360 資安長談 5G 時代的安全議題:9 個確定與不確定

0
2233
圖片來源:「5G+」智慧安全融創發展論壇暨 2019 網絡安全「金帽子」年度盛典

我們還會處在快速變化和充滿不確定的世界裡面至少 30 年 。如何適應這樣一個世界,變成每一個人必須思考的問題。360 集團資安長杜躍進圍繞 5G 時代下的「安全的確定與不確定」做了主題演講。

史蒂芬·史匹柏的作品《頭號玩家》向我們展示了一個未來科技生活的樣貌,每個人只要佩戴「綠洲」遊戲傳感器,就可以完全生活在線上遊戲世界,在遊戲世界裡夢想也觸手可及。

圖片來源:Warner Bros. Pictures

但電影終歸是電影,回到現實,5G 依舊是一個不確定的因素,而這種不確定性會帶給各行各業特別大的挑戰,因為安全和所有東西都相關。

1 月 11 日,「5G+」智慧安全融創發展論壇暨 2019 網絡安全「金帽子」年度盛典在北京舉行,360 集團資安長杜躍進圍繞 5G 時代下,安全的確定與不確定做了主題演講。

360 首席安全官聊 5G 时代下的安全:9 个确定与不确定
圖片來源:雷鋒網

杜躍進認為 5G 帶動了網絡環境的巨變,推動智能化的全面和深入發展。進一步實現了網絡世界和物理世界的融合,推動安全被重新定義。而客觀上邊界的消失,造成攻擊者僅需一點突破即可「內網漫遊」。嚴重的資源不對稱,也會對受攻擊方造成大量隱患。

所以在他看來,我們需要升級到「智慧時代」,而安全大腦是實現智慧安全的基礎,解決問題離不開持續高水平的安全服務,首先要完善企業頂層設計,給予人員最佳實踐學習機會。透過定製化的威脅情報和威脅應對支持服務,對企業系統化和持續的培訓,以及專業、規範和持續的實網攻防與演練、系統化的漏洞發現和管理,專業的安全營運和應急響應,以此幫助組織建立更加完善的安全體系。

以下為演講全文:

我們都非常不喜歡不確定性,不知道明天會怎麽樣,所以我們都很焦慮。

一方面,國際形勢會對安全本身造成影響,比如說中美貿易戰、英國脫歐等,世界經濟也處於疲軟狀態, 正是這種國際因素的不穩定性,讓大家莫名的感到恐懼,所以很多人都說不安全,但沒有人知道為什麽不安全。

360 首席安全官聊 5G 时代下的安全:9 个确定与不确定
圖片來源:「5G+」智慧安全融創發展論壇暨 2019 網絡安全「金帽子」年度盛典

另一方面,從安全本身來看,幾乎每天我們都會聽到各種各樣的安全事件發生,勒索病毒、數據洩漏、黑灰產、漏洞威脅等,但市面上的安全產品眼花繚亂,安全觀點林立,我們更不明白到底什麽才是安全的 產品,所以這造成了更大的不確定性恐慌。這樣估算下來,至少還有 30 年我們會處在這樣快速的變化和不確定的世界裡面。我們如何適應這樣一個世界,變成每一個人必須思考的問題。

適應這樣的世界,個人認為需要在這種不確性裡面找到那些確定的東西,只有這樣才能讓自己時刻保持 清醒,保持進步。

第一個是安全行業本身的確定和不確定,確定的是安全公司一定是更被需要的,不確定的是有些企業被忽悠買了無效的安全產品卻不知道問題出在哪,或者認為安全公司是騙子解決不了問題。

安全這件事情是潘多拉盒子,它不是被打開,而是腐朽了,潘多拉盒子裡流出來的黑水正在流向世界的每一個角落。過去只是我們這幫搞計算機的人、搞網絡安全的人跟潘多拉盒子裡面跟壞人對抗著,因為攻擊者攻的是計算機系統,攻的是和計算機系統相關的各種各樣的東西。

這些人雖然我不知道,也不敢說就比壞人多厲害,但是我們知道壞人都在幹什麽,我們知道壞人的手段和他們的想法。但是今天的世界是智慧世界、智能世界,所有的東西都在變智能,所有的東西都可以聯網,世界上的每一個角落都變得聰明,但是聰明並不意味著安全。

第二個確定的是安全行業的任務更艱巨了,不確定的是我們能應對嗎?能應對到什麽程度和水平?世界愈來愈不安全,其實不是我軍無能,實在是敵軍成長太快,僅中國就有超過 200 萬人在做黑灰產,每年我們國家的 IT 預算裡只有很小的一點點留給安全,都不知道用在哪裡去了。

