擊個人消費者開始入手。我們必須考慮要有全網(wǎng)的數(shù)據(jù)。只有最近幾天的數(shù)據(jù)也是不夠的，因為剛才講了網(wǎng)絡(luò)安全的攻擊時效周期很長，有的謀劃長達幾年，潛伏期也很長。只有把全網(wǎng)所有發(fā)生的事情在各種維度上看才能真正地知道網(wǎng)絡(luò)空間里發(fā)生了什么。我記得在前幾屆ISC上講過一個觀點，今天越來越多的網(wǎng)關(guān)上的流量看不到，因為都是加密的流量。某國網(wǎng)軍因為有加密算法的強度攻擊，他們解開更多的流量。我們現(xiàn)在看到的行為越來越少，但終端可以采集到程序奇怪行為，可以幫我們更好地反映攻擊的本質(zhì)。網(wǎng)絡(luò)安全大數(shù)據(jù)是看見的基礎(chǔ)，今天滿大街有很多的攝像頭，記錄下來每一個片段，當(dāng)把這些片段的碎片放在一起才能還原出很多犯罪事件及攻擊事件。

AI的前提是要有知識庫，威脅情報和知識庫是最重要的核心，它幫助我們在大數(shù)據(jù)中學(xué)習(xí)，從而篩選出可疑的因素。漏洞，因為所有的攻擊都要利用漏洞，可以理解為什么很多的網(wǎng)絡(luò)安全公司根本不玩漏洞也不影響賣產(chǎn)品。360過去幾年發(fā)展成為全世界挖掘漏洞最多的公司，每一個漏洞給我們提供很多知識。誰利用了漏洞，如何利用漏洞，這都代表了一種攻擊的手法。APT的攻擊行為，APT攻擊鏈上可以把行為分成幾十個階段，這幾十個階段什么樣的行為做什么，這里的知識可以幫助我們發(fā)現(xiàn)更多的攻擊。惡意樣本和惡意網(wǎng)址的知識，惡意樣本哪怕有上百個，最后的模式是可以進行分析。

有了大數(shù)據(jù)和知識庫，網(wǎng)絡(luò)戰(zhàn)的本質(zhì)是人與人的對抗。高級別的攻防專家最后關(guān)頭有決定性的作用。網(wǎng)絡(luò)戰(zhàn)的層面，AI短期內(nèi)起不了決定的作用，起決定作用的依然是雙方高水平的網(wǎng)絡(luò)攻防人員。當(dāng)我們利用大數(shù)據(jù)、知識庫篩選出可疑的入侵信號以后，妄想靠任何自動化的軟件自動發(fā)現(xiàn)阻斷是不可能的，我們需要高水平的安全專家。通過專家快速地響應(yīng)，快速在實戰(zhàn)中的分析，從而能夠發(fā)現(xiàn)和定位攻擊，才能做到對攻擊進行阻斷和溯源以及止損。

360的實踐。過去的十年里，是世界上擁有最大安全大數(shù)據(jù)的公司，2B安全大數(shù)據(jù)。360擁有全球最大的威脅情報和知識庫，特別是我們是全球挖漏洞最多的公司。我們有幾千名專業(yè)的安全專家，12個安全研究中心，17支攻防團隊。最近國際上有一個黑客的排名大賽，360榮獲第一名和第二名。我們構(gòu)成網(wǎng)絡(luò)安全大腦，使得它能夠真正地看見更多國家級的網(wǎng)絡(luò)攻擊，實現(xiàn)防御智能升級。在5G時代，阿里做智慧城市大腦，谷歌有谷歌大腦。今天的網(wǎng)絡(luò)戰(zhàn)時代要有跨時代的網(wǎng)絡(luò)安全大腦，才能幫助我們更好地解決看見的問題。

360過去的五年里，我們率先獨立發(fā)現(xiàn)針對中國的境外APT組織40個，涉及到上千個重要部門，能源、通信、金融、交通、制造、教育、醫(yī)療等關(guān)鍵的基礎(chǔ)設(shè)施和政府部門、科研機構(gòu)。我們發(fā)現(xiàn)了主流廠商漏洞超過1500個，獨立捕獲7次0Day漏洞。我們看到很多國與國的攻擊，背后都是其它國家的網(wǎng)軍。360競爭對手不是在座的大家，而是其它國家的網(wǎng)絡(luò)戰(zhàn)部隊。

