文/360公司董事长兼CEO 周鸿祎

看得见的安全

文/360公司董事长兼CEO 周鸿祎

看见是一种能力，过去讲安全的时候，往往总是把安全技术化、产品化，一直在说防火墙、扫描、IPS、IDS。实际上，现在所有的攻击都是未知的，都力图让别人看不见。攻防双方的博弈已经从技术的攻防对抗变成了看见与看不见的对抗。制造威胁的人希望永远不被人看见。防御的安全公司希望永远看见整个网络，这样才能意识到威胁的发生。所以，看见和看不见变成了安全公司和网络攻击之间最大的能力较量。

企业安全现在被描述成很糟糕、很黑暗，到处存在漏洞。其实，最重要的问题就是源于看见能力的缺失。看得见才能意识到威胁，才能知道威胁正在发生，才能防御。看见发生了什么，企业才会有安全感。

中国和美国都是网络攻击的受害国。美国人也经常会举出一些例子试图证明中国在攻击美国的网络。这就反映了两国在看见能力上的差异。中国的网络也经常被国外攻击，但中国可能以前根本不知道，就没有证据可以跟其他国家争执。

如何才能看见？看见的基础是数据，是基于大数据和深度学习做出的分析结果。因为所有的网络行为都会形成痕迹，有痕迹留下就有数据，安全大数据是形成看见能力的基础。之后还需要有数据的关联能力、数据分析能力和数据挖掘能力，结合安全专家的经验，才能形成看见的能力。

看新闻报道的时候，如果没有大数据，就会出现一部分人看到的是新闻，一部分人看到的是内幕的情况。最近苹果APP的安全事件，引起了一些用户的恐慌。由于它的开发工具被植入了后门，导致很多知名的APP被植入了后门。

在今年年初，恶意后门的访问量，在4月份曾经达到高峰。随着更多APP的感染，对后门访问量的加剧，导致后门制作者的网站支撑不了这么大的访问量，所以访问失败。为什么苹果用户会感到恐惧？是因为看不见，不知道自己的手机上发生了什么。

到9月份，突然出现特别异常的访问高峰，包括整个恶意主控网站发生瘫痪。为什么9月8号到23号突然出现后门网站访问量激增？其实是因为微信的新版本上线了，而微信的新版本也被感染了恶意代码。

因为微信的用户量特别大，导致访问量的激增，攻击者的主机承受不了这么大的访问量，所以主动把主机网站下线了。

未来无论在国与国的网络空间博弈中，还是在企业安全中，如果企业和国家真的缺乏基于大数据分析的看见能力，必然会成为网络攻击的受害者。

看见决定企业安全，看见的能力决定国家安全。下一个伟大的网络安全公司一定是诞生在具备看见能力的企业中。

最近有一个小说很流行，叫《三体》，搞IT的人以没看过《三体》为耻，我也不能免俗。最后的结尾，我想以《三体》的“黑暗森林法则”结束，它的意思是在宇宙里有不同的文明，每一个文明都不希望被更高级的文明看见。因为被发现总有一方被消灭。在网络安全的攻防世界里，这个规则也适用。我们需要做到的是如何能看见更多的威胁。

（本文摘录整理自360公司董事长兼CEO周鸿祎先生在“ISC2015——中国互联网安全领袖峰会”上的发言报道。）X

>>看见和看不见是安全公司和网络攻击之间最大的能力较量。