雷锋网首发|除了想了几个月的大安全,周鸿祎还回答了这些问题

雷锋网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

360上市将严格遵照法律法规正常进行,不要听信市场传言,有些流氓股票就会造谣。”9月12日,周鸿祎身着标志性红衣接受了包括雷锋网在内的媒体访问。

除了对上市流程表态,360公司董事长周鸿祎还回答了这些问题。以下是周鸿祎的采访实录,雷锋网编辑在不影响原意的基础上略有删减。小标题为雷锋网 (公众号:雷锋网) 编者所加。

雷锋网首发|除了想了几个月的大安全,周鸿祎还回答了这些问题

一、马云提出了新零售,我想了好几个月,想出了“大安全”

 1.您今天一直在阐述“大安全”时代的话题,能否再详细介绍一下。

周鸿祎:最近我们做安全做了这几年,有一个思考,现在再孤立地谈网络安全可能太低估这个网络安全的挑战和威胁,所以我们定义为大安全时代,因为这几年安全越做,安全问题越大,就证明很多策略和思想都要随之改变。

我说三件事儿其实是让大家重新去思考,过去大家一叹就是网络安全、信息安全、电脑安全,我就都都太窄比如三件事儿,美国的大选、黑客的介入改变了美国政府的政治走向,选了一个新总统;乌克兰过去两年一直在战乱,但乌克兰简直成了网络战的练兵场,而且网络的目标就是电站,不再用战斗机扔炸弹一样可以实现大面积的断电。包括今年勒索病毒,虽然发作被我们控制住了,但因为它是用网络武器,它的很多威力小小地露了一手,但也可以让你窥一斑而知全豹。今天整个社会和互联网已经结合得很紧密了,整个社会一种说法是转在互联网上,一种说法是运转在软件之上,加上现在物联网、车联网、工业互联网,把真实世界和物理世界、网络世界全部拉平了,线上线下全都连通了,这种情况下,网络世界的攻击都开始蔓延到真实世界。我们就发现,现在一谈安全,就势必要谈到国家安全、社会安全、基础设施的安全,包括物理的安全甚至人身的安全。

比如,美国今年出了好几次军舰和船相撞,美国自己都解释不清楚,说会不会有人利用 GPS 欺骗,把一个货轮引偏航撞他的军舰,这不是都没有可能。这种情况下,我们需要换一种观点来看,所以,我们提出“大安全d”。我的理解,大安全,网络攻击已经演变成网络战,网络攻击过去还是比较零碎,比较单次,这次WannaCry可以看出来,美国人在网络武器打造上实现了平台化、系统化、自动化,全世界已经进入网络战时代。

在网络战时代,它和传统战争有很多的互补,甚至有的情况下网络战可以超过传统战争,达到不战曲人之兵的地步。WannaCry只是演变,和 WannaCry 一块儿泄露出来的美国很多网络武器,我们经过筛查,有不少在中国原来都已经进行过渗透攻击,只是原来我们不知道而已,所以你会发现,这种网络战的攻击威力一旦和基础设施结合,每个国家都受不了,包括美国自己也受不了。

网络战里,我们提出一个概念,要开始重视一个战略资源——漏洞。过去我们老把漏洞当成软件上不起眼的小错误,但今天别人能供给你可能因为楼,你能防守可能因为发现一个漏洞,所以漏洞变成兵家必争之地,在大安全时代,漏洞变成稀土、原油一样成为国家的网络资源。美国非常注意通过活动采集、挖掘漏洞,而其他国家的意识比较淡。

网络战时代的各国的网络军备竞赛一定会开始,就像核竞赛一样,有的国家拼了命要召个大核弹出来,未来已经有几十个国家都成立了网络战部队,包括美国把他的网络战部队升级为一级司令部。在“大安全”时代,作战的指导思想,防御思想要改变,过去我们老修马奇诺防线,《敦刻尔克》告诉你马奇诺是靠不住的。今天所有的系统都有未知的漏洞你一定是防不住的,别人一定会攻击你,这种情况下,怎么重新进行新的作战思想的改变,这也需要在“大安全”时代下整个防御思想要彻底改变。

