不久前结束的ISC中国网络安全大会上,来自全球安全专家、白帽黑客,国内政府部委和海外安全机构代表,从理论到实践,从当下到未来,谈趋势、秀绝技。专业“白帽”黑客现场“攻破”各种物理场景或网络空间,甚至有国外黑客通过在体内植入芯片的方式,上演了“生物黑客秀”。
为什么说全球网络环境已进入 “大安全时代”?漏洞演化的网络军火有着怎样的杀伤力和贯穿力?为什么说安全的本质是人?为什么他会说,中国团队屡屡闪耀世界黑客大赛,未必是好事,“我们不该去争世界黑客冠军”?《远见》本期对话人物:360公司董事长周鸿祎。
周鸿祎在ISC安全大会上演讲
网络战空间延伸 “大安全时代”时代要有“大格局”
上次对话老周,还是在去年的乌镇互联网大会。那时周鸿祎专注的是“万物互联和物联网安全”。这一年中,美国因为黑客入侵改编了总统大选走势,美国国安局网络武器意外失窃,被“影子经纪人”做成了震惊全球的Wannacry。
对此,老周的感到“变天”了,孤立地看“网络安全”威胁已经过时;未来网络安全,将进入攻击横跨物理和网络空间,覆盖越军、民、政、商领域的“大安全时代”。
周鸿祎:“现在物联网、车联网、工业互联网,把真实世界和物理世界、网络世界全部拉平了。网络世界的攻击都开始蔓延到真实世界。现在一谈安全,就势必要谈到国家安全、社会安全、基础设施的安全,包括物理的安全甚至人身的安全。我的理解,大安全,网络攻击已经演变成网络战,网络攻击过去还是比较零碎,比较单次,这次WannaCry可以看出来,网络武器打造上实现了平台化、系统化、自动化,全世界已经进入网络战时代。今年这次和WannaCry一块儿泄露出的很多网络武器,经过筛查,发现有不少在中国都已有过渗透攻击。这种网络战的攻击威力一旦和基础设施结合,每个国家都受不了。举个例子,很多纠纷的本质是水资源,比如中国要修一水坝,这些水坝将来会不会是敌国重点攻击对象?以后战争,不是派飞机炸这个水坝,而是攻陷大坝的控制系统。那一定需要一支强大的安全团队协助,做攻防演习和发掘漏洞。一旦目标被攻破后,这时候就要上人(对抗),决不是靠人工智能。在安全领域,是最高智力的两群人较量,人工智能离这个还差得很远。”
安全“怪咖”迭出 “产学结合”“军民融合”孵化人才
老周还提出了“万物皆变、人是安全核心”。纵观近十年中国网络安全人才培养,走了不少弯路。早年间,高校不敢开设课程,一方面是网络不发达,对安全不够重视;另一方面,也是怕学生学会了技术,学会了把教务处的系统黑了怎么办?明天盯上银行了怎么办?说白了,是顶层人才培养的意识问题。
此外,安全人员收入实在不高。顶着个“码农”帽子,到头来日子过得紧巴巴,何苦呢?所以,当下这一批“黑客”顶尖高手中,几乎很少有“科班”出身,反倒是群学历不高,但悟性很高的“怪咖”。
白帽黑客MJ郑文彬
当然,这些年,随着安全行业受到资本和国家的重视;安全技术人员的待遇和社会地位提升了,很多安全人才从海外回归,也有国内顶尖黑客“金盆洗手”成了白帽黑客。
今年wannycry勒索病毒爆发时,著名白帽黑客、现任国家网络安全人才库特聘专家、绰号“MJ”的郑文彬,对我们讲过这样的“内幕”
郑文彬:“2008年之前,McAfee(美国知名安全公司)的老总来中国一看:哇,中国竟有这么多黑客!我给你们一月5万美金,在中国给我干活就行。我们一听傻了,5万美金?太多了!好多人去给McAfee干,现在就不一样了。”
作者:“现在,中国企业可以给到这个数吗?比如你们或是其他的顶尖白帽。”
郑文彬:“超过这个数。”
作者:“每月5万美金?”
郑文彬:“有的,顶尖水平的,包括股票、奖金,可以超过这个数。国外安全市场在萎缩,很多人愿意回来。”
高级漏洞=网络军火原材料
周鸿祎认为随着大环境改善,未来网络安全人才的结构和培养方式将发生变化,此外军民融合将是“大安全时代”的必然趋势。
周鸿祎:“从我们来看,现在网络安全顶尖人才,其实大学还没毕业,所以我们觉得可能不需要上完大学;第二,不一定是高材生,很多人看着挺‘屌丝’的,但他热爱这个行业,他们都是一些怪才。从这个角度讲,很难用正常大学生(的方式)培养。有的人考不进大学,也可以进入网络安全学院,有‘靶场’给他们实验,有攻防实力,我估计1-2年里培养出基础人才,能否到顶尖靠他自己的悟性。当然,安全这行业,顶尖人才和天赋也有关系,不是完全靠培训能训出来的。”
漏洞是国家战略资源 我反对中国团队争“世界黑客冠军”
这两年,很多国际黑客交流大赛上,中国互联网安全公司派出的战队,屡屡取得佳绩,相继攻破谷歌、微软、adobe 等各大知名公司的系统漏洞。媒体报道也每每摩拳擦掌,似乎这么做是“争了荣誉、长了脸”。中国是否需要“世界黑客冠军”这样的名气、底气?
对此,周鸿祎唱了反调。他再次强调“大安全”意识,称“以后要管好自己的人,世界黑客冠军这事,其实未必是宝,反而是坑。
周鸿祎:“要我看,现在这行业有‘不正之风’,大家觉得去海外参加比赛,就像参加奥林匹克,得到外国人的首肯有特光荣。开始我也这么想,(与其)咱们(安全公司间)内斗,大家打来打去外人在一边看热闹,不如(去参赛)和国外的比试一下。但时间长了我发现一问题,美国特别热衷干这个,因为漏洞一亮(暴露),这个漏洞就再也用不了,这种比赛好像从来就没有‘美国队’。还有,北约盟国研究漏洞的人,根本不允许他来中国、俄罗斯这些武器禁运国参加比赛。因为来了,秘密漏洞就泄露了。 人家拿了个漏洞,可不能轻易拿来做比赛,可能做一个类似WannaCry那样的网络武器,武器很保密,一用三年,要不是这次被泄露的,没准还能长期使用。