央广网

周鸿祎:大安全时代 为什么我们不该去争“世界黑客冠军”

2017-09-20 18:07:00来源:央广网

  不久前结束的ISC中国网络安全大会上,来自全球安全专家、白帽黑客,国内政府部委和海外安全机构代表,从理论到实践,从当下到未来,谈趋势、秀绝技。专业“白帽”黑客现场“攻破”各种物理场景或网络空间,甚至有国外黑客通过在体内植入芯片的方式,上演了“生物黑客秀”。

  为什么说全球网络环境已进入 “大安全时代”?漏洞演化的网络军火有着怎样的杀伤力和贯穿力?为什么说安全的本质是人?为什么他会说,中国团队屡屡闪耀世界黑客大赛,未必是好事,“我们不该去争世界黑客冠军”?《远见》本期对话人物:360公司董事长周鸿祎。

  

  周鸿祎在ISC安全大会上演讲

  网络战空间延伸 “大安全时代”时代要有“大格局”

  上次对话老周,还是在去年的乌镇互联网大会。那时周鸿祎专注的是“万物互联和物联网安全”。这一年中,美国因为黑客入侵改编了总统大选走势,美国国安局网络武器意外失窃,被“影子经纪人”做成了震惊全球的Wannacry。

  对此,老周的感到“变天”了,孤立地看“网络安全”威胁已经过时;未来网络安全,将进入攻击横跨物理和网络空间,覆盖越军、民、政、商领域的“大安全时代”。

  周鸿祎:“现在物联网、车联网、工业互联网,把真实世界和物理世界、网络世界全部拉平了。网络世界的攻击都开始蔓延到真实世界。现在一谈安全,就势必要谈到国家安全、社会安全、基础设施的安全,包括物理的安全甚至人身的安全。我的理解,大安全,网络攻击已经演变成网络战,网络攻击过去还是比较零碎,比较单次,这次WannaCry可以看出来,网络武器打造上实现了平台化、系统化、自动化,全世界已经进入网络战时代。今年这次和WannaCry一块儿泄露出的很多网络武器,经过筛查,发现有不少在中国都已有过渗透攻击。这种网络战的攻击威力一旦和基础设施结合,每个国家都受不了。举个例子,很多纠纷的本质是水资源,比如中国要修一水坝,这些水坝将来会不会是敌国重点攻击对象?以后战争,不是派飞机炸这个水坝,而是攻陷大坝的控制系统。那一定需要一支强大的安全团队协助,做攻防演习和发掘漏洞。一旦目标被攻破后,这时候就要上人(对抗),决不是靠人工智能。在安全领域,是最高智力的两群人较量,人工智能离这个还差得很远。”

  安全“怪咖”迭出 “产学结合”“军民融合”孵化人才

  老周还提出了“万物皆变、人是安全核心”。纵观近十年中国网络安全人才培养,走了不少弯路。早年间,高校不敢开设课程,一方面是网络不发达,对安全不够重视;另一方面,也是怕学生学会了技术,学会了把教务处的系统黑了怎么办?明天盯上银行了怎么办?说白了,是顶层人才培养的意识问题。

  此外,安全人员收入实在不高。顶着个“码农”帽子,到头来日子过得紧巴巴,何苦呢?所以,当下这一批“黑客”顶尖高手中,几乎很少有“科班”出身,反倒是群学历不高,但悟性很高的“怪咖”。

  

  白帽黑客MJ郑文彬

  当然,这些年,随着安全行业受到资本和国家的重视;安全技术人员的待遇和社会地位提升了,很多安全人才从海外回归,也有国内顶尖黑客“金盆洗手”成了白帽黑客。

  今年wannycry勒索病毒爆发时,著名白帽黑客、现任国家网络安全人才库特聘专家、绰号“MJ”的郑文彬,对我们讲过这样的“内幕”

  郑文彬:“2008年之前,McAfee(美国知名安全公司)的老总来中国一看:哇,中国竟有这么多黑客!我给你们一月5万美金,在中国给我干活就行。我们一听傻了,5万美金?太多了!好多人去给McAfee干,现在就不一样了。”

  作者:“现在,中国企业可以给到这个数吗?比如你们或是其他的顶尖白帽。”

  郑文彬:“超过这个数。”

  作者:“每月5万美金?”

