大(dà)數據、雲計算、物(wù)聯網、人工(gōng)智能等新一(yī)代信息技術的應用，給我(wǒ)(wǒ)們帶來便利的同時，也帶來了新的網絡威脅。今年，影響全球的網絡安全事件此起彼伏，這些事件告訴我(wǒ)(wǒ)們，感知(zhī)安全威脅變得越來越困難，我(wǒ)(wǒ)們必須回到安全的本源和原點思考，讓安全從0開(kāi)始，重新審視網絡安全的思想、方法、技術和體(tǐ)系。

       9月4日，2018 ISC互聯網安全大(dà)會（原“中(zhōng)國互聯網安全大(dà)會”）在北(běi)京國家會議中(zhōng)心隆重開(kāi)幕。一(yī)年前，周鴻祎正式提出“大(dà)安全”的概念。他當時開(kāi)玩笑說，零售前面加了個“新”字，一(yī)下(xià)子就變得高大(dà)上了，我(wǒ)(wǒ)想了很長時間，決定在安全前面加個“大(dà)”字。

       玩笑背後，是周鴻祎對信息安全的重新認知(zhī)。PC時代，一(yī)台電(diàn)腦配備一(yī)套軟件，比如安全衛士、360殺毒；移動互聯網時代，一(yī)部手機配備一(yī)套軟件，比如360手機衛士；但IoT時代，每個人有N種智能設備，到2020年，全球有超過500億的設備會連到互聯網上。信息的流動和鏈接呈現指數級增長，但安全風險同樣激增。

      早在2015年，我(wǒ)(wǒ)們就創新推出了“數據驅動安全”的技術理念，以攻防技術研究爲基礎，利用大(dà)數據技術和威脅情報構建以檢測和響應爲核心的積極防禦能力。

      今天，用安全大(dà)腦驅動安全會更準确。雜(zá)亂無章的數據，并不能自動地識别安全事件，我(wǒ)(wǒ)在前幾年嘗試使用規則引擎來進行計算。比如2014年導緻CEO辭職的塔吉特百貨網絡被入侵事件，攻擊者先是通過控制塔吉特合作廠商(shāng)的機器，竊取證書(shū)訪問塔吉特的Web應用，利用其漏洞控制了Web應用服務器，再以此服務器爲立足點，訪問網絡内的活動目錄，收集機器信息，在服務器内存中(zhōng)得到了管理賬号的訪問令牌，從而控制了活動目錄的服務器。

       到這一(yī)步，攻擊者已經基本控制了塔吉特的網絡，他們通過訪問網絡中(zhōng)的數據庫服務器，竊取了7000萬用戶數據，還在所連接的POS機器上植入惡意代碼，收集到4000萬銀行卡信息。在整個攻擊活動的環節中(zhōng)，對于異常的活動目錄和用戶數據庫訪問，我(wǒ)(wǒ)們通常有基于統計和日常基線的規則來發現可能的攻擊。

       規則就像單位的制度、國家的法律，不管多複雜(zá)，都是可枚舉的、有限的，所以經常有人鑽制度和法律的空子。在傳統社會被鑽空子，有危害但可以承受，補救方法就是完善制度和法律。歐美國家還用陪審團制度來彌補規則不足，用人的大(dà)腦主觀判斷有罪與否。

       安全大(dà)腦就像陪審團的法律大(dà)腦，它是通過常識知(zhī)識訓練過的思維來判斷合理、不合理，合法、不合法。安全大(dà)腦第一(yī)個功能是收集大(dà)數據、包括主動采集和傳感器自動上傳，并把它存儲在安全大(dà)數據中(zhōng)心；安全大(dà)腦的第二個功能是學習，通過以往曾出現的漏洞和網絡攻擊實例，用機器學習的方法，訓練出數學模型，用于大(dà)數據中(zhōng)心的深度分(fēn)析；安全大(dà)腦的第三個功能是發号施令，把感知(zhī)到的異常流量和捕獲的攻擊威脅，變成快速響應的指令，能更有效應對未來不斷變化、日益增長的安全威脅。

      我(wǒ)(wǒ)們把安全能力分(fēn)爲三種：高位能力、中(zhōng)位能力和低位能力。安全大(dà)腦是高位能力，安全管理中(zhōng)心是中(zhōng)位能力，軟硬件安全設備是低位能力。“三位能力”立體(tǐ)聯動是網絡攻擊的克星。今年大(dà)會的主題是“安全從0開(kāi)始”，0意味着“零信任”策略，就是默認不相信任何人、任何設備，哪怕曾經有過授權。回顧以往的安全事件，被攻擊、被滲透的設備幾乎無一(yī)例外(wài)都是我(wǒ)(wǒ)們授權的可信設備，我(wǒ)(wǒ)們需要建立新的安全體(tǐ)系。

      “三位能力”的劃分(fēn)源于著名的滑動标尺模型，包含架構安全、被動防禦、積極防禦、威脅情報和進攻反制五個階段，我(wǒ)(wǒ)喜歡叫它“五段論”。

      架構安全是在系統規劃、建設和維護的過程中(zhōng)應該充分(fēn)考慮安全要素，從而構建一(yī)個安全要素齊全的基礎架構。

      被動防禦是建立在架構安全基礎上的，目的是假設攻擊者存在的前提下(xià)，保護系統的安全。添加到架構安全上的系統，可以起到保護資(zī)産、阻止或限制已知(zhī)安全漏洞被利用等作用。

積極防禦是分(fēn)析人員(yuán)對防禦網絡内的威脅進行監控、響應、獲取經驗和應用行動的過程。在這個階段，人的參與是重點。

       情報是幫助防禦者了解攻擊者的行動、能力及戰術等信息，以便更好地識别威脅和做出響應,進攻反制指的是以自衛爲目的，對攻擊者采取的合法反制措施和反擊行動,我(wǒ)(wǒ)們從這個演進過程中(zhōng)的能力維度，構建了一(yī)個低、中(zhōng)、高“三位能力”系統，這是安全從0開(kāi)始的最佳實踐。

      大(dà)安全時代所帶來的挑戰不是一(yī)個信息安全行業能完全解決的，面對這樣一(yī)個巨大(dà)的焦油坑，更需要行業專家把安全看作一(yī)個超大(dà)整體(tǐ)，從人、技術、過程的視角出發，從行業、社會、政府的緯度去(qù)協同行動。

從ISC 2018上看到安全行業發生(shēng)了一(yī)些變化：

1.  行業領域正在不斷地細分(fēn)，專注在自己所擅長的技術上，并出現細分(fēn)領域的競争，不再去(qù)賣一(yī)堆用戶無法評測的産品。

2.  基于零信任理念的安全産品正在行業裏推進，把對于人的不信任用技術手段實現，這在安全管理上是有本質性的改變，需要安全行業持續拿出推動0信任的态度。

3.  行業裏，前美國網絡司令部作戰主任 Brett Williams 都希望在安全技術能夠有所突破，不管是“360安全大(dà)腦”，還是基于“數據驅動安全”的産品，都在不斷嘗試用AI技術、BigData技術來打造覆蓋或部分(fēn)覆蓋正常業務的超級安全産品。