360杜跃进:从RSAC再看网络安全行业的反思

admin
admin
admin
831
文章
2
评论
2020年3月2日15:21:49 评论

网络安全战场到最后是人和人的比拼。

网络安全是人机结合,不提倡唯武器论。

数据安全市场需求巨大,却缺乏合适的解决方案。

数据泄露了,该罚还是该帮?

安全一年500亿,行业需要反思什么?

……

欢迎收看本期采访。

360杜跃进:从RSAC再看网络安全行业的反思

杜跃进博士

360首席安全官、大数据协同安全国家工程实验室常务副主任。曾任阿里巴巴集团副总裁和首席安全专家、网络安全应急技术国家工程实验室主任、数据治理工作委员会副主任、国家网络与信息安全技术研究所所长、国家互联网应急中心副总工、亚太应急响应合作组织副主席等职务,在2008奥运会、上海世博会、广州大运会等活动中担任国家最高层面安全专家。一直从事网络安全研究和工作,在我国的国家级网络安全能力手段建设、应急响应体系建设、重大事件响应、国际合作等方面作出过突出贡献。两次获得国家科技进步一等奖,并获得新世纪百千万人才工程国家级人才、全国青年岗位能手、北京市网络安全教育优秀讲师、中国计算机学会杰出会员及杰出演讲者等荣誉,享受国务院特殊津贴。

 

于江:杜博士,我们大概能有一年时间没见面了,去年应该是在杭州吧?能否简单介绍一下您最近的工作情况?
杜跃进:到这个岗位后没有重新适应的过程,第一天上班直接就进入到工作状态。原因有两方面,一方面是因为360是一家安全公司,它做的事情,它的主营业务和我过去积累的知识和能力背景比较贴切,所以不需要重新熟悉。第二方面是公司处于战略转型和快速发展的阶段,所以有大量的事情是直接就要开始来做。这是我入职以后比较强的一个感受。

//////////

于江:我们今天聊聊RSAC,记得有一年ISC大会有一个主题,是“人是安全的尺度”,您怎么理解今年的RSAC2020的主题HUMAN ELEMENT?
杜跃进:我的理解,这件事需要从两个方面来看,一方面是我们过去比较容易理解的,在安全防御的闭环里面,人是绕不过去的。因为人为的原因,一个疏忽或者一个错误的配置可能导致所有的安全失效、或者是安全意识薄弱被钓鱼、又或者是被买通变成内鬼等等,都会导致安全防御被突破。对于一个单位来说,人是比较不可控的因素,不像你写一套程序是什么样就是什么样,最多是有bug有漏洞的问题。并且人本身不仅仅呆在公司里,他还有公司之外的社交网络,有家庭、有朋友等等,也都可以成为攻击点,所以是一个非常复杂的因素。对于需要安全服务和防护的客户来说,需要怎样把人的环节和其他环节接在一起,始终都是特别大的一个挑战。所以这也是很多公司一直在做安全意识、安全技能等各种测试的原因。
另一方面,我的理解是人的因素不光是对客户方,对于安全服务方,就是安全能力的供应商也是如此的。从哲学的角度来说,这就变成到底怎么看待“唯武器论”还是“人机结合论”的问题。唯武器论即纯靠技术,认为武器装备决定胜负。但是武器装备做的最好就天下无敌吗?一项产品做到最好,就可以抵挡所有黑客的攻击?至少对我来说是不认同的。到目前为止,战场也好,网络安全也好,到最后其实还是人和人的对抗,它并不是程序和程序的对抗。所以现在还做不到靠纯粹的自动化和纯粹的人工智能就能够和真实的人来对抗的。决定胜负的是武器装备和人的结合,这就是“人机结合论”。因此越来越多的人也认识到,不能指望只卖给用户产品,因为仅仅卖个产品给用户,真的就能给用户解决问题了吗?并不是这样的。到最后一定是产品加人的能力的综合结合,才能够帮用户解决问题。
举个例子,我们以前很多人认为攻防类的专家是不重要的,现在很多人不这样看了,对吧?因为什么?现在越来越多人发现安全不仅仅是个合规的问题,越来越多的地方开始用你的实战能力来检验你安全到底做怎么样?这时候就发现没有人不行,这时候要的人是什么?攻防类的人。以前不实战的时候,反正卖给你产品管不管用都是自己说了算,哪里需要攻防人员。所以从这个角度来说,它非常需要你供应商有很强的人的能力,结合产品的能力给我提供服务,要么就是用户这边人的能力足够好了,才可以形成人机结合,然后形成各种能力,最后能够解决问题,我是这样理解人的因素。

