專訪｜360高瀚昭：ISC十年，360數(shù)字安全大腦能夠“看見”什么？

摘要： 2013年，ISC（互聯(lián)網(wǎng)安全大會）驚艷問世；2022年7月30日至8月2日，第十屆互聯(lián)網(wǎng)安全大會（ISC2022）又如期而至。

2013年，ISC（互聯(lián)網(wǎng)安全大會）驚艷問世；2022年7月30日至8月2日，第十屆互聯(lián)網(wǎng)安全大會（ISC2022）又如期而至。

人類的大腦偏愛“十進(jìn)制”，故而對“十”都有一種特別的情感。逢十，往往都會是重要的紀(jì)念日。彈指一揮，ISC也已走過十年。十年風(fēng)雨，十年非凡，今已十歲的ISC，在網(wǎng)絡(luò)安全完成向數(shù)字安全演進(jìn)的關(guān)鍵節(jié)點，已然成為數(shù)字安全領(lǐng)域不可或缺的盛會。

 

ISC 2022圍繞“護(hù)航數(shù)字文明、開創(chuàng)數(shù)字安全新時代”主題，呼吁行業(yè)凝聚力量，真正支撐國家和企業(yè)“看見”高級威脅的實力，牢筑數(shù)字安全底座，提升數(shù)字安全能力，全方位安全地馳騁于數(shù)字時代。

眾所周知，數(shù)字經(jīng)濟帶來新技術(shù)、新思維、新生態(tài)的同時，也伴隨著錯綜復(fù)雜的安全風(fēng)險和安全挑戰(zhàn)。十年之前，360就已扛起國內(nèi)安全大梁；十年之后，360又將如何“看見”安全威脅，又能怎樣幫助政企機構(gòu)更好地去“看見”，去應(yīng)對變幻莫測的高級威脅呢？為此，我們很榮幸對話360數(shù)字安全集團高級副總裁高瀚昭，一探“看見”背后的故事。

 

01

為什么要不斷攻克“看見”難題？

首先，我們想知道，當(dāng)前數(shù)字安全為什么要“看見”？高瀚昭給了我們簡而易懂的答案。

發(fā)現(xiàn)問題肯定是解決問題的前提。其實，安全行業(yè)的本質(zhì)就是要解決用戶各種各樣的安全風(fēng)險和安全威脅。想要解決這些問題，首先就要知道這些問題在哪里，看清風(fēng)險、看見威脅，才能幫助用戶更好地抵御攻擊。

當(dāng)前安全的現(xiàn)狀，也迫切需要更高更全面視角的“看見”。傳統(tǒng)的安全格局，每個廠商的每款產(chǎn)品都形成了一定的“看見”能力，然而“看見”的視角往往局限、片面，有些安全問題并未被發(fā)現(xiàn)，有些安全問題的整體描述并不清晰，類似于盲人摸象。用戶也沒法獲得自身安全全景視圖。

比如用戶看到某個攻擊，這個攻擊從哪里來，采用什么手段，未來怎么解決，如何防止被它再次攻擊，需要知道完整的上下文。所以，安全不能只看見一個點，而是要看見整個面。

在高瀚昭看來，安全行業(yè)和其他行業(yè)大不一樣，安全是攻防兩端對抗的持續(xù)博弈過程。換句話說，當(dāng)你看見了，攻擊者就一定要想辦法再讓你看不見，他一定要想辦法突破你看見的能力，找新的招數(shù)，研究新的攻擊手段，當(dāng)你解決了一個安全問題，或許只是解決了當(dāng)下看見的問題，你的對面不是單個業(yè)務(wù)系統(tǒng)，不是需求解決了就萬事大吉。
 

 

高瀚昭坦言，360在追蹤各種國家APT或者一些威脅組織時，發(fā)現(xiàn)攻擊者能力進(jìn)化之快，往往超乎想象。而且攻擊者的資源更為豐富，因為通常認(rèn)為黑產(chǎn)市場規(guī)模是安全市場的十倍，所以，他們有足夠的資金、資源、動機來提升攻擊手段，來突破你的“看見”，這也是安全永無止境的一個很大因素。

 

02

360如何建設(shè)和提高“看見”的能力？

在全球數(shù)字化不可逆趨勢的大背景下，“看見”安全威脅變得至關(guān)重要。但是，工欲善其事，必先利其器，正如武俠江湖中，想要窺透對方的功力，則需要自身擁有更高的內(nèi)功。在安全江湖，想要“看見”攻擊者的種種行為，同樣需要掌握強大的技術(shù)能力與深厚經(jīng)驗積累。

