360集團首席安全官杜躍在經濟觀察報主辦的2021數字化轉型與創新峰會中表示,我們數字時代面臨的安全危險,就是安全挑戰急速地擴張到很多很多的新領域,在沒有準備好的情況下,就像打開了潘多拉的魔盒。這裡面也孕育著機會,這個機會就是安全正在被重新定義。贏得未來的數字安全,需要懂大資料技術、有人工智慧技術、懂安全和業務;適應數字時代需要的基本能力是快速,更有效,更開放地學習能力;持續創新的能力;調整適應的能力。杜躍進認為,適應這個時代,必須是大範圍開放協同創新的方式來實現持續創新。
以下是演講內容精選:
大家好,我今天彙報的題目叫《數字安全的覺醒時代》。從2020年上次參加這個峰會到現在2021年的年底,我們到底看到了什麼,首先我還是非常想跟大家分享一下去年在經濟觀察報的峰會上面我的演講,去年我的題目叫做《數字時代的安全危機》,特別講了我們數字時代面臨的安全危險,用一句話來講就是安全挑戰急速地擴張到很多很多的新領域,完全沒有準備好,所以叫做潘多拉的盒子被打開了。危機裡面同時孕育著機會,這個機會就是安全正在被重新定義。所以我們有可能找到很多全新的方法,同時安全將逐漸成為全社會各個行業,各個企業,各個國家的剛需和競爭力。在此分享我對如何贏得未來數字時代安全的幾個關鍵的鑰匙。
第一把鑰匙,我們認為在數字時代的安全,它是要融入業務的安全。實現協同的能力,有幾個關鍵詞,第一是融入業務,第二是要能夠實現協同,第三是非常關鍵的,是一個能力的體系。
第二把鑰匙,是在這個能力體系裡面是有一個核心的,這個核心就是安全大腦,安全大腦用最精簡的話來定義就是實現大連線,大資料,大計算和大協同。
第三把鑰匙就是安全能力一定需要可衡量,並且要能夠持續成長的,要不斷地進化,才能實現不斷地適應新環境,不斷地實現“魔高一尺,道高一丈”。
一年過去了,從2020年,我在這個會議上跟大家彙報的結論,今天看看到底是怎麼樣了。從去年11月開始,我挑幾個影響力非常大的事件簡單總結。2020年的12月,爆出了一個巨大的事件,其實是一個供應鏈的安全問題。在軟體世界裡,某公司的產品被用在各種行業裡面,結果這個產品被爆出來發現漏洞,也就是說透過這個零部件就可以入侵到系統,入侵了多少?到2021年1月份的時候初步調查是美國至少有超過1.8萬個非常重要的部門受到這件事情的影響。這是一個典型的供應鏈的安全問題,在我們不知道用的什麼東西里面出了問題,就會引起非常嚴重而廣泛的安全問題。
另外一個事件,今年的5月7號,美國東部的一家燃油輸送管道公司,被透過網路來實施攻擊,導致業務中斷,中斷了六天多的時間,,攻擊方勒索500萬美元。當時相關交通部門宣佈進入緊急狀態,因為除了油價上升之外,燃油不能供應了,影響是非常重大的。這件事情引起了全世界的軒然大波,我當時接受媒體採訪的時候曾表示,第一,美國是全世界網路安全能力最強大的國家,面對這種攻擊,美國依然束手無策,對於中國來說是一個非常重要的一個提醒;第二,我當時預言認為,這類攻擊馬上就會進入爆炸性的增長,而後大家看到這類事情開始非常快的蔓延。美國為了應對這種勒索攻擊,在全球成立聯盟,專門針對如何打擊這種攻擊來進行討論,也沒有太好的辦法。勒索攻擊到目前儼然成為當前特別主要的一種攻擊方式。