//////////

于江:杜博士,我比较认同您的观点,很多安全的产品技术,它是工具,毕竟发挥它的价值还得依靠人。使用工具的人的水平上来了,且工具的水平上来了,整体的生产力才能提升。您今年是不是原计划也会去到RSAC?
杜跃进:当年我给我的团队定了三个每年必须参加的国际会议,其中排在第一的就是RSAC。所以正常情况我当然是每年的RSAC都希望去的,但是今年这个确实是有点来不及,我倒不是因为受疫情的影响,而是之前有各种事情比较多,没有来的及办签证。

//////////

于江:好的,今年您提前准备了对RSAC的关注吗?能说说您重点关注哪些方向或者是内容。
杜跃进:我们首先还是比较关注创新领域!创新沙盒当然是重点,当然也不能说它就代表全部的趋势,因为有人对RSA上历年的创新沙盒的这些项目做了分析,其实发现它的成功率也不是特别高。
但是为什么即便如此,大家还是对创新沙盒这个事情十分关注呢?因为它代表了很多新的思想,不在于公司规模的大小,在于他们新的想法是什么?另外,创新沙盒最后的前十名、前三名都是评选出来的,对于这些新的思想,虽然不一定代表最后一定成功,但评委的认知是代表一定的趋势的。360对创新沙盒的十家公司做了分析,对最后的评出来的前三名也做了分析。比如说十家公司里面有三家应该是做的跟数据安全有关系的,我的印象中最后排在第1位的也是做数据安全的。这就很能说明一些问题。其实这个也是符合我们的一个大的判断的。数据安全作为安全领域里面排在第1位的被关注的问题,其实不止今年,应该有三年了,在投资圈也好,在产业圈也好,关键词排在第1位的一直是数据安全,但是这个问题又非常新。
数据安全的需求从哪里来的?GDPR这类政策带来的市场肯定是有的,但是具体落地该怎么做,很多人是不知道的。另外除了类似GDPR这样的政策带来的市场需求之外,企业这边的痛其实也是实实在在的,不一定都是政策要求导致的。因为企业的数据被搞走带来的损失,很多企业都已经感受到了。
除此之外,政府也是一样的,感受到数据安全的需求。比如说我们现在抗击疫情这件事情,所有人这时候看到大数据太重要了,对吧?可是过去的一段时间,从2016年到现在,我们因为大数据安全里面不断的出事,也是受国际的影响,不断的出法律标准的要求,大家对这个大数据安全提出了各种要求和限制。这时候当疫情需要大数据的时候,大家手里没有大数据,或者有一部分但也不敢用,一度耽误了很多事情。
但是我们也不能回到大数据随便用的时代,因为安全问题是切实存在的,因此从过去到现在的这个过程中,我觉得要逐渐的从两个极端不断调整平衡,逼近最好的解决方案。我们由于过去对大数据安全过度恐惧,采取的一些措施导致很多数据其实是没有了,所以当你在这次疫情需要用的时候,发现没有大数据可以用。DT时代和过去IT时代是不一样的,DT时代是先有数据,才有业务创新。IT时代是先说我要业务要干什么,然后再去找数据。所以通过这次疫情会发现,其实很多数据是缺失的,因为数据安全的问题不允许采集。
但是我们分析的时候是需要分析过去的一些东西的,所以这就需要一个平衡。这类需求是从国家的角度来看的。国家也意识到需要提升应急管理能力,我们的城市安全等等离不开大数据,用大数据又不能不管安全。这时候需求就出来了,我到底怎么样能够找到既能够把大数据发挥作用,又能够让大数据发挥作用的时候不出现安全问题的办法?这条路在哪里?
国家的这类需求,也不是政策合规产生的需求。所以反过来讲数据安全,从法律标准的合规需求,到企业自己的内需,再到现在国家和社会在现实中遇到的问题都离不开数据安全。
因此你看RSAC的创新沙盒十家企业家里面,最多的是讲数据安全的,也证明了这个趋势,也证明了在数据安全领域里面,还有太多的用户的需求没有被满足,大家意识到数据安全这个问题,但是找不到合适的产品和解决方案。
数据安全会是一个市场,而且还会是一个快速成长的过程。
除了这个之外,360对整个RSAC的一个评价,最近我们写了一篇文章,我觉得还挺好的。