因此，360如何提升自身“看見”能力，是一個不可繞過的話題。高瀚昭認(rèn)為，在提升“看見”能力上，360走了一條比較獨特的道路。

眾所周知，360過去做的是C端安全，能力分成云、端、數(shù)、人四個維度。


一是云。360認(rèn)為，“看見”的能力不能建立在某一單點產(chǎn)品上，而要建立在云端，也就是稱之為“數(shù)字安全大腦”。只有把數(shù)據(jù)采集在同一個地方，通過專家進(jìn)行分析，才有可能把威脅看得更為全面，這也是為什么360是全球最早做云查殺的公司；


二是端。“看見”很大程度上依賴于強大的數(shù)據(jù)獲取能力，360在全球有10億終端，在海量終端基礎(chǔ)上就能夠看見用戶側(cè)的異常行為；


三是數(shù)。即是通過大數(shù)據(jù)分析，把“看見”的每個終端上的異常行為進(jìn)行綜合分析和研判，來了解整個攻擊的途徑；


四是人。即專家能力，專家能力就是在過去十幾年間與攻擊者、黑客組織的攻擊對抗中不斷總結(jié)出攻擊手法和技戰(zhàn)術(shù)，對方在不斷演進(jìn)，專家能力也跟著與時俱進(jìn)，更深入了解對方怎么攻擊，如何侵入。“未知攻，焉知防”，只有更多地掌握對方的攻擊手法，才能更好地幫助用戶做安全規(guī)劃，在不同的維度識別和防御這些攻擊。

 

 

簡而言之，“看見”本質(zhì)上就是要了解每個攻擊者的攻擊手法。

當(dāng)前，攻擊者黑客組織已經(jīng)非常體系化和自動化，目前每天的惡意樣本數(shù)量達(dá)千萬級，其中光是360每天看到的新增樣本就高達(dá)1300多萬，但這肯定不是全部。由此推斷，全網(wǎng)至少是幾千萬量級甚至上億新增樣本。

當(dāng)然，這些樣本不可能靠一個個寫出來。針對海量樣本分析，就會發(fā)現(xiàn)，很多攻擊手法萬變不離其宗。事實上要發(fā)現(xiàn)一個全新的攻擊手段并不常見。這也就意味著，雖然樣本浩如煙海，但實際上本質(zhì)的攻擊手段有限。

在此前提下，360通過十幾年的實戰(zhàn)攻防經(jīng)驗，總結(jié)了幾千種通用攻擊手法，這些攻擊手法在不同行業(yè)、不同應(yīng)用可能有不同落地手段，真正的難點在于，如何把宏觀技術(shù)和戰(zhàn)術(shù)落實到每一個具體的產(chǎn)品中。

高瀚昭稱，360的產(chǎn)品是有限的，但360的知識是比較全面的，所以，360希望能夠?qū)⒆陨碇R讓行業(yè)內(nèi)更多廠家獲取到，使得他們也能更全面的看見威脅。他們或許不需要了解細(xì)節(jié)，只要“看見”了，就知道是哪個組織的哪種常用手法。即用戶的安全體系有一個面向攻擊者的思路研判。

高瀚昭強調(diào)，360過去十幾年最大的核心能力，即是建立了全網(wǎng)的云查殺體系，逐漸進(jìn)化為如今“360數(shù)字安全大腦”的安全體系，使得360依托于海量終端、大數(shù)據(jù)、專家能力，能夠比較全面地建設(shè)一套“看見”的安全能力。

 

03

360數(shù)字安全大腦現(xiàn)實應(yīng)用價值如何？

“實踐是檢驗真理正確與否的唯一標(biāo)準(zhǔn)”。360數(shù)字安全大腦的“看見”能力強大與否，需要通過現(xiàn)實實踐進(jìn)行檢驗。事實上，目前360的安全產(chǎn)品已經(jīng)部署于眾多政企客戶之中，一直以來也取得了不菲的成績。

比如，我們最常見的關(guān)于360的新聞，就是360又發(fā)現(xiàn)了某國對中國進(jìn)行的安全攻擊行為，其中包括美國的APT攻擊等等。

高瀚昭列舉了一系列數(shù)據(jù)：在過去的幾年里，360系統(tǒng)化的發(fā)現(xiàn)和報告了50家APT組織的攻擊，基于300億樣本庫數(shù)據(jù)挖掘的智能分析體系，每日攔截惡意網(wǎng)址7.5億，每日云查殺560億，每日自動攔截挖礦勒索威脅千萬余次，每日攔截手機惡意詐騙程序攻擊2000萬余次，幫助用戶避免被黑產(chǎn)詐騙大額乃至巨額財款。

高瀚昭介紹，360數(shù)字安全大腦是360自建的一套安全體系。隨著數(shù)字化的演進(jìn)，用戶側(cè)不管是政府還是企業(yè)，對“看見”的需求也越來越強，360試圖用自己的這部分能力幫助用戶去獲得更深入全面的“看見”能力。對此，360總結(jié)有兩種方式：

