您的位置:首页 >> 正文
周鸿祎:安全公司先要“看见”,不然谈啥防火墙
2016年07月12日
来源: 钛媒体
【字号: 】【打印

  360公司董事长周鸿祎刚从西雅图回来,又马不停蹄地参加另一场西装革履的大会。9月29日,2015中国互联网安全大会(ISC 2015)暨中国互联网安全领袖峰会在北京国家会议中心召开,中美网络安全专家在大会上发表了主题演讲。

  周鸿祎在以“看见”为主题的演讲中表示,看见和看不见变成了安全公司和网络攻击之间最大的能力较量。

  看见是一种能力,当过去我们讲安全的时候,往往总是把安全技术化、产品化,我们总是说防火墙、扫描、IPS、IDS。实际上,今天所有的攻击都是未知的,都力图让你看不见。攻防双方的博弈已经从技术的攻防对抗变成了看见与看不见的对抗。

  他举例说被央视曝光的伪造10086的诈骗网站为了躲避拦截,不断的变换,每变换一次就变成一个新的诈骗网站,有时候一天要变好几次。用大数据可以看到这些不断变换的诈骗网站的背后关系,这样才能时时阻拦。

  所以安全大数据是能够“看见”的基础,再通过数据的关联、分析、挖掘、提取,才能谈如何防御。

  例如,在这次苹果染毒事件中,由于它的开发工具被植入了后门,导致很多知名的应用被植入了后门,引起了苹果用户的恐慌。这些苹果用户之所以恐慌,是因为他们看不见。而通过恶意后门访问主控网站域名的数据解析,可以看见后门访问量的变化、恶意主控网站瘫痪和微信新版本上线之间的关系。

  只有看见这些内部关系,才能保卫安全。

  同时,善于自嘲的老周还以西雅图西装不成套事件讲述“看见”与“看不见”的故事。老周说他作为一个安全专家,却遭遇了安全问题,那就是裤子撕裂了。为了让大家“看不见”裤子破了,无奈只能重新换一条不成套的裤子。

  题外话,今日老周穿的是一套灰色西装,搭配红色衬衣和灰色休闲鞋。

  以下是周鸿祎演讲全文,有改动:

  刚刚从西雅图回来,收获蛮多的。作为中国唯一一家参加中美互联网安全论坛的安全公司,我们有很多安全的想法跟大家交流。

  还有一个收获就是玩儿了全世界最厉害的一把班门弄斧,在库克面前推销我的360手机。

  我也收获了最大的吐槽,这个故事是关于看见和看不见的故事。

  大家吐槽我系了一根黄色的领带,像一个土豪企业家。我知道这个领带不好看,当时与会代表那么多,一个个人高马大,个子比较小的我要想让人看见,就要系一条鲜艳的领带。

  第二个吐槽是说我穿衣服的品位,没有穿整套的西装。作为安全专家,我遭遇了安全的问题,我的裤子撕裂了。当时我最想做的就是让人看不见我的裤子撕裂了。我想了很多方法让别人看不见,最后只好换了一条白色的裤子,就赢得了吐槽。大家觉得我今天的穿着怎么样?还是听一听我演讲的内容,不要关心我的穿着。

  有个算命大师为我算了一下,为什么你的裤子破了呢?他说你不应该招惹库克。

  诈骗网站一天变好几次,必须持续追踪,实时拦截

  这个演讲的内容应该感谢我们的安全团队。在过去几年里,他们不断总结并提出我们对安全未来的看法。今天大会的主题,其实就是“看见”。

  看见是一种能力,当过去我们讲安全的时候,往往总是把安全技术化、产品化,我们总是说防火墙、扫描、IPS、IDS。实际上,今天所有的攻击都是未知的,都力图让你看不见。攻防双方的博弈已经从技术的攻防对抗变成了看见与看不见的对抗。制造威胁的人希望自己永远不被人看见。但是,我们这些防御的安全公司永远希望看见整个网络,这样才能意识到威胁的发生。所以,看见和看不见变成了安全公司和网络攻击之间最大的能力较量。

  我给大家举一个例子。屏幕上展示的是一个网络诈骗的追踪实例。央视报道过这个例子,伪造10086的诈骗网站。蓝色的时点表明它在不断的变换域名和IP地址。从大数据来看,从1月份开始,这个诈骗网站就已经存在,为了躲避拦截,不断的伪装、变换,每变换一次就变成一个新的诈骗网站,有的时候一天要变好几次。