  郑文彬:“有的,顶尖水平的,包括股票、奖金,可以超过这个数。国外安全市场在萎缩,很多人愿意回来。”

  

  高级漏洞=网络军火原材料

  周鸿祎认为随着大环境改善,未来网络安全人才的结构和培养方式将发生变化,此外军民融合将是“大安全时代”的必然趋势。

  周鸿祎:“从我们来看,现在网络安全顶尖人才,其实大学还没毕业,所以我们觉得可能不需要上完大学;第二,不一定是高材生,很多人看着挺‘屌丝’的,但他热爱这个行业,他们都是一些怪才。从这个角度讲,很难用正常大学生(的方式)培养。有的人考不进大学,也可以进入网络安全学院,有‘靶场’给他们实验,有攻防实力,我估计1-2年里培养出基础人才,能否到顶尖靠他自己的悟性。当然,安全这行业,顶尖人才和天赋也有关系,不是完全靠培训能训出来的。”

  漏洞是国家战略资源 我反对中国团队争“世界黑客冠军”

  这两年,很多国际黑客交流大赛上,中国互联网安全公司派出的战队,屡屡取得佳绩,相继攻破谷歌、微软、adobe 等各大知名公司的系统漏洞。媒体报道也每每摩拳擦掌,似乎这么做是“争了荣誉、长了脸”。中国是否需要“世界黑客冠军”这样的名气、底气?

  对此,周鸿祎唱了反调。他再次强调“大安全”意识,称“以后要管好自己的人,世界黑客冠军这事,其实未必是宝,反而是坑。

  

  周鸿祎:“要我看,现在这行业有‘不正之风’,大家觉得去海外参加比赛,就像参加奥林匹克,得到外国人的首肯有特光荣。开始我也这么想,(与其)咱们(安全公司间)内斗,大家打来打去外人在一边看热闹,不如(去参赛)和国外的比试一下。但时间长了我发现一问题,美国特别热衷干这个,因为漏洞一亮(暴露),这个漏洞就再也用不了,这种比赛好像从来就没有‘美国队’。还有,北约盟国研究漏洞的人,根本不允许他来中国、俄罗斯这些武器禁运国参加比赛。因为来了,秘密漏洞就泄露了。 人家拿了个漏洞,可不能轻易拿来做比赛,可能做一个类似WannaCry那样的网络武器,武器很保密,一用三年,要不是这次被泄露的,没准还能长期使用。

  所以我说,漏洞有点像你挖到了类似的国家重要战略资源。因为能拿到世界顶级黑客大赛攻破的,人家专门给你设了命题,让你去攻,这都是高价值漏洞。如果卖给某个犯罪集团和国家情报机构是百万美金算的,这些漏洞是不是应该留在国内,看国家是不是需要?现在我对这个持公开反对态度!但没办法,它形成了风气。有的公司专门组队去了,我的人忍不住这口气,非要较这个劲。我的观点还是很明确的。在‘大安全’时代,网络战时代,不要呈匹夫之勇,不要图一时之快,我们今天得了一个黑客大赛第一名so what?中国长期来看需要积累网络资源和网络资产,否则有点漏洞就用了,真哪一天和别的国家打起网络战,你手里什么都没有,你说这个仗怎么打?”

  前不久,有人写了一篇文章《人民想念周鸿祎》,这篇文章勾起了大众对3Q大战时代,那个敢搅混水、无所畏惧的周鸿祎的怀念。如今,各行业公司从看资本脸色,但业内竞争百花齐放;到只看AT两大巨头的脸色、挑边站队;周鸿祎的发声似乎变得“低调而乖巧”了。

  老周对此的解释是:互联网多元化,导致“边界错乱”。每家大公司都不可避免地踏入他人的领域,当年横冲直撞最多换来了搅局;从长远看,企业和人都要聚焦核心,不要穷追风口。大安全时代,周鸿祎眼里的对手和目标变得更加清晰。(作者王思远)

  《远见》是一档“互联网财经”主题的广播专栏节目,每周五12:00在央广经济之声播出,周日16:30重播。表现形式自由,提倡“原创+连接+分享”。“远见”会从商道、投资、前沿技术现场和热点话题讨论,邀请业内名嘴和企业家,分享见闻经历或见识观点。看前沿趋势,与智者相伴。作者:王思远,中央人民广播电台记者、《远见》栏目制作人。

编辑: 赵亚芸
关键词: 周鸿祎;黑客;网络安全