过去的网络攻击还仅限于信息方面,今天的网络攻击可以断电,劫持你的车,在高速上急停或急启。今天特别对基础设施的攻击会带来对整个社会的巨大影响,这是人类前所未有巨大的威胁。所以,以后可能部队打仗之前,陆军、坦克没动,先用空军,空军没启动之前先用网军,把你的雷达站摧毁,这是巨大的挑战威胁。

 “大安全”时代我们认为网络犯罪不断增多,因为产业特别大,黑色产业链,很多人千方百计,我们有个可怜的小程序圆在网上认识一个女的,这也算网络犯罪,女的隐瞒了身份,通过聊天也能把人逼死也算网络武器。反过来公安要破这个案子也要通过网络,包括国家最近为什么要打击虚拟货币?很多网络犯罪印泥,为什么过去能勒索你,敲诈你,为什么不留个支付宝帐号?留个支付宝帐号公安明天就抓上你了,留个比特币的钱包他以后抓不到你。所以及以后警察破案基本90%要和网络结合。

网络恐怖主义危害也会开始,昨天是9.11,典型的恐怖主义,如果拉登活到现在再攻击不一定会用传统的攻击方式,发现用网络攻击把美国核电站摧毁或者电力系统摧毁,影响的就不是一个大楼里的人,而是一个城市。很多国家现在反恐的压力都很大,而恐怖主义一旦意识到,几个小毛在利用网络网上武器就能造成这么大的影响,他们反过来不需要特别高深的技术,这种自动化、平台化的武器拟达到就可以使用。就像有人造了很简单的机枪实弹也可以做到。

大安全时代,军民融合是唯一可走的方向,过去说打仗是靠军队,打网络战,不论是进攻和防守,民间的公司货民间的人才都要融合,未来的网络战争不区分军用目标还是民用目标,和网络是连在一起的。很多大数据、技术、特别是人才,因为最后网络战的本质是,就像今天给展示了,不是他们黑客技术很棒,这两个人都是很疯狂的人,很不一样的人,这样的人估计很难招到军队,招到军队可能也会被开掉,今天黑客身价很高,这些人可能自己开公司,必须通过军民融合机制把这样的人调动起来,才能够真正地打一场人民战争,所谓网络安全靠人民。现在军民融合,习总书记很重视,我们还是要不断鼓吹这个理念,军队,国家队和民间网络安全(公司)的合作。

这个大会的主题是个正确的废话,我们讲来讲去,人是网络安全中最脆弱的因素,所有的攻击能得逞除了利用某个漏洞和技术,最后人一定是出问题的。可以举出 N 多的例子,人懒惰,违反规定,图省事,好奇,就会导致问题。

如果你有了再先进的系统,比如希拉里也是前国务卿,总统候选人,她有强大的安保团队,包括网络安保团队,奥巴马以前很喜欢用黑霉,当总统之后不允许他用普通的黑莓,而是美国国安局给他做了定制的黑莓,确保安全,但希拉里在家里偷偷架了邮件服务器,但系统再强大也架不住一个人在中间给你??。

安全最终还是靠人,靠安全专家,系统不可靠,漏洞满天飞,人也不太可靠,很多单位都做了规定,说内网不许连接外网,这个规定没什么效果,老有人偷偷连,规定也不可靠。我们现在不能把安全放在很多假设之上,要做最坏的打算,争取最好的结果。