到了今年的12月,一個核彈級的漏洞被報告了。什麼叫核彈級的漏洞?全球有一個標準,就是對一個安全漏洞它的評級的嚴重程度的標準,這個漏洞的標準被評為最高階,它是什麼?它是開元元件裡面的一個漏洞,而且是一個影響使用極其廣泛的,基礎性的開元軟體裡面被發現了極其嚴重的漏洞,基礎到什麼程度?就好像我們所有的人都離不開碳原子,結果碳原子裡面沒設計好,出了問題了,幾乎所有人都受影響。我們幾乎所有的網站在駭客面前就是徹底開放了,人家隨便幹什麼,所以這個東西在12月份被曝光之後,很快被發現有人開始在利用它攻擊,所以全世界進入到一個極其混亂的,極其狼狽的應對階段。以上幾個舉例表明,安全事件的影響,在更大的範圍,更大的領域裡面,用更深刻的方式發生著。
同時我們還看到了各種各樣的應對動作。美國國防部在2020年11月30號開始宣佈用五年的時間來落實網路安全的能力成熟度的要求,今年的4月份,美國國防部推出網路安全能力成熟度模型認證,叫CMMC。去年我在這個會議上彙報了關於能力的幾個關鍵字,能力體系,能力的衡量,能力的持續成長。同樣,美國的國務院體系,美國的能源部,在今年的7月底的時候,正式釋出網路安全能力成熟度模型的2.0版,叫C2M2,他們的核心思想都是一樣的,他們在轉向網路安全的能力成熟度的概念。
觀察歐洲,在去年的12月份,歐洲網路與資訊保安局,ENISA,釋出國家網路安全能力評估框架,他們在用這個框架對歐盟的各個國家,也對其他國家的網路安全能力進行評估。
我們再來看看中國,恰逢十四五的第一年,今年11月16號,工信部的十四五規劃裡面,有資訊通訊行業發展規劃,在安全方面提出了四大工程,其中一個叫網路安全智慧大腦工程,從2020年,我們認為安全大腦將成為新一代網路安全能力體系裡面的核心,到現在,除了工信部之外,還有很多的部委,很多的行業都開始在啟動安全大腦的建設,我們也是看到了這個趨勢是正在發生。今年的12月份,中國管理科學學會,評選 2021中國管理年度價值案例,在這個案例裡面,排在第一名的是基於成熟度理念的區域網路安全能力評估,這個模型也是我們來做的,其實翻譯下來就是城市網路安全能力評估的標準框架。我們看到了這一年發生的安全事件,安全威脅的變化,它是符合我們之前的預期的。我也看到了世界各個不同的地方,不同的領域,大家對安全的未來的走向,有趨向一致的地方,那就是能力,能力成熟度等。在我最經典的定義是,數字時代的安全就是數字安全。
在今年的烏鎮網際網路大會上面的主題開始,我們國家開始提出數字文明的概念。隨後在中國網信辦釋出材料裡面也提到了,提升全民數字素養的問題,從這個時候開始,數字安全,數字文明,數字素養等,就變成熱詞。我們今年還有很多別的熱詞,元宇宙等等,它的本質的規律都是一樣的,就是我們正在迎來的第四次工業革命後半場給世界帶來的變化,是現實世界和虛擬世界的融合。特別是經過了這一次工業革命的20年左右的時間的融合,我們開始對它看到更多的可能性和更多的挑戰。
總的結論是,我會把它分成三個階段,從我們過去說虛擬世界是對現實世界的對映或者是映象,這是第一個階段,如何對映的更加深刻,準確,靈敏。第二個階段,兩個世界開始互動,我們其實也已經一定程度上在同時進入到這個階段,然後我們將會進展到第三個階段,兩個世界會相互增強,由於數字世界,虛擬世界的工作,讓我們對現實世界的影響能力增強,反之亦然。
在這個趨勢下,對於安全,最大的挑戰就是這個融合世界的安全。我們傳統講得網路安全,正在講的資料安全,正在發生的人工智慧安全,正在發生的工業製造,工業網際網路,智慧城市,智慧醫療等等,所有的這些各種業務領域的安全,變得全都是互相深度影響,互相不可分割,這個是我們今天說的數字安全,所以並不是某個領域的安全,而是一種融合世界的安全。