360重返企業(yè)安全，很多人不理解，有的以為我們放棄企業(yè)安全。不是的，我們重返企業(yè)安全。還有的以為重返企業(yè)安全與所有的同行競爭成為行業(yè)公敵，錯了。我們的定位很簡單，進軍企業(yè)安全要干點非360莫屬的事，我們?yōu)辄h政軍企提供安全服務(wù)。定位在國與國網(wǎng)絡(luò)戰(zhàn)下的，幫助大家基礎(chǔ)設(shè)施，幫助企業(yè)和國家能夠看見攻擊，阻斷攻擊和修復(fù)系統(tǒng)的能力，這是360的使命和定位。

光靠360解決不了整個網(wǎng)絡(luò)戰(zhàn)的問題，還做三件事。第一，共建分布式安全大腦，很多單位有自己的大數(shù)據(jù)，我的大數(shù)據(jù)不可能給你，你的大數(shù)據(jù)也不可能給我。我們會輸出分享網(wǎng)絡(luò)安全大腦的大數(shù)據(jù)分析技術(shù)，幫助政府部門基礎(chǔ)設(shè)施企業(yè)，也幫助生態(tài)伙伴打造自己的安全大腦。自己掌控自己的網(wǎng)絡(luò)安全大數(shù)據(jù)，也具備很強的分析能力。今天講大數(shù)據(jù)，不求擁有和拷貝，但求互相查詢。像分布式的雷達防御系統(tǒng)一樣，每個人可能都能夠看到網(wǎng)絡(luò)里發(fā)生的碎片事件，但當(dāng)我們把碎片拼起來的時候能夠告訴國家又發(fā)生怎樣的網(wǎng)絡(luò)戰(zhàn)攻擊。第二，分享威脅情報和知識庫。360最重要的就是由大數(shù)據(jù)產(chǎn)生的威脅情報和知識庫，并不是傳統(tǒng)安全的產(chǎn)品就過時無用。傳統(tǒng)安全的很多產(chǎn)品，防火墻和終端軟件也需要升級。360會向友商分享威脅情報知識庫，幫助傳統(tǒng)的網(wǎng)絡(luò)軟硬件產(chǎn)品升級。每一個網(wǎng)絡(luò)安全產(chǎn)品在背后都有網(wǎng)絡(luò)安全大腦，都可以得到最新的網(wǎng)絡(luò)威脅情報的時候，我們所有的老產(chǎn)品及新產(chǎn)品一塊能夠聯(lián)合起來都能夠發(fā)現(xiàn)威脅，阻斷威脅。第三，賦能客戶。過去解決的是小安全問題，我們給客戶琢磨賣點東西，客戶再弄幾個網(wǎng)管可以解決安全問題。到了網(wǎng)絡(luò)戰(zhàn)時代，客戶面臨的網(wǎng)絡(luò)威脅是專業(yè)的軍事力量。我們希望給客戶賣點東西就解決安全問題嗎，這是閉門造車。最重要的不是給客戶賣東西，而是如何提升客戶應(yīng)對網(wǎng)絡(luò)戰(zhàn)的能力。如何幫助客戶建立應(yīng)急響應(yīng)隊伍，如何通過實戰(zhàn)攻防幫助客戶提升應(yīng)對能力，如何幫助客戶利用眾包把中國甚至是全世界的優(yōu)秀安全人員發(fā)動起來幫助你找漏洞以及修補漏洞。如何幫助大家培養(yǎng)自己的人才。武器不是萬能的，今天賣再多的安全產(chǎn)品，如果每一個單位的基礎(chǔ)設(shè)施不能建立核心的網(wǎng)絡(luò)安全應(yīng)對力量，不能建立起自己的安全應(yīng)對體系，不能建立自己的靶場，不能建立自己的培訓(xùn)體系，只是買了一堆產(chǎn)品就夢想著可以應(yīng)對網(wǎng)絡(luò)戰(zhàn)是不現(xiàn)實的。我們未來不賣產(chǎn)品，只是安全服務(wù)的搬運工。