所以,要把安全业变成服务业,不是三峡大坝我们卖一台防火墙,给他装一套360就OK,没问题了,以后针对三峡大坝的攻击一定会有。比如,中国和某个邻国之间有纠纷,纠纷的本质可能是水资源的问题,中国要在雅鲁藏布江修一系列的水坝,这些水坝将来会不会是敌国或邻国重点攻击的对象,以后不是派飞机炸这个水坝,而是要控制你大坝的控制系统,你说光买点安全的东西就能高枕无忧吗?一定需要一直强大的安全团队为他提供长期的安全服务,平常帮他做攻防演习和发掘漏洞,被人攻还能发现,人进来总要干坏事,这时候就要上人,决不是靠人工智能。

在安全领域最高两群人在较量,人工智能离这个还差得很远。安全行业以后要变成高智力的服务业,用这个方法,我觉得才能最后,说白了就是上人。毛主席说过,最后决定战争胜负的不是武器,而是掌握武器的人。大家和世界其他国家比,甚至美国的武器都比我们更犀利一些,他们掌握的漏洞会更多一些,非对称基础上,最后网络战能打成什么样还是取决于人。

我们今天在会上阐述的,想表达一个观点,以后不用再谈信息安全,也不用再谈网络安全,“大安全”时代,从国家安全开始到产业安全、社会安全、工业互联网安全,到人身安全要有系统化的考虑,在这个“大安全”时代,攻防思维,策略要改变,格局要改变,包括对人才的需求,产业的发展方向可能都会改变。这是我们今天主要在这次大会上提出的目标。对整个安全行业应该还是正向的。

2.未来安全在 360 处于什么样的位置?第二,现在很多互联网公司在搞多样化,360在非核心业务上怎么处理?

周鸿祎:安全还是360的安身立命之本,做到一定程度上它不仅是个业务,也是个责任,一个企业除了让员工挣钱,员工买了房子之后,也需要一种成就感,我们在行业里也需要。企业能不能长久,要看能不能做到被人民离不开,政府离不开,社会离不开,你也很有机会。

安全不管挣不挣钱都会坚定地把它做好。安全肯定要做大,“大安全”的时代,大家对360的理解不能只是免费杀毒,拦截骚扰电话,其实在今天的工业安全、社会安全、国家安全、网络战攻防方面360都能发挥重要的角色。

我们为此还成立了企业安全集团,2B这块专门有集团在做。除了2B,我们安全、社会安全和未来新兴的物理安全领域都是巨大的机会,就像我刚才说到了,军民融合是个大的机会,美国最挣钱的是军工产业,一打仗军工产业都挣钱。

网络安全未来是服务业,以后一个安全公司就像今天的本杰明一样,不卖任何东西。本杰明今天讲的就是未来的模式,我这帮人也不是去黑别人来搞破坏,我就和银行签定协议,每天通过国防发银行漏洞,银行遭到攻击我上门及时帮你发现修补,我认为,网络安全从培训和服务业角度,未来这个产业发展也很大。网络安全是我们的基础。

第二,多元化的问题是因为王兴那天文章“网络没有边界”,大家就开始讨论多元化的问题。我的感觉,一个企业如果专注地干好一件事儿,又挣钱,又很开心,这当然最好,但是在中国互联网里,这挺难做的,不是你进别人的边界就别人进你的边界。

还有你站住一个地方,最后发现这个地方挺荒凉的,光卖电影票是不挣钱的,还要进入别人的领域。所以,我们要尽量聚焦,我们过去总结一下,老是不太聚焦,什么风口都要跟一把,什么事情都不想错过,比如VR、人工智能。

目前我们安全产业没有做起来,安全产业不是我们最挣钱的,安全产业我们也基本不挣钱,所以,安全之外还要做点挣钱,互联网的事情,就像腾讯在通信上部挣钱,但还得做点游戏和广告。