  我们利用大数据看到的不是一个诈骗网站,也不是1万个诈骗网站,而是把这些诈骗网站背后的关系总结出来。我们可以一直持续追踪,无论它怎么变化,都能够实时进行拦截。

  我们对它的追踪达到了秒级。有了这套系统,就不需要再对这个网站进行分析,直接可以确定它的诈骗身份,辨别速度加快。一旦生成新的网站,我们就会及时拦截,避免更多的用户被骗。

  下一个例子,我想讲讲DDOS攻击,这是网络上最让人痛恨的。这是一个实时四维的DDOS攻击系统,可以追踪全球的情况。全球互联网看起来很平静,但大量的DDOS随时都在发生,很多网站都在遭受程度不同的DDOS攻击,严重的会影响用户的访问,甚至让网站瘫痪。

  在这个系统里,每一个节点代表受攻击的地点,包括攻击的时间、攻击的强度、攻击的次数。每一点有一棵树,树上的叶子表明攻击目标,节点的位置越高,表明受到的攻击次数越多、攻击的时间越长。

  这个例子可以显示攻击的数据,是谁攻击谁、是一打多,还是多对一,以及背后的主控是什么关系。我们可以实时掌握全球每一个发起攻击和被攻击点的实时情况和追踪,还可以分析DDOS攻击主控的IP,揪出幕后的黑手。

  这套系统是针对DDOS背后主控的实时监控和追踪。目前我们可以同时监控几千个全球活跃的DDOS主控。

  绿色的代表主控,红色代表主控操纵的僵尸网络、攻击目标。我们可以发现主控之间有一定关系,比如有的主控是单打独斗,有的貌似没有关系,他们之间有着比较复杂的帮派关系,有的时候聚在一起共同攻打一个目标。帮派和帮派之间也有关系,他们有的时候甚至交叉攻击。只有站在全球大数据的视野上才能真正看清在网络上发生了什么。

  美国人常举例试图证明中国在攻击他们的网络

  企业内部的安全公司,如果没有完整的数据,根本没办法看到一切,在不知不觉中遭受攻击,正常业务受影响,并且业务瘫痪。

  大家的企业安全被描述成很糟糕、很黑暗,到处存在漏洞,最重要的问题就是源于看见能力的缺失。看得见才能意识到威胁,看得见才知道威胁正在发生。看见以后才能防御,看见发生了什么,每个个人和企业才会有安全感。

  举个不恰当的例子。中国和美国都是网络攻击的受害国。美国人也经常会举出一些例子试图证明中国在攻击他们的网络。这就反映了两国在看见能力上的差异。我们的网络也经常被国外攻击,但以前我们可能压根儿不知道,也看不见,就没有证据可以跟他们争吵。

  再次强调,为什么这次会议的主题是谈论“看见”。未来每个安全公司都要思考如何才能看见。

  没有大数据,看到的就是新闻,而非内幕

  如何才能看见?看见的基础就是数据,实际上就是我们所说的基于大数据和深度学习做出的分析结果。因为所有的网络行为都会形成痕迹,有痕迹留下就有数据,安全大数据是形成看见能力的基础。有了数据,还要有数据的关联能力、数据分析能力和数据挖掘能力,结合安全专家的经验,才能形成看见的能力。

  这个图展示的是恶意网站追踪动态的3D图。是基于我们对恶意网站监控的大数据做出的动态地图。一个恶意网站如果要躲避监测,需要不断的变换地址,甚至每天变换多个IP地址,也有多个恶意网站共用一个IP地址。把所有的数据组合在一起可以发现不同恶意网站至今存在的关系。

  恶意网站不断变换着IP地址、域名,很难快速识别和进行拦截。通过360的系统可以及时发现,并且追踪它的变化。它无论怎么变化,都能够进行二次拦截。所以数据是基础,在大数据的基础之上,通过数据的关联、分析、挖掘、提取,结合安全经验,就应该可以看见你面临的安全威胁。我再次强调,看见了才谈得上防御。如果我们只是在企业内部部署一些边界防护设备,仅仅是拥有企业数据,而不具备大数据分析能力,你根本就无法看见整个网络上发生了什么。