在安全領域我們觀察到了什麼,第一,新領域受到“蓄意破壞”的安全威脅快速增長。 第二,安全大腦被認可和接受了,大家開始逐漸地認識到安全不是隻靠安全產品就能保障的,安全是需要用新的東西來保證。第三,能力和能力的成熟度迅速升溫,我們國家出了很多的標準,都開始用能力和能力成熟度,剛才也看到很多國家也都在全面轉向,因此我有一個大膽的結論,在安全領域裡面,能力主義的時代馬上就要到來了。最後我們可以看到,數字安全這個概念開始被接受了。
贏得未來數字安全的“密碼”
我認為要想贏得數字安全,需要四個最重要的基本功。
第一要懂大資料技術,所有的領域都離不開大資料和資料驅動,在解決未來的數字安全的各種挑戰的時候,同樣離不開大資料技術。
第二個基本功,要有人工智慧技術,大資料是無法用人的肉眼來簡單看看就能得到結論的,大資料離不開人工智慧技術的支援,我們才能夠把大資料裡面的價值挖掘出來,我們才能夠讓大資料幫助我們發現更深層次的威脅,找到更本質的風險,才能有效地應對它。
第三,懂安全,但是這個安全要一分為二,這個安全是兩種安全的組合,我在去年的演講裡面也講過,《牛頓定律》和《孫子兵法》都需要,《牛頓定律》揭示的是自然世界的規律,我們工廠的裝置失靈,自然環境的對抗等等,材料的老化等等,這都是屬於這個領域的;同時還需要能夠應對蓄意破壞,特別是虛擬世界跟現實世界打通之後,來自虛擬世界的看不見,摸不著的人類的蓄意破壞,我們把它叫做社會科學領域的東西,我把它叫做《孫子兵法》領域。當我們在今天講安全的時候,基本是這兩個組合在一起的安全。
第四個基本功是業務,一定要結合到業務才可以,我們所有的安全到最後保障的是業務的安全,所以業務的支援不具備,就不可能做好數字安全。如何擁有這四個基本功,簡單說結論的話,要靠生態,沒有任何一家公司或者是一家企業同時具備這四項基本功,有些公司可能會具備的多一點,有些公司可能會具備的少一點。
適應數字時代的基本能力
適應數字時代需要三大基本能力,不僅適用於安全行業,對於其他行業也都一樣,是我認為比較重要的幾個。
第一,需要能力,辦法非常快,跨界非常多,變化非常複雜,你能不能夠突破自己原來的領域,能不能夠更快速,更有效,更開放地學習,這是適應這個數字時代的第一要務,有沒有這樣的能力。
第二,持續創新的能力,學習的目的是為了適應這個世界,找到新的道路,你能不能學以致用,能不能夠創新,並且持續地創新,找到新的方法。
第三個能力是調整適應的能力,我們在未來20到30年到需要不斷地調整自己的方式,調整自己的思維,調整自己的業務模式,調整自己的理念等等,你調的很慢,就會被這次工業革命淘汰,你調的很快,這次工業革命可能就會為你帶來巨大的機會。
一大關鍵路徑,我認為是適應這個時代最重要的,就是新時代的“舉國機制”,只是借用這個詞,並不是過去那種方式,它必須是大範圍開放協同創新的方式來實現持續創新,來實現更好地調整和適應,更好地嘗試新的方案方法。
嘗試與實踐
過去這一年,我們做了大量的實踐,也證明了這條道路應該是正確的,一個案例是從2021年的3月份開始,我們開始策劃,發起成立了數字安全公開賽,到今年的12月份,我們成功完成了第一屆數字安全公開賽的比賽,我們的收穫是非常好的,效果極其顯著。我們用了三個國家級的平臺,分別來實現這個領域的專業化的組織,這個領域就是我們說的數字安全,專門聚焦數字安全賽道。
我們在今年出了三道,這都是來自真實需求的題目,需要用到人工智慧和大資料的,真實的題目。