我们未来不会只有安全这一个业务,互联网上,我们未来还是会把网络安全的基础工具做好,另外是漏洞,我们在短视频马上要开始发力,未来在手机上,和 PC 不一样,PC 是生产型工具,工具很重要也很牛掰,但手机不一样,是你一个工具,是你一个器官,是你和世界连接的接口,手机上的内容很重要,包括我们有短视频和游戏,最近我们做了游戏人事的调整,抛弃我们过需只是游戏分发渠道,我们既然有游戏分发渠道,把自己游戏的内容、创造能力产业链应该能打造起来。

未来人工智能、IOT、智能硬件会和手机紧密结合,未来我认为会聚焦在这几方面,安全为基础,然后内容,搜索也是技术的一部分,我们会把搜索导航继续做好,还有人工智能和智能硬件的结合。

马云今天提出新零售,我觉得这说法太好了,虽然谁也不知道是什么意思,但觉得挺高瞻远瞩了。所以,我在屋里想了好几个月,想了一个“大安全”,但这个安全是货真价实存在的,能自圆其说的。

二、关于网络安全人才

1.刚谈到需要培养更多的年轻人进入网络安全产业,我们现在用什么样的方式培养更多的年轻人才?

周鸿祎:三个方面,第一,这几年随着360在行业不断宣传之后,安全产业发展之后,整个薪酬水平都在提升,包括互联网公司认识安全,比如腾讯解决微信的安全,马云要解决支付宝安全,他们现在也在大量招聘安全人才,所以安全人才在过去几年里薪酬水准提高了5-10倍,这一点不夸张。原来安全人员比较苦的,人往高处走,这会吸引很多人进入。

我们有个创业大赛,过去安全企业很少能拿到投资,这几年情况发生变化了,国家重视安全产业,安全产业也发展起来,针对安全的投资多起来,也会鼓励很多人加入安全的创业,基数怎么解决呢?我们可以吹个牛的,360做了很大的贡献,原来我们在大学里招聘时发现只能招软硬件通讯行业,大学没有安全专业。你说搞个攻防大赛、安全大赛,大学都不愿意给你搞,因为你教会了学生攻防能力,明天他把教务处给攻了怎么办呢?把学校附近的银行拿下怎么办?很多老师怕承担责任。

后来我们通过几个途径,给总书记写了一封信,就觉得做大事不拘小节,要培养人才。所以,总书记给了很大的批示,在前年和去年,所以就做了两件事儿,第一各个高校现在都能把计算机安全和网络攻防作为一级学科,可以由硕博授予的冷藏,就像计算机软件一样,给大学放开了这个手脚;去年又邀请了武汉、西安、武大一些城市率先和我们这样的公司合作,实验建立国家级的网络安全学院,就是定向培养网络安全人才。我国年轻人多,这么多大学一旦动起来(规模非常大)。网信办马上要公布10所大学作为第一批的国家级网络安全学院,未来每年培养几千人,五年下来就能到几万人了,我们还是做很多工作。

2.现在有没有统计谁要最顶尖的网络安全人才,从进大学开始到最后有很高的水平,成本大概是多少?

周鸿祎:这还真没统计过,回去要算一下。但是从我们来看,现在网络安全顶尖人才第一大学还没毕业,所以我们觉得可能不需要上完大学;第二,不一定是高材生,很多人看着一个个都挺屌丝的,他就热爱这个行业,都是一些怪才,就像你今天看台上的这个人是不是他很怪。这个角度讲,很难用正常大学生(的方式)培养。有的人考不进大学也可以进入网络安全学院,有靶场给他们实验,有很多的老师和师傅,有攻防实力,我估计1-2年里培养出基础人才,能否到顶尖靠他自己的悟性,顶尖人才和天赋也有关系,不是完全靠培训能培训出来的。

三、漏洞是战略武器

1.我听到一个说法,这次 Pwn2Own 拿了冠军,但其实当时你不想让360的团队参加,说漏洞不要给别人,我想求证下这个说法。

周鸿祎:行业有不正之风,大家觉得去海外参加比赛像参加奥林匹克,得到外国人的首肯有很光荣。时间长了我发现一个问题,美国军方、美国情报机构特别热衷干这个?为什么?开始搜集漏洞,因为这个漏洞一亮这个漏洞再也用不了,美国人就知道了。