一、自身具備一些安全運營和分析能力的用戶，比如一些大的客戶、大的政府部門、大的央企和監(jiān)管部門，這種情況下，更多的是從數(shù)據(jù)、云端支撐、專家和運營知識等層面，去給他們提供全面賦能，使得他們能夠更好地建設(shè)以提高自身安全能力為目標(biāo)的安全防護(hù)體系；

二、相對中型或者小型企業(yè)，他們自身未必具備很高的安全分析能力，即使給了他們相關(guān)安全數(shù)據(jù)，可能也不知道如何全面的分析。此時，360數(shù)字安全大腦就可以給他們提供服務(wù)，將數(shù)據(jù)打通并做多維度、更全面的分析，然后告訴他們怎么“看到”這些威脅，幫助他們解決這些問題。這即是托管業(yè)務(wù)，目前這種業(yè)務(wù)越來越多。

高瀚昭認(rèn)為，尤其是一些初創(chuàng)公司或中型安全公司，想要自建一套安全能力系統(tǒng)往往耗資巨大。360數(shù)字安全大腦是360花了十幾年時間，累計耗資兩三百億方才構(gòu)建而成，其他企業(yè)再重復(fù)建設(shè)類似系統(tǒng)，無論從時間還是資源資金投入上考慮都并非良策。

所以，也希望把360數(shù)字安全大腦的能力讓其他廠商利用起來，通過平臺和SDK的方式提供給生態(tài)廠商，使得更容易在數(shù)據(jù)和分析層面為他們所用。這種模式下360并非指揮者，而是賦能者，生態(tài)伙伴可以利用360的安全能力建設(shè)和增強自身的安全分析能力體系，并能和360現(xiàn)有的安全體系框架互聯(lián)互通，提高生態(tài)合作伙伴看見威脅的能力。對業(yè)界廠商，360數(shù)字安全大腦致力于安全行業(yè)的協(xié)作，讓細(xì)分賽道的廠商專注于自己擅長的產(chǎn)品，做精做強，對整個安全行業(yè)來講，可以避免過多的重復(fù)投入和惡性競爭。

當(dāng)然，以上都是在企業(yè)層面。對于國家、城市、政府機構(gòu)安全的層面，高瀚昭認(rèn)為國家安全是一個大詞，國家安全是由每個企業(yè)、每級政府、每個個人組成。無論軍民融合也好，建立國防體系也好，都在強調(diào)怎樣讓民營企業(yè)和國家相關(guān)部門共同合作，共享信息，最終達(dá)到對各方面安全威脅的“看見”和對攻擊的有效防御。

為何這么說？因為一個威脅，有可能是通過某個供應(yīng)鏈進(jìn)入到某軟件企業(yè)，再植入到某個關(guān)系到國家命脈的關(guān)鍵基礎(chǔ)設(shè)施中去。如果只看關(guān)鍵基礎(chǔ)設(shè)施這一層面，則往往是看不全安全威脅的?！?br /> 　

所以，高瀚昭強調(diào)，這才是為什么說安全隨著數(shù)字經(jīng)濟的發(fā)展整體是一張網(wǎng)，互相之間都有很強的依賴性，不可能只保衛(wèi)某個具體的國家安全。如果沒有把具體的企業(yè)安全、城市安全、人民安全保護(hù)好，那也不太能夠?qū)崿F(xiàn)整體的國家安全。

 

04

如何基于數(shù)字安全大腦構(gòu)建生態(tài)體系？

當(dāng)下，在數(shù)字安全領(lǐng)域，生態(tài)一詞比較火熱。許多安全大型企業(yè)都在致力于安全生態(tài)的建設(shè)，因為大家都意識到一個問題，安全從來都不是一個點或一條線，而是一個面，甚至是立體式的體系。所以只有形成立體的生態(tài)，才有可能抗衡立體化的高級威脅和黑客攻擊。

 

在高瀚昭看來，生態(tài)其實有好幾種類型。其中有一種稱之為帶貨，比如集成商，用戶有什么樣的需求，缺什么產(chǎn)品，就找一家產(chǎn)品集成商前來合作，這是商業(yè)合作的一種生態(tài)。

然而，360更希望的是在技術(shù)上的一種共贏生態(tài)，能夠從用戶的角度出發(fā)。高瀚昭認(rèn)為，現(xiàn)在用戶最大的困擾是什么？用戶不希望只被一家廠商鎖定，但是購買多家廠商產(chǎn)品時，一定會碰到一個問題，這些廠商之間的產(chǎn)品無法互聯(lián)互通。

