不久前结束的ISC中国网络安全大会上,来自全球安全专家、白帽黑客,国内政府部委和海外安全机构代表,从理论到实践,从当下到未来,谈趋势、秀绝技。专业“白帽”黑客现场“攻破”各种物理场景或网络空间,甚至有国外黑客通过在体内植入芯片的方式,上演了“生物黑客秀”。
为什么说全球网络环境已进入 “大安全时代”?漏洞演化的网络军火有着怎样的杀伤力和贯穿力?为什么说安全的本质是人?为什么他会说,中国团队屡屡闪耀世界黑客大赛,未必是好事,“我们不该去争世界黑客冠军”?《远见》本期对话人物:360公司董事长周鸿祎。
周鸿祎在ISC安全大会上演讲
网络战空间延伸 “大安全时代”时代要有“大格局”
上次对话老周,还是在去年的乌镇互联网大会。那时周鸿祎专注的是“万物互联和物联网安全”。这一年中,美国因为黑客入侵改编了总统大选走势,美国国安局网络武器意外失窃,被“影子经纪人”做成了震惊全球的Wannacry。
对此,老周的感到“变天”了,孤立地看“网络安全”威胁已经过时;未来网络安全,将进入攻击横跨物理和网络空间,覆盖越军、民、政、商领域的“大安全时代”。
周鸿祎:“现在物联网、车联网、工业互联网,把真实世界和物理世界、网络世界全部拉平了。网络世界的攻击都开始蔓延到真实世界。现在一谈安全,就势必要谈到国家安全、社会安全、基础设施的安全,包括物理的安全甚至人身的安全。我的理解,大安全,网络攻击已经演变成网络战,网络攻击过去还是比较零碎,比较单次,这次WannaCry可以看出来,网络武器打造上实现了平台化、系统化、自动化,全世界已经进入网络战时代。今年这次和WannaCry一块儿泄露出的很多网络武器,经过筛查,发现有不少在中国都已有过渗透攻击。这种网络战的攻击威力一旦和基础设施结合,每个国家都受不了。举个例子,很多纠纷的本质是水资源,比如中国要修一水坝,这些水坝将来会不会是敌国重点攻击对象?以后战争,不是派飞机炸这个水坝,而是攻陷大坝的控制系统。那一定需要一支强大的安全团队协助,做攻防演习和发掘漏洞。一旦目标被攻破后,这时候就要上人(对抗),决不是靠人工智能。在安全领域,是最高智力的两群人较量,人工智能离这个还差得很远。”
安全“怪咖”迭出 “产学结合”“军民融合”孵化人才
老周还提出了“万物皆变、人是安全核心”。纵观近十年中国网络安全人才培养,走了不少弯路。早年间,高校不敢开设课程,一方面是网络不发达,对安全不够重视;另一方面,也是怕学生学会了技术,学会了把教务处的系统黑了怎么办?明天盯上银行了怎么办?说白了,是顶层人才培养的意识问题。
此外,安全人员收入实在不高。顶着个“码农”帽子,到头来日子过得紧巴巴,何苦呢?所以,当下这一批“黑客”顶尖高手中,几乎很少有“科班”出身,反倒是群学历不高,但悟性很高的“怪咖”。
白帽黑客MJ郑文彬
当然,这些年,随着安全行业受到资本和国家的重视;安全技术人员的待遇和社会地位提升了,很多安全人才从海外回归,也有国内顶尖黑客“金盆洗手”成了白帽黑客。
今年wannycry勒索病毒爆发时,著名白帽黑客、现任国家网络安全人才库特聘专家、绰号“MJ”的郑文彬,对我们讲过这样的“内幕”
郑文彬:“2008年之前,McAfee(美国知名安全公司)的老总来中国一看:哇,中国竟有这么多黑客!我给你们一月5万美金,在中国给我干活就行。我们一听傻了,5万美金?太多了!好多人去给McAfee干,现在就不一样了。”
作者:“现在,中国企业可以给到这个数吗?比如你们或是其他的顶尖白帽。”
郑文彬:“超过这个数。”
作者:“每月5万美金?”
郑文彬:“有的,顶尖水平的,包括股票、奖金,可以超过这个数。国外安全市场在萎缩,很多人愿意回来。”
高级漏洞=网络军火原材料
周鸿祎认为随着大环境改善,未来网络安全人才的结构和培养方式将发生变化,此外军民融合将是“大安全时代”的必然趋势。