从来就没有美国队,前三名都被中国队包办,美国就不参加。北约有个规定,北约盟国研究漏洞的人根本不允许来中国、俄罗斯,东方武器禁运国,不想参加比赛,美国人就不想参加奥林匹克吗?我有不供给友邦了,世界坦克大赛美国人为什么不赖?只能友好国家进来,来了以后就必然会把很多泄露出来。我意识到这个问题,美国人拿了一个漏洞,他可不能轻易拿来做比赛,可能送给国安局,类似 WannaCry 做个网络武器,武器很保密,一用三年,悄悄地用,要不是这次被泄露的,没准还能长期使用。

但是,我们很多漏洞,比如,挖到了类似的国家重要战略资源能拿到世界顶级黑客大赛攻破,美国专门给你设了命题,让你去攻,这都是高价值漏洞,美国也就给你十几万元奖金就觉得很高兴,如果卖给某个犯罪集团和国家情报机构是百万美金算的。

这些漏洞是不是应该留在国内,看国家是不是需要?比如我们很多漏洞是来不及修补的,可能意味着你把很多的信息都告诉了其他国家。我是对这个是持公开反对态度的,但没办法,它形成了风气,有的公司不干别的事儿就以去国外参加比赛,得奖为主,对他来讲就是天天压着360就行了。我的人老忍不住,非要较这个劲,这是个大问题,我的观点还是很明确的。在“大安全”时代,网络战时代,不要呈匹夫之勇,不要图一时之快,我们今天得了一个黑客大赛第一名,so what?中国长期来看需要积累网络资源和网络资产,否则有点漏洞就用了,真哪一天和别的国家打起网络战,你手里什么都没有,你有的东西美国人全知道,你说这个仗怎么打?

2.您刚才提到漏洞还是挺有战争价值和经济价值的,有没有考虑过设立一个类似漏洞交易所或者中国建立一个漏洞交易所?

周鸿祎:事实上,我们现在有两种方式,第一,我们已经花钱收漏洞,因为还是要花钱;第二,我们也鼓励国家应该做投入,做漏洞交易所没准就卖到黑产手里,所以国家要投入的。美国每年在漏洞上,美国办比赛每年奖金几百万美金,中国这么国富民强,每年拿出几亿、十几亿买点漏洞不是应该的吗。   

四、目前AI 对安全作用有限

1.AI对整个安全的改变是什么样的?

周鸿祎:我们现在已经把 AI 作为一种手段,AI 能不能帮我们发现代码的漏洞和攻防的辅助,目前的网络攻防是高智商的对抗,目前的AI显然达不到这个水平,作用还比较有限,无法做到两个AI系统去对攻和防守,但AI系统带来的问题,刚才我讲到安全的问题,大家公认的问题反而不存在,比如很多人担忧AI有自我意识了,机器人觉得人类太讨厌,把人类干掉,这种短期内不太可能。

但 AI 会带来两个问题,一是 AI 系统本身是个复杂的系统,是用数据推算出来的系统,只要是复合系统,里面就有一些漏洞,就可以攻击。很多AI系统是用神经网络推算出来的,AI系统创作者会让AI认出来猫和狗,自己都说不出怎么认的,只是给了1万张猫的图片,1万张狗的图片,里面有大量的运算。

AI 无人系统被劫持了,这个车开着,你劫持还能抗争和踩油门,这个车没人开,没有方向盘,你被劫持了,真的只能听天由命的,为什么国外的人也赞成军队用 AI,改造武器智能化,一石激起可以扣扳机,不一定自己扣扳机,一旦被别人劫持了就会扣扳机,这个挑战就大了。

随意打赏

中国雷锋网
提交建议
微信扫一扫,分享给好友吧。