 

所以，360希望通過賦能方式，打通其中的某些關(guān)聯(lián)。當(dāng)然，對此360持有兩點理念：一是讓合作伙伴和客戶能夠獲得“看見”的能力；更重要的一點是，希望“看見”的能力之間可以融會貫通，能夠讓用戶獲得一個完整的安全圖景，長期來看，這一點價值更大。

高瀚昭對此擁有美好的愿景，因為如若達(dá)成上述目標(biāo)，那么對360有好處，對合作伙伴也有好處，對客戶更有好處，這是一件三方共贏的事情。

想必許多人好奇，目前在360安全生態(tài)中，已經(jīng)擁有哪些合作伙伴。高瀚昭介紹稱，目前共有三大類型的企業(yè)。

 

第一類：做單一產(chǎn)品的企業(yè)。比如防火墻和WAF類單一產(chǎn)品的企業(yè)，可以通過360數(shù)字安全大腦的賦能，使得產(chǎn)品檢測更準(zhǔn)；

 

第二類：做橫向安全，云安全、數(shù)據(jù)安全等方面的廠商。不管是云安全還是數(shù)據(jù)安全，本質(zhì)上也是要看見對云、對數(shù)據(jù)的攻擊，以及知道這些攻擊者究竟是誰，有什么目的，攻擊手法怎樣？這些360積累非常多，可以為這些企業(yè)做賦能；

 

第三類：垂直領(lǐng)域。比如工業(yè)互聯(lián)網(wǎng)，許多企業(yè)對工業(yè)互聯(lián)網(wǎng)、醫(yī)療或者教育等特定行業(yè)安全能力有專長，但是在通用的攻防領(lǐng)域，360可以給他們提供更好的支撐。因為攻擊者往往不分行業(yè)，今天攻擊醫(yī)療行業(yè)，明天可能攻擊電網(wǎng)。

 

 

05

尾聲：數(shù)字安全越來越受到官方重視

近十年來，國家高層屢次提及網(wǎng)絡(luò)安全的重要性，甚至已經(jīng)提升到了戰(zhàn)略地位的高度。在《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護(hù)法》等相關(guān)法律法規(guī)的政策引導(dǎo)下，一定程度上也促使政企相關(guān)人士愈發(fā)意識到網(wǎng)絡(luò)安全亟需升級為數(shù)字安全的重要性。

 

對此，高瀚昭深有同感，并有著切身體會。他說，他看到的是，尤其是在政府部門，以前安全往往都是IT部門的職責(zé)，現(xiàn)在已經(jīng)是政府主管領(lǐng)導(dǎo)和城市主管都很關(guān)注的事情。360在與眾多政府機關(guān)交流的時候，越來越感覺到他們重視安全，他們在重視數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化的同時，數(shù)字安全問題也成為越來越關(guān)心的點。

 

高瀚昭坦言，實話實說，即便放到兩三年前，在與各省市領(lǐng)導(dǎo)交流數(shù)字經(jīng)濟相關(guān)問題的時候，對方也很少主動提及數(shù)字安全。由此可以看出，政府部門領(lǐng)導(dǎo)的對數(shù)字安全的觀念看法，正在發(fā)生巨大的改變。數(shù)字安全已經(jīng)成為許多地方官員的職責(zé)重任，許多政府領(lǐng)導(dǎo)越來越認(rèn)識到，沒有安全基礎(chǔ)，他們的數(shù)字化發(fā)展會受到很大的制約。

 

當(dāng)安全不再只是經(jīng)濟利益的分內(nèi)之事，而是關(guān)乎國計民生、政府職責(zé)，那么，對于各類數(shù)字安全威脅的“看見”也變得尤為重要。“看見”能力的背后，往往是時間、人力、財力、智力等各類資源的重重堆疊。就像孫悟空若未在太上老君八卦爐中煉化七七四十九天，也不可能擁有能夠識別各種妖魔鬼怪的火眼金睛。

 

正如高瀚昭在“數(shù)字安全大腦生態(tài)合作及發(fā)展圓桌論壇”所講述的那樣，360基于數(shù)字安全大腦核心能力開啟生態(tài)賦能計劃，致力于幫助整個行業(yè)的所有合作伙伴實現(xiàn)產(chǎn)品和產(chǎn)品之間，廠商和廠商之間，云端和本地之間可以互聯(lián)互通，將360數(shù)字安全大腦的能力、企業(yè)自身產(chǎn)品的安全能力、生態(tài)產(chǎn)品的安全能力等多種能力協(xié)同一致、戰(zhàn)術(shù)統(tǒng)一，大幅度提高“感知風(fēng)險、看見威脅、抵御攻擊”的能力。

 

數(shù)字安全，需要“看見”！