360资深技术专家:从 RSA 看安全技术未来
2020-03-02
美国时间2月28日,全球安全顶会RSAC 2020即将落幕。这场在美国旧金山举行的“安全奥林匹克”吸引了来自全球知名信息安全企业、行业决策者和资深专家学者40000余人参会。
受到新冠肺炎疫情冲击,国内仅有7家厂商赴会。作为这7家参展厂商之一的360,带来了360安全大脑、汽车安全大脑、家庭安全大脑、360BugCloud等产品,展示了360在全网安全大数据、威胁情报、知识库、安全专家等方面的积累与实力。
在此期间,360董事长兼CEO周鸿祎、360首席安全官杜跃进也带来了自己对安全技术、趋势的思考与感悟。
唯武器论和人机结合论
第五届中国互联网安全大会ISC 2017曾以“万物皆变,人是安全的尺度”为主题,探讨人与互联网安全的耦合作用,表达了在安全防御的闭环里人是绕不过的环节。
而RSAC 2020 以“Human Element”人是安全要素为主题,在杜跃进看来有两层含义:
▶ 一方面,人是不可控且复杂的因素,除了公司以外还有家庭、朋友等社交网络。对于需要安全防护的企业客户来说,人这一环节与其他环节的联系始终是很大的安全挑战。这也是近年很多安全服务方不断开展针对企业员工安全意识和安全技能测试和培训的原因。
▶ 另一方面,对于安全厂商人的因素同样是不可控且复杂的。从哲学的角度体现,就是唯武器论与人机结合论的博弈。唯武器论表达的是防御全靠技术,一个产品可以抵挡所有黑客攻击。杜跃进表示,他不同意这一观点,“网络安全的最后战场依然是人与人的对抗,而不是程序与程序的对抗,至少到目前为止,还做不到靠纯粹的自动化、人工智能与真实的攻击者对抗。”
▶ 因此,越来越多安全厂商认识到,卖给用户产品并不能为用户真正解决问题,还需要与安全专家的能力结合。从这一角度来说,供应商需要有强大的专家能力结合产品能力提供服务,或者用户有专业人才能力并进行人机结合,才能解决安全问题。
大数据与安全的平衡
今年的RSAC创新沙盒大赛前十强中有三家数据安全公司,摘得金牌的美国企业SECURITI.ai就是一家数据隐私保护类公司。这一结果与杜跃进之前的预期相差无几。无论在投资圈或是产业圈,数据安全一直占据安全关键词首位。
尽管其被关注已有三年,仍算一个“新”问题,诸如GDPR之类政策带来的市场显而易见,但具体落地仍是盲区。接连不断的数据安全问题以及国内外相关法律标准的制定,使我们在对大数据安全过度恐惧之下采取了一系列措施,也导致了部分数据空白。
比如在这次抗击疫情期间,大数据凸显出了关键作用,但在分析过去某些数据时发现了缺失。“当我们从IT时代进入DT时代,数据经济是不同的,IT时代是先出现业务才寻找数据,而DT时代是先有数据才有业务创新。”
因此,这里需要一个平衡,从国家的角度来看,要提升应急管理能力,离不开大数据,但用大数据需要考虑安全。如何能让大数据在发挥作用的同时不出现安全问题?这也是合规产生的需求, 数据从法律标准的合规需求、企业自己的内需到现实中国家和社会遇到的问题,都离不开安全。
如果这样看的话,RSA创新沙盒大赛前十家中三家是数据安全公司,也证明了这一趋势:太多用户需求没有被满足,大家意识到这个问题但找不到合适的产品和解决方案,这是一个快速成长的过程。
从RSAC2020 看未来安全新趋势
周鸿祎分享了本次RSA之行中总结的三个安全趋势:
▶ 第一,未来安全产品不单是最基础的合规,仅仅解决“有和无”的问题,而是由能力驱动,能不能解决客户的问题,会变成一个很重要的衡量标准;
▶ 其二是大数据采集和分析,如360安全大脑,未来无论是EDR还是CDR,这种数据探针将对整个企业内部各个层次、各个设备、各个系统用大数据的采集,并基于比较完整的大数据来对外部威胁做分析,以后是一个必然的方向;
▶ 最后是在大数据汇聚方面,SDR肯定要超越SEM,未来很多基础性的工作未来一定会趋向自动化,但是企业安全的防护却会越来越多的依赖专家服务,尤其面对高级威胁攻击(APT攻击)时候。
/360董事长兼CEO周鸿祎/
这也是为什么他会来RSAC 2020,有三个目的:
▶首先,2019年9月,360重新制定了政企战略,不仅限于单纯给客户提供软硬件产品。作为全球网络安全大数据最多的公司之一,360可以利用网络安全大数据帮助国家发现和应对国家级APT攻击,过去几年内360发现了超过40起有组织的APT攻击,背后的关键技术就是 360安全大脑 ,其基于大范围、长时间、多维度的安全大数据,综合运用大数据分析、机器学习以及人机结合等关键技术,是实现网络安全防御智能升级的雷达系统。
“我想向国际介绍360安全大脑的理念,并得到国际安全同行的认同。”
参观了众多展位后,他发现不少新兴公司与360技术路线非常吻合,大家都开始尽可能在收集数据,利用大数据分析寻找攻击,也越来越意识到安全是一个整体问题,依靠单点安全设备只能应对一些小毛贼,无法看见隐蔽的国家级攻击。
▶其次,网络安全问题并非靠一家企业能够解决,360也只是做了能够发现攻击的雷达,企业和政府的安全需要更多好的技术一起解决。他希望把国际上不错的新技术带到中国。
▶最后,作为一个RSAC的“忠粉”,老周更希望中国的网络安全产业有类似激励创新、产业合作交流的环境。过去七年,他打造了“中国版”RSAC大会——中国互联网安全大会(ISC),也尝试学习了沙盒比赛这种形式,希望能建立另外的价值观:衡量一个公司,并非以短期的市值和收入为标准,而是以创新力、以其细分市场的敏锐度、以其解决问题,为客户创造价值等角度评判,培养真正有创意,有前瞻性,对未来有预见的公司,能够看到未来几年可能出现的安全问题,并有解决的思路和方向。
在他看来,只有这样的大会才有资格成为中国的RSAC,网络安全行业十分特殊,如果大家不能携手对抗网上的黑产和犯罪,最后所有人都是输家,没有人会是幸存者。