  有些时候,我们听到一些报道,但你没有大数据,就会出现你看到的是新闻,我看到的内幕。最近最热的安全事件是苹果事件。由于它的开发工具被植入了后门,导致很多知名的应用被植入了后门,引起了苹果用户的恐慌。

  在今年年初,通过恶意后门访问主控网站域名的数据解析,我们已经发现了访问量,在4月份曾经达到高峰。这里的红点表示的是网站访问失败。随着更多APP的感染,对后门访问量的加剧,导致后门制作者的网站支撑不了这么大的访问量,导致访问失败。为什么苹果用户会感到恐惧?是因为你看不见,你不知道你的手机上发生了什么。

  到9月份,突然出现特别异常的访问高峰,包括整个恶意主控网站发生瘫痪。大家猜猜为什么?为什么9月8号到23号这几天突然出现后门网站访问量激增?其实是因为微信的新版本上线了,而微信的新版本也被感染了恶意代码。因为微信的用户量特别大,导致访问量的激增。

  攻击者的主机承受不了这么大的访问量。因为它感染的APP超出了自己的想象,它主动把主机网站下线了。

  我们再看一个24小时的图,9点中招的访问量是最多的,下午1点又是一个小高峰,晚上12点之后的访问量明显下降。说明很多人在9点上班的时候都喜欢打开手机,中午吃完饭也会用一用。从这背后的数据,可以看到很多内在的联系。

  截止7月,今年向我国政府部门等机构发动ATP攻击的境外黑客组织有13个

  今天的结论很简单,就是看见会决定企业安全,看见也会决定国家安全。未来无论在国与国的网络空间博弈中,还是在企业安全中,如果企业和国家真的缺乏基于大数据分析的看见能力,必然会成为网络攻击的受害者。

  360已经创办了10年。我们这些人原来没有传统安全的背景,原来是一帮做搜索的人。无意中用搜索的算法在全世界率先推出了基于云端的大数据云安全模型,积累了10年的数据,有超过13亿个安全探测点,还有数十万台服务器,随时感知各种新型网络威胁。我们有61条DNS的解析记录,每日新增100万,日查询300亿URL,日处理100亿URL,每日拦截访问的钓鱼网站1亿次,总样本有95亿,日新增样本接近1000万。正是因为有了广泛的数据,才提高了我们的网络安全的看见能力。

  美国追踪DDOS最牛的几个公司,都会频繁的跟360交流,有些事件,他们要问360看见没有。一些互联网的大腕公司,包括谷歌在内,也经常与我们主动交流,参与围观DDOS事件的追踪。有些大规模的DDOS攻击可能是位于中国的僵尸主机发起的,我们看见了,他们看不多。

  习主席也提出“没有网络安全就没有国家的安全”。最近几年,国家间的ATP攻击非常多。截止到7月份,360监测到的向中国境内的政府部门、运营商、大型企业、科研院所等组织机构发动ATP攻击的境外黑客组织有13个。5月份,360发布了首份溯源APT报告,披露了某个境外黑客组织针对中国境内某政府组织发起的安全攻击。

  在这次西雅图的会议上,我们表达了一个观点,如果不控制网络攻击,对中国和美国来说都是灾难。无论是在政府间,还是在公司间,中国和美国都应该加强合作、沟通,加强技术和信息的分享,共同打击网络犯罪,抵御网络攻击。

  我们建立了中国第一个威胁情报中心,超过200多家大型企业、机构在分享我们的数据。我们也加入了全球防DDOS攻击网络,包括英国、美国在内全球几十个国家已经申请使用我们的威胁情报数据。

  360希望可以帮助更多的企业发现威胁、看见威胁、看见安全。看见决定企业安全,看见的能力决定国家安全。下一个伟大的网络安全公司一定是诞生在具备看见能力的企业中。

  最近有一个小说很流行,叫《三体》,搞IT的人以没看过《三体》为耻,我也不能免俗。最后的结尾,我想以《三体》的“黑暗森林法则”结束,它的意思是在宇宙里有不同的文明,每一个文明都不希望被更高级的文明看见。因为被发现总有一方被消灭。

  在网络安全的攻防世界里,这个规则也适用。我们需要做到的是如何能看见更多的威胁。谢谢大家!

【字号: 】【打印】【关闭
010070160030000000000000011100001120015880