近几年,APT攻击、数据泄漏、DDos攻击等问题愈发严重,新的安全需求日益剧增。据360诺亚实验室负责人洪宇透露,2019年我国安全产业规模达到600亿,增速18%-20%,持续稳定高速增长。
随着新技术的迭代更新以及人们生产生活方式的变迁,我们面临的安全威胁在不断变化。最显著的新威胁是——网络恶意活动从信息维度对物理维度产生可见的危害。洪宇表示:“网络空间和现实物理空间逐步融合,人的虚拟身份和现实身份之间的界限越发模糊,这意味着网络空间的威胁会深刻影响到人们的日常生活。”
除此之外,网络威胁方式也在变化。就数据安全领域而言,洪宇将黑客的攻击方式分为三个阶段:第一阶段,黑客大多从游戏相关领域入手,套取数据进行变现;第二阶段,敏感数据买卖成为主要盈利方式,例如信用卡盗刷、ATM复制芯片卡等;第三阶段,越来越多的黑客在拿到数据后,通过研究分析,进入二级市场进行不当投资,甚至会有财团加入其中。可以说,网络威胁获利的方式越来越聪明,越来越不易被发现,涉及金额越来越高。
针对新环境下的网络威胁,国家的防御能力如何?作为企业又该怎么做?
在网络安全领域,攻方和守方的实力是不对等的,防御一方处于弱势,一般情况,防守方侦测到对手入侵的痕迹,60%是在发生的几个月后。在洪宇看来,各个行业的网络安全防御能力极弱,没有任何一个方案能够让攻击无法成功,“攻击一定会发生,且攻击一定会成功!”。
随着技术的发展,攻击的成本越来越低,但是防御的成本却越来越高,威胁迫在眉睫。洪宇将防守方遇到的难题分为三个部分:1、防御是全局性的思维,而攻击可以从任何一个薄弱点入手;2、网络武器的民用化使得网络攻击成本逐步降低,智能化自动化网络攻击开始崛起;3、安全响应速度要求越来越快,但面对大量安全事件,人力已无法有效进行分拣处理。
除此之外,据研究表明,网络犯罪分子正利用人性进行攻击,换句话说,数据安全防御最薄弱的环节是人。无论是出于偶然还是意外,人往往是决定攻击是否成功的根本因素。
国家层面已经意识到数据安全的重要性,《中华人民共和国数据安全法(草案)》就是例证,然而在具体实行层面,人员的安全意识却没有跟上,洪宇表示:“现在国内很多人员对于安全的态度就是,不出问题就行,出了问题不上报就行,报了以后不要说我就行,说了我不要影响我就行。“缺乏数据安全意识是非常致命的,整体的防御方案再完美,也需要有安全意识的人推行整个方案。
除了个别行业,例如金融、互联网等,大多数行业的企业负责人并没有安全的意识。就员工而言,安全意识欠缺的问题更加严重。如今工作内容都被切割成条块,不同人员的工作相对孤立,使得整个组织缺乏问责制,大多数人都认为,安全并不是每个人的责任。
“技术”的落后和安全“意识”的缺失成为中国网络防御体系的拦路虎,需要一定时间才能解决。
安全意识很重要,但是大多数人没有,如何才能解决?中国选择的是以政策为抓手,以半强制的手段帮助企业去理解、接受“安全”的重要性。
洪宇表示,“以政策为导向是中国的特色,我认为这非常好,以政策为抓手可以帮助这些行业逐步理解和接受数据安全的概念,这在初期是非常必要的。”
政策的作用不仅仅在于提高意识,约束企业也是重要的内涵。在很多行业,国内企业是站在巨人的肩膀上,只要套用一个已有的概念或者成熟的产品,做一些中国特色化的改造就能在中国市场获利。从实际层面来看,企业没有付出0-1的成本,而是从1-1.1,从1-1.2,因为成本低,所以野蛮增速快,需要国家通过政策约束。
除了国家,企业也在维护数据安全整体战略中占据着重要地位。原因很简单,企业是面对网络安全攻击的主战场。数据安全不仅仅是简单的学术研究,而是真刀真枪,只有在战场的第一线才能了解对手的打法,所以企业不能缺位。
在此基础上,洪宇认为数据安全的人才教育不应仅仅停留在院校,也应该同企业牢牢结合,“企业应该提供岗位培养数据安全人才,维护数据安全是一场斗争,必须做到‘身上有汗,脚上有泥’才能真正了解战场逻辑,才能有的放矢地进行反击。”
基于目前安全行业遇到的难题,360建构了“安全大脑”,从国家视角出发,服务不同行业,搭建全方位、多领域的防御体系。“安全大脑”由“核心大脑”和“神经元”组成,每一个不同的行业就是神经元,而核心大脑扮演着统筹整合的角色。
360在青岛、苏州等地部署了神经元设备、实验室、专家等,分析当地各个行业和整个城市的数据,找出防御的薄弱点,有针对性地进行处理,同时这些数据会上传到“核心安全大脑”,进一步地整合和研究。“核心大脑”和“神经元”的组合上可服务国家,帮助国家从一个更综合的视角看待安全问题,为顶层设计提供数据支撑,另一方面神经元系统又深入了各个行业,帮助企业解决具体安全问题。
网络和物理世界之间的界限逐渐模糊,网络安全问题已经影响到国家利益和各行各业的发展。然而中国网络防御体系极弱,安全意识远远落后于国外。对此,国家出台相关政策作为抓手,潜移默化地强调“安全”的重要性。而企业也该扮演更加重要的角色,利用自身优势,帮助国家构建更为合理的网络安全生态防御体系。