//////////

于江:您刚才聊了数据安全在这个时代这么重要,360这边从业务布局的角度上来讲,在数据安全领域里面有哪些这样的一些布局或者是规划?
杜跃进:首先数据安全这件事情对于我个人来说,已经是做了好多年了。我去阿里的头一年,就盯准了数据安全。因为大数据是所有人离不开的,包括像阿里这样的公司,和其他很多互联网巨头一样,数据就是他的生命,对吧?但是这些公司手里的数据不完全是自己的数据,有很多是客户的。所以在那个时候就意识到说,如果我们没有办法证明数据在我手里是安全的,那会伤及到我的根本,会危及到客户对我的信任。那时候是2015年,带动全中国重视数据安全的“徐玉玉事件”还没发生,我的团队就高度重视数据安全,将其作为作为头号重点进行研究和能力储备了。
我到了360以后,我们同样把数据安全作为最重要的工作之一。具体工作方面,和当初在阿里这边相比的话,有些工作是可以延续下来的,有些则是360具有特殊优势的。延续下来的至少是两件事情,一个是标准,另一个是社会实践。我们过去对大数据安全的理解,跟360在整个安全上面的战略是一致的。我们强调安全最后关键的是能力,而不是一个简单的合规或者传统的风险评估这类。大数据安全也是。当年我的团队基于阿里的实践,和业界几十家单位共同提炼整理出来了数据安全能力成熟度模型,就是国家标准DSMM。另外过去我们联合很多单位,在很多政府部门的支持下做了大量实践,在这个过程中不断探索围绕DSMM为核心的数据安全治理方式,外面的反响还不错。这些工作我到了360之后还会继续,因为标准本身和实践验证是大家都可以往前推的。我在阿里的时候在推,现在到了360依然会推,当然是和业界一起来推了。
但是在数据安全领域,360还有两个独有的优势,可以充分的利用起来,给业界在数据安全领域提供更大的支持。
第一个优势是360最强的攻防对抗能力。在数据安全领域,大家说数据安全问题的时候,这个概念很多人是把它全混到一起说的,其实绝大部分人直到今天为止都没说对。比如说法律界有很多人今天动不动不分清是什么情况,就说你看哪家公司数据又泄露了,原因是处罚太轻。但实际上是要区分不同情况的。我的观点简单说就是应该“处罚坏的,帮助弱的,奖励好的”。不管什么情况一律靠处罚,根本解决不了问题。例如很多的公司它的数据被黑灰产甚至是国家级的攻击组织大批的偷走,这一定是这家公司的责任吗?当年2014年的RSA我是在美国的,当时有一个会场,Richard Clarke,就是写“网络战”的那个人,他当时在上面演讲,我就坐在第2排离他非常近。他当时就批评各国的数据本地化政策,说你们老是说数据要留在本地,一点意义都没有,NSA的能力比你们想象的要强很多,你们把数据存在哪里我都可以拿得到。
也就是说,攻击者的攻击能力如果是非常强,这种情况下你的数据被偷,那你靠罚款能解决了问题吗?再罚也解决不了问题。所以对于这种情况应该是要帮助他。如果说一家企业的数据非常重要,我们帮助他抗攻击了吗?我们如果没有帮助他抗攻击,只是罚他的话,我就打比方说,你们家小孩出去被坏人打了一顿,回来之后你说你看你怎么被人打败了,所以我把你揍一顿,这有用吗?所以对于这类情况,其实应该做的是帮助他们,增强他们的安全能力。其他两种情况不展开讲了,当然有些人该罚,比如他该做的没做到你应该罚他。但是该做的做了不等于就不出问题了,对于这些因为攻击者的能力太强,自己的能力不够的时候,他们需要的是帮助。
在这种帮助企业对抗高级安全威胁上面,360具有自己的优势,因为360是顶级网络安全公司,积累了这么多年,在攻防领域的专家、知识库、威胁情报等方面处于绝对领先位置。我们会把这些积累转变成能力,然后通过服务的方式提供给客户,来帮助客户抵抗最强的攻击,防止数据被高手窃取。当然安全的客观规律是谁也不敢说100%的安全,但是我让你这方面的能力提升到目前业内最好,就能最大化地减少客户被外面的人或者被内部人通过攻击手段窃取数据的风险。这个是360的优势点,是我们在数据安全领域的一个突破口。
360在数据安全领域还有另外一个优势可以发挥,可以理解成生态方面的优势。当初在贵阳、贵州政府的支持下,我们建了一个大数据安全工程研究中心。我们联合了国内的很多机构,共同研制标准、研究相关的政策应该怎么制定、这些标准落地应该怎么落、过程中有什么问题等等。我们做了大量这样的工作,积累了丰富的经验。现在我来到360,发现有了更好的条件可以进一步开展这些工作,让原来的积累在全国发挥作用。360有一个国家工程实验室,叫“大数据协同安全国家工程实验室”。这个是国家发改委批复的,是非常好的一个平台。这个实验室的重点之一就是大数据安全,所以未来我会把这个平台充分利用起来,让它发挥更大的作用。当然这个平台是个开放的平台,我们会在原有的基础上建一个更好更大的生态,让做数据安全的产品供应商、研究机构以及需求方,能够有一个更好的协作发力的地方。这样的话,就能够真正的在解决方案能力建设等方面帮助到大家。
 