第一道是人工智慧的技術用於我們傳統的網路安全領域的對抗。現在的攻擊越來越高階,現在我們僅僅360手裡掌握的各種各樣的攻擊的樣本有將近300億條。當發生了一個新的攻擊的時候,經常是需要拿它和過去的這些樣本做各種各樣的分析的,還要快,所以人工智慧技術非常重要的。我們在這次題目之一就是用人工智慧的技術來輔助我們分析,非常有意思的是,1604支全國的參賽隊,分佈在31個省都有人參加,1604支參賽隊,最後有15支隊伍,每個賽題由前5名進入到最後的決賽,得第一名的不是我們的傳統方法,這也是說的今天的創新,其他領域的人用了完全不同於我們思維的方法取得了最好的效果,這個效果不是裁判打分出來的,是真實跑出來的。
第二個題目是反詐,反炸是面臨著我們和詐騙團伙之間各種各樣極其複雜的技術對抗的,其中一個就是對反詐領域裡面各種各樣變體字的識別,用人工智慧的技術來實現。我們這道題也是,前5名效果也是超出預期,這個領域的專家也都是極其佩服地說他們的想法,他們的做法超出原來的想象,開拓思路,非常厲害。
第三道題也是現實中的問題,在工廠,智慧化工廠,數字化工廠裡邊有各種各樣的安全要求,但是你不可能全靠人在那看著,需要用影片分析技術來看,在複雜場景的情況下,背景非常複雜,人也會動,你能不能夠識別這種違規行為,這也是現實中真實的題目,我們花了大量的時間來尋找真實的題目,為這些題目準備資料,準備場景。
1604支隊伍,來自全國各地,15支隊伍進入到決賽,最後得到的結果非常好,而且這裡面非常有意思的是70%的參賽隊伍都不是計算機專業的,這也是證明了一個跨學科的,這是我們第一屆的比賽,我們信心十足,將來會持續做這個比賽,尋找更多真實的問題,建立更多真實的資料、場景、知識,把這個持續開放創新的平臺打造的更加深入,吸引全國,甚至是全球更多人參與,這就是適應數字時代安全領域裡面的開放協同創新的一條路徑。
另一個案例是我們的護航計劃。從2020年第一季度開始籌備,到2021年的12月終於完成了第一次的比賽。我們今天用的開元軟體,應用於供應鏈裡面,可能有各種各樣的問題,如果不被知道和研究,當攻擊者利用它的時候,你是沒有任何的還手之力的。我們國家在過去這兩年來,做了大量的資訊科技創新的工作,有數千家廠商正在各種各樣的資訊化的領域裡面推出他們的產品,服務,這些產品,服務,安全性怎麼樣?我們過去做的工作是不太多的,過去,我們的安全研究人員全都在瞄著全世界最領先的那些國際性企業的產品,去發現他們的安全問題,幫助這些產品和使用者修復這些安全問題。可是我們自己反而是重視度不夠。我們用兩年的時間將挑戰賽落地,吸引了全國88支非常專業的長期從事網路安全的隊伍來參賽,選擇了19支進入到最後最後的稽核校驗和確認過程中,我們為他們準備了,籌措了300萬獎金,因為你必須要把整個生態帶動起來,要讓大家願意來做這件事情才行。
這次的效果還是很好的,大家參加都很踴躍。更好的是,我們國內的資訊科技創新的廠商開始逐漸認識到安全不是不讓別人碰才是安全的,更好的安全,更對使用者負責的安全是真正開放出來,讓大家幫助自己來找找問題,讓大家用開放的協同創新的方式幫助自己不斷地提升產品的安全性,所以這次嘗試非常可喜,20多家國內的資訊科技創新廠商提供了36款的產品,挑戰賽的結果是這些廠商非常開心,我們幫助他們找出很多問題,關鍵是這個生態會形成,會有更多的人幫助他們找問題,讓他們安全設計水平越來越高,這是介紹的數字安全的兩個協同開放創新的案例。
我今天的彙報就到這裡,我們相信,我們未來是需要用安全來確保的,謝謝大家。
觀看論壇完整影片,請登陸直播連結:
http://www.eeo.com.cn/autozt/7c6fc2ec-cf66-509b-1227-0779bea73280/