第三個確定的是原來搞安全的方法行不通了。第一,客觀上各種各樣的邊界都在消失。安全是一種對抗,我們習慣用傳統的對抗理論來看安全。傳統的對抗領域理論是找到關鍵的必經之路,然後在這裡守住,集重兵之力防禦就行了。但是現在的世界哪裡還有關口?邊界都沒有了。

現在我們在一個點上防禦、或者在一個面上防禦,其實這些都不對,現在是立體空間,任何地方都是可以被入侵的:每個人都是弱點;每個業務都在快速叠代,每個叠代的版本都會出問題;每個業務規則稍不小心配錯公司就會破產,一個規則配錯,一個業務配錯,公司都會破產,5G 更是讓每個地方都可以被入侵進來。這種情況下應該在哪裡守?所以在這種情況下其實無險可守。(2020企業轉骨方:5G網路與企業專網

第二,攻防不對稱,資源不對稱。對方可以收集很多的資源,可以用僵屍網絡,利用全世界大量的資源攻擊你,而你的每個資源是你自己花錢買的。在這種客觀條件下,我們主觀上的原因讓自己陷入了更加糟糕的境地。一是各自為戰,我說的各自為戰不完全是指安全企業之間缺乏配合,更多是指客戶們各自為戰。我們試圖在自家院子裡搭一些攝像頭,看不到敵人就認為世界是安全的。但事實上,我們只看到了一部分的數據,看不到整個威脅情況。

所以這樣看來,不確定的是我們改變這些問題的進度是什麽?或者說來不來得及?

第四個確定的是安全如果要想有未來,需要有大數據。今天我們把數據當成魔鬼,談數據色變,我的觀點和別人不一樣,在我看來,採集不等於做壞事,採集之後怎麽用、怎麽防才決定是不是做壞事,而從安全的角度來說如果不讓一個 APP 採集數據,實際上會讓安全徹底無法做了。

所以和別的行業一樣,我們需要更大範圍的數據,我們需要更長時間的歷史數據,因為你今天看到的異常行為,可能對方在 3 年前或 5 年前就已經有準備了,今天如果沒有 3、5 年前的數據,你就無法還原對方到底在幹什麽。

而不確定的是這樣的數據在哪裡?或者說有了大數據有能力用起來嗎?

第五個確定的是我們所有的安全,一定要轉到攻防視角。無論你給客戶講什麽,一定要轉到攻防視角。在客戶的視角也是如此,當別人給你講任何事情的時候,你要想一想,這是不是符合攻防視角,因為安全產品最後靈還是不靈,就看一件事情,實戰扛不扛得住。(迎接5G,旅遊業準備好了沒?

不確定的是到底應該怎麽做到這一點。

第六個確定的是合規是底線、身份是青銅。對抗最典型的就是軍事級的對抗,所以,合規只是一個最基本的東西。但是可以衡量的是能力,合規只是一個底線,我們不能再拿合規忽悠所有的用戶,合規只是基本要求。

不確定的是怎麽讓客戶改變這樣的認識?

第七個確定是我們需要高質量的人,人是創造力、戰鬥力,是提供服務的基礎,不確定的是人在哪裡?要怎麽用?

第八個確定的是網絡安全需要整體思維。能看見的範圍愈大、愈清楚,安全產品才有競爭力。如果沒有整體思維,我們永遠做不到這一點,如果沒有整體思維,我們看到的中國網絡空間安全,就只是你看到自己領地的小燈照亮的範圍,其他地方全是黑的,加上 360 全網 C 端的安全大數據,底座可能是亮的,但其他地方都是黑的。當然整體思維不僅僅是指發現,整體思維是指很多方面的東西,要形成聯動。

而不確定的是對方會在任何一個地方打我們任何一個點,要怎麽防?

第九個確定的是,我們需要升級到「智慧時代」,和別的領域一樣,安全也需要大腦。解決問題離不開持續高水平的安全服務,首先要完善企業頂層設計,給予人員最佳實踐學習機會。透過定製化的威脅情報和威脅應對支持服務,對企業的系統化和持續化的培訓,以及專業、規範和持續的實網攻防與演練、系統化的漏洞發現和管理、專業的安全營運和應急響應,以此幫助組織建立更加完善的安全體系。

不確定的是對方是透過超時空、超能力和隱身衣來攻擊的,可以從任何一點把能力投射到任何另外一點,網絡空間防禦有可能做到這一點嗎?

最後,大安全時代物理世界和網路世界不分,所有的東西都在融合,生存密碼一定是智能互聯、整體攻防和實戰能力。

文:劉琳

發表評論

請輸入您的評論!
請在這裡輸入您的名字