ISC2018观察：“安全从0开始”看安全行业发展变化

大数据、云计算、物联网、人工智能等新一代信息技术的应用，给我们带来便利的同时，也带来了新的网络威胁。今年，影响全球的网络安全事件此起彼伏，这些事件告诉我们，感知安全威胁变得越来越困难，我们必须回到安全的本源和原点思考，让安全从0开始，重新审视网络安全的思想、方法、技术和体系。

9月4日，2018 ISC互联网安全大会（原“中国互联网安全大会”）在北京国家会议中心隆重开幕。一年前，周鸿祎正式提出“大安全”的概念。他当时开玩笑说，零售前面加了个“新”字，一下子就变得高大上了，我想了很长时间，决定在安全前面加个“大”字。

玩笑背后，是周鸿祎对信息安全的重新认知。PC时代，一台电脑配备一套软件，比如安全卫士、360杀毒；移动互联网时代，一部手机配备一套软件，比如360手机卫士；但IoT时代，每个人有N种智能设备，到2020年，全球有超过500亿的设备会连到互联网上。信息的流动和链接呈现指数级增长，但安全风险同样激增。

早在2015年，我们就创新推出了“数据驱动安全”的技术理念，以攻防技术研究为基础，利用大数据技术和威胁情报构建以检测和响应为核心的积极防御能力。

今天，用安全大脑驱动安全会更准确。杂乱无章的数据，并不能自动地识别安全事件，我在前几年尝试使用规则引擎来进行计算。比如2014年导致CEO辞职的塔吉特百货网络被入侵事件，攻击者先是通过控制塔吉特合作厂商的机器，窃取证书访问塔吉特的Web应用，利用其漏洞控制了Web应用服务器，再以此服务器为立足点，访问网络内的活动目录，收集机器信息，在服务器内存中得到了管理账号的访问令牌，从而控制了活动目录的服务器。

到这一步，攻击者已经基本控制了塔吉特的网络，他们通过访问网络中的数据库服务器，窃取了7000万用户数据，还在所连接的POS机器上植入恶意代码，收集到4000万银行卡信息。在整个攻击活动的环节中，对于异常的活动目录和用户数据库访问，我们通常有基于统计和日常基线的规则来发现可能的攻击。

规则就像单位的制度、国家的法律，不管多复杂，都是可枚举的、有限的，所以经常有人钻制度和法律的空子。在传统社会被钻空子，有危害但可以承受，补救方法就是完善制度和法律。欧美国家还用陪审团制度来弥补规则不足，用人的大脑主观判断有罪与否。

安全大脑就像陪审团的法律大脑，它是通过常识知识训练过的思维来判断合理、不合理，合法、不合法。安全大脑第一个功能是收集大数据、包括主动采集和传感器自动上传，并把它存储在安全大数据中心；安全大脑的第二个功能是学习，通过以往曾出现的漏洞和网络攻击实例，用机器学习的方法，训练出数学模型，用于大数据中心的深度分析；安全大脑的第三个功能是发号施令，把感知到的异常流量和捕获的攻击威胁，变成快速响应的指令，能更有效应对未来不断变化、日益增长的安全威胁。

我们把安全能力分为三种：高位能力、中位能力和低位能力。安全大脑是高位能力，安全管理中心是中位能力，软硬件安全设备是低位能力。“三位能力”立体联动是网络攻击的克星。今年大会的主题是“安全从0开始”，0意味着“零信任”策略，就是默认不相信任何人、任何设备，哪怕曾经有过授权。回顾以往的安全事件，被攻击、被渗透的设备几乎无一例外都是我们授权的可信设备，我们需要建立新的安全体系。

“三位能力”的划分源于著名的滑动标尺模型，包含架构安全、被动防御、积极防御、威胁情报和进攻反制五个阶段，我喜欢叫它“五段论”。

架构安全是在系统规划、建设和维护的过程中应该充分考虑安全要素，从而构建一个安全要素齐全的基础架构。

被动防御是建立在架构安全基础上的，目的是假设攻击者存在的前提下，保护系统的安全。添加到架构安全上的系统，可以起到保护资产、阻止或限制已知安全漏洞被利用等作用。

积极防御是分析人员对防御网络内的威胁进行监控、响应、获取经验和应用行动的过程。在这个阶段，人的参与是重点。

情报是帮助防御者了解攻击者的行动、能力及战术等信息，以便更好地识别威胁和做出响应。

进攻反制指的是以自卫为目的，对攻击者采取的合法反制措施和反击行动。

我们从这个演进过程中的能力维度，构建了一个低、中、高“三位能力”系统，这是安全从0开始的最佳实践。

大安全时代所带来的挑战不是一个信息安全行业能完全解决的，面对这样一个巨大的焦油坑，更需要行业专家把安全看作一个超大整体，从人、技术、过程的视角出发，从行业、社会、政府的纬度去协同行动。

从ISC 2018上看到安全行业发生了一些变化：

1.  行业领域正在不断地细分，专注在自己所擅长的技术上，并出现细分领域的竞争，不再去卖一堆用户无法评测的产品。

2.  基于零信任理念的安全产品正在行业里推进，把对于人的不信任用技术手段实现，这在安全管理上是有本质性的改变，需要安全行业持续拿出推动0信任的态度。

3.  行业里，前美国网络司令部作战主任 Brett Williams 都希望在安全技术能够有所突破，不管是“360安全大脑”，还是基于“数据驱动安全”的产品，都在不断尝试用AI技术、BigData技术来打造覆盖或部分覆盖正常业务的超级安全产品。

(本文作者：360企业安全技术专家 张征)

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。