奇虎360互联网安全中心主任裴智勇博士:数据驱动安全2.0
为迎接2017广州《财富》全球论坛,彰显广州世界一流中心城市科技创新风采,2017年11月1—2日,由广东省互联网协会主办、全球未来科技大会组委会与全球领先的新经济行业数据挖掘与分析机构艾媒咨询集团承办的“2017全球未来科技大会”在广州琶洲保利世贸博览馆隆重开幕。艾媒网对此次大会进行了全程直播。
本届大会以“发现·下一个十年”为主题,共设置未来出行、人工智能、新零售、未来文化科技、未来房产、未来企业服务、未来营销创新等多场平行论坛。大会延续往届大会的盛况,汇聚各行业精英大咖与知名媒体,围绕科技创新聚焦业界前沿话题,探讨未来行业的发展方向,打造最具未来感的互联网风云盛宴。
本届大会规模空前,会场占地面积1.5万平方米,参与企业超过400家;参与报道的主流媒体超过200家;大会期间接待知名演讲嘉宾200位、海内外移动互联网CEO约200名、互联网相关行业人士6万人次,是华南地区规模最大、规格最高的互联网盛会。
会上,奇虎360互联网安全中心主任裴智勇博士出席2017全球未来科技大会-企业服务创新发展论坛并发表了《数据驱动安全2.0》的精彩演讲。
以下是裴智勇演讲实录:
谢谢大家,很高兴能接受主办方的邀请来参加这次发现下一个十年的论坛。我们响应习大大的号召,习大大说安全是发展的基础,我们讨论下一个十年怎么做的时候,要把眼光聚焦到安全的领悟上。安全是不是咱们发展的障碍?我们在很多学术沟通中大家都说很多人非常讨厌做安全的人,一来就告诉这个不安全,那个不安全,这个不能做,那个不能做。发展肯定是第一位的。这里面我们对安全新的理解,安全包括安全工作者,安全服务的目标,不是让你的事情是安全的,安全我们服务的终极目标是你在发展过程中你的风险在你所能承受的范围。如果你真的想做接近安全的体系的话,投入也是非常大的。今天是来给大家说点不一样的。
企业级的服务不是免费的,因为要付钱给我们,因为企业级的服务需要有质量的保障,对服务的要求有所不同。我今天介绍的主题是数据驱动安全2.0,数据驱动是在2015提出并且被广泛接受的,在未来的时代我们认为安全威胁是不可控的,是不可防的,大家可能都希望买一个杀毒软件,对于一个企业机构来说,无论你使用什么样的安全手段,我们都没有办法保障你不被攻击。数据驱动安全从2015年经历了两个发展时期,数据驱动安全1.0,通过大数据的问题发现问题,解决问题,尽量可能降低人力的投入。经过这两年的实践,最后发现大数据,人工智能不但取代不了人,而且最终结果,起码我们在现阶段最终使人的作用更明显了。
我们接下来具体介绍一下。首先说四大安全假设,假设系统一定有未知安全漏洞。病毒之所以对很多机构都受灾,普通的民众电脑比较少,这个漏洞被披露出来,并且被攻击以后,产生很大的影响,他们很早以前就有漏洞了,直到用于病毒攻击才知道有这么厉害的武器。大家也知道微软每个月都会给电脑打十几个补丁,有漏洞是正常的事情。假设一定有已知未修的漏洞。大家电脑、手机上都有很多应用,你都会更新,如果没有及时更新,都会有很多漏洞。第三个,假设系统肯定已经被渗透,特别是对于大型企业,我们在做安全服务你要假设你的系统已经被渗透。如果系统从来没有被任何渗透,只能说明一点,不是你的安全服务做得好,是你不重要,如果从来没有被人渗透,我自己就非常担心,总担心是美国FBI会关注我,攻击我,各位就没有这个担心。最后一个,自己的员工是不可靠的。
首先看一下漏洞,这是补天平台,在2016年全年数据中,修复率最高的是政府,高危漏洞达到90%以上,个人网站修复40%。在所有的收录报告过程中,都会第一时间把漏洞报给相关的网站和企业,有57%的网站完全无视于我们的通报,真正修复的不到一半。也就是说现实就是告诉你有漏洞了,你都没有修。
企业是不是一定被渗透了?这是我们去年做的安全服务的时候,大概有200多家大型机构,有68.5%的企业不知道自己被黑了,第一个监管机构通报,第二个主管单位通报,还有7.3%被媒体报道之后才知道被黑了。发现自己被黑的企业有21.4%,看到这个现象才知道自己被黑了,也是晚了,还有5.4%是被敲诈勒索,真正通过自己的安全检测发现有安全问题,这样的企业只占了4.7%。
这也是实际的案例,去年9月我们发现的案例,突然有300多个邮箱帐户发现发垃圾邮件,这些邮箱2015年就已经被攻击了,600多个员工在钓鱼网站上输入了自己的帐号密码。这就是我们所谓的冒充系统安全设置,这种软件一律不能理,这封邮件说把你的姓名,单位,邮箱都发给我,如果你们的企业员工收到这样的邮件,他们会回吗?你会回复吗?我们测试回复率超过50%,越大的企业回复率越高。为什么我们说自己的员工不可靠?自己的员工在内部也会出问题,一种是违规,一种是内鬼。如果让你主观判断,违规的问题严重还是内鬼的问题严重?但违规的情况比内鬼的严重得多,而且违规对企业的伤害比内鬼更大,违规是每一个人都有可能做的,违规不一定是恶意的。不小心泄露信息,不小心操作错误。上班买东西,下班玩游戏,人们在办公时间使用办公软件的时间远远低于玩游戏,购物和看视频的时间,一上班购物的高峰就出现了,下班之后开始玩游戏。违规的问题对企业的威胁远远大于内鬼,内鬼毕竟是有意的,违规是无意的。
再介绍两大失效定律,一切违背人性的技术与管理措施都一定会失效,比如我们经常说,你不上乱七八糟的网站,不下乱七八糟的软件就是安全的,有没有人认同这种观点?我年轻的时候很多人都认同这个观念,但这个观念是错的,系统存在漏洞会自动攻击。如果不上乱七八糟的网站,不下乱糟的应用,互联网还有什么意思?这个东西是一种人性。第二个,一切没有技术手段保障的管理措施一定会失效。我既然知道违背人性的东西会失效,就要技术保障它。永恒之蓝的例子,突破了内网,很多企业的内网被攻破了,有几个原因,我讲其中一个,叫一机双网。还有一个很重要的原因,360随身WIFI,这个东西当时做这砍产品,但今天来说,这是所有企业的恶梦,我们都恨死当年发明这个东西的同学了,这个东西只要一插上去,立刻可以突破所有的边界。怎么解决这个问题呢?我们发现无论是攻击者还是安全运营者都是人,离开人的安全,安全是不存在的。今天我们说数据驱动2.0的时代,数据不是代替人,大数据、人工智能更多是帮助我们的眼睛看得更远,帮助我们的手能做得更多,可以解决相对更高级的网络问题,数据是帮助人扩展能力。所有的数据服务,从终端到边界到云控,都是把各种数据收集起来,提供给人,使人做出更有价值的判断。我们通过这个发现APP组织,在永恒之蓝事件中我们支持了国家的抗信作战,我们的数据就像一个安全地图那样,帮全国进行作战。
挑战,在数据驱动安全2.0时代,数据收集能力强不强,数据分析能力强不强。对人的要求也进一步提高了,就是人才更加需求了,像我这样的人才越来越少了。所以大家可以加我的微信,谢谢大家。
(本文根据速记稿整理,未经演讲嘉宾审定)