//////////

于江:刚才您帮忙解答这个问题的时候有两个关键词,一个是通过360的安全服务这种能力来去提帮助客户提升数据数据安全,强化安全;第2个关键词是生态。我们去年360集团把奇安信的股权卖给了中国电子集团,在这一段时间之后,360上至少上市主体里面就没有to B端的这种业务了,后来360自己也成立了这样的一个B&G,就是面向政府和企业的这样的一个政企安全集团。我们想了解一下从to C的业务延伸到to B&G这个业务是出于哪种战略考量?
杜跃进:最主要的原始的出发点,或者说是动力、动机其实很简单。作为一家安全公司,本身也不应该是去看是to C to G还是to B对吧?应该看的是到底有哪些安全需求,是我们能够帮别人来解决的。过去的时候,分家之前我们其实是toC toB都做的,当然当初360切入安全是从to C做的,大家都知道360的明星产品杀毒软件。等到后来分家之后,对于360来说,我们还是看安全领域有哪些需求是我们可以更好地完成的。结果发现网络安全行业还是存在问题的,这个观点在我加入360之前也是一直这样认为的。我来360之前参加很多行业内的会议上,始终在说,整个网络安全行业是需要反思的。
我们国家从1996年到现在,这么多安全企业,有人说是好几百家,还有人说上千家安全企业,到现在一年才做到500个亿左右?这件事要我说不能只是怪别人,不能只是怪政策不好,怪预算不够,我觉得这个思路是有问题的。这个问题我有过很多的分析,这里不展开讲,只强调其中一个非常重要的点,就是安全行业自己要反思,我们到底有没有给人家解决好问题?答案当然是没有解决好问题的。在分家之后,360还是看到说,政府和企业的网络安全依然面临极其严峻的挑战,很多事情都还没有解决好,需要新的思路和能力,而360的一些独特优势对解决这些问题非常关键。既然有价值的事情就应该做,作为一家安全公司,你不应该有别的考虑,其实就一个原则,我能不能在安全方面为客户带来价值。
有价值有意义的事情,我发现我能做得很好,我们就应该去做,是因为这个原因,我们开始重兵投入政企安全。但是我们并不是什么都做,我们并不是去走传统的网络安全公司已经做得很成熟或者做很好的那条路,而是发挥我们自己的优势,从的客户需求的角度来解决一些原来没有做或者做得不够好的问题。别的公司已经做得很好的领域,我们和他们协同,共同为客户提供服务。

//////////

于江:了解了,从您的介绍来看,我们在做的事儿市场上是有需求,客户上有价值,我们有能力来去满足他们这些需求。然后也加大了在政企安全这方面的这种投入,我们关心的一个问题,就是说在这上有没有哪些业务经营方面的规划或者经营上一些目标,对于一个政府安全集团来讲。
杜跃进:我这里只能讲一些原则性的。比如说我刚才讲到的,360到底有哪些东西是和传统的网络安全不一样,同时又是真正能够给客户带来价值的?这是我们的主线。沿着这条主线,我们的规划首先还是把我们自己原来很强的能力真正的把它产品化,并且能够通过服务的方式输出出去。而不是说我拥有的强大能力只能在自己家里用,别人用不了。
从产品的层面展现得最清晰的就是安全大脑。安全大脑是把360已经积累了这么多年,并且证明确实管用的核心能力产品化的最直接的表现。利用这样的能力,360能发现一些别人发现不了的安全威胁,而这些威胁通常是危害最大的,大家只是原来发现不了而已。360把这样的能力包装成能够对外提供服务的安全大脑,使其有机会给别人提供服务。它背后的工作当然包括我刚才讲到的360领先的攻防专家团队,他们的能力如何能够对别人有价值?
除了顶尖专家资源之外,我们积累了这么多的安全数据,这些数据是中国唯一一份,哪怕站在整个中国的角度,都是最大的财富。所有的行业都将是数据驱动的,安全也是一样的。但是就像我刚才讲到的,当你今天才意识到数据重要,你才去找数据,那已经没有了。360积累了10年多的数据,是政府企业安全离不开的最宝贵资源。这个数据不应该是窝在360手里,它应该对客户产生价值。安全大脑要解决的问题是,如何才能做得到这一点。
我们会通过这些主线,把我们的这些能力和资源打造成产品。
产品之外是如何建立我们的一套服务体系。360会非常坚定的到各个地方去落地。我们通过服务的方式,在各个省市、各个行业去贴近客户,然后让我们以产品和能力为核心的东西,通过服务体系来解决每个客户最后的需求。这还是需要通过服务地方来落地。同时我们服务体系也不只是说只是围绕产品,刚才我讲到人的因素里面,非常重要的一点是用户你自己有没有人的能力?
用户自己的人的能力越强,对他是越好的。因为你全外包给别人的话,就意味着你的所有的东西彻底开放出去,而且你外包出去的人还要懂你的业务,有时候是很难的。更好的模式就是你自己是最懂业务的,然后你的人又懂一些安全,然后在这个基础上再跟别人结合。那么问题就来了。客户懂安全吗?客户经常是不懂安全的。所以在我们整个的服务体系里面,非常强调的一件事情是教育培训。
所以360的教育培训,并不是说就是为了去开展业务,为了去挣钱来搞教育培训。教育培训是我们整个板块里面的一个密不可分的一部分。没有教育培训,没有办法帮客户提升人的能力,整个这套故事根本就讲不下去,最后又变成说,还是在卖产品,没有解决这个问题。
所以大概讲的话会是这样两条线,第1条线是我们把我们的优势、我们的积累产品化,它的标杆就是安全大脑。第2条线就是我们通过服务体系,建立和各个地方各个行业更加密切的合作。其中服务体系内也包括对用户的人的能力的培养,这两个结合起来,最后才能够达到我们预想的目标。

//////////

于江:我们最近也在梳理2019年的一些汇总和盘点,我们发现在2019年这个行业里面发生了个多起影响行业总体市场格局的这样的交易性事件。当然也包括前面说的360和奇安信的股权的交易情况;中国电子的入主,中国电科入主绿盟,阿里云这边也收购了两家在国内比较不错的这种创新型的公司,长亭和九州云腾。这些会影响行业性格局的交易,我想请教一下杜博士,您怎么看未来企业级网络安全市场格局以及演变趋势,在这样的演变过程当中,360在里面的定位是怎样的?
 
杜跃进:这个问题我思考的不多,并且也不是很专业,我就尝试着回答一下,不一定是你们想要的答案。我是这样看的,各种各样的并购投资不光是中国了,国外也非常多,例如美国那边也非常多。首先我觉得这是一个非常自然的现象。但是这里面可能略微有一点点差异,但我再次强调我这是不专业的说法。比如说像国外的,北美西方发达国家的很多企业在并购投资的时候,是按照自己的清晰的战略目标来执行的,这个战略目标或者说战略设想不一定是正确的,但是他反正是想清楚了,他看他的能力板块里面缺了这个东西,就收购进来,补齐自己的能力。
简单说就是,他是带着自己清晰的战略目的、战略设想来做并购的。这种我觉得这个是比较正常的,360也会这样来做,我们也会做一些投资并购,也会走到这样这条路上来。我们觉得我如何能够给用户提供更好的一套方案、更好地解决问题,我的战略整个版图是什么?这个战略版图里的内容,360不可能什么都自己做,可能需要有同盟军,需要有密切的合作伙伴等,有时候也需要直接收购,把别人的东西补充进来,补到这版图里面,所有一切都是为了实现这个战略版图,更好的给客户提供服务。从这个角度来出发的投资并购,这都是正常的。
但是,有时候情况不见得都是这样的。大家也知道,过去历史上有时因为一些别的因素,一切投资并购行为并不是为了刚才说的那些出发点。我觉得这不是一个长久之计,对于被并购的企业不是好事情,因为投资方并不是真需要你。把你并购过来之后,有时候不是为了用好你的能力提供更大的价值,这都不是从客户需求产生的。我觉得应该避免的是这个东西。有很多东西是需要向美国学习的。其中在这个领域里面还是要回到说我们的并购或者说投资的出钱的一方是客户需求导向的。我投资你或者并购你是希望给客户提供更好的安全服务,补足我的版块。当然纯财务投资是另一回事,从业务战略角度应该是这样的,如果是掺杂了更多的别的东西,我觉得对于被投资方不见得是好事情,最核心的东西,就是你做这一些事情到底初心是什么?
于江:好的,谢谢杜博士。
weinxin
数说安全
微信扫一扫
  • 本文由 发表于 2020年3月2日15:21:49
  • 除非特殊声明,本站文章均为原创,转载请务必保留本文链接
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: