网络安全技术创新进入第三代——访360企业安全集团董事长齐向东
记者:“齐总您好,很高兴见到您,作为中国互联网安全的领军人物,请问您如何看待现在的网络安全环境?”
齐向东:“自互联网出现时起,就伴随着网络攻击。总结互联网过去三十多年的发展,我把网络攻击的浪潮分为了三个阶段。
第一次浪潮从1985年开始,个人电脑PC的普及,推动了信息化和工业自动化,引发网络攻击的浪潮。比如1988年,我国出现的第一例电脑病毒“小球病毒”,还有德国的“救护车病毒”。这些病毒是早期病毒的典型代表,但并没有那么大的伤害力和危害性,反而更像是搞笑的恶作剧。
第二次浪潮从2000年开始,这个时候互联网逐渐普及,攻击网民带来切实利益,引发第二次网络攻击浪潮。这次攻击浪潮中,流氓软件成灾,有用户的电脑中了十几款流氓软件,开机就要半个小时,开机后鼠标还不能正常工作。网络欺诈也开始流行,不法分子通过网络攻击掌握了大量网民的真实信息,对他们实施精准诈骗,成功率很高。
第三次浪潮从2015年开始,一直持续到现在,这个时期的网络攻击和以往完全不同。以前的网络攻击是偷隐私、偷钱财,现在主要是针对关键信息基础设施发起攻击。我总结了第三次网络攻击浪潮的三大特征:
第一,关键信息基础设施全面网络化,网络战可能取代传统战争。关键信息基础设施是经济社会运行的神经中枢,一旦被攻击,就可能导致交通中断、金融紊乱、电力瘫痪等问题,带来灾难性的后果;第二,网络攻击成为企业竞争手段。一些行业竞争者为了利益不择手段,通过DDoS攻击妨碍竞争对手的业务活动,打击对手的声誉,从中获取竞争优势;第三,网络攻击成为政治竞争的重要手段。2016年发生的希拉里“邮件门”是一个代表性事件,是导致希拉里由盛转衰的拐点,直接影响了2016年美国大选结果。
随着第四次工业革命的到来,人类社会步入人工智能时代。工业互联网、产业互联网、万物互联网高速发展,网络安全不仅仅关系到信息安全、财产安全,更关系到国家安全、社会安全、人身安全。”
记者:“谢谢齐总,让我们系统地理解了现在的网络安全环境。那么在目前的网络安全形势下,我们应该如何应对呢?”
齐向东:我们认为,网络安全防御现在必须进入到“查行为”的第三代核心技术体系。为什么叫第三代呢?因为在网络攻击的三次浪潮中,也随之诞生了三代网络安全技术。
第一代网络安全技术是“查黑”。网络攻击的第一次浪潮中,木马病毒数量有限、技术单一,所以主要是基于病毒库来进行查杀,也就是俗称的“黑名单”机制。进入网络攻击的第二次浪潮后,第一代网络安全技术变得力不从心。主要原因是木马病毒开始呈指数级爆发,样本海量化,第一代网络安全技术效率低下的弊端凸显,并且病毒还在不断进化,“黑名单”机制逐渐失效。
所以,我们首次把互联网技术应用于安全领域,创新推出了以“查白”为核心的第二代网络安全技术。我们应用了搜索引擎、云技术、人工智能等互联网技术,解决了白名单样本收集、样本快速识别、海量病毒分析等问题。这一代创新技术很好地解决了第二次网络攻击浪潮中的安全问题。微软每年发布的全球安全报告中,中国连续五年排名第一,恶意软件感染率仅为全球平均的六分之一。
现在,网络攻击进入第三次浪潮,各种已知、未知的漏洞防不胜防,好比我们守着正门,但是黑客采用其他方法走侧门。在这样的背景下,我们创新了第三代网络安全技术。
从2015年开始,我们就判断网络安全技术进入一个创新颠覆期。传统的围墙式防护体系过时了,新的安全体系正在成长中。我们在2015年到2017年连续三年的ISC大会上,提出了“数据驱动安全”、“协同联动,共建安全+命运共同体”和“人是安全的尺度”,强调数据、威胁情报和人的重要性。我们认为,新安全体系应该是数据分析驱动+威胁情报+网络安全人才。
为了推动新安全理念能得到广泛普及,我从去年开始,在多个场合反复提到网络安全的“四个假设”:假设系统一定有未被发现的漏洞,一定有已发现但仍未修补的漏洞,系统已经被渗透,和内部人员不可靠。
这四个假设充分表明,以往靠“黑名单”、“白名单”的安全防御手段都失效了。网络安全技术不能再绝对信任白名单,现在必须进入到第三代。
第三代网络安全技术是“查行为”。以尽可能全面地采集大数据为基础,以机器学习、人工智能的行为分析为核心,以威胁检测和应急响应为关键。“查行为”主要分为三个方面的内容:第一,通过威胁情报,确定攻击行为;第二,通过机器学习,建立行为基线;第三,对超出基线的可疑行为,进行响应。”
记者:“能和我们具体阐述下第三代网络安全技术吗?”
齐向东:“第三代网络安全技术的关键是威胁检测与应急响应。在进行威胁检测时,首先要尽可能全面地采集大数据,“以空间换时间”。网络渗透和攻击都会留下痕迹,在无法判断哪些行为是攻击的情况下,尽量多的对行为和数据进行记录。数据掌握的越多,检测的信息就越全,发现攻击的速度就会越快,这就是“以空间换时间”。
第二,用机器学习、人工智能的行为分析,建立三条基线。如果通过大数据获取到一个人在相当长一段时间的数据,就可以给这个人设立行为基线。同时,把曾经出现在黑名单上的电脑、IP地址、用户等数据,建立一条黑基线,把从来没有出现在黑名单的行为,再建一条白基线。通过建立这三条基线,我们就能实现最快速的威胁检测、最准确地告警和最及时地采取措施。这套体系很复杂,人脑肯定无法计算。所以,必须以机器学习、人工智能的行为分析为核心。
第三,以威胁情报为重要支撑,准确判定状态。360利用机器学习、人工智能的行为分析,从每天新增的海量数据资源中,形成了超过百份的威胁情报。这些情报能准确提供状态判定,用C&C域名匹配流量数据,确定失陷主机。还能损失评估,用后门程序同源样本,查更多失陷主机。同时,还能支持追踪溯源,比如从源头鱼叉邮件,找到更多中招邮箱和受感染设备。
在进行应急响应时,一定要以人为核心,这也是第三代网络安全技术的最终落脚点。”
记者:“去年的中国互联网安全大会(ISC)的主题就是“人是安全的尺度”,您刚刚又提到,人是第三代网络安全技术的最终落脚点,能具体谈谈您的理解吗?”
齐向东:“大数据、人工智能、机器学习、威胁情报等技术要素在服务威胁情报与应急响应时,最终都离不开人。第一,再聪明的机器,都无法替代人。机器人很热,人机大战也有很多传奇,但网络安全对抗是“不走寻常路”的智慧对抗。机器人的特长是对人类套路的模仿,靠超大计算能力。网络安全人才是特殊人才,是实力和计谋的融合。在近几年的RSA大会上,都有公司展示用人工智能识别网络攻击的技术,但还处于非常初级的水平,专家普遍认为它在未来也不会超过人类。
第二,人+机器,能极大提高战斗力。未来,漏洞数量会越来越多,危害越来越大。如果单纯靠人工、高手的手工作业,找出网络攻击就像大海捞针,是办不到的。所以,只能借助大数据、人工智能,扫描、辨识和阻断网络攻击的让机器做,而应对0Day、1Day等未知漏洞,或者其他新的攻击方法,需要用“人+机器”的方法,并且人起到关键性作用。
第三,机器辅助运营,需要更多干“脏活、累活”的人。安全运营不仅需要高大上的安全分析,更需要打补丁、配置安全策略、做基础架构、被动防御等干“脏活累活”的人。数据显示,我国最近三年培养的安全专业人才仅有3万人,不足70万需求的3%,预计到2020年,需求量将达到140万人。
360一直非常重视网络安全人才培养。我们在四川绵阳建设了网络安全人才培养绵阳基地,还和一些校企组建了360网络空间安全学院,希望能尽快填补这个缺口。”
记者:“目前,第三代网络安全的核心技术体系已经发展成熟了吗?能谈谈360在这方面的布局吗?”
齐向东:“经过三年努力,360目前已建成了比较完备的第三代“查行为”的核心技术体系,推出了态势感知系统、威胁情报分析、安全运营平台等一系列解决方案。
比如我们的网络安全态势感知系统,已经广泛运用到了公安、网信等行业监管和央企、部委的运营监管中,尤其在“十九大”、“两会”等重大会议期间,被有关部门选用于网络安全保卫工作的应急指挥技术系统。在去年爆发的5·12“永恒之蓝”勒索病毒事件中,这个系统也为公安、网信等领导部门指挥全国应急发挥了重要作用。”
记者:“谢谢齐总,非常感谢您今天能接受采访。面临日益严峻的网络空间安全形势,希望360的这套体系能引领未来信息革命的发展,提升我国网络安全防护水平。”
齐向东,内蒙古赤峰人,360公司创始人,360企业安全集团董事长,正高级工程师,长期从事网络空间安全领域的先进理论、技术研究工作,牵头开展了十余项国家、地市级网络安全重大课题研究。他领导创造了360杀毒的整体技术体系,主导了云防护、人工智能杀毒引擎等突破性技术问世,为保卫国家安全做出重大贡献。 2015年,他带领360企业安全集团进军企业安全领域,建设了一支能打硬仗的队伍,为我国网络安全提供了重要支撑。他创新提出“数据驱动安全”理念,在态势感知、追踪溯源等领域实现突破,成为我国安全产业的引领者。
相继荣获“2010年中关村高端领军人才”、“2012中国互联网年度经济人物”、“2013北京市百名科技领军人才”、“2013科技部创新人才”、“2013年全国关爱员工优秀企业家”、“2014年北京市优秀社会主义建设者”、“2014全国优秀社会主义建设者”、“2014全国优秀科技建设者”、”2015年北京市劳模”、“2016年国家‘万人计划’科技创新领军人才”等荣誉称号。
目前是全国工商联执委、北京市工商联副主席、北京市政协委员、北京市西城区人大代表、中国民营科技实业家协会常务理事长、中国网络空间安全协会副理事长,同时担任大数据协同安全技术国家工程实验室主任,并受聘为国家计算机应急处理中心反病毒联